EO_491

38 - ELETTRONICA OGGI 491 - GENNAIO/FEBBRAIO 2021 ANALOG/MIXED SIGNAL AUTOMOTIVE al conducente e il tempo di esposizione al rischio per questo stato. Inoltre, la norma ISO26262-5:2018, 9.2 può essere applicata all’analisi del funzionamento di emergenza e alla durata del funzionamento di emer- genza dopo il passaggio da uno stato sicuro al succes- sivo. I progettisti di sistemi hanno adottato numerose tecniche per migliorare gli stati di sicurezza intermedi, i tempi di esposizione al rischio e l’intervallo di tempo in funzionamento di emergenza. Molte di queste tecni- che si basano su concetti di ridondanza elettromec- canica, come i motori a doppio avvolgimento. Questi nuovi motori, noti anche come motore a doppio statore o a doppio inverter, sono costruiti con due bobine sta- tore ad azionamento singolo e con un rotore singolo. Questo progetto permette di assicurarsi che, in caso di guasto di uno degli statori, uno statore ridondante e quindi il rotore, rimanga attivo. In questo caso, il requi- sito di sicurezza previsto per il percorso guasto è, in pratica, “progettato per il fail-safe”, ossia per non impe- dire il movimento del percorso dello statore corretta- mente funzionante. Nel contesto della figura 2, questo funzionamento a statore singolo verrebbe classificato come “Stato sicuro con funzionalità ridotta”. Altri approcci per ridurre il rischio residuo di una vio- lazione dell’obiettivo di sicurezza al livello 1 FIT (Failu- re in Time) comprendono l’aumento della sua ridon- danza per includere fonti di alimentazione separate (batterie), canali di comunicazione separati e addirit- tura l’integrazione di sistemi con reti di alimentazione indipendenti a 12 V/48 V o 12 V/600 V. Elettrificazione del powertrain e ulteriori aspetti riguardanti la sicurezza funzionale Il white paper Il progresso dei componenti analogici nello sviluppo della sicurezza funzionale per appli - cazioni automobilistiche ( https://www.ti.com/lit/wp/ slyy111/slyy111.pdf ) si concentra sui sistemi ad azio- namento elettrico, come il servosterzo e il servofreno. L’elettrificazione del powertrain e l’introduzione del- le batterie agli ioni di litio aumentano la necessità di progettare tali sistemi tenendo conto degli standard di sicurezza. Mentre gli obiettivi di sicurezza per i po- wertrain elettrificati sono simili a quelli analizzati per gli azionamenti (movimento quando richiesto, nessun movimento quando non richiesto, non impedire il mo- vimento), le batterie agli ioni di litio presentano come obiettivo di sicurezza la prevenzione del funzionamen- to della batteria al di fuori dei limiti di sicurezza per tensione e temperatura. Una delle preoccupazioni re- lative ai sistemi di ricarica rigenerativa è la possibilità che un sistema di generazione, come un motogene- ratore, sovraccarichi le batterie. Questa possibilità ri- chiede caratteristiche e procedure di sicurezza nuove e innovative per prevenire la violazione dell’obiettivo di sicurezza. Sicurezza funzionale in applicazioni ad alta temperatura L’azionamento e la relativa elettronica di azionamen- to sono spesso installati direttamente sul blocco della trasmissione ed esposti a temperatura ambiente fino a 150 °C. Affinché l’elettronica funzioni a tali temperatu- re sono necessari circuiti integrati appositamente pro- gettati in grado di resistere a temperature di giunzione dei semiconduttori fino a 175 °C. Per via della dipen- denza esponenziale dalla temperatura, i progettisti de- vono considerare attentamente i profili di missione per queste applicazioni ad alta temperatura nel momento in cui valutano i punteggi FIT. Per soddisfare questi re- quisiti, TI offre componenti per la sicurezza funzionale conformi ad AEC-Q100 Grado 0 (contraddistinte dal- la sigla “E” dopo il codice articolo), con progettazione e qualifica per temperatura ambiente fino a 150 °C e temperature di giunzione fino a 175 °C. Fattori umani Il gruppo di lavoro ISO TC22/SC32/WG8 ha introdot- to il concetto di sicurezza della funzionalità prevista Fig. 2 – Gli stati di funzionamento di un sistema fail-operational; le caselle rosso chiaro mostrano la funzione attiva, le caselle grigio chiaro mostrano la funzione inattiva