1 57 Table of Contents 59 70

EMB_90

EMBEDDED 90 • NOVEMBRE • 2023 58 N ei veicoli moderni è presente un numero sempre crescente di unità di controllo elettroniche (ECU). Questi sistemi embedded assolvono svariate funzioni, da quelle di base per la guida e le misu- re di sicurezza fino ad arrivare alle funzioni per il comfort e l’intrattenimento. A seconda delle funzio- ni che espletano, i guasti delle ECU possono avere conseguenze diverse sulla sicurezza del passegge- ro. Per questo le ECU sono classificate in base ai vari standard ASIL (Automotive Safety Integrity Levels). Ad esempio, l’ECU dello sterzo elettrico ha ovvia- mente un notevole impatto sulla sicurezza, in quan- to un malfunzionamento dello sterzo può provocare serie lesioni o addirittura la morte di un passeggero. Pertanto questa ECU è classificata come ASIL-D, ovvero il livello di requisiti di sicurezza più elevato. Quando si sviluppa un’ECU con una classificazione ASIL di questo tipo, è necessario tenere in conside- razione la sicurezza fin dall’inizio. In base a quanto previsto da ASIL-D, il processo di sviluppo deve es- sere conforme ai requisiti specificati dallo standard ISO 26262. Quindi il design complessivo del softwa- re dovrebbe seguire una metodologia di sviluppo adeguata. Potrebbe essere richiesta la qualifica de- gli strumenti usati al fine di verificarne l’idoneità a questo scopo. L’ECU viene poi testata insieme al software corrispon- dente in diversi passaggi e ricorrendo a svariati metodi. Fra questi figurano il test unitario, i test di integrazione nel sistema e i test HIL ( Hardware-in-the-Loop ). Un de- bugger hardware può essere utilizzato in molti di questi test e consentire la loro esecuzione in condizioni il più possibile assimilabili a quelle dell’hardware reale – così come raccomandato dalla norma ISO 26262. Una sola ECU, svariati requisiti Le odierne ECU ad alte prestazioni generalmente non implementano un solo tipo di applicazione, ma diversi, che possono richiedere diversi livelli di functional safety (sicurezza funzionale). Ad esempio, oltre a un’applica- zione che richiede un livello ASIL-D, una ECU può im- plementare anche un’applicazione con classificazione QM ( quality management , ovvero senza requisiti di fun- ctional safety specifici). Cosa significa questo per lo svi- luppo del software? In questo caso, esistono due modi per rispettare i requi- siti della norma ISO 26262: o tutti i componenti vengono trattati come se dovessero essere conformi ai requisiti ASIL più elevati, oppure si deve assicurare la Freedom from Interference (FFI, assenza di interferenze). Ciò si- gnifica che si deve garantire che la componente QM non possa interferire con la componente ASIL nella stessa ECU (Fig. 1). Hardware debug per la functional safety I test sulla functional safety giocano un ruolo fondamentale nello sviluppo delle ECU installate sui veicoli. I test eseguiti in varie fasi aiutano lo sviluppatore a garantire la conformità agli standard ASIL. In questo articolo una panoramica della funzione che riveste il debug dell’hardware in questo contesto Armin Stingl Chief Solutions Officer iSYSTEM, a TASKING company SOFTWARE | DEBUG

RkJQdWJsaXNoZXIy Mzg4NjYz