La importancia de la seguridad sigue creciendo en todas las áreas técnicas. Los desarrolladores, por lo tanto, se enfrentan al reto de diseñar conceptos de seguridad decisivos que tengan en cuenta los componentes individuales, incluso los pequeños detalles. En el centro de un sistema se encuentran sus microcontroladores.
En términos de seguridad funcional, la normativa IEC 61508 proporciona las especificaciones clave. Consta de una serie de estándares para la “seguridad funcional de sistemas relativos a la seguridad eléctrica / electrónica / electrónica programable”. Además, hay estándares adaptados ligeramente para determinadas áreas de aplicación que están subordinados a IEC 61508. La respectiva adaptación de IEC 61508 a las condiciones específicas en el sector del automóvil se encuentra en la serie de estándares ISO 26262 – “sistemas relevantes para la seguridad eléctrica /electrónica en vehículos de carretera”.
Numerosas funciones de seguridad
Aparte de cumplir los requisitos de ISO 26262 para ASIL-D, el microcontrolador de 32 bits Aurix de Infineon fue desarrollado como un SEooC (Safety Element out of Context – elemento de seguridad fuera de contexto). Esto supone que las versiones de la gama Aurix se pueden integrar en sistemas completos relevantes para la seguridad debido a sus funciones avanzadas. La segunda generación de la familia Aurix se fabrica en tecnología flash embebida de 40 nm y está totalmente cualificada para el sector de la automoción. Gracias a los seis núcleos de procesador TriCore con hasta 300 MHz, ofrece una potencia informática significativamente mayor a la su predecesora (primera generación, TC2x: 740 DMIPS; segunda generación, TC3x: 2400 DMIPS). El soporte de seguridad funcional también hace que el microcontrolador Aurix sea particularmente interesante en entornos industriales. Las siguientes funciones de seguridad de hardware y software garantizan que las unidades Aurix están especialmente indicadas en aplicaciones de seguridad crítica:
- Checker cores
- Flash & RAM ECC (Error Correcting Code – Código de Corrección de Errores) • SRI segura (crossbar -barra cruzada)
- Monitorización de tensión, frecuencia y periféricos
- Safety Management Unit (SMU)
- Gestor de seguridad SafeTpack
- Logic Built-In Self-Test (LBIST)
Características de seguridad
Los checker cores trabajan en segundo plano y monitorizan el procesador. Todas las operaciones se ejecutan dos veces. Y, en cuanto aparecen resultados inconsistentes, se produce un mensaje de error a través de la SMU. Tanto la Flash como la RAM integran una función ECC. Este proceso de detección de error determina si existe un error relativo al almacenamiento o la transmisión de datos. Si se percibe tal error, se puede corregir.
A través de la SRI (Shared Resource Interconnection), también conocida como crossbar – barra cruzada, los datos se transmiten de un lado para otro entre los núcleos y la memoria. Estas conexiones son seguras gracias a los mecanismos de hardware en forma de conexiones de extremo a extremo. La segunda generación de los microcontroladores Aurix se basa en una tensión operativa de 3,3 V y una frecuencia de 300 MHz. En caso de superar o no llegar a las tolerancias permisibles, se genera una alarma. Los dispositivos periféricos, por ejemplo, se pueden monitorizar vía una CRC (Cyclic Redundancy Check – verificación por redundancia cíclica).
Las checksums (sumas de verificación) se emplean a la hora de comprobar la transmisión de datos correcta durante este procedimiento. Como una IP de hardware integrada en el microcontrolador Aurix, la Safety Management Unit es la responsable de registrar, procesar y evaluar todos los errores relativos a la seguridad. SafeTpack es un gestor de seguridad completo para la segunda generación de microcontroladores Aurix desarrollada por Hitex. Coordina la ejecución de las pruebas de autorización y cíclicas que aseguran una operación correcta de los núcleos procesadores Aurix y los buses internos a través de una combinación de módulos de hardware y software.
El Logic Built-In Self-Test forma parte de la librería de software SafeTpack. Dota a los desarrolladores de la oportunidad de usar el software a la hora de garantizar que el microcontrolador Aurix funciona adecuadamente cada vez que el controlador se inicia. Estas características de hardware y software crean un nivel de seguridad que no se puede lograr fácilmente con un microcontrolador estándar.
