1 47 Table of Contents 49 70

EMB_90

EMBEDDED 90 • NOVEMBRE • 2023 48 zione e delle misure per rilevarli. Consultare la IEC 61784-3(3) per una descrizione dettagliata degli errori di comunicazione. Valutazione delle prestazioni di rilevamento Poiché i WBMS si rivolgono agli HEV/EV, la conformità ai sensi della norma ISO 26262(1) deve essere dimostra- ta a livello di sistema. Tuttavia, la ISO 26262(1) non offre particolare orientamento su come affrontare il ri- levamento degli errori nella comunicazione dati. L’uni- ca menzione dei requisiti qualitativi si trova nelle parti seguenti: • ISO 26262(1) Parte 5 – Valutazione della copertura diagnostica della comunicazione dati nella Tabella D.6 • ISO 26262(1) Parte 6 – Scambio di informazioni tra elementi software nel Paragrafo D.2.4 Una copertura diagnostica (DC, Diagnostic coverage) «alta» può essere realizzata per mezzo di una combina- zione di tre misure: • Ridondanza delle informazioni • Contatore dei frame • Monitoraggio del timeout Questi meccanismi di rilevamento devono essere imple- mentati nel WBMS. Tuttavia, in che modo è possibile valutare che siano stati implementati adeguatamente? Aspetti qualitativi: come rilevare gli errori Questo paragrafo spiega dettagliatamente il modo in cui gli errori vengono rilevati: • Ridondanza delle informazioni – si faccia riferimen- to al Paragrafo 5 • Implementazione come CRC16 (end-end) • In aggiunta, CRC32, nel protocollo WBMS • Contatore dei frame: implementato end-to-end (i dettagli sono riportati nel documento del sistema di sicurezza funzionale WBMS di TI) • Monitoraggio del timeout: il concetto è semplice, os- sia l’host provvede al monitoraggio della tempestivi- tà dei data frame rispetto allo schema di temporiz- zazione fisso e deterministico Aspetti quantitativi: confronto fra probabilità di errore e probabilità di errore non rilevato La presenza di una DC conforme alla norma ISO 26262 consente il rilevamento del 99% dei data frame difettosi (riferimento: ISO 26262(1) D.1). È facile dimostrare che il 99% non è sufficiente per conseguire il livello ASIL D di PMHF per la comunicazione WBMS. La durata minima di un singolo scambio di frame fra host e singolo nodo in WBMS di TI è pari a 2 ms. Ne derivano 1,8 × 106 frame all’ora. La probabilità di erro- re bit nel caso peggiore, come menzionato nella tabella 1, può raggiungere valori fino a E = 10–2 (riferimento: IEC 61784-3(3)). Ciò si traduce in un tasso di errori dei frame di 1,8 × 106 frame all’ora, ovvero stesso numero del frame rate. Perché è così? 1. PE = 10–2 mostra che statisticamente ogni centesi- mo bit è corrotto 2. I frame sono più lunghi di 100 bit Pertanto, in ogni frame vi è una probabilità quasi del 100% che almeno un singolo bit sia corrotto. Si potrebbe affermare che “se ogni singolo frame è cor- rotto, non vi è in realtà alcuna comunicazione in corso”. L’affermazione è corretta. Non avviene alcuna comuni- cazione valida, ma, ciò nonostante, il sistema deve rima- nere sicuro rilevando tutti questi errori. Naturalmente, questa causa di errori di comunicazione (disturbi elettromagnetici, EMI) è di gran lunga la più probabile sull’intera catena di comunicazione. Pertanto, la valutazione delle prestazioni del rilevamento di erro- ri quantitativi si concentra esclusivamente sugli errori causati da EMI. Ipotizzando un obiettivo 1FIT di guasti (non rilevati) re- sidui (su un totale di 10FIT per ASIL D) per la parte di comunicazione del WBMS, la necessaria copertura dia- gnostica o, per usare una definizione più adatta, “una probabilità di non rilevamento di un errore di comunica- zione” può essere calcolata a ritroso nel modo seguente: Una probabilità di non rilevamento di un errore di co- municazione = 10–9/1,8 × 106 = 5,55 × 10–15 (1) dove: 10–9 è un tasso di guasto corrispondente a 1FIT 1,8 × 106 è un tasso di errore frame all’ora Questo valore può essere raggiunto per mezzo di una combinazione di più meccanismi di rilevamento. Implementazione di protocolli di comunicazione La norma IEC 62280(4) descrive un modello di errore di comunicazione dell’architettura black channel nell’Al- legato C. L’architettura Black channel comprende HW, SW e il fattore di disturbo elettromagnetico (EMI), che è responsabile per tutti i guasti correlati non di tipo har- dware nel canale di comunicazione. Questo modello è implementato in WBMS di TI sotto forma di due protocolli sottostanti: 1. Il primo è detto “protocollo BQ” ed è un protocollo end-to-end identico, utilizzato da BQ79616-Q1 per HARDWARE | BMS

RkJQdWJsaXNoZXIy Mzg4NjYz