[sert15-5]
DESCRIPTION
Sistemi embedded e Real timeTRANSCRIPT
-
A.A. 2014/2015
Mihele Celli e Martina Pedrielli
June 9, 2015
Introduzione Un sistema operativo real-time un SO speializzato per il supporto di appliazioni software
real-time. Questi sistemi vengono utilizzati tipiamente in ambito industriale (ontrollo di proesso, pilotaggio
di robot, trasferimento dati nelle teleomuniazioni) e ovunque sia neessario ottenere una risposta dal sistema
entro un tempo pressato.
Il termine real time implia he la orrettezza dei risultati dipenda strettamente da vinoli temporali
(ovvero entro quanto il sistema in grado di svolgere il task rihiesto/di fornirmi una risposta). Un sistema
operativo real-time non deve essere neessariamente veloe: non importante l'intervallo di tempo in ui
il sistema operativo/appliativo deve reagire, l'importante he risponda entro un tempo massimo pre-
determinato. In altre parole il sistema deve essere prevedibile o piuttosto determinista nel senso he, nel
sistema, si deve poter onosere la temporizzazione reale (nel aso migliore e peggiore) di un determinato
proesso o elaborazione.
Per garantire i vinoli temporali rihiesti dal sistema, la shedulazione delle operazioni deve essere fattibile.
Il onetto di fattibilit di shedulazione alla base della teoria dei sistemi real-time ed quello he i permette
di dire se un insieme di task sia eseguibile o meno in funzione dei vinoli temporali dati.
La siurezza (safety) un altro aspetto ritio dei sistemi RT: devono essere rispettati i vinoli imposti
dalla deadline e deve essere garantita una risposta autonoma in aso di periolo.
Per garantire la safety abbiamo due strumenti fondamentali: gli interlok (he sono sistemi he non
permettono al sistema di funzionare a meno del ripetto delle ondizioni di siurezza-sensori) e le guard
(sistemi passivi, di blo
o, he impedisono siamente l'a
esso a zone non siure del sistema-attuatori).Un
sistema viene lassiato ome safety ritial se, la manata siurezza, genera situazioni di periolo o arrea
danni a ose o persone.
Nell'ambito dei sistemi real time abbiamo individuato un sistema he fosse embedded distribuito(ovvero
in grado di ontrollare parti del sistema distribuite nello spazio) e safety ritial: la selta quindi riaduta
su ICS-5 Laser Interlok System.
ICS-5 laser interlok system Gli interlok ontroller fornisono il ontrollo di un interlok system per
garantire la protezione degli operatori da esposizione a
identale ad hazardous lasers. Sono in gradi di
ontrollare varie porte e nsetre equipaggiate on safety interlok swithes e in grado di disabilitare il laser
quando vengono a meno le ondizioni di siurezza.
ICS-5 un sistema in grado di fornire e ontrollare diversi interlok e guard per la siurezza delle operazioni
on laser.
1
-
Figure 1: Shematio ICS-5
Partendo dalle interfa
e tra ICS-5 e il laser il primo interlok il laser beam shutter he in grado di
stoppare il laser senza danneggiarlo. Il seondo dispositivo di siurezza ostituito dall'interlok main supply
he ostituise l'alimentazione prinipale del dispositivo laser.
Il sistema ICS-5 dotato di una porta d'a
esso he impedise siamente l'a
esso alla zona di funziona-
mento del laser durante le operazioni. La porta equipaggiata on un safety swith he onsente di monitorare
lo stato aperto/hiuso della stessa, a ui orrisponde un led luminoso sull'interfa
ia per segnalarne lo stato.
Davanti alla porta di a
esso posto un display he india lo stato delle operazioni (funziona in tre modal-
it: o, laser spento e laser a
eso). Un ulteriore ontrollo sull'a
esso alla amera fornito mediante un
keypad he impedise l'a
esso alla zona ai non autorizzati. Mediante questo tastierino si pu settare anhe
l'override, he permette all'operatore di usire ed entrare dalla stanza in un tempo ongurabile dall'utente
e blo
a l'a
esso alla stanza alla ne di questo intervallo.
