A.A.

2014/2015

Mi hele Celli e Martina Pedrielli

June 9, 2015

Un sistema operativo real-time un SO spe ializzato per il supporto di appli azioni software
real-time. Questi sistemi vengono utilizzati tipi amente in ambito industriale ( ontrollo di pro esso, pilotaggio
di robot, trasferimento dati nelle tele omuni azioni) e ovunque sia ne essario ottenere una risposta dal sistema
entro un tempo pressato.
Il termine real time impli a he la orrettezza dei risultati dipenda strettamente da vin oli temporali
(ovvero entro quanto il sistema in grado di svolgere il task ri hiesto/di fornirmi una risposta). Un sistema
operativo real-time non deve essere ne essariamente velo e: non importante l'intervallo di tempo in ui
il sistema operativo/appli ativo deve reagire, l'importante he risponda entro un tempo massimo predeterminato. In altre parole il sistema deve essere prevedibile o piuttosto determinista nel senso he, nel
sistema, si deve poter onos ere la temporizzazione reale (nel aso migliore e peggiore) di un determinato
pro esso o elaborazione.
Per garantire i vin oli temporali ri hiesti dal sistema, la s hedulazione delle operazioni deve essere fattibile.
Il on etto di fattibilit di s hedulazione alla base della teoria dei sistemi real-time ed quello he i permette
di dire se un insieme di task sia eseguibile o meno in funzione dei vin oli temporali dati.
La si urezza (safety) un altro aspetto riti o dei sistemi RT: devono essere rispettati i vin oli imposti
dalla deadline e deve essere garantita una risposta autonoma in aso di peri olo.
Per garantire la safety abbiamo due strumenti fondamentali: gli interlo k ( he sono sistemi he non
permettono al sistema di funzionare a meno del ripetto delle ondizioni di si urezza-sensori) e le guard
(sistemi passivi, di blo o, he impedis ono si amente l'a esso a zone non si ure del sistema-attuatori).Un
sistema viene lassi ato ome safety riti al se, la man ata si urezza, genera situazioni di peri olo o arre a
danni a ose o persone.
Nell'ambito dei sistemi real time abbiamo individuato un sistema he fosse embedded distribuito(ovvero
in grado di ontrollare parti del sistema distribuite nello spazio) e safety riti al: la s elta quindi ri aduta
su ICS-5 Laser Interlo k System.
Introduzione

ICS-5 laser interlo k system Gli interlo k ontroller fornis ono il ontrollo di un interlo k system per
garantire la protezione degli operatori da esposizione a identale ad hazardous lasers. Sono in gradi di
ontrollare varie porte e nsetre equipaggiate on safety interlo k swit hes e in grado di disabilitare il laser
quando vengono a meno le ondizioni di si urezza.
ICS-5 un sistema in grado di fornire e ontrollare diversi interlo k e guard per la si urezza delle operazioni
on laser.

