Ouvrir le menu Fermer le menu

Pile de communication CANopen Safety Certifiable ISIT

< Retour à la newsletter
Les systèmes critiques à base de logiciels se multiplient, et ISIT élargit sa gamme avec des solutions COTS (RTOS, Noyaux, middleware, pilotes ou protocoles…), ouvrant aux concepteurs une voie plus aisée, plus rapide et moins coûteuse vers la certification de leurs équipements. DO178, IEC 61508, IEC 62304/ IEC 82304, EN 50128, ISO 26262, autant de normes avec lesquelles les concepteurs de logiciels doivent se familiariser, au fur et à mesure que le logiciel se déploie dans un nombre croissant de secteurs (aéronautique, transports, industriel, médical…).

Conscient des enjeux et afin de répondre aux besoins des applications nécessitant une certification pour la sureté de fonctionnement, ISIT propose la seule pile CANopen « prête à l’emploi » disponible sur le marché avec extension Safety, en accord avec la norme EN 50325-5, accompagnée de son pack de certification. Cette solution permet l’intégration rapide de ce composant logiciel dans un produit soumis aux exigences de la norme IEC 61508 jusqu’au niveau SIL 3 ou DO-178C DAL B, tout en bénéficiant d’un ROI incomparable avec une solution propriétaire.

CAN, CANopen et Safety

Le bus CAN, initié par Bosch en 1991 et normalisé en 1993 (ISO 11898), connait une croissance ininterrompue depuis ses débuts, débordant largement du cadre de l’automobile. Il a prouvé par sa robustesse, sa fiabilité, sa simplicité et le faible coût associé à sa mise œuvre qu’il était le protocole idéal pour le contrôle de réseaux temps réels, au côté d’Ethernet dédié à des applications nécessitant une plus grande bande passante pour les données. En 2016, 1.5 milliards de nœuds CAN ont été déployés (source CiA).

La couche d’application CANopen fournit les mécanismes flexibles et performants pour la configuration, le diagnostic et la supervision du réseau, avec la définition de profils rendant possible la conception de produits interopérables. La conception d’un système s’en trouve grandement simplifiée.

Une notion fondamentale de CANopen est le dictionnaire d’objets. Ce dictionnaire permet de renseigner un superviseur (ou Maître) CANopen sur les propriétés d’un périphérique, de manière standardisée. Ce mécanisme autorise ainsi la modélisation de ce périphérique, afin de rendre le matériel indépendant du logiciel de contrôle. L’intérêt pour l’utilisateur final est de pouvoir choisir son matériel indépendamment du constructeur.

Afin de faciliter cette approche, un travail significatif a été réalisé par l’organisation à but non lucratif CiA (CAN in Automation) aux travers de normes pour les profils métiers : modules I/O génériques (CiA 401), motion control et moteurs (CiA 402), profil pour IEC 61131-3 pour les automates industriels (CiA 405), dispositifs médicaux (CiA 412), systèmes de contrôle pour les ascenseurs (CiA 417), systèmes photovoltaïques et éoliennes (CiA 437, CiA 406, …), systèmes de charge des batterie – BMS – (CiA 418/419), véhicules municipaux (CiA 422) et bien d’autres encore…  

Autre avantage de CANopen : une application écrite pour un système CANopen ainsi que les matériels CANopen peuvent facilement évoluer vers des architectures Ethernet temps réel comme EtherCAT et Powerlink, car CANopen est pris en charge par ces protocoles. Autre preuve de maturité et d’efficacité de cette technologie!

Les applications « safety », pour lesquelles la sureté de fonctionnement est un enjeu majeur, nécessitent de répondre à des normes contraignantes et doivent faire l’objet d’une certification de la part d’un organisme indépendant. Ce processus, qui engendre des coûts très significatifs, doit être pris en compte dès le début du projet et nécessite une expertise forte. En complément de la norme EN 50325-4 (CiA-301) pour le CANopen, il existe une norme relative aux communications safety avec CANopen, EN 50325-5 (CiA-304). Cette norme décrit les mécanismes mis en œuvre tels que la communication basée sur les objets SRDO (Safety Relevant Data Object), assimilable à la sécurisation d’un PDO ou bien encore le protocole de communication safety SRCP.  La mise en œuvre de ce protocole de communication Safety SRCP doit être conformes à la norme EN 61508.

