TI TMS570 安全技术在汽车中的运用 - A

大家下午好 我是TI负责 EP 也就是数字处理器这类的 芯片 我姓周 周海发 我今天主要给大家讲讲TI在汽车的这个应用里面 的模拟料之外的数字料 就是EP的产品 首先讲570 它其实是一个 很前沿的一个东西 为什么呢 因为这个产品出来面向我们的产品大家接触的不是很多 为什么 因为之前主要是在德国 博世和康体这种类型的客户里运用 然后在市场上 通用市场上见得不是很多 大家没有机会了解其中的一些原理 那我们会介绍570是一个什么样的东西 它可以帮助我们做什么 汽车里能达到一个什么样的应用的目的 谈到570蓝牙 就会谈到功能安全 功能安全这个东西 在座的各位都是跟汽车行业相关的 对这个概念非常理解 其实功能安全在最早的时候 有很多事件触发了功能安全这个概念的提出 这里就是我们看到的一个油井 美国的一个油井爆炸起火 然后大概死了一些人 其实里面 爆炸的原因是一个非常非常小的点 就是油管里面的油压太高了 但是检测的机制不起作用 导致的爆炸 但这个爆炸现在看来有很多方式去规避 但当时没有功能安全的概念没有做这方面的处理 最后导致了严重的后果导致了生命的问题 这是一个方面 还有就是大家可以看丰田在美国的事件 丰田赔了很多钱 这里也是因为功能安全的问题 大家可以想象以下全球有这么多汽车在路上跑 每天跑很多小时每天高温低温 白天晚上 不同的区域 总归会有一些问题 这些问题如何规避 不规避会有人生财产生命的问题 规避的话 就会比较安全 我们的功能安全有两个目标 第一个 第一是实现功能如果你停在路上 不能跑 你是安全的 但没有功能也不行 第二 能跑了之后 如果出问题 怎么办呢 我要可预见 这是功能安全的一个核心概念我要可预见 出问题 我要可预见 才有相应措施去做相应的保护 否则很危险这就是功能安全的核心概念 功能安全 在汽车上面 大家知道 26262这套体系 前身是 61508 61508原来是给工业用的 但工业毕竟是工业的 核电是核电的电厂是电厂的 但是这个标准在汽车和电机上不一定适用 在其他医疗和航天领域不一定适用 所以61508是现在所有标准的母版 在这个基础上我们有各种各样的专门的安全 26262就是汽车这块的2201就是电梯这块的 医疗还有其他东西 26262就是将整个汽车大家可以稍微关注一下这句话 把整个汽车分成不同的部分每个部分的话 我需要达到一个功能安全的需求 那汽车里面 对功能安全有要求的大概就是这些 几个核心的部件 这都是跟驱动啊 power change 刹车这边相关的 我们看一下 这是VCU我们能叫charger importer 电机驱动这块 这是ABS 这是EPS 的转向 然后这个是锂电池保护 这个是转高压的一个DCDC 电池电压抬升抬升做一个无线压的控制 然后这边是充电桩 其实还好 没有太多的功能安全的需求 这是电池管理 这是DCDC辅助电源 其实这里大部分东西都有功能安全的需求 有的可能是ASIL C 有些是ASIL D 不一样 但不论如何这几个部件对汽车都很关键 假设我的电动汽车里面这块或这块出问题了 那车子肯定停下来 这个出问题车子肯定停下来 没有一个不停下来的这里的东西 对汽车都很重要的因为这涉及到生命的安全 所以这些部件肯定有一个高级别的功能安全的需求 对功能安全 TI有一个专门的芯片 叫做Hercules 来做这一块 为什么呢 它有两个产品 一个是RM系列 一个是TMS570系列 就是在RM和570系列之前我们与一个很老的系列 那这个系列我们见不到但大家把车子打开 里面全是这个芯片 RM系列呢 它是一个攻略ASIL3主要做工业的安全 还有一个特别的地方就是它是105度的 那汽车就不一样了 它是2626的FCST ASIL3 已经很高了 ASILD已经到了遥不可及的味道 汽车里面还有一个关键的125度的要求 我们的570系列可以做26262也可以做62508 SIL3 这个芯片都是通过这样的标准 汽车里面通常要有大flash 大RAM啊 EK这些东西也是要有的 TI做汽车的功能安全我们主要是推这颗的 这个系列叫TMS570 TMS570是基于的Cortex R一个内核 就是Cortex R 是做实时处理的 什么地方需要做实时处理 就是电机电源啊 这种地方 所以这个产品在汽车各个方面的场合都可以用 它有低中高端的 所以可以做各种应用 我们看到的这些 它基本上都可以胜任 我们有这方面的参考设计这方面的市场占有率非常高 这方面有参考设计 这个都可以做 这是570产品发展的一个规划图 大家可以看到 S03 04 07 09 12 31 43 它们的内核都是一样的都是双核守护的方式 它们的区别可能是大一点的差异 但从外设的IP来讲的话 大概是一样的 然后从芯片的代码和驱动来说 很多都是兼容的 包括100-pin 140-pin也是完全兼容的 这是功能安全的一些标准功能安全最大的目的是 降低你的风险 从MCU或处理器的角度来讲 这是两方面的工作一个是你这块的东西 就是跟你的开发流程 大V 小V啊 相关 另外一方面就是和你的工具相关 你的系统的失效相关这什么意思呢 很简单 上次我也讲过比如你写一个代码 一加一等于二的你等于三你就出问题了 这个是需要你自己负责的 绿色的叫software certification software CSP 我们后面会讲 包括compiler quality啊 Complier Qual kit 这边是需要一些工具来支持的 