Figure 1: S hemati o ICS-5

Partendo dalle interfa e tra ICS-5 e il laser il primo interlo k il laser beam shutter he in grado di
stoppare il laser senza danneggiarlo. Il se ondo dispositivo di si urezza ostituito dall'interlo k main supply
he ostituis e l'alimentazione prin ipale del dispositivo laser.
Il sistema ICS-5 dotato di una porta d'a esso he impedis e si amente l'a esso alla zona di funzionamento del laser durante le operazioni. La porta equipaggiata on un safety swit h he onsente di monitorare
lo stato aperto/ hiuso della stessa, a ui orrisponde un led luminoso sull'interfa ia per segnalarne lo stato.
Davanti alla porta di a esso posto un display he indi a lo stato delle operazioni (funziona in tre modalit: o, laser spento e laser a eso). Un ulteriore ontrollo sull'a esso alla amera fornito mediante un
keypad he impedis e l'a esso alla zona ai non autorizzati. Mediante questo tastierino si pu settare an he
l'override, he permette all'operatore di us ire ed entrare dalla stanza in un tempo ongurabile dall'utente
e blo a l'a esso alla stanza alla ne di questo intervallo.
Funzionamento in modalit non lo king-interfa e
ICS-5 pu essere utilizzata ome non-lo king
interfa e (permette quindi l'a esso alla stanza nella quale avvengono le operazioni ad un operatore, in maniera
si ura e ontrollata). Sull'interfa ia troviamo i ontrolli relativi al funzionamento del laser e alle segnalazioni:
per iniziare le operazioni ne essario abilitare il funzionamento del laser mediante una hiave ( he abilita
o disabilita il sistema) e un pulsante di armamento (arm laser button ), posto sempre sull'interfa ia. Un
led segnala lo stato del sistema. In aso di porta di a esso aperta il laser non pu essere abilitato. Una
volta premuto l'arm laser button, il segnale di peri olo posto all'ingresso della stanza viene abilitato. In
aso di apertura della porta durante le operazioni il sistema viene spento. Per las iare la stanza senza
interrompere le operazioni del laser si pu abilitare l'override, he ri hiude la porta al termine del tempo
settato dall'utente: nel aso in ui la porta venga las iata aperta, il laser viene disabilitato (l'override

usato an he per rientrare nella stanza). Il aso di emergenza esiste un emergen y stop button he onsente
di interrompere istantaneamente il laser. Per riabilitare il sistema devono essere ripetute le operazioni sopra
des ritte.
Funzionamento in modalit lo king interfa e Nel aso di pro essi he ri hiedono tempi lunghi o he
non possono essere interrotti, ICS-5 pu essere utilizzata ome lo king interfa e. Le modalit di armamento
rimangono le stesse, ma in questa modalit di funzionamento, la porta di a esso blo ata dal sistema. Il
keypad abilitato per impedire a essi non onsentiti, ed esiste un emergen y door release per onsentire di
aprire la porta in aso di ne essit (questo per interrompe il laser). Per entrare ed us ire senza interrompere
le operazioni esiste la possibilit di utilizzare l'override.
Analisi del sistema Il sistema in analisi un sistema real-time, embedded e distribuito. I nodi del sistema
omuni ano in modalit event triggered (ovvero non seguono una temporizzazione globale dettata da un lo k
di sistema ma sono triggerati all'arrivo di un evento) mediante un bus di sistema he vei ola i segnali da e
per l'ICS-5.

Figure 2: Sistema distribuito

I nodi del sistema sono individuati dai seguenti omponenti:

ICS-5
LASER BEAM SHUTTER
INTERLOCK MAIN SUPPLY
ACCESS DOOR
MAG LOCK
SAFETY SWITCH

 DISPLAY LED
KEYPAD
CHIAVE (per armare il laser)
ARM LASER BUTTON
EMERGENCY STOP BUTTON
EMERGENCY DOOR RELEASE
OVERRIDE BUTTON
I nod della rete si possono lassi are in base alla loro funzione e quindi suddividere tra attuatori, sensori e
ontroller.
Un sensore un trasduttore he si trova in diretta interazione on il sistema misurato, un attuatore
un me anismo attraverso ui un agente agis e su un ambiente (an he un me anismo he mette qual osa in
azione automati amente detto attuatore); si denis e inve e ontroller un dispositivo dedi ato a gestire e a
far a edere al bus una o pi periferi he (non gestis e direttamente la omuni azione tra SO e periferi a).
Se ondo questa lassi azione, possiamo denire:
Nodi della rete
ICS-5
Laser beam shutter
Interlo k main supply
A ess door
Mag lo k
Safety swit h
Display led
Keypad
Chiave
Arm laser button
Emergen y stop button
Emergen y door release
Override button

Sensore

$
$

Controller

Attuatore

$
$
$
$
$
$
$
$
$
$

Table 1: Classi azione sensori attuatori e ontroller.

