1 34 Table of Contents 36 102

EO_491

37 - ELETTRONICA OGGI 491 - GENNAIO/FEBBRAIO 2021 ANALOG/MIXED SIGNAL AUTOMOTIVE architetture di sicurezza dovranno evolversi. La mag- gior parte degli azionamenti elettrici negli odierni si- stemi di sicurezza mantiene i propri componenti mec- canici originali per ragioni di ridondanza. Prendendo ad esempio un impianto frenante elettrico, il collegamento meccanico dei pedali con il cilindro del freno costituisce una ridondanza in caso di guasto del sistema elettrico, anche se è necessario agire ener- gicamente sul pedale del freno. Gli impianti frenanti elettrici presentano un’architettura di tipo “fail-safe”, ossia, in caso di avaria, non impediscono il ricorso a eventuali misure ridondanti (in questo caso, l’aziona- mento del pedale del freno). A mano a mano che si evolvono architetture autonome, ci si affida sempre meno alla ridondanza meccanica, in quanto i guidatori vengono esclusi dal circuito di controllo, il che apre la strada a una categoria comple- tamente nuova di sistemi “fail-operational”. Un esempio di sistema fail-operational è lo stesso impianto frenan- te in un veicolo autonomo dove il conducente non è disponibile per un certo periodo di tempo successivo al verificarsi del guasto del sistema di azionamento elettrico del freno. Il sistema stesso (si noti che non s’intendono qui i circuiti integrati) in questo caso deve continuare a funzionare e riuscire a frenare il veicolo. Le principali considerazioni in termini di sicurezza per progettare un sistema di questo tipo sono: Safety Integrity Level) del sistema. che si è verificata la prima avaria. - cente e la durata del funzionamento in emergenza. transizioni da e verso gli stati sicuri. Per analizzare gli obiettivi di sicurezza e gli stati sicu- ri per sistemi fail-operational (utilizzando la figura 2 come guida), è possibile fare riferimento alla secon- da edizione della norma ISO26262-3:2018 Punto 7 dell’Organizzazione Internazionale per la Normazione (ISO), nella quale si afferma che è possibile prevenire una violazione dell’obiettivo di sicurezza passando ad uno o più “stati sicuri” o mantenendo uno o più di questi stati. Uno stato sicuro può essere inteso come “funzionalità mantenuta in caso di guasto per un cer- to lasso di tempo”, definizione che ben si adatta agli aspetti da considerare e è stata menzionata per i si- stemi di tipo fail-operational. Questo stato, descritto nella figura 2 come “Stato sicuro con funzionalità ri- dotta”, richiede di considerare e analizzare l’avviso Fig. 1 – Gli attuatori automobilistici che passeranno al controllo by-wire, ossia sterzo, freni e cambio, trarranno vantaggio dell’utilizzo dei driver per motori di TI per applicazioni di sicurezza funzionale

RkJQdWJsaXNoZXIy MTg0NzE=