工具很多是要通过26262的认证的 什么意思 就是570芯片本身是要过26262的 但是芯片的开发包括流程啊 工具集啊 也是需要26262认证的 否则你无法证明自己是可以的 或者你的失效率是很低的 这是一方面还有一方面就是红色的部分 红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西 一般有一个FMEDA的东西对570肯定也是必须的 具体来看看 就是从MCU这种产品的开发角度来讲 有三个方面是非常非常关键的 第一个是 你的开发流程 第二个软件的驱动库 你的工具集 第三 你的硬件的失效率 这三点对应到我们刚才讲的三点 第一是这个 第二是工具集第三是硬件 这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构 你是TUV也好 还是SGS 你都要证明这三个方面都是安全的 没办法证明 你肯定过不了 26262 有办法证明就可以通过 基于这三个方面 TI 都有相应的标准 或者过了相应的标准的证书 那我们来看看 TI是第一家做功能安全的半导体厂商 我们在这里的经验是非常丰富的 我们做了20多年 别的都是从TI挖人去做 TI是最好的因为TI在这行业进入是最早的 我们的第一个device是在2013年就过了SIL3的标准 2011年 那还是26262刚刚出来 我们已经把61508这个标准过了 关于功能安全的开发流程 我们是在13年过的 [听不清]和26262 ASILD 就是这个芯片的硬件开发流程我们也是过了26262和61508的 我有芯片 但我的开发流程对不对呢 就好比你做自己的VCU或EPS 你有自己的流程 能不能过26262 也是你们关心的 另外我们的Hercules芯片过26262加上61508 主要是570这块的话 大家可以看看 我们是IEC 570系列全系列都过了 另外就是软件方面 因为它是MCU 软件也有有相应的功能安全的支持 软件的开发流程我们也是过了这块的 这边可能大家有问题 软件开发流程是我自己写的 为什么 TI要过这个呢 因为软件开发流程里面 我们会做570相关的一些Library 驱动 这些东西也是需要过认证的 有了这个 你才可以做应用层才能做其他东西 是这样的一个概念 大家可以看看 在我们刚才涉及的三个方面 我们都有相关的认证 这在业界里面应该是最全的一家 好具体看看 先看这个随机失效率 其实就是硬件的随机失效率 我要降低硬件的随机失效率 达到ASIL的要求 C也好 D也好 这个东西怎么做 当然我们有FMEDA 这个图很简答 解释的东西是 我的总体的系统的失效率 是多少 通常如果你不做26262这个系统的话 不按这个系统来做的话 你的失效率一般会很高 我们看这个颜色比较红 那过了26262这个体系后 我们可以把它降低到一个可接受的范围 这是26262跟我们要做的一个事情 硬件失效率方面主要有几个指标 一个就是FITS这个概念 意思很简答 就是说 一个FIT对应一个十个九次方的工作时间 一次失效 就是一个FIT 那这个概念可能相对更容易理解 如果有100万辆车 每天在路上跑 跑四个小时 跑一年 如果发生150次失效 就是对应大概100个FIT FIT的概念非常关键 因为我们后面看到的功能安全等级 都是按照FIT来计算的 不是按照150次失效 或者1次失效来计算的 硬件失效有两个模式 一个是永久性的失效 比如 这个图看到还可以 比如芯片的封装直接打坏了 这就是永久失效 没办法恢复 另外就是随机的临时失效 这种失效情况更复杂比如你的高低温啊 我举个例子 比如在非洲跑的车子去北极跑了 或者到南极跑了还有就是比如宇宙射线啊 对你的影响啊 特别是对RAM的影响 会导致一些临时的失效但你离开这种场景之后 你可能恢复过来了 这就是一个短暂的失效 这对硬件的失效模型来讲是这样的 但这会对应有一个失效率 这种失效率呢 我们用RAM来计算但对于这种临时的失效率 TI 是有一个具体的数据的不是我们猜测的数据 而是在我们的洛杉矶实验室和TI自己的实验室测试出来的 这个很关键 因为你在做26262或者SIL3也好 ASIL C也好ASILD也好 ASIL B也好 不管你对硬件方面电阻电容 你要提供一个失效率和失效模型 没有这个正式的失效率 你是没办法做后面的计算的 后面我们会讲到 主要是跟FMEDA相关的 你的FIT的计算实际上是帮助你的失效率来计算的 没有失效率 你是没办法计算FIT的 这是26262 我们看到的一些关键的概念 这个就对应了几个主要的安全等级 主要是对应了下面几个方面 第一个就是我们讲的FIT 第二个潜在失效率 还有这是单点的失效率 这三者之间的关系大概是这样的 如果做ASIL C的话 我的单点是大于97%的 诊断是97% FIT是小于100 潜在的话是大于80% 其实这个里面 这个比较关键一些 为什么呢 因为单点失效率的话 相对于FIT和这块的话 我个人觉得 是比较关键的 因为你选择一个好的芯片 一个好的IC的话 你可以很好的去控制它 如果你选择的IC不够好 你很难去控制它 简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容 我就可以做 那ASILC和D为什么难做呢 就是大家不要看这七个点其实他们背后的逻辑是非常复杂的 是非常非常复杂的 ASIL C和D是有一些差别的 但不是一个数量级的差异但ASILB和C呢 是一个数量级的差异