TI TMS570 安全技术在汽车中的运用 - B

那570在这一块的话 我们是怎么做 各方面的失效率 或者换个角度来讲 我们如何诊断它 因为失效的话 我们都需要相应的措施去诊断 你诊断降低这个失效就可以 提高单点也好 潜在也好 这个可能性也好都可以去做 所以 我们主要来看看570的诊断是怎么做的 其实里面最常见的一个就是诊断 那谈到诊断的话 我们这里有几个概念 大家看看这个红色的地方都是跟功能安全相关的地方 比如内核 内核是两个内核 同时在运算 同时在执行相同的代码 要不然会有一些时间差 执行出来的结果然后做一些比较 这就是我的诊断 RAM FLASH我有ECC校验 当出现错误 当出现一些BIST 我就可以自己去纠正 当出现很多的BIST 我就可以去报警 那芯片通过ESM进入一个安全的状态 那就是我的一个诊断 我上电对EIC 对PR 就是我的时钟 对电源我都能去检测 这也是我的诊断 对我的代码 对我的RAM 对我的flash 对我的CPU进行一个自检 这也是我的一个诊断 包括提供一些 当然这个总线是经过一些特殊的处理 包括我们提供两个ADC去做 同样的数据的采集 这也是一个数据的采集 大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式 去帮你实现更高等级的这样一个 硬件失效的一个可能性 所以570在这里 这种逻辑结构 这种方式 这种安全的思路 都是TI自己设计出来的 而且是经过很多测试的 而且我们的测试不是简单的TI实验室测试 我们在很多的 因为这个产品是在美国的德州休斯顿 那边做的 那边靠的是宇航中心 有很多测试都是在宇航中心做的 所以这个芯片为什么是第一颗能拿到2626 61508的认证 就是TI做了很多的硬件加软件的机制的保护 这是硬件层面 这是一个简单的例子 关于诊断这个 设计 这个是诊断内核 内核是Lockstep 就是双核锁控 大家可以看出来 为什么这个是这种正常的摆放 这种是翻转了以后的摆放 其实是有自己的逻辑依据的 因为两个核如果你是叠加 或者水平放的话 你是很难去 或者说你没办法 怎么讲 也不是没办法 就是它比物理上这种自动摆放 它是更容易规避现场的一些可能的 可能的一些问题 或者说 这种方式的安全性会比平行啊 或者其他方式更高 他们两个会执行同样的代码 同样的代码进来 都会有相同的接口出来 当然 一个是在执行前加了一些delay 一个是在执行后加了一些delay 两个delay肯定是一样的 结果 结果出来以后变成同样时刻的一个结果 然后进行比较 如果比较出来的结果是一致的话 那我认为我的执行没问题 那如果不一致 说明我的结果是有问题的 说明某一个核出问题了 这时候需要进入某一个安全的状态 这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了 其实道理是类似的 那其实针对硬件这块的话 有了诊断 有了这么多硬件的功能诊断以后 我们在客户层面去实现这个功能 这个诊断 我们怎么做呢 就需要一个指导的手册 叫做safety manual 这个在TI的网站上可以下载 我这里不去讲 它是跟芯片的每一个模块也好 跟功能相关的地方也好 会有一个介绍和解释 你怎么做 会达到一个怎么样的安全等级 safety manual是配合FMEDA做的 FMEDA大家可能比较清楚 就是我这个芯片 最后要计算我的filter 单点也好 潜在也好 可能失效也好 我需要使用FMEDA这个工具 其实就是一个EXCEL的表格 里面是对所有模块非常详细的一个介绍 当然除了模块还有功能方面的东西 它包括下面几个系统 大家做功能安全的话 一定要这个 这个不管你是用TI的还是其他的 你都要用 刚才讲的硬件失效的话 package 包括内核Die啊 包括随机的一些 临时的失效 这是FMEDA大概的一个样子 它是一个EXCEL的表格 有很多的功能 有包括软件和硬件方面的东西 你可要选择用不用这个工具或诊断方式 你用了的话 对应的一个功能和结果 安全性更高 你不用的话 安全性会低一些 但不管如何 你最终要选择一个平衡 去达到你的ASIL C D的要求 这个是FMEDA里面的内容 大家可以看一下 这里有模块 [听不清]模块 这里[听不清]会跟你讲 要用哪些具体详细的功能 然后如果你用了 选1 不用选择0 FMEDA根据你最后选择的内容 最终会为你生成一个结果 告诉你最后能达到怎样的诊断覆盖率 多少FIT 多少单点的 多少潜在的 都在这里 这个只是一个例子 根据这个结果 你可以计算你可以达到多少ASIL的要求 这个是功能开发的 特别是跟硬件相关的 一个方式方法 它是干什么的呢 其实这边有个图 很简单 一般你做功能安全 你需要一个方式safety的 你要知道有这个流程 在这个流程中 第一步 你要知道自己要做什么 比如我要做BMS还是电机控制 还是[听不清]还是其他VPS 那下面你要做的是 我这个产品里面 我存在什么风险 我要做一些分析 比如你BMS 它的风险是什么 它会爆炸对吗 那它爆炸的话 在这个基础上 你可能要去 分析它对应的功能安全等级的要求是什么 是ASIL D还是C 在这个基础上 在有了功能安全的等级后 你可能想细化你的安全目标是什么 你要达到什么样的安全目标 BMS会爆炸 我要控制它的什么 因为什么会爆炸呢 过温啊 过冲啊 为了不让它过温 过冲 我的安全目标是什么 我要知道 下面是一些详细的一些 功能安全要求 这个会结合到你的功能安全硬件上去做 包括你的主芯片 辅助芯片 电阻 电容 其他的 这个地方你要去算了 这个时候 就会有刚才提到的 比如单点效率啊 潜在风险啊 这个都会有 这里面有一个很成熟的算法 在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算 看完了硬件 我们来看软件相关的东西 这些是配合你的硬件来实现的 你只有硬件 没有软件是肯定不行的 而且这个软件是跟功能安全相关的开发的支持 这是功能安全的一个基本的软件框架 这是芯片 我们叫做硬件层 在这个基础上 我们叫软件的外设的驱动 外设的驱动 这样你会有安全的 这个操作系统 可能是RTOS 在这个基础上 AUTOSAR 是你的应用层面的一个library 你可能有很多任务 很多任务之间可以做成Library的方式 然后就是你的应用层 application library和Autosar 你可能会有诊断的一些机制 你要怎么做诊断 保证你的代码 方方面面都是安全的 或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好 我要做检测 那我肯定要有诊断的机制 不可能一个外设我配置好了以后 就直接跑了 这是不可能的 因为在运行过程中的安全 这里TI提供了很多资源 帮助你去实现这个东西 第一个是我们的HALCOGEN 就是外设驱动生成的工具 是一个人机话配置的界面 你在上面可以配置初始化的外设 可以把C代码直接生成 C代码生成之后你可以直接通过你的Autosar 我们有一个M Call 有这样的M Call在里面 这是第一 第二 就是有一个诊断的库 HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置 电源 时钟 外设 包括所有的东西都可以去配 诊断库刚才有讲到 就是我要初始化跟功能安全相关的一些机制 然后我要注入一些故障 否则我怎么知道安不安全呢 故障以后 我需要ESM这个模块去处理 出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态 这是诊断库做的事情 那无论如何 我们把它整理成一个compliance support package 里面有很多文档 教你如何去用这个东西 当然这里面 是收费的 毕竟还是过了ISO26262的东西 提到26262 这个是全是钱堆的 这个东西一般都有额外的收费 另外是跟软件相关的 刚才是生产的代码的东西 然后是跟软件相关的编辑器 我代码写好了 逻辑没问题 编辑器得出的结果出了问题 这是得不偿失的 就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准 软件硬件都要过 才能达到系统的安全 这就是刚才我们上一页大家还记得有一个直角 show me evidence 给我看看你的证据 有了证据你可以通过 没有证据 你要想办法证明 这个工作量是很大的 过了26262说明 它是可以去认可的 当然对于26262 不同的认证机构 不管是SGS 也好 他们可能各自有自己额外的要求 但是 就是各自对26262有自己的一些要求或理解也好 基本上过了26262 都是认可的 AUTOSTAR是里面绕不过去的一个东西 现在大家做汽车 AUTOSTAR 也跟着很流行起来 它在国内有几家供应商 比如EP ES 然后还有一个什么 还有一个叫什么 RTOR 对吗 AUTOSTAR简单来说 就是一个 纯软件的东西 帮你干什么呢 帮助你做系统相关的 你可以把它当做一个操作系统 帮你做系统相关的调度 调度可以保证你的代码生成 不会出错 因为汽车行业 代码量是非常非常大的 你没有一个很好的操作系统AUTOSAR去帮你处理的话 你写出来的代码是很难保证功能安全的 AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西 然后直接代码生成 是一个非常非常好的工具 当然它对内存和系统资源占用也很多 使用AUTOSART是一个操作系统 对你的底层是有一些要求的 你要提供符合它的底层要求的一个库 叫做M CALL我们570肯定有这方面的支持 最后 我们讲讲 570其实在 为什么在很多功能安全领域都选择570 我现在手上有很多客户 都在做570 不管是工业还是汽车 包括BMS也在做 是有很多考虑 总体来讲讲 首先从产品的角度 我们产品的覆盖面还是很广的 从小到大的flash 从高主频到低主频 产品系列还是比较全的 然后相同的[听不清]都是兼容的 在这个行业里面 因为570的资源比较特殊 特别是外设的资源比较特殊 所以它对汽车的[听不清]也好 ABS AIRBAG也好 ESP也好 它都能做 而且我们有很多成功的案例 在国内比较少 国外特别特别多 在国外特别多 当然AUTOSTAR也是支持的 从芯片角度 我们这样看 第二从570的历史数据来看 这个很关键 570的历史数据来看 还是非常强劲的 570已经做了20多年了 就是我们Herclus570已经做了20多年了 Q100肯定是没问题 我们到目前为止是0个dppm 这个是非常难做的 或者 非常难实现的 一个小插曲 当年我们 我们当年跟博世谈的时候 就是这个要去 但是TI没答应 因为无法保证 但TI的目标肯定是Q100 这就是在20年来 我们都是0dppm 这是非常非常难做的 20年[听不清] 这是非常难做的 温度等级我们就不谈了 下面是一些应用和26262相关的 这块TI不输任何的竞争对手 因为我们是最早做的 然后在工具集方面 文档 软件也好 其实方面也好 我们是非常全面的 刚才也看到 我们有很多软件的硬件的 包括配合的FMEDA 然后还有编译器的支持 相关软件的支持 TI 都有 OK 我要讲的东西差不多这么多