SAFETY e V&V DI UN ATTUATORE INTELLIGENTE.
Brief
Il cliente ha chiesto il supporto di NIER nelle attività di Safety Sw e V&V per un’innovativa famiglia di attuatori del prodotto cosiddetto Object Controller (OC). Per raggiungere lo scopo è stata necessaria la pianificazione dell’attività in stretta collaborazione tra i team di Safety e Testing Engineering per permettere la concertazione del lavoro in modo ottimizzato, rispettare le scadenze e soddisfare le esigenze del cliente.
Sfide di progetto
L’introduzione nel segnalamento ferroviario degli standard ERTMS/ETCS rende necessario sviluppare un sistema in grado di comunicare su rete pubblica aperta con i protocolli vitali e digitalizzare l’infrastruttura di comunicazione con gli enti di piazzale (segnali, deviatoi, passaggi a livello, ecc.), facendola gestire da un OC. In questo modo si può evitare il ritardo nell’aggiornamento dello stato degli enti di campo: con la gestione locale non c’è bisogno di inviare i controlli all’apparato centrale e non è necessario attendere i comandi relativi dato che la logica locale può processare i controlli e attuare direttamente i comandi.
Gli OC sono classificati con il massimo grado di safety integrity level, SIL4, secondo le normative CEI EN (EN50126, EN50128 e EN50129) in ambito ferroviario. Questi sistemi devono essere sviluppati su un’architettura di sicurezza 2oo2 in ridondanza calda, e devono essere in grado di eseguire calcoli logici, garantendo la movimentazione in sicurezza dei treni.
Questo articolo sugli attuatori intelligenti fornisce ulteriori approfondimenti e ne spiega i vantaggi.
Soluzione
L’architettura del sistema è caratterizzata dai moduli di comunicazione in ridondanza su due canali di elaborazione che svolgono in parallelo e in maniera indipendente le stesse operazioni/calcoli (due processori) e dalle schede di gestione degli enti di campo evidenziate in blu (Figura 1).
Il modulo di comunicazione del OC che permette la comunicazione sia con l’IXL/RBC (tramite ethernet) che le altre schede (tramite il CAN BUS) è composto da una parte vitale (safety critical) e da una parte non-vitale, segregate tra loro in modo da escludere che un guasto nelle funzioni non di sicurezza o i relativi dati di configurazione influiscano sul comportamento di sicurezza del prodotto.
NIER ha accompagnato il cliente in tutte le fasi del Ciclo a V di questa famiglia di attuatori. Innanzi tutto, è stata necessaria l’analisi delle problematiche di sicurezza. L’attività è proseguita con la pianificazione ed esecuzione delle campagne di test sia software che funzionali sui protocolli vitali (PVS), non-vitali, sulla comunicazione di interfaccia con il sistema di diagnostica e anche sul sistema integrato con tutti altri enti di piazzale. Inoltre è stata verificata tutta la documentazione di Design, di V&V e Test, proponendo soluzioni e dialogando con i vari team coinvolti nel progetto. L’attività è stata finalizzata con la redazione dei report di verifica, la stesura del Validation Report e Risk Analysis secondo Common Safety Method (CSM), in accordo al regolamento 402/201, con l’obiettivo finale di garantire un alto livello di affidabilità e sicurezza del dispositivo prima della sua messa in campo.
Fasi di esecuzione
Analisi e individuazione delle problematiche safety.
Test su target: verifica dei protocolli di comunicazione.
Test su target: interfacciamento apparati di campo.
Attività di verifica software e safety.
Stesura della documentazione necessaria in ciascuna fase del ciclo a V, SW Validation Report e Validation Report.
Risultati ottenuti
Grazie alla collaborazione interdisciplinare sia interna a NIER tra i team di Safety e Testing che esterna con i team di Design e V&V del cliente e l’organizzazione flessibile e dinamica delle sessioni di lavoro che rendono una specifica fase di lavoro determinante e rilevante, NIER ha svolto un ruolo centrale nella realizzazione del prodotto.
Infatti è stato possibile rilevare e correggere in modo tempestivo e puntuale incongruenze, anomalie e problematiche di sicurezza sia nelle specifiche (fase 1) che nelle fasi di testing (fasi 2, 3 e 4) garantendo il rispetto delle tempistiche del processo di sviluppo del dispositivo, assicurandone la sicurezza e l’efficacia.
Le attività svolte da NIER hanno permesso di individuare quasi 400 Change Request (CR) e di gestire la fase di assessment al termine di ogni ciclo di validazione, permettendo il rilascio di un dispositivo più sicuro ed efficiente (fase 5).