De plus, la certification d’une application nécessite un accompagnement spécifique pour :
  • Les tests unitaires
  • La rédaction de la documentation
  • Le processus de certification auprès d’un organisme agréé (Bureau Véritas, TüV,…)
En l’absence de toute solution existante, ISIT a réalisé le développement d’une pile de communication CANopen Safety Certifiable, conformément aux exigences normatives de l’IEC 61508.

ISIT_COSAFE_LC : la solution logicielle ISIT pour les équipements CANopen certifiés

La pile CANopen Safety Certifiable d’ISIT (ISIT_COSAFE_LC) répond aux besoins des applications safety et permet d’utiliser les avantages du protocole CANopen tout en bénéficiant des éléments nécessaires à la certification de votre produit auprès d’un organisme agréé : ensemble documentaire, plans de tests unitaires et d’intégration, rapports de tests...

La pile est conçue comme une bibliothèque logicielle gérant le protocole CANopen, avec les fonctionnalités master et slave. L’implémentation vise tout particulièrement les applications embarquées sur microcontrôleurs. Les mécanismes de base du protocole CANopen CiA-301 sont utilisés et, éventuellement, l'extension safety du CiA-304. Sa mise en œuvre est destinée à aboutir à une certification pour les normes EN61508 jusqu’au niveau SIL 3, EN68302 et autres dérivés. Ainsi, la bibliothèque est conforme aux exigences imposées par ces normes pour la certification.

Les utilisateurs peuvent facilement configurer les services et les ressources fournis par la bibliothèque afin de réduire les ressources de mémoire ROM / RAM si nécessaire.

Enfin, pour les accès au bus CAN, la pile utilise les services fournis par un pilote CAN certifiable CANSafe.

Description de l’architecture de la pile CANopen safety

Livrée sous forme de code source C, indépendante de la plateforme CPU/OS, ISIT_COSAFE_LC peut tout à fait fonctionner sans système d’exploitation (NullOS). La librairie est basée sur le modèle de services / callbacks pour la communication avec les applications. Elle offre une API C de haut niveau pour la gestion des échanges CANopen avec des applications externes. Les callbacks sont utilisés en temps réel par la pile pour informer les applications des événements reçus ou des erreurs survenues.
La librairie peut être assimilée comme partie intégrante de l’application après compilation :

Les couches « non safety » - no safe - (NMT, Sync, Emcy, SDO, PDO) et « safety » - safe - (SRDO, GFC) sont gérées indépendamment par la pile. L'état NMT du nœud géré par la pile et le dictionnaire d'objets sont les seules structures partagées entre les deux couches. La pile peut exécuter la couche no safe seule ou les deux couches no safe et safe simultanément. La fonctionnalité de sécurité est activée ou désactivée dans le fichier de configuration au moment de la compilation. Mais la couche safe est toujours exécutée avec la couche no safe, car l'état du nœud NMT n'est géré et mis à jour que par celui-ci. La couche de sécurité doit accéder à l'état actuel du nœud pour son fonctionnement.
L'indépendance entre les couches est indiquée par le schéma suivant :

Selon le niveau de SIL à atteindre, plusieurs configurations avec 1 ou 2 canaux CAN sont possibles :

Les avantages d’une solution certifiable « sur étagère » COTS pour une pile CANopen safety sont multiples :
  • Le composant logiciel, fourni sous forme de code source ou binaire, est conforme au Plan d’Assurance Qualité Logiciel (PAQL) en vigueur
  • Le composant logiciel est audité et validé auprès d’un organisme agréé
  • Le pack pour la certification, incluant la documentation et les rapports de tests unitaires, est fourni
  • L’intégration de la pile dans l’applicatif et la certification sont facilitées
  • Les  coûts sont maîtrisés
Services
Sur demande, ISIT peut effectuer le portage de la pile dans votre système et réaliser les jeux de tests nécessaires pour aborder le processus de certification en toute sérénité.