Automotive, FEATURED, Industrial, NEWS, Slideshow, Texas Instruments

Semplificare la certificazione di sicurezza funzionale nel settore automobilistico e industriale

21 Aprile 2021 / by Boris Landoni

di Miro Adzan, General Manager, Industrial Systems Factory Automation & Control, Texas Instruments
e Arun Vemuri, General Manager, Automotive Systems Body Electronics & Lighting,Texas Instruments

 

La progettazione per la sicurezza funzionale richiede rigore, documentazione e tempo perché sia fatta bene. Per progetti che possono riguardare di tutto, da uno stabilimento produttivo a un’autostrada, questo white paper spiega come l’approccio di TI alla progettazione di circuiti integrati (IC) possa offrire le risorse necessarie per semplificare i progetti di sicurezza funzionale.

L’automazione ha aumentato il bisogno di sicurezza funzionale sia nel settore industriale che in quello automobilistico. La sicurezza funzionale è necessaria in diverse applicazioni industriali, ma in particolare nell’automazione industriale e nei sistemi di controllo.

Nell’industria automobilistica, mentre gli airbag e gli impianti frenanti comprendono la sicurezza funzionale già da anni, la sempre maggiore elettrificazione e le caratteristiche di guida autonoma richiedono sistemi che controllino la gestione della batteria, la fusione tra i sensori e le manovre del veicolo, andando ad aumentare il bisogno di progetti con sicurezza funzionale.

Che si tratti di progettare sistemi robotizzati per fabbriche, dispositivi per uso domestico o per le auto del futuro, gli ingegneri progettisti si trovano sempre più spesso a dover fornire progetti che siano conformi alla normativa di sicurezza funzionale applicabile per l’applicazione.

Nelle applicazioni che non richiedono la conformità normativa, progettare un sistema più sicuro è diventato un fattore di differenziazione fondamentale rispetto alla concorrenza.

Normative di sicurezza funzionale

La sicurezza funzionale fa parte della sicurezza complessiva di un sistema e dipende dalla risposta in modo prevedibile a certi input o ad uno stato di errore. Le normative di sicurezza funzionale accettano il fatto che un pericolo sia sempre presente e che tutti i sistemi, pertanto, abbiano un certo tasso di errore intrinseco.

Le normative di sicurezza funzionale specificano come sviluppare i sistemi in modo da ridurre il rischio ad un livello tollerabile. I progetti di sistema che includono la sicurezza funzionale devono non soltanto ridurre il rischio dovuto ad un uso improprio, ma anche rilevare i guasti e ridurne l’impatto.

Per ottenere la conformità di sicurezza funzionale, gli ingegneri devono:

  • Prevedere e definire le condizioni pericolose.
  • Identificare le funzioni di sicurezza che affrontano queste condizioni.
  • Valutare la riduzione del rischio raggiunta dalle funzioni di sicurezza.
  • Assicurarsi che le funzioni di sicurezza adempiano al loro scopo di progettazione.

Le normative di sicurezza funzionale definite dagli enti normativi, con la collaborazione delle aziende del settore interessato, guidano i progettisti contribuendo a definire le funzioni di sicurezza in un sistema e fissando le specifiche per la valutazione e la classificazione dei livelli di sicurezza. Il coinvolgimento di Texas Instruments (TI) negli enti normativi aiuta a garantire che l’azienda sviluppi prodotti tenendo conto della sicurezza funzionale sin dall’inizio.

Le norme di sicurezza comuni comprendono la IEC 61508 (della Commissione Elettrotecnica Internazionale) per applicazioni industriali, la ISO 26262 (dell’Organizzazione Internazionale per la Normazione) per applicazioni automobilistiche e la IEC 60730 per gli elettrodomestici.

