第三讲-功能安全实现示例

TI Hercules的安全CU有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和（听不清） 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的门电路做一个诊断 看是否有物理上的损伤 具体的大家可以参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有一个100微米的距离 从空间上可以避免供应干扰 从时间上来说我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以帮助检测随机失效 一旦检测到随机失效 系统就可以进行相应的操作来保护系统 前面我们已经讲了很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行危害分析和风险评估 应该分析每种可能的系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部（听不清）获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用（听不清）势能或者关闭电机驱动部分 如果转向扭矩中的中转器信号低于特定的阈值 应该把电机驱动的部分disable