Funzionamento in modalit non loking-interfae ICS-5 pu essere utilizzata ome non-loking
interfae (permette quindi l'a
esso alla stanza nella quale avvengono le operazioni ad un operatore, in maniera
siura e ontrollata). Sull'interfa
ia troviamo i ontrolli relativi al funzionamento del laser e alle segnalazioni:
per iniziare le operazioni neessario abilitare il funzionamento del laser mediante una hiave (he abilita
o disabilita il sistema) e un pulsante di armamento (arm laser button), posto sempre sull'interfa
ia. Un
led segnala lo stato del sistema. In aso di porta di a
esso aperta il laser non pu essere abilitato. Una
volta premuto l'arm laser button, il segnale di periolo posto all'ingresso della stanza viene abilitato. In
aso di apertura della porta durante le operazioni il sistema viene spento. Per lasiare la stanza senza
interrompere le operazioni del laser si pu abilitare l'override, he rihiude la porta al termine del tempo
settato dall'utente: nel aso in ui la porta venga lasiata aperta, il laser viene disabilitato (l'override
2
-
usato anhe per rientrare nella stanza). Il aso di emergenza esiste un emergeny stop button he onsente
di interrompere istantaneamente il laser. Per riabilitare il sistema devono essere ripetute le operazioni sopra
desritte.
Funzionamento in modalit loking interfae Nel aso di proessi he rihiedono tempi lunghi o he
non possono essere interrotti, ICS-5 pu essere utilizzata ome loking interfae. Le modalit di armamento
rimangono le stesse, ma in questa modalit di funzionamento, la porta di a
esso blo
ata dal sistema. Il
keypad abilitato per impedire a
essi non onsentiti, ed esiste un emergeny door release per onsentire di
aprire la porta in aso di neessit (questo per interrompe il laser). Per entrare ed usire senza interrompere
le operazioni esiste la possibilit di utilizzare l'override.
Analisi del sistema Il sistema in analisi un sistema real-time, embedded e distribuito. I nodi del sistema
omuniano in modalit event triggered (ovvero non seguono una temporizzazione globale dettata da un lok
di sistema ma sono triggerati all'arrivo di un evento) mediante un bus di sistema he veiola i segnali da e
per l'ICS-5.
Figure 2: Sistema distribuito
I nodi del sistema sono individuati dai seguenti omponenti:
ICS-5
LASER BEAM SHUTTER
INTERLOCK MAIN SUPPLY
ACCESS DOOR
MAG LOCK
SAFETY SWITCH
3
-
DISPLAY LED
KEYPAD
CHIAVE (per armare il laser)
ARM LASER BUTTON
EMERGENCY STOP BUTTON
EMERGENCY DOOR RELEASE
OVERRIDE BUTTON
I nod della rete si possono lassiare in base alla loro funzione e quindi suddividere tra attuatori, sensori e
ontroller.
Un sensore un trasduttore he si trova in diretta interazione on il sistema misurato, un attuatore
un me
anismo attraverso ui un agente agise su un ambiente (anhe un me
anismo he mette qualosa in
azione automatiamente detto attuatore); si denise invee ontroller un dispositivo dediato a gestire e a
far a
edere al bus una o pi periferihe (non gestise direttamente la omuniazione tra SO e periferia).
Seondo questa lassiazione, possiamo denire:
Nodi della rete Sensore Controller Attuatore
ICS-5 $
Laser beam shutter $
Interlok main supply $
A
ess door $
Mag lok $
Safety swith $
Display led $
Keypad $
Chiave $
Arm laser button $
Emergeny stop button $
Emergeny door release $
Override button $
Table 1: Classiazione sensori attuatori e ontroller.
Come abbiamo detto nell'introduzione, un sistema real-time deve garantire he il task rihiesto termini
entro un dato vinolo temporale detto deadline.
