Auto a prova di cyber criminali
Anche le auto sono sempre più connesse e quindi esposte ad attacchi informatici. In un articolo di Changes, abbiamo raccontato come ci fosse grande preoccupazione tra le autorità
Le macchine possono rompersi e non funzionare più. Questo è un fatto che non si può evitare. Ma non è accettabile che i guasti implichino dei danni fisici alle persone. Come questo approccio ha cambiato il mercato automotive.
Le macchine ormai ci circondano e sono parte essenziale della nostra vita quotidiana e lavorativa. Ci semplificano la vita, aiutandoci nelle nostre attività o spesso sostituendoci completamente. Ma le macchine possono rompersi e non funzionare più o funzionare in modo non perfetto.
Che le macchine possano rompersi e non funzionare più è un fatto che non si può evitare ed è accettato da tutti. Ovviamente si predilige scegliere, nel momento dell’acquisto, dispositivi che garantiscano una maggiore affidabilità, ma tutte le macchine possono alla fine rompersi, anche se con un diverso livello di frequenza statistica. Quando compriamo una lavatrice, un frigorifero, un’automobile, scegliamo un modello anche sulla base della sua qualità, anche in termini di affidabilità, cioè frequenza con la quale tendono a guastarsi
Se si accetta che una macchina possa guastarsi e quindi crearci dei problemi di tipo economico o fastidi della nostra quotidianità, non è accettabile da nessuno che questi problemi implichino dei danni fisici alle persone. Che il frigorifero si guasti e faccia saltare l’interruttore generale di casa è accettabile, che una persona possa essere folgorato da questo guasto non lo è affatto. Quindi si pretende, giustamente, che nel guastarsi una macchina non possa recare danno alle persone. Che sia quindi “sicura” non solo nel funzionamento normale, ma anche in caso di guasto.
Questa sicurezza in ingegneria viene chiamata sicurezza funzionale, functional safety in inglese.Si applica a qualsiasi macchinario. Non si deve confondere con la sicurezza operativa di un dispositivo, la sicurezza funzionale si occupa di quello che succede in caso di guasto non nel funzionamento normale della macchina. Se prendiamo ad esempio una pressa, la sicurezza operativa richiede che l’operatore per azionare la pressa debba premere due pulsanti con le due mani, per garantire che non abbia mai una mano sotto la pressa. La sicurezza funzionale invece garantisce che in caso di un qualsiasi guasto la pressa si fermi o rimanga ferma dove si trova. Nel seguito ci occuperemo più specificatamente della macchina per eccellenza, l’automobile, per spiegare come la sicurezza funzionale viene garantita in un dispositivo molto complesso quale esso sia.
L’obiettivo della sicurezza funzionale è garantire l’assenza di rischi inaccettabili di lesioni fisiche o di danni alla salute delle persone, direttamente o indirettamente (attraverso danni alle cose o all’ambiente), grazie alla corretta progettazione del sistema e, laddove necessario, l’implementazione di una o più funzioni di protezione automatica (spesso chiamate funzioni di sicurezza).
La sicurezza funzionale deve considerare la funzione di un componente o di un sottosistema come parte dell’intero sistema. Pertanto, sebbene gli standard di sicurezza funzionale si concentrino sui sistemi elettrici, elettronici e programmabili, i metodi di sicurezza funzionale devono estendersi anche alle altre parti del sistema: attuatori, le valvole, i motori o i monitor che vengono controllati. È quindi subito evidente che ad occuparsi di sicurezza funzionale non debba essere solamente il progettista del singolo componente particolarmente critico dal punto di vista della sicurezza, ma tutte le persone impegnate nella progettazione e sviluppo dell’intero sistema.
Inoltre, occorre notare che si parla di evitare “rischi inaccettabili” dal punto di vista di lesioni o danni alle persone. È impossibile, oppure eccessivamente complesso e costoso, annullare tutti i rischi relativi all’utilizzo di un macchinario. Un esempio per chiarire questo è il passaggio a livello. Le barriere che impediscono di attraversare quando arriva un treno devono essere sicure dal punto di vista funzionale: possono restare chiuse anche quando non sta arrivando un treno, ma non aperte quando sta arrivando, anche in caso di un qualsiasi guasto. Se mai questo succedesse il treno che sta arrivando deve essere avvisato, e in tempo per fermarsi prima del passaggio a livello stesso. Ma se si costruisse un sottopasso i rischi sarebbero azzerati. Ma costerebbe molto di più.
L’automobile è un sistema molto complesso e che viene continuamente arricchito di soluzioni tecniche innovative per migliorarne il comfort, l’efficienza, le prestazioni e anche la sicurezza. Molte di queste soluzioni hanno un impatto sulla sicurezza del veicolo e diventa quindi fondamentale la loro sicurezza funzionale. Per garantire una uniforme applicazione dei principi della sicurezza funzionale si è definito uno standard internazionale ISO26262 (Road Vehicles – Functional safety) specifico per l’auto, partendo dallo standard IEC61508, che è relativo più in generale alla sicurezza funzionale dei sistemi elettrici ed elettronici.