Le norme di sicurezza hanno in comune la riduzione del rischio e i livelli di integrità di sicurezza (SIL). Ad esempio, i SIL definiti dalla IEC 61508 vanno da SIL 1 a SIL 4, dove il SIL 4 è il livello più rigoroso. Il SIL 1 richiede una disponibilità di sicurezza dal 90% al 99%, una probabilità di guasto su richiesta media (PFDavg) da 0,1 a 0,01 e un fattore di riduzione del rischio (RRF) da 10 a 100. Il SIL 4 richiede una disponibilità di sicurezza > 99,99%, una PFDavg da 0,0001 a 0,00001 e un RRF da 10.000 a 100.000.

La ISO 26262 prevede SIL simili che vanno da ASIL A ad ASIL D, dove l’ASIL D è il più rigoroso.

Processo di sicurezza funzionale

Un tipico processo di sviluppo della sicurezza funzionale inizia con la decisione dei pericoli e degli obiettivi di sicurezza funzionale. Gli ingegneri iniziano quindi in genere a esaminare le architetture di sistema, i moduli e i circuiti integrati. Sono quindi i circuiti integrati a diventare i principali elementi costitutivi di un sistema conforme alle normative di sicurezza funzionale.

Per prevedere il comportamento del sistema, gli ingegneri devono quantificare e prevedere il funzionamento di un modulo. A tal fine, è necessario condurre un’analisi qualitativa strutturata della sicurezza del sistema come parte del processo di sviluppo in modo da identificare le varie modalità di guasto, nonché le loro cause e i loro effetti.

Le normative di sicurezza funzionale definiscono le informazioni necessarie agli ingegneri sui circuiti integrati in modo che possano anche condurre le proprie analisi FMEDA (Failure Mode, Effects and Diagnostic Analysis). A seconda della complessità del circuito integrato, un’analisi della sicurezza del sistema richiede informazioni che dipendono dal progetto, dal die e dal package.

La scelta del prodotto giusto da un fornitore affidabile è fondamentale a tale scopo. Grazie a TI, gli ingegneri possono trovarne e utilizzarne più facilmente i prodotti, sia in progetti mirati a soddisfare le normative di sicurezza funzionale sia in sistemi più sicuri per differenziarsi dalla concorrenza.

[boris]

Semplificazione della scelta dei dispositivi con categorie di sicurezza funzionale

Le tipiche applicazioni industriali e automobilistiche richiedono un gran numero di circuiti integrati che variano molto in termini di complessità: uno o più sensori e attuatori, un microcontroller (MCU) o un processore per elaborare i dati dei sensori, multiplexer analogici, amplificatori operazionali o amplificatori della strumentazione, convertitori analogico/digitale (ADC) e convertitori digitale/analogico che potrebbero o meno essere integrati con il processore, convertitori CC/CC, regolatori a basso dropout o circuiti integrati di gestione dell’alimentazione (PMIC), nonché componenti driver come i driver per LED, i driver per motori, i driver per solenoidi, i driver per transistor a effetto di campo (FET) e per transistor bipolari a gate isolato, gli interruttori di alimentazione e gli interruttori di carico. Inoltre, queste applicazioni includono anche interfacce di comunicazione come RS-485, Controller Area Network (CAN), Ethernet, FPD-Link e Peripheral Component Interconnect Express (PCIe).

La Tabella 1 mostra le categorie di TI con i prodotti disponibili per i progetti di sicurezza funzionale e riflette la logica alla base delle categorie di complessità dei circuiti integrati basate sulle normative. Le categorie sono TI Functional Safety-Capable, TI Functional Safety Quality-Managed e TI Functional Safety-Compliant.

 

Tabella 1. Categorie di TI per prodotti per la progettazione della sicurezza funzionale. ** Potrebbe essere disponibile solo per prodotti per alimentazione analogica e della catena di segnale.

 

Prodotti nella categoria Functional Safety-Compliant

Questi prodotti sono spesso abbastanza complessi da costituire sistemi a sé stanti, come le MCU e i processori o i driver per motori analogici, e possono avere funzioni di sicurezza integrate.

TI ha sviluppato questi prodotti utilizzando un flusso di sviluppo della sicurezza funzionale certificato da enti come il TÜV SÜD (Technischer Überwachungsverein). Questa certificazione aiuta a garantire che i prodotti di questa categoria siano stati sviluppati seguendo le specifiche prescritte dalle normative di sicurezza funzionale, la ISO 26262 e la IEC 61508.