La deadline quindi fondamentale per la lassiazione del tipo di sistema: troviamo sistemi Hard RT,
Soft RT e Firm RT. I sistemi HRT devono garantire tempi di risposta molto bassi (nell'ordine dei ms), devono
essere altamente autonomi nel garantire la siurezza durante le operazioni e devono garantire he il sistema la
rispetter anhe durante situazioni di pi
o. Il sistema deve essere sinrono on l'ambiente in ogni momento,
quindi il passo determinato dall'ambiente. La risposta fornita al task onsiderata inutilizzabile se non
arriva entro la deadline prevista (la manata rispostanel tempo previsto provoa danni sostanziali).
Nei sistemi SRT viene invee garantita una risposta in un tempo dell'ordine dei seondi; in questi sistemi
un prestazione degradata in situazioni di ario he avvenga raramente viene tollerata. Il sistema, in questo
aso, pu rihiedere all'ambiente di tollerare un rallentamento e una risposta he arriva in ritardo, rimane
utile ai ni dell'elaborazione.
4
-
I sistemi FRT sono sistemi in ui il non rispetto della deadline non implia danni sostanziali, ma provoa
omunque danni (ad esempio danni eonomii, perdita di dati, et.).
Il funzionamento di ICS-5, ome desritto sopra, presenta vinoli HRT e SRT.
Per individuare questi vinoli possiamo fare un eleno delle funzionalit del sistema e darne una lassi-
azione in base al genere di vinolo he generano.
Analisi
La porta aperta deve spegnere il laserHRT
Il laser beam shutter ee l'interlok main supply devono spegnere il laserHRT
Il safety swith deve rilevare lo stato della portaHRT
Il display led deve segnalare lo stato delle operazioni di lasingSRT
Keypad deve ontrollare gli a
essi durante le operazioni di lasingSRT
La hiave e l'arm laser button vinolano l'a
ensione del laserSRT
L'emergeny stop button impedise il funzionamento del laser (deve essere in grado di arrestarlo)HRT
L'emergeny door release deve garantire lo sblo
o della porta in aso di emergenzaHRT
L'override deve gestire l'a
esso alla stanza durante le operazioni on il laserSRT
Il mag lok blo
a e sblo
a la portaHRT
ICS-5 gestise tutto il sistemaHRT
Siurezza La siurezza di un sistema RT un nodo ruiale dell'analisi di sistema, sia per i vinoli im-
posti dagli aspetti temporali della modellazione RT sia perh vengono eseritati ontrolli su quantit di
energia/funzioni potenzialmente periolosi. In aso di periolo devono essere possibili strategie di ripristino
autonome data la veloit dell'elaborazione dei task da parte del sistema.
Il modo pi semplie di migliorare la siurezza del sistema onsiste in un'analisi dei modi nei quali esso
pu provoare situazioni di periolo e/o danni (hazard). E' neessario fare una distinzione tra situazioni in
ui vi un periolo potenziale per le persone o per l'ambiente - in questo aso si parla di hazard - e tra i
rishi, he sono quelli he saturisono da un potenziale hazard.
I perioli, lassiati in base a probabilit di o
orrenza e severit del danno provoato, possono essere
analizzati on pi tenihe.
Analisi HAZOP Il metodo HAZOP, prevede he i sia un alternarsi di domande e risposte tra un
leader e un team: vengono deniti una serie di punti singolari (nodi) e di sezioni delimitate da pi nodi e per
ogni sezione il team esamina le possibili deviazioni delle variabili dagli intenti di progetto.
Cosa su
ede in aso di rottura del laser beam shutter?
Se l'interlok main supply funziona posso spegnere il laser da l
Se la a
ess door viene aperta (he implia he il mag lok sia rotto) e l'interlok main supply in
blo
o FAILURE
Cosa su
ede in aso di rottura del mag lok?