Occorre però notare che l’adozione dello standard è in generale su base volontaria da parte delle case automobilistiche. La normativa prescrive però l’adozione di tali o analoghe misure per i componenti critici per la sicurezza, come ad esempio i freni. La sicurezza funzionale dei sistemi frenanti è garantita principalmente mediante:
Grazie al primo accorgimento tecnico, se uno dei tubi che portano il liquido dei freni si rompe, i freni continuano a funzionare almeno su due ruote. Con il secondo accorgimento è possibile frenare anche se si perde completamente l’alimentazione elettrica delle centraline elettroniche che controllano i freni. La normativa prescrive quale debba essere l’azione frenante minima nel caso dei due guasti precedenti.
Inoltre, la centralina elettronica che controlla l’impianto frenante e realizza le funzioni di antibloccaggio (ABS) e controllo della dinamica del veicolo (ESP) deve avere le opportune ridondanze, doppio processore ad esempio, per garantire che un qualsiasi guasto non porti ad un completo malfunzionamento del sistema.
Lo standard ISO26262 prescrive che l’azienda deve innanzitutto creare una organizzazione adeguata alla gestione della sicurezza funzionale dei propri prodotti, quindi deve dotarsi di processi aziendali che perseguono la sicurezza funzionale in tutte le fasi:
Devono essere definite le figure aziendali responsabili della sicurezza funzionale, e queste non devono dipendere, direttamente o indirettamente dalle divisioni aziendali che definiscono, sviluppano e producono i prodotti. Questo ovviamente per evitare che la sicurezza funzionale possa essere posta in secondo piano rispetto ad altri aspetti come costo del prodotto o tempi di sviluppo.
Questa è la fase più importante, dove vengono identificati i potenziali rischi del prodotto, valutato il loro potenziale impatto per capire se sono rischi accettabili oppure devono essere opportunamente gestiti. Questa analisi dei rischi è sicuramente l’aspetto più importante: occorre andare ad individuare tutti i possibili guasti che il sistema potrebbe avere, per ognuno di questi valutarne l’impatto. Questa analisi è definita HARA (Hazard Analysis and Risk Assessment) e considera tre aspetti:
Sulla base dei tre aspetti si va a identificare il livello ASIL (Automotive Safety Integrity Level), che può essere zero, oppure un livello da A a D. Un guasto ai freni è sicuramente un evento molto rischio (severità 3), che può capitare (esposizione 4) e che il guidatore non può controllare (controllabilità 3), quindi presenta il massimo rischio ASIL D.
Un rischio ASIL D deve essere gestito opportunamente per renderlo accettabile, da qui le misure indicate precedentemente:
Il rischio, quindi, rimane ma diventa accettabile.
Questa analisi nella fase di concezione del prodotto definisce quindi i requisiti che devono poi essere implementati nella fase di sviluppo del prodotto, realizzati nella fase di produzione e verificati nella fase finale di testing, validazione e certificazione del prodotto.
Niente paura non si devono imparare delle modalità nuove di utilizzo del veicolo. Nel caso di un guasto, anche grave come la rottura dei freni, il guidatore viene avvisato del problema ed invitato ad arrestarsi immediatamente: lo potrà fare comunque, forse con uno sforzo maggiore ma sempre compatibile con tutti, anche persone fisicamente più deboli. Lo stesso accade per altri sistemi critici, come lo sterzo: oggi tutti i veicoli sono dotati di servosterzo elettrico, che rende facile la sterzatura delle ruote, un guasto a questo sistema rende più faticoso, occorre maggiore forza, sterzare il veicolo ma lo si può ancora fare senza altri problemi.
Se il guasto allo sterzo è di tipo completamente meccanico, rottura dei tiranti sterzo alle ruote, ad esempio, non è più possibile sterzare, ma questo guasto si ritiene accettabile perché altamente improbabile. Quindi l’unica attenzione per il guidatore è quella di seguire eventuali avvisi da parte del veicolo, se si viene invitati a fermarsi è importante immediatamente rallentare e procedere a bassa velocità alla ricerca del primo spazio dove potersi fermare in sicurezza. Per molti problemi i veicoli moderni sono in grado di offrire delle soluzioni temporanee, il cosiddetto limp-home, che ci permette di proseguire il viaggio fino a casa, anche se con prestazioni ridotte. Limp-home è un termine inglese che si può tradurre in “recupero delle funzionalità in condizioni degradate.
La sicurezza funzionale è stata, e continua ad essere, oggetto di sviluppo di diversi standard per i vari settori a cui si applica. La normativa rende obbligatoria la conformità a questi standard solo per sistemi cosiddetti safety critical, dove è alto il rischio che un guasto porti ad incidenti gravi.
L’applicazione di questi standard è ormai molto diffusa nelle aziende, anche laddove la sicurezza funzionale non è un requisito della normativa: il costo maggiore nell’applicare la Functional Safety nello sviluppo e produzione di sistemi e componenti non sempre è molto oneroso, e può essere rapidamente recuperato dalla maggiore qualità del prodotto, aspetto che permette di aumentare la penetrazione sul mercato e ridurre i costi dovuti ad eventuali rischi non considerati, che portano a dover richiamare e riparare i prodotti già messi sul mercato.