Prendiamo ad esempio i seguenti dispositivi complessi conformi alla sicurezza funzionale:

  • I sistemi su chip Jacinto™ TDAx con qualifica AEC-100 (Automotive Electronics Council) per sistemi avanzati di assistenza alla guida integrano un misto di core di generazione con processore di segnale digitale (DSP) TMS320C66x a virgola fissa e mobile, il vision engine incorporato Vision AccelerationPac e doppi processori ARM® Cortex®-M4, nonché periferiche come le interfacce multi-camera per sistemi di visualizzazione dell’area circostante basati sulla segnalazione differenziale a bassa tensione, display, CAN e Gigabit Ethernet Audio Video Bridging. Questi dispositivi supportano un ampio elenco di requisiti di sistema per la sicurezza funzionale, inclusi M4 con protezione ECC (error correcting code), interfaccia a doppia velocità di trasmissione dati a 32 bit con protezione ECC, unità dedicate di gestione della memoria per ciascuna unità di elaborazione centrale (CPU), unità di protezione della memoria, sensori di monitoraggio della temperatura e un ADC a otto canali per il monitoraggio del sistema.
  • I PMIC (Power Management Integrated Circuit) TPS6594-Q1 multirail supportano i sistemi su chip Jacinto TDAx di TI nel mercato automobilistico e industriale. I PMIC flessibili e ad alta precisione sono adatti per applicazioni automotive e industriali che richiedono sicurezza funzionale e vengono provvisti di documentazione per la sicurezza funzionale. Il TPS6594-Q1 offre una soluzione di gestione scalabile della potenza sia per il dominio principale sia per il dominio MCU e supporta la sicurezza funzionale fino ad ASIL-D/SIL-3. • Le MCU Hercules™ integrano sufficienti funzionalità di sicurezza e diagnostica per consentire agli ingegneri di puntare fino al SIL 3. In pratica, la MCU può raggiungere una di copertura dei guasti fino al 99% circa. Ad esempio, l’integrazione di due CPU Cortex-R in lockstep sulla MCU permette di confrontare le uscite ad ogni ciclo e, in caso di errore, di generare un interrupt non mascherabile. L’autotest della CPU può essere eseguito all’avvio o ad intervalli di tempo per un’applicazione industriale.
  • Il DRV3245E-Q1 è un circuito integrato per driver del gate FET per applicazioni di azionamento di motori trifase. I suoi tre driver half-bridge possono pilotare ciascuno un FET metallo-ossido-semiconduttore a canale N high-side e low-side. Progettato in base ai requisiti applicabili della ISO 26262, questo driver del gate integra diagnostica e protezione per ogni blocco interno e fornisce supporto per i comuni controlli diagnostici di sistema, ciascuno dei quali può essere istanziato e segnalato tramite l’interfaccia SPI (Serial Peripheral Interface). Questa flessibilità in termini di funzionalità consente al DRV3245E-Q1 di integrarsi perfettamente in molte architetture di sicurezza. • Il PMIC multirail TPS65381A-Q1 supporta le famiglie di MCU Hercules TMS570 e C2000™ di TI nei mercati automotive e industriale con architetture dual-core «lockstep» o «loosely coupled». Un convertitore di alimentazione buck asincrono in modalità commutata con un FET interno converte la tensione di alimentazione in ingresso (batteria) in un’uscita preregolatore a 6 V. Il preregolatore a 6 V alimenta quindi altri regolatori. I suoi blocchi di monitoraggio e protezione, come un monitor di tensione, un autotest integrato analogico, un monitor della perdita di clock, il monitoraggio della temperatura di giunzione, la limitazione della corrente per gli alimentatori e il monitor del segnale di errore MCU migliorano la copertura diagnostica e riducono la frequenza di guasti non rilevati.
  • TI offre molti più dispositivi in questa categoria, come C2000 controller in tempo reale e il sensore radar automotive AWR1843 da 76 GHz a 81 GHz con DSP, MCU e acceleratore radar integrati. Tutti questi prodotti sono dotati di documentazione dedicata relativa alla sicurezza funzionale a supporto del processo di sviluppo del sistema:
  • Calcoli del tasso FIT (failure in time) della sicurezza funzionale.
  • FMD (failure mode distribution).
  • FMEDA.
  • Analisi tramite albero dei guasti.
  • Un manuale sulla sicurezza funzionale che spieghi le funzioni di sicurezza del circuito integrato e come utilizzare i componenti esterni per ottenere una certa copertura e diagnostica dei guasti.
  • Un certificato di sicurezza funzionale del prodotto.