Come abbiamo detto nell'introduzione, un sistema real-time deve garantire he il task ri hiesto termini
entro un dato vin olo temporale detto deadline.
La deadline quindi fondamentale per la lassi azione del tipo di sistema: troviamo sistemi Hard RT,
Soft RT e Firm RT. I sistemi HRT devono garantire tempi di risposta molto bassi (nell'ordine dei ms), devono
essere altamente autonomi nel garantire la si urezza durante le operazioni e devono garantire he il sistema la
rispetter an he durante situazioni di pi o. Il sistema deve essere sin rono on l'ambiente in ogni momento,
quindi il passo determinato dall'ambiente. La risposta fornita al task onsiderata inutilizzabile se non
arriva entro la deadline prevista (la man ata rispostanel tempo previsto provo a danni sostanziali).
Nei sistemi SRT viene inve e garantita una risposta in un tempo dell'ordine dei se ondi; in questi sistemi
un prestazione degradata in situazioni di ari o he avvenga raramente viene tollerata. Il sistema, in questo
aso, pu ri hiedere all'ambiente di tollerare un rallentamento e una risposta he arriva in ritardo, rimane
utile ai ni dell'elaborazione.
4

I sistemi FRT sono sistemi in ui il non rispetto della deadline non impli a danni sostanziali, ma provo a
omunque danni (ad esempio danni e onomi i, perdita di dati, et .).
Il funzionamento di ICS-5, ome des ritto sopra, presenta vin oli HRT e SRT.
Per individuare questi vin oli possiamo fare un elen o delle funzionalit del sistema e darne una lassi azione in base al genere di vin olo he generano.
Analisi

La porta aperta deve spegnere il laserHRT

Il laser beam shutter ee l'interlo k main supply devono spegnere il laserHRT
Il safety swit h deve rilevare lo stato della portaHRT
Il display led deve segnalare lo stato delle operazioni di lasingSRT
Keypad deve ontrollare gli a essi durante le operazioni di lasingSRT
La hiave e l'arm laser button vin olano l'a ensione del laserSRT
L'emergen y stop button impedis e il funzionamento del laser (deve essere in grado di arrestarlo)HRT
L'emergen y door release deve garantire lo sblo o della porta in aso di emergenzaHRT
L'override deve gestire l'a esso alla stanza durante le operazioni on il laserSRT
Il mag lo k blo a e sblo a la portaHRT
ICS-5 gestis e tutto il sistemaHRT
Si urezza La si urezza di un sistema RT un nodo ru iale dell'analisi di sistema, sia per i vin oli imposti dagli aspetti temporali della modellazione RT sia per h vengono eser itati ontrolli su quantit di
energia/funzioni potenzialmente peri olosi. In aso di peri olo devono essere possibili strategie di ripristino
autonome data la velo it dell'elaborazione dei task da parte del sistema.
Il modo pi sempli e di migliorare la si urezza del sistema onsiste in un'analisi dei modi nei quali esso
pu provo are situazioni di peri olo e/o danni (hazard). E' ne essario fare una distinzione tra situazioni in
ui vi un peri olo potenziale per le persone o per l'ambiente - in questo aso si parla di hazard - e tra i
ris hi, he sono quelli he s aturis ono da un potenziale hazard.
I peri oli, lassi ati in base a probabilit di o orrenza e severit del danno provo ato, possono essere
analizzati on pi te ni he.
Analisi HAZOP Il metodo HAZOP, prevede he i sia un alternarsi di domande e risposte tra un
leader e un team: vengono deniti una serie di punti singolari (nodi) e di sezioni delimitate da pi nodi e per
ogni sezione il team esamina le possibili deviazioni delle variabili dagli intenti di progetto.

Cosa su ede in aso di rottura del laser beam shutter?

Se l'interlo k main supply funziona posso spegnere il laser da l

Se la a ess door viene aperta ( he impli a he il mag lo k sia rotto) e l'interlo k main supply in
blo o FAILURE
Cosa su ede in aso di rottura del mag lo k?

