2oo2 e sistemi a sicurezza intrinseca.
Un breve viaggio nella progettazione di un sistema Fail-Safe ad elevata disponibilità.
A cura di Emiliano La Cara & Giovanni Mazza
[ Direttore D’Area & Specialist – Area Ingegneria del Software ]
UN VIAGGIO SICURO.
Un Sistema Sicuro (Safety Related) è in grado di mettere in atto contromisure efficaci per attenuare gli effetti di possibili guasti. Questi malfunzionamenti potrebbero comprometterne il corretto funzionamento e produrre avvenimenti catastrofici. E si sa, nel mondo del segnalamento ferroviario, la conseguenza catastrofica coincide spesso con incidenti mortali.
La progettazione di una piattaforma Safety Related (Sistema Operativo più Hardware) e della sua applicazione vitale (software sicuro che viene ospitato) è fortemente tutelata per garantire alti standard di sicurezza.
Le normative, nella fattispecie ferroviaria CENELEC EN50129, regolano la progettazione di tali sistemi fornendo delle linee guida di progettazione e sviluppo.
Per definizione, un sistema di segnalamento ferroviario è costituito dall’insieme degli apparati (tipicamente sistemi a microprocessore) che sono sia sulla rete ferroviaria che nelle control room. Permettono la gestione della circolazione dei treni, garantiscono sicurezza e puntualità. Questi sistemi comunicano tra loro e si scambiano messaggi tramite rete ethernet o rete senza fili (GSM-R)
Questi apparati a microprocessore sono caratterizzati da un elevato grado di complessità architetturale e tecnologica. Con questo articolo ti accompagniamo in un viaggio complesso, ma che ti permetterà di salire sul tuo prossimo treno con una consapevolezza diversa.
UN BAGAGLIO DI NOZIONI.
Prima di partire, è necessario avere un piccolo bagaglio di nozioni che ti consentirà di proseguire il viaggio serenamente. Alla fine del tragitto puoi anche proseguire il percorso con questo approfondimento.
Iniziamo con una spiegazione semplificata: un sistema di segnalamento che governa una particolare tratta ferroviaria funziona sulla base di Software applicativi (applicazioni vitali) che eseguono dei calcoli logici più volte al secondo. Questi calcoli avvengono sulla base delle condizioni topologiche e di servizio della tratta da governare, così da garantire il movimento in sicurezza dei convogli.
Cosa si intende con l’espressione “In sicurezza?” Significa che il sistema deve essere in grado di rilevare e mitigare, con opportune contromisure, il manifestarsi di eventuali guasti. Ad esempio, se per un guasto imprevisto e non mitigato il sistema di segnalamento concedesse al treno il segnale di via libera (semaforo o, più in generale, segnale verde) quando la tratta è già occupata da un altro convoglio, si avrebbe un incidente.
Gli applicativi software vitali devono essere installati su sistemi dedicati che, a loro volta, devono garantire una serie di vincoli di sicurezza per cui le scelte progettuali sono fondamentali.
Il sistema che vogliamo farti conoscere vanta un’architettura a Sicurezza Composita in ridondanza calda. Ma cosa significa?
Una architettura a Sicurezza Composita è caratterizzata da due o più canali di elaborazione che svolgono in parallelo e in maniera indipendente le stesse operazioni/calcoli. Gli output dell’elaborazione sono utilizzati soltanto se un certo numero minimo di canali di elaborazione fornisce lo stesso risultato.
Nel nostro caso, l’architettura è costituita da due canali di calcolo i cui risultati devono coincidere affinché possano essere ritenuti validi (architettura 2oo2). Immaginiamo, quindi, un sistema caratterizzato da due processori indipendenti.
Grazie a questa architettura e a una progettazione completa sotto tutti i punti di vista, un guasto casuale a uno dei due canali di elaborazione potrà essere rilevato (il confronto tra gli output fallisce) e piloterà il sistema in uno stato “sicuro”. Con stato “sicuro” intendiamo una condizione che garantisce la non generazione di output contrari alla sicurezza.
Per rifarci all’esempio precedente, un output contrario alla sicurezza potrebbe essere quello di generare un segnale di via libera (semaforo verde) quando la tratta è già occupata da un altro treno.
Il concetto di Ridondanza Calda, indipendente e sovrapponibile a quello di sicurezza, fa riferimento a una architettura dove il sistema viene replicato in due (o più) sezioni gemelle, di cui una delle due è in funzione (detta sezione in servizio) mentre l’altra (detta sezione disponibile) si tiene pronta a subentrare alla sua gemella se in quest’ultima si verificasse un guasto, al fine di garantire continuità di funzionamento in sicurezza.
CONCLUSIONI E APPROFONDIMENTO.
Questa strategia architetturale ed implementativa permette di garantire la disponibilità, la manutenibilità e la sicurezza del sistema. Con disponibilità si intende la capacità di un sistema di svolgere una funzione richiesta in determinate condizioni ad un dato istante, mentre con manutenibilità se ne intende la capacità di essere facilmente ripristinato qualora sia necessario realizzare un intervento di manutenzione.
Il soddisfacimento delle tre condizioni di Disponibilità, Manutenibilità e di Sistema Sicuro è ciò che ci permette di viaggiare in sicurezza, di ridurre al minimo i disagi in caso di malfunzionamenti oltre che di porre rimedio al malfunzionamento parziale di un ente senza soluzione di continuità del servizio di trasporto.
Continua la lettura con il nostro approfondimento tecnico su questo argomento.