Prodotti Functional Safety Quality-Managed

Questa seconda categoria di prodotti comprende prodotti complessi che contengono funzionalità diagnostiche e sono progettati specificamente per sistemi che richiedono sicurezza funzionale. Tuttavia, questa categoria di prodotti non è sviluppata in base al flusso di sviluppo per la sicurezza funzionale certificato e utilizzato per la categoria di prodotti Functional Safety-Compliant, ma utilizza il flusso di sviluppo per prodotti standard con gestione della qualità standard per tutta TI.

Alcuni esempi di prodotti in questa categoria sono:

  • Il TCAN4550-Q1 è un chip di base del sistema automobilistico (SBC) con controller e transceiver CAN FD integrati. Questo dispositivo altamente integrato semplifica l’espansione del bus CAN FD utilizzando la porta SPI esistente, in modo che i progettisti possano mantenere la loro attuale architettura basata su microcontroller durante l’aggiornamento al protocollo di interfaccia CAN FD a maggiore larghezza di banda.
  • Il LP87702-Q1 è un doppio convertitore buck e boost da 5 V con le funzioni diagnostiche integrate che sono richieste dai sistemi radar mmWave conformi ASIL, tra cui un window watchdog e un riferimento di tensione indipendente che monitora la propria alimentazione in uscita, nonché due alimentatori esterni.

Come per i dispositivi Functional Safety-Compliant, per agevolare la progettazione del sistema di sicurezza funzionale forniamo una vasta documentazione che include un calcolo del tasso FIT di sicurezza funzionale, FMEDA e un manuale di sicurezza funzionale; tuttavia, a differenza dei dispositivi Functional Safety-Compliant, non sono incluse l’analisi tramite albero dei guasti o la certificazione del prodotto.

Prodotti nella categoria Functional Safety-Capable

La terza categoria di prodotti è costituita da circuiti integrati più semplici, sviluppati utilizzando il flusso di sviluppo con gestione della qualità standard di TI, simile alla categoria di prodotti Functional Safety Quality-Managed.

I prodotti Functional Safety-Capable in genere non hanno funzioni di sicurezza integrate e quindi, generalmente, non dispongono di funzioni di monitoraggio e diagnostica interne, che sono più comuni per i dispositivi delle altre categorie di prodotti di sicurezza funzionale di TI.

Poiché questi prodotti non integrano funzioni di sicurezza complete, non dispongono delle funzioni di monitoraggio e diagnostica interne comuni ai dispositivi delle altre categorie. Sono comunque elementi costitutivi importanti per i sistemi di sicurezza funzionale: TI fornisce quindi informazioni fondamentali, come i tassi FIT di sicurezza funzionale e la FMD, che i progettisti possono utilizzare nelle loro analisi di sicurezza.

Alcuni esempi di prodotti in questa categoria sono:

  • Il termistore lineare più piccolo del settore, TMP61-Q1, apprezzato per la sua deriva del sensore <1% sul lungo termine e per i vantaggi in termini di precisione rispetto ai termistori tradizionali. La nostra alternativa al termistore, il TMP235-Q1, un circuito integrato per sensore di temperatura di precisione che raggiunge ±1,5 °C senza calibrazione.
  • Il TPS3840-Q1, circuito integrato supervisore di tensione o di ripristino. Questo dispositivo con qualifica AEC-Q100 può funzionare con un’ampia gamma di tensioni da 1,5 V a 10 V e presenta una corrente di alimentazione di soli 350 nA tipici e 700 nA max.
  • Il TPS7A16A-Q1, regolatore di tensione a basso dropout da 100 mA a 60 V con corrente di riposo di 5 μA, con qualifica AEC-Q100, è progettato per applicazioni alimentate a batteria continue o sporadiche (backup di alimentazione) in cui è importante la corrente di riposo ultra-bassa. Questo dispositivo è adatto per generare un’alimentazione a bassa tensione da soluzioni multicella che vanno dai pacchi batterie per elettroutensili ad alto numero di celle fino alle applicazioni automobilistiche. Il TPS7A16A-Q1 può non soltanto alimentare un rail di tensione ben regolato, ma può anche resistere e mantenere la regolazione durante i transitori di tensione.

 

Figura 1. Il processo di sviluppo standard con gestione della qualità su cui possono essere aggiunte ulteriori attività di sicurezza funzionale.

 

Il processo di sviluppo di TI

A causa della complessità dello sviluppo della sicurezza funzionale, potrebbero essere necessarie ulteriori informazioni in aggiunta alla certificazione TÜV SÜD in merito alla cultura e al processo di sicurezza di un’azienda. Ecco perché TI ha creato un processo di sviluppo per la gestione degli errori sia sistematici che casuali (vedere la Tabella 2 nella pagina seguente).

Seguiamo un flusso di sviluppo con gestione della qualità per tutti i nostri prodotti in modo da ridurre la probabilità di guasti sistematici. Questo processo di sviluppo standard, come mostrato inFigura 1, presenta molti elementi necessari per gestire i errori sistematici. Inoltre, è possibile utilizzare la documentazione e i report di questi prodotti per garantire la conformità con un’ampia gamma di standard per applicazioni finali, inclusi i sistemi automobilistici e industriali conformi a ISO 26262-4 o IEC 61508-2.

Il processo suddivide lo sviluppo in queste fasi:

  • Valutazione.
  • Pianificazione.
  • Creazione.
  • Validazione.

Il flusso di sviluppo della sicurezza funzionale di TI deriva dalla ISO 26262 e dalla IEC 61508. Abbiamo aggiunto diverse attività specifiche per la sicurezza funzionale a ciascuna fase del nostro processo di sviluppo di nuovi prodotti standard per sviluppare le nostre tre categorie di complessità dei circuiti integrati basate sulle normative.

Come indicato nell’Allegato A della ISO 26262-2:2018, il processo di sviluppo di TI sostiene e incoraggia l’effettivo raggiungimento della sicurezza funzionale. Il processo di sviluppo promuove lo scambio di informazioni relative alla sicurezza funzionale tra tutti i team coinvolti nello sviluppo del prodotto.

I team di TI seguono standard adeguati per mantenere regole specifiche dell’organizzazione per la sicurezza funzionale, mentre i processi di TI assicurano la risoluzione delle anomalie di sicurezza identificate. Seguendo gli standard del settore, TI assiste i propri clienti mantenendo un sistema di gestione della qualità che supporti la sicurezza funzionale.

 

Tabella 2. Le attività di sicurezza funzionale si sono sovrapposte al processo di sviluppo standard di TI.

 

Una gamma crescente di soluzioni per la sicurezza funzionale

La progettazione della sicurezza funzionale si concentra sulla pianificazione di pericoli, guasti e mitigazione sin dalla fase di ideazione. Essa implica un’analisi conforme agli standard di un sistema per guasti ed efficacia degli schemi diagnostici implementati. Il tutto ruota intorno ai dati su ogni prodotto che entra nella costruzione del sistema.

TI contribuisce a soddisfare questa esigenza continuando a sviluppare prodotti pertinenti e rendendo disponibili tutti i dati e tutta la documentazione necessari per questi prodotti in modo da consentirne l’uso nelle applicazioni di sicurezza funzionale.

[/boris]

Boris Landoni

Technical Manager di Futura Group srl & Direttore della rivista Elettronica In

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Menu