Fin h il safety swit h funzionaFAULT

Se il safety swit h non funzionail laser ontinua ad andare dal momento he l'apertura della porta
non viene rilevataFAILURE
Cosa su ede se l'emergen y stop button non funziona?
5

 Non posso spegnere il laser in aso di emergenzaFAILURE

Potrei rendere il sistema fail safe abilitando la hiave usata per armare il sistema an he allo spegnimento.
Cosa su ede se non funziona l'emergen y door release?

Se la porta non si apre devo poter spegnere il laser, senn ho una FAILURE
Posso rendere il sistema fail operational raddoppiando gli emergen y door release
Cosa su ede se ho un alo di tensione?

Se man a la orrente e il mag-lo k non alimentatola porta non sta hiusa

 L'a esso alla stanza non pi si uro quindi ris hio danni all'operatore. Posso inserire un generatore
di emergenza, he si attivi in aso di malfunzionamento del generatore prin ipale, rendendo il sistema
fail safe.

Cosa su ede se il led esterno non funziona?

Se il led esterno non segnala lo stato di funzionamento del laserL'operatore pu entrare nonostante
il laser sia in funzione, ma il safety swit h rileva l'apertura della porta e spegne il laser  fail safe
Cosa su ede se qual uno forza la porta?

Inserendo un ontrollo volumetri o dell'ambiente posso rilevare eventuali presenze nella stanza e segnalarlo all'ICS-5 he provveder a spegnere il sistemafail operational
Cosa su ede se qual uno s ivola in laboratorio durante le operazioni on il laser?

Posso inserire una opertura di si urezza attorno al laser per evitare gli eventuali ontatti indesiderati
on il fas io laserfail safe
Fault tree analysis Un altro metodo molto usato l'FTA (Fault Tree Analysis) he utilizza un appro io dall'alto verso il basso per analizzare gli stati indesiderati di un sistema mediante un grafo e relazioni
della logi a Booleana per legare gli eventi.
Questo metodo permette un appro io sempli e per apire i modi di fallimento di un sistema, e per ridurre
il ris hio.

Figure 3: Fault Tree Analysis

L'ultimo passo onsiste nella modellazione a stati mediante State harts PW.
L'idea he risiede dietro la modellazione a state harts pw quella di ridurre i gradi di libert del sistema
per garantire una si urezza intrinse a data dalla modellazione. Al ontrario della normale modellazione
state harts, in questo tipo di modello si prevedono dei omponenti he non omuni ano l'uno on l'altro ma
si interfa iano solo ad un intero. Questo whole des rive il omportamento globale del sistema, derivante
dall'iteazione tra le parti: mediante gli stati dell'intero si designa una ongurazione delle singole omponenti,
on una transizione inve e si denota un ambiamento di stato. Le transizioni possono essere o autonome (e
quindi spontanee) o triggerate dall'intero.
Con questo tipo di modellazione garantis o si urezza e posso espandere il modello on nuovi omponenti
in qualsiasi momento (portabilit).
Il quadro sinotti o del sistema il seguente:

Modellazione a stati

Figure 4: Quadro sinotti o

Mentre i livelli di modellazione proposti sono i seguenti:

Figure 5: State harts pw-Porta

Figure 6: State harts pw-Controllo del laser

Figure 7: State harts pw-Laser

Dopo la modellazione di tre sottolivelli, stato progettato un modello nale he sempli asse la progettazione pre edente, e ottenuto a partire dai tre sottomodelli.
Il progetto nale risulta:

