El contenido electrónico automotriz ha aumentado de manera constante durante las últimas décadas y no muestra signos de desaceleración, ya que muchas empresas tecnológicas y OEM compiten para desarrollar autos completamente autónomos. La autonomía puede variar desde ningún control hasta control total, pero la mayoría de los vehículos disponibles en la actualidad incluyen sistemas con cierto grado de autonomía, como el control electrónico de estabilidad (ESC) y el centrado de carril. Estos sistemas electrónicos, destinados a ayudar a los conductores, toman cada vez más decisiones por ellos, a menudo eliminándolos por completo del proceso de toma de decisiones. Si bien estos sistemas generalmente mejoran la seguridad del conductor y los pasajeros, pueden causar daños si funcionan mal o tienen debilidades de diseño.
El resultado son nuevos desafíos de desarrollo en toda la cadena de suministro automotriz. En 2011, la Organización Internacional de Normalización (ISO) publicó un estándar de seguridad funcional llamado ISO 26262, que describe las mejores prácticas de la industria para desarrollar sistemas automotrices relacionados con la seguridad. La adopción de este estándar es voluntaria, pero la mayoría de los OEM en todo el mundo exigen que sus proveedores cumplan. Los proveedores que retrasen la adopción de este estándar pueden perder futuras oportunidades comerciales.
La norma ISO 26262 contiene requisitos tanto para el proceso de desarrollo como para el diseño de sistemas electrónicos relacionados con la seguridad para vehículos de carretera. Estos requisitos se basan en una evaluación de peligros y riesgos del propio sistema. El alcance de esta norma se limita a fallas en los sistemas eléctricos o electrónicos. Como resultado, un sistema compatible debe ser capaz de identificar fallas y mitigar sus efectos para mantener la seguridad de los pasajeros. Por esta razón, las arquitecturas de seguridad actuales dependen en gran medida de los diagnósticos y la redundancia para detectar los componentes del sistema que funcionan mal y hacer la transición del sistema a un estado seguro. En general, este requisito llega a los proveedores de componentes de circuitos integrados al exigir más contenido integrado en las soluciones existentes y la capacidad de realizar diagnósticos y comunicar el estado.
Por ejemplo, considere un sistema que usa un sensor IC como un simple interruptor. Al ser una función relacionada con la seguridad, el sistema debe poder diagnosticar si la salida del sensor está en el estado correcto. Dependiendo de los requisitos y riesgos de su sistema, esto se puede lograr de varias maneras. Por ejemplo, se pueden agregar protocolos de comunicación y circuitos de diagnóstico complejos al propio sensor IC. Como alternativa, se pueden agregar sensores redundantes a nivel del sistema, pero sin la capacidad de mejorar la funcionalidad o comunicar diagnósticos en cada IC. En condiciones de funcionamiento seguras, las salidas de los dos sensores siempre deben coincidir dentro de una ventana de error definida, por lo que la comparación de salidas de sensores redundantes sirve como una especie de protocolo de diagnóstico. Ambos enfoques muy diferentes cumplen con los requisitos del sistema, pero tienen impactos muy diferentes tanto en el costo como en la disponibilidad del hardware adecuado (componentes del sensor) para hacer el trabajo. Los proveedores de componentes en el mercado automotriz ahora están tratando de comprender y responder a los requisitos cambiantes y las ventajas y desventajas de estos sistemas relacionados con la seguridad y brindar soluciones que los clientes puedan integrar fácilmente.
Desde la introducción de la norma ISO 26262, el concepto de lo que se considera “seguro” también ha evolucionado. En las primeras arquitecturas, la pérdida de un sistema como el sistema de dirección asistida era vista por muchos como un evento seguro pero molesto. La clasificación de la indisponibilidad del sistema como “segura” tuvo un impacto directo en la arquitectura del sistema. La arquitectura debe identificar y mitigar las fallas consideradas inseguras, pero no aquellas que provocaron la pérdida del sistema de dirección asistida. Como resultado, ya no es necesario identificar solo ciertos fallos de funcionamiento y no otros, lo que limita las funciones adicionales necesarias para la seguridad, como el diagnóstico en chip para componentes de circuitos integrados.
Las percepciones de lo que se considera seguro han cambiado a medida que la industria se dio cuenta de que la pérdida repentina de la dirección asistida podría provocar accidentes en adultos pequeños, conductores sin experiencia o ancianos. Los fabricantes de automóviles ahora requieren que los sistemas relacionados con la seguridad continúen funcionando hasta cierto punto en caso de falla. Este requisito de “fallo operativo” o “tolerancia a fallos” afecta directamente a la arquitectura necesaria para soportarlo. Los sistemas deben incluir varios niveles de redundancia dependiendo de si el rendimiento después de una falla puede degradar el rendimiento nominal. Los sistemas “tolerantes a fallas” representan la próxima generación de sistemas relacionados con la seguridad, y este tema se tratará en la segunda edición de la norma ISO 26262.
La consecuencia más directa de una falla del sistema de producción es el uso de funciones de sistema redundantes en una arquitectura que permite la transición a un sistema de respaldo en caso de una falla del sistema principal. En respuesta, los proveedores de componentes de circuitos integrados han comenzado a ofrecer troqueles dobles y triples dentro de un solo paquete para satisfacer la necesidad de redundancia sin ocupar espacio físico. Ofrecer soluciones de chips múltiples es un ejemplo de algunos proveedores de circuitos integrados que desarrollan nuevas tecnologías para satisfacer las necesidades específicas de los sistemas relacionados con la seguridad.