Finh il safety swith funzionaFAULT
Se il safety swith non funzionail laser ontinua ad andare dal momento he l'apertura della porta
non viene rilevataFAILURE
Cosa su
ede se l'emergeny stop button non funziona?
5
-
Non posso spegnere il laser in aso di emergenzaFAILURE
Potrei rendere il sistema fail safe abilitando la hiave usata per armare il sistema anhe allo spegni-
mento.
Cosa su
ede se non funziona l'emergeny door release?
Se la porta non si apre devo poter spegnere il laser, senn ho una FAILURE
Posso rendere il sistema fail operational raddoppiando gli emergeny door release
Cosa su
ede se ho un alo di tensione?
Se mana la orrente e il mag-lok non alimentatola porta non sta hiusa
L'a
esso alla stanza non pi siuro quindi rishio danni all'operatore. Posso inserire un generatore
di emergenza, he si attivi in aso di malfunzionamento del generatore prinipale, rendendo il sistema
fail safe.
Cosa su
ede se il led esterno non funziona?
Se il led esterno non segnala lo stato di funzionamento del laserL'operatore pu entrare nonostante
il laser sia in funzione, ma il safety swith rileva l'apertura della porta e spegne il laser fail safe
Cosa su
ede se qualuno forza la porta?
Inserendo un ontrollo volumetrio dell'ambiente posso rilevare eventuali presenze nella stanza e seg-
nalarlo all'ICS-5 he provveder a spegnere il sistemafail operational
Cosa su
ede se qualuno sivola in laboratorio durante le operazioni on il laser?
Posso inserire una opertura di siurezza attorno al laser per evitare gli eventuali ontatti indesiderati
on il fasio laserfail safe
Fault tree analysis Un altro metodo molto usato l'FTA (Fault Tree Analysis) he utilizza un ap-
pro
io dall'alto verso il basso per analizzare gli stati indesiderati di un sistema mediante un grafo e relazioni
della logia Booleana per legare gli eventi.
Questo metodo permette un appro
io semplie per apire i modi di fallimento di un sistema, e per ridurre
il rishio.
6
-
Figure 3: Fault Tree Analysis
Modellazione a stati L'ultimo passo onsiste nella modellazione a stati mediante Stateharts PW.
L'idea he risiede dietro la modellazione a stateharts pw quella di ridurre i gradi di libert del sistema
per garantire una siurezza intrinsea data dalla modellazione. Al ontrario della normale modellazione
stateharts, in questo tipo di modello si prevedono dei omponenti he non omuniano l'uno on l'altro ma
si interfa
iano solo ad un intero. Questo whole desrive il omportamento globale del sistema, derivante
dall'iteazione tra le parti: mediante gli stati dell'intero si designa una ongurazione delle singole omponenti,
on una transizione invee si denota un ambiamento di stato. Le transizioni possono essere o autonome (e
quindi spontanee) o triggerate dall'intero.
Con questo tipo di modellazione garantiso siurezza e posso espandere il modello on nuovi omponenti
in qualsiasi momento (portabilit).
Il quadro sinottio del sistema il seguente:
7
-
Figure 4: Quadro sinottio
Mentre i livelli di modellazione proposti sono i seguenti:
8
-
Figure 5: Stateharts pw-Porta
Figure 6: Stateharts pw-Controllo del laser
9
-
Figure 7: Stateharts pw-Laser
Dopo la modellazione di tre sottolivelli, stato progettato un modello nale he sempliasse la proget-
tazione preedente, e ottenuto a partire dai tre sottomodelli.
Il progetto nale risulta:
10
-
Figure 8: Progetto ompleto
11
-
Abbiamo identiato tre sottosistemi per sempliare la modellazione dell'intero nale: la porta, ostituita
da mag-lok e safety swith, un ontrollo per il laser formato da laser beam shutter e interlok main supply
ed inne il laser, modellato da hiave, arm laser button, display LED e laser.