10

Figure 8: Progetto ompleto

11

Abbiamo identi ato tre sottosistemi per sempli are la modellazione dell'intero nale: la porta, ostituita
da mag-lo k e safety swit h, un ontrollo per il laser formato da laser beam shutter e interlo k main supply
ed inne il laser, modellato da hiave, arm laser button, display LED e laser.
La porta utilizza i due omponenti per rilevare lo stato di apertura o hiusura della stessa e per attivare
il mag-lo k he la tiene hiusa. Partono entrambi dallo stato di op e quando il safety swit h intraprende la
transizione verso l il sistema passa nello stato di losed, in ui il mag-lo k an ora in op e il safety swit h
passato in l. Il terzo stato, identi ato on lo k, rappresenta il aso in ui si fa lavorare il laser in modalit
ontinua, in ui il mag-lo k attivo per evitare ingressi non autorizzati alla stanza e non interropere le
operazioni del laser. La transizione di ritorno, per sblo are il mag lo k, triggerabile. Solo una volta tornati
nello stato intermedio si pu intraprendere la transizione spontanea per rimettere il safety swit h nello stato
di op.
Il se ondo intero ostituito dal ontrollo del laser, formato dal laser beam shutter e dall'interlo k main
supply. I omponenti qui partono entrambi da uno stato di l/o per passare, una volta triggerata la
transizione di power on <pow.on >, in uno stato di wait. Si es e dal wait quando viene ri hiesto di aprire
il laser beam shutter, e si arriva in uno stato di on in ui il laser pu essere a eso. Il ritorno pu essere
triggerato ripassando per lo stato di wait prima di tornare allo stato di o, o riportato direttamente nello
stato in ui entrambi i omponenti sono in l ed o.
Il terzo ed ultimo sottosistema ostituito da hiave, arm laser button, display LED e laser.
Dall'o viene triggerato il omando di hiave on: segue uno stato di wait da ui si es e spontaneamente
quando veri ato he l'arm laser button sia su on. In on tutti i ontrolli sono attivi, e la transizione di
ritorno viene intrapresa quando viene triggerato lo shutdown, ovvero quando vengono spenti il laser, il display
led e l'arm laser button.
Il sistema omplessivo ostituito da questi tre ontroller: dallo stato di o, in ui la porta, il ontrollo
del laser e il laser sono tutti disattivati, si passa in W1, in ui la porta viene hiusa e sia il laser he il
onrollo sono in wait. Passo in W2 una volta veri ata la hiusura della porta e da l mi posso muovere in
On, triggerando l'a ensione del laser, o in W3 se de ido di lavorare in modalit ontinua e quindi attivare
il mag lo k. A W3 segue uno stato CM ( ontinuous mode) analogo allo stato di On, on l'uni a dierenza
sulla modalit di operazione del laser.
Nel aso in ui la porta venga aperta il sistema torna automati amente in W1, in ui il ontrollo e il laser
sono in wait, mentre vengono intraprese le transizioni intermedie solo nel aso in ui il laser venga spento
orrettamente.

Veri a dei per orsi riti i

Dopo aver realizzato gli state harts abbiamo veri ato he gli stessi funzionassero tramite un ontrollo di
eventuali per orsi riti i he potessero portar i in uno stato di hazard o dal quale non si possa us ire. Ad
esempio possiamo por i nello stato di W2 dello state hart nale e ipotizzare di aprire la porta: in questo
aso stata prevista una possibile apertura della porta e una transizione he i allontana da questo stato
s ongiura l'eventuale a ensione del laser a porta aperta. Oppure poniamo i in una asisti a pi sempli e:
pensiamo di essere nello stato On, in ui il laser sta funzionando ed ipotizziamo he la lu e a led he segnala
il funzionamento del laser sia rotta. In questo aso una persona pu entrare nella stanza si ome all'os uro
dell'eettiva a ensione del laser. Tuttavia questo verr spento per h viene rilevata l'apertura della porta
tramite il safety swit h ed immediatamente i portiamo nello stato W1, si uro per la persona si ome stato
hiuso il beam shutter, il quale interrompe il fas io laser. In questo aso stato previsto uno spegnimento non
aggressivo si ome il beam shutter previene la fuorius ita del fas io laser dallo strumento stesso, preservando
la vita del laser ( osa he non sarebbe su essa spegnendo direttamente il laser) e operando in piena si urezza.

12