Implementación de la seguridad funcional
No obstante, la seguridad funcional no se puede alcanzar solamente con el microcontrolador; más bien, debe ser visto como un componente central de todo el diseño. La seguridad del sistema sólo se puede garantizar cuando se desarrolla un concepto de seguridad desde el principio y se sigue con intensidad. Este proceso complejo se puede resumir en cinco pasos.
- Realizar un análisis de riesgos y peligros
El análisis de riegos debe determinar el alcance a tener en cuenta por parte de las aplicaciones de seguridad crítica y el ámbito que hay que cumplir en función de los requisitos legales de seguridad funcional. Existe una amplia variedad de métodos para estos propósitos. Por ejemplo, HARA (Hazard Analysis and Risk Assessment), que es uno de los más populares, se puede emplear para establecer si se trata de un sistema relativo a la seguridad y, de ser así, la relevancia del grado de seguridad.
- Definir el nivel de los requisitos de seguridad
Dependiendo del estándar, hay varios niveles de requisitos de seguridad. Para las aplicaciones industriales, IEC 61508 define el denominado “Safety Integrity Level (SIL) – nivel de integridad de seguridad”, que abarca desde SIL1 a SIL4. La relevancia del nivel se puede determinar en una matriz que combina los parámetros ‘alcance del daño’, ‘tiempo de permanencia’, ‘protección ante el peligro’ y ‘probabilidad de incidente’. De manera similar, ISO 26262 define los criterios de seguridad adecuados para el sector del automóvil. En este caso, los niveles de seguridad tienen las referencias de ASIL-A a ASIL-D.
- Determinar los componentes e implementar el diseño
Se elige el componente más apropiado para la implementación de una aplicación deseada. Para alcanzar este objetivo, hay que tener en cuenta las funciones de seguridad específicas. Entonces, es posible diseñar la distribución de la placa y poblarla en consecuencia. Una vez que se ha instalado el hardware, se puede implementar el software. Hay que desarrollar y poner en práctica un concepto de seguridad definitivo, especialmente al programar el microcontrolador, dado que es la unidad de control central.
- Validar la función de seguridad
El procedimiento de validación muestra si las funciones relativas a la seguridad están rindiendo correctamente – por ejemplo, cada función individual, independiente del sistema completo. Si una o más funciones no trabajan de acuerdo a las especificaciones, se pueden revisar durante la fase de desarrollo. Este método se repite tantas veces como sea necesario hasta que las funciones cumplen los requisitos.
- Verificar la seguridad
La verificación es la segunda parte de la revisión que tiene lugar tras la validación. Implica la comprobación de la operación “perfecta” del sistema usando las checklists (listas de verificación). A diferencia de la validación, la verificación considera el sistema como un todo. Las autoridades de certificación independientes, como TÜV en Alemania, ofrecen soporte en este paso y certifican la seguridad de acuerdo a los requisitos legales.
Soporte completo de la red de socios
Programar un microcontrolador como el Aurix es algo complejo, especialmente cuando se añaden aspectos de seguridad. Para respaldar a los desarrolladores y acelerar la programación, Infineon ha creado el concepto PDH (Preferred Design House) para todos los clientes. Una reseña con todos los socios incluidos en PDH y su experiencia aparece en el siguiente enlace: www.infineon.com/pdh. El modelo PDH incluye servicios de soporte gratuitos y de pago. Por ejemplo, los clientes reciben soporte de primer nivel y servicios de consultoría y formación libres de costes. Pero, la implementación completa de los componentes de hardware y software se encuentra disponible con cargos.
Hitex, socio de Rutronik, también ofrece su correspondiente ayuda. A lo largo de los años, la compañía se ha ganado la reputación como especialista en seguridad funcional. Mientras Rutronik proporciona a los profesionales un respaldo completo en la fase de desarrollo, los clientes disfrutan de un soporte continuo de Hitex a la hora de llevar a cabo una implementación total y exitosa de una funcionalidad compleja.