La porta utilizza i due omponenti per rilevare lo stato di apertura o hiusura della stessa e per attivare
il mag-lok he la tiene hiusa. Partono entrambi dallo stato di op e quando il safety swith intraprende la
transizione verso l il sistema passa nello stato di losed, in ui il mag-lok anora in op e il safety swith
passato in l. Il terzo stato, identiato on lok, rappresenta il aso in ui si fa lavorare il laser in modalit
ontinua, in ui il mag-lok attivo per evitare ingressi non autorizzati alla stanza e non interropere le
operazioni del laser. La transizione di ritorno, per sblo
are il mag lok, triggerabile. Solo una volta tornati
nello stato intermedio si pu intraprendere la transizione spontanea per rimettere il safety swith nello stato
di op.
Il seondo intero ostituito dal ontrollo del laser, formato dal laser beam shutter e dall'interlok main
supply. I omponenti qui partono entrambi da uno stato di l/o per passare, una volta triggerata la
transizione di power on , in uno stato di wait. Si ese dal wait quando viene rihiesto di aprire
il laser beam shutter, e si arriva in uno stato di on in ui il laser pu essere a
eso. Il ritorno pu essere
triggerato ripassando per lo stato di wait prima di tornare allo stato di o, o riportato direttamente nello
stato in ui entrambi i omponenti sono in l ed o.
Il terzo ed ultimo sottosistema ostituito da hiave, arm laser button, display LED e laser.
Dall'o viene triggerato il omando di hiave on: segue uno stato di wait da ui si ese spontaneamente
quando veriato he l'arm laser button sia su on. In on tutti i ontrolli sono attivi, e la transizione di
ritorno viene intrapresa quando viene triggerato lo shutdown, ovvero quando vengono spenti il laser, il display
led e l'arm laser button.
Il sistema omplessivo ostituito da questi tre ontroller: dallo stato di o, in ui la porta, il ontrollo
del laser e il laser sono tutti disattivati, si passa in W1, in ui la porta viene hiusa e sia il laser he il
onrollo sono in wait. Passo in W2 una volta veriata la hiusura della porta e da l mi posso muovere in
On, triggerando l'a
ensione del laser, o in W3 se deido di lavorare in modalit ontinua e quindi attivare
il mag lok. A W3 segue uno stato CM (ontinuous mode) analogo allo stato di On, on l'unia dierenza
sulla modalit di operazione del laser.
Nel aso in ui la porta venga aperta il sistema torna automatiamente in W1, in ui il ontrollo e il laser
sono in wait, mentre vengono intraprese le transizioni intermedie solo nel aso in ui il laser venga spento
orrettamente.
Veria dei perorsi ritii
Dopo aver realizzato gli stateharts abbiamo veriato he gli stessi funzionassero tramite un ontrollo di
eventuali perorsi ritii he potessero portari in uno stato di hazard o dal quale non si possa usire. Ad
esempio possiamo pori nello stato di W2 dello statehart nale e ipotizzare di aprire la porta: in questo
aso stata prevista una possibile apertura della porta e una transizione he i allontana da questo stato
songiura l'eventuale a
ensione del laser a porta aperta. Oppure poniamoi in una asistia pi semplie:
pensiamo di essere nello stato On, in ui il laser sta funzionando ed ipotizziamo he la lue a led he segnala
il funzionamento del laser sia rotta. In questo aso una persona pu entrare nella stanza si
ome all'osuro
dell'eettiva a
ensione del laser. Tuttavia questo verr spento perh viene rilevata l'apertura della porta
tramite il safety swith ed immediatamente i portiamo nello stato W1, siuro per la persona si
ome stato
hiuso il beam shutter, il quale interrompe il fasio laser. In questo aso stato previsto uno spegnimento non
aggressivo si
ome il beam shutter previene la fuoriusita del fasio laser dallo strumento stesso, preservando
la vita del laser (osa he non sarebbe su
essa spegnendo direttamente il laser) e operando in piena siurezza.
12