55

FUNCTIONAL SAFETY |

hardware

EMBEDDED

58 • NOVEMBRE • 2015

sarà obbligatoria nei prossimi anni per tutti i

costruttori di automobili e per i fornitori del set-

tore automobilistico che operano in Europa.

Pioniere della sicurezza funzionale, il produttore

svizzero di semiconduttori Micronas offre il pri-

mo sensore senza contatto a Effetto-Hall confor-

me alla normativa ISO 26262, consentendo così

ai suoi clienti di rispettare fin da ora le severe

norme di sicurezza grazie alla nuova famiglia di

sensori “ASIL ready” HAL 15xy.

Introduzione all’ISO 26262

Lo sviluppo di un sistema conforme alla norma

ISO 26262 si basa sul “ciclo di vita di sicurezza”

descritto nella norma che inizia con la definizio-

ne del sistema oggetto dell’applicazione e la va-

lutazione del rischio da parte del produttore di

auto.

I requisiti di sicurezza risultanti sono quindi as-

segnati a uno degli “Automotive Safety Integrity

Levels”, noti anche come livelli “ASIL”. Esistono

quattro livelli, identificati come A, B, C e D, dove

D identifica il più alto requisito di integrità di

sicurezza del sistema e dei suoi componenti.

Dopo aver definito e classificato i requisiti di si-

curezza di un’applicazione, il fornitore del siste-

ma specifica il concetto di sicurezza e la sua real-

izzazione tecnica per il sistema. Questi sono an-

che i requisiti per i singoli componen-

ti, ad esempio per il sensore “switch”

a Effetto-Hall. Durante il processo di

sviluppo del sistema e dei suoi compo-

nenti, tutti gli aspetti dello sviluppo

hardware e software, inclusi i processi

di concezione iniziale, progettazione,

test, verifica e produzione, comporta-

no una vasta redazione di documentazione. Per

verificare se un componente hardware, come

ad esempio un sensore “switch” a Effetto-Hall,

è conforme ai requisiti di sicurezza a livello di

sistema, si fa riferimento alla relativa specifica

hardware. Per valutare la conformità ai requisiti

di sicurezza in termini quantitativi, sono state

definite nella norma ISO 26262 le seguenti met-

riche:

“Failure in Time” (FIT Rate):

il “FIT” rate

descrive il tasso di guasto di un componente tec-

nico, vale a dire il numero di guasti che si verifi-

cano in 109 ore.

“Single Point Fault Metric” (SPFM):

“SPFM”

specifica la robustezza del sistema in termini di

guasti, il verificarsi dei quali comporterà diret-

tamente il mancato funzionamento dell’intero

sistema. Più alto è il numero, più elevato è il nu-

mero di diagnosi implementate nell’ hardware

per rilevare i singoli guasti.

“Latent Fault Metric” (LFM):

“LFM” specifi-

ca la robustezza del sistema in termini di guasti

che possono causare un malfunzionamento del

sistema non immediato ma solo in combinazione

con altri guasti. Anche in questo caso più alto è

il numero, più elevato è il numero di diagnosi

implementate nell’hardware per rilevare i difetti

latenti.

A seconda della classificazione ASIL, il sistema

deve rispettare i requisiti riportati in tabella 1.

La classificazione ASIL è una caratteristica

dell’applicazione e può essere applicata solo a li-

vello di sistema. I singoli componenti del sistema

possono contribuire solo a raggiungere i requisiti

di sicurezza specificati a livello di sistema.

Come indicato in tabella 1, l’ISO 26262 non dà

prescrizioni specifiche per l’SPFM e l’LFM per il

livello “ASIL A”. Purtuttavia, l’implementazione

di alcune misure di diagnosi nella famiglia di

sensori HAL 15xy garantisce un valore di SPFM

superiore al 60 per cento.

Tabella 1 – Requisiti ASIL e metriche correlate

ASIL

QM A

B

C

D

Fault rate

-

< 10-6/h < 10-7/h < 10-7/h < 10-8/h

SPFM

-

-

> 90% > 97% > 99%

LFM

-

-

> 60% > 80

> 90

Fig. 1 – Alzacristallo elettrico in una vettura