第三讲-功能安全实现示例
Loading the player...
将在30s后自动为您播放下一课程
TI Hercules的安全CU 有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟 功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和(听不清) 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌 pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的 门电路做一个诊断 看是否有物理上的损伤 具体的大家可以 参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是 Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证 在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟 功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由 两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有 一个100微米的距离 从空间上可以避免供应干扰 从时间上来说 我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了 从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu 里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以 帮助检测随机失效 一旦检测到随机失效 系统就可以进行 相应的操作来保护系统 前面我们已经讲了 很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是 在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的 PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解 驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生 影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了 之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL 等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行 危害分析和风险评估 应该分析每种可能的 系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到 功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是 意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时 控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能 对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格 就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统 更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部(听不清)获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的 ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员 输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用(听不清)势能 或者关闭电机驱动部分 如果转向扭矩中的 中转器信号低于特定的阈值 应该把电机驱动的部分disable
TI Hercules的安全CU 有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟 功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和(听不清) 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌 pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的 门电路做一个诊断 看是否有物理上的损伤 具体的大家可以 参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是 Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证 在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟 功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由 两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有 一个100微米的距离 从空间上可以避免供应干扰 从时间上来说 我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了 从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu 里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以 帮助检测随机失效 一旦检测到随机失效 系统就可以进行 相应的操作来保护系统 前面我们已经讲了 很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是 在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的 PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解 驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生 影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了 之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL 等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行 危害分析和风险评估 应该分析每种可能的 系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到 功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是 意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时 控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能 对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格 就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统 更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部(听不清)获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的 ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员 输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用(听不清)势能 或者关闭电机驱动部分 如果转向扭矩中的 中转器信号低于特定的阈值 应该把电机驱动的部分disable
TI Hercules的安全CU 有哪些安全指能特性
接下来我们来介绍一下
根据MCU的故障模型和估算的失效率
以及sil或者是asil风险降低的要求
终端产品系统和子系统的开发人员
必须执行各种过程
来获得以实现功能安全
随机故障 指标目标的信心
Hercules MCU实现了各种安全机制
和诊断功能
以帮助诊断各种失效
并在检测失效时对其作出反应
这张框图是Hercules MCU的框图
我们可以