第三讲-功能安全实现示例

+荐课 提问/讨论 评论 收藏 分享
TI Hercules的安全CU有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和(听不清) 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的门电路做一个诊断 看是否有物理上的损伤 具体的大家可以参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有一个100微米的距离 从空间上可以避免供应干扰 从时间上来说我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以帮助检测随机失效 一旦检测到随机失效 系统就可以进行相应的操作来保护系统 前面我们已经讲了很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行危害分析和风险评估 应该分析每种可能的系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部(听不清)获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用(听不清)势能或者关闭电机驱动部分 如果转向扭矩中的中转器信号低于特定的阈值 应该把电机驱动的部分disable
课程介绍 共计7课时,54分42秒

功能安全与TI功能安全MCU方案介绍

ARM DSP 微控制器


推荐帖子

德州仪器用2000万小时给出使用氮化镓(GaN)的理由
本帖最后由 alan000345 于 2018-11-26 20:30 编辑 作者:德州仪器(TI)氮化镓解决方案高级技术战略经理Masoud Beheshti在多伦多一个飘雪的寒冷日子里。我们几个人齐聚在本地一所大学位于地下的高级电力电子研究实验室中,进行一场头脑风暴。有点讽刺意味的是,话题始终围绕着热量,当然不是要生热取暖,而是如何减少功率转换器产生的热量。我们已经将MOSFET和IGBT...
alan000345 TI技术论坛
浅析CC2540的OSAL原理(转载http://blog.csdn.net/itas109)
转载http://blog.csdn.net/itas109 一概述   OSAL (Operating System Abstraction Layer),翻译为“操作系统抽象层”。OSAL就是一种支持多任务运行的系统资源分配机制。OSAL与标准的操作系统还是有很大的区别的。简单而言,OSAL实现了类似操作系统的某些功能,但并不能称之为真正意义上的操作系统。 二、OSAL任务运行方式 ...
HaoLi 无线连接
基于IEEE 802.16e技术的WiMAX网络应用方案研究
     IEEE 802.16工作组近期发布了支持固定和移动宽带无线接入的无线城域网标准IEEE 802.16-2004和IEEE 802.16e。IEEE 802.16-2004和IEEE 802.16e均为物理层和媒质接入层的规范,其中无线城域网标准IEEE 802.16-2004是IEEE 802制定的固定宽带无线接入规范,IEEE 802.16e是对IEEE...
Jacktang 无线连接
易电源学习心得体会
最近工作很忙,坛子里好多的活动都没有参加,这个活动我感觉非常好,从中学到了电源的不少东西,以前只是在那里用电源,从来没有去对电源的内部进行深入了解,谢谢这次活动。...
zheng522 模拟与混合信号

zhangleiat185

安全很重要,必须重视

2020年07月13日 14:11:08

大明58

功能安全与TI功能安全MCU方案介绍

2020年03月25日 10:16:16

zx1988ZX

好好学习,天天向上!

2019年10月27日 14:15:48

shakencity

学习学习功能安全与TI功能安全MCU方案介绍

2019年10月15日 16:35:16

zly1986ZLY

好好学习,天天向上!

2019年10月13日 11:16:03

azhiking

功能安全与TI功能安全MCU方案介绍

2019年05月28日 13:37:17

zwei9

学习学习

2019年05月23日 01:28:37

hawkier

好好学习下

2019年04月16日 12:02:18

hellokt43

好好学习天天向上...

2019年03月22日 09:46:51

nick_liu1129

学习、学习、学习一下

2019年03月20日 20:27:21

凤凰息梧桐

学习一下

2018年12月08日 20:07:58

song430

看看

2018年11月15日 09:08:58

分享到X
微博
QQ
QQ空间
微信

About Us 关于我们 客户服务 联系方式 器件索引 网站地图 最新文章 手机版

站点相关: EEWORLD首页 EE大学堂 论坛 下载中心 Datasheet 活动专区 博客

北京市海淀区知春路23号集成电路设计园量子银座1305 电话:(010)82350740 邮编:100191

电子工程世界版权所有 京B2-20211791 京ICP备10001474号-1 电信业务审批[2006]字第258号函 京公网安备 11010802033920号 Copyright © 2005-2021 EEWORLD.com.cn, Inc. All rights reserved