French
Toshiba annonce la mise en oeuvre d'un nouveau concept de sécurité fonctionnelle dans les microcontrôleurs pour des applications de niveau SIL3 et ASILD
Toshiba Electronics Europe vient d'annoncer un microcontrôleur certifiable SIL3 (Safety Integrity Level 3) et ASILD (Automotive SIL D), qui affiche parallèlement des surcoûts de performance et des coûts système réduits. L'implémentation SIL3/ASILD de Toshiba constitue une solution plus économique que les autres méthodes mises en oeuvre jusqu'ici, ceci grâce à une puce plus petite, à une programmation réduite et à une meilleure performance que les offres classiques à double coeur fonctionnant en lock-step. Elle fait appel à une architecture matérielle qui diminue à la fois les efforts des mécanismes de sécurité et la latence de leur détection. Un diagnostic détaillé et la possibilité de configurer la réaction en fonction de la sévérité de l'erreur permet de mettre en place de nouveaux concepts de sécurité pour une disponibilité étendue.
TEE a travaillé en étroite coopération avec Yogitech SpA, une société spécialisée dans la sécurité fonctionnelle, et a créé sa solution en utilisant l'organigramme d'évaluation basé sur la technique fRMethodology de Yogitech ainsi que sa bibliothèque de blocs d'IP (fRIP). Approuvée par TÜV SÜD, la fRMethodology est une approche de type “boîte blanche”, utilisée pour effectuer une analyse de la sécurité fonctionnelle et l'évaluation du microcontrôleur cible de Toshiba selon des critères de sécurité, en conformité avec les standards IEC 61508 or ISO 26262. Le microcontrôleur a été divisé en zones, et les taux d'erreurs ont été estimés puis utilisés afin de mesurer la sécurité (par exemple en évaluant la couverture diagnostic) et de définir l'architecture de la puce. Une validation détaillée a été réalisée par le biais de tests par injection d'erreurs. Les blocs fRIP, certifiés par TÜV SÜD, sont de petits moniteurs matériels conçus avec une grande diversité architecturale et fonctionnelle selon les sous-ensembles du microcontrôleur qu'ils supervisent (par exemple l'unité centrale ou la mémoire).
D'autres fonctions périphériques présentes sur la puce sont contrôlées par des circuits de diagnostics matériels propres à Toshiba. Des composants systèmes de sécurité fonctionnelle font en général appel à des unités centrales dupliquées (par exemple un processeur double coeur) afin d'obtenir une redondance homogène : ainsi, le logiciel d'application tourne à la fois sur un coeur dit primaire (ou “mission”) et sur un coeur secondaire identique (“moniteur”). Ce dernier protège le système contre des erreurs fatales dans le coeur primaire. Une approche classique SIL3/ASILD à double coeur fonctionnant en lock-step nécessite des fonctions supplémentaires de protection comme, par exemple, une barrière de sauvegarde, une alimentation séparée, une unité de timing et de synthèse, ce qui augmente de façon significative la taille de la puce et du programme, et impacte la performance globale du système. La redondance homogène est en outre sujette à des erreurs systématiques.
La fRMethodology permet à Yogitech d'identifier des zones critiques dans le coeur principal, et autorise ainsi la spécification d'un coeur moniteur qui exécute les mêmes instructions que le coeur principal mais en excluant les opérations inutiles. Ce procédé a abouti à la réalisation d'un coeur moniteur optimisé (appelé fRCPU), en éliminant des suppléments matériels inutiles, en évitant des erreurs systématiques, et en réduisant aussi de manière importante la possibilité d'erreurs ayant une cause commune. La version fRCPU réalisée par Toshiba se trouve dans le microcontrôleur ARM Cortex-M3 et compte jusqu'à 58% moins de portes que le coeur dit “mission”.
La supervision de l'exécution garantie par la fonction matérielle fRCPU conduit à une couverture élevée de diagnostic pour les fautes transitoires ; parallèlement, la courte latence de détection (obtenue grâce à une interface dédiée entre l'ARM Cortex-M3 et la fRCPU) permet, elle, une réaction suite à une erreur système. Le circuit intègre aussi des fonctions spéciales pour éviter des fautes cachées, par exemple des circuits de test ou de contrôle automatique ou des fonctions dites “scrub and repair” dont le but est d'empêcher des inversions de bit (“bit-flips”) dans les mémoires. Le circuit de test TSB-TC SIL3/ASILD de Toshiba est disponible pour évaluation auprès d'utilisateurs sélectionnés. TÜV SÜD a établi son opération de sécurité fonctionnelle SIL3 dans un Technical Report I. Le circuit comprend les fonctions périphériques classiques pour l'automobile telles que FlexRayTM et CAN, et travaille dans une gamme de températures de - 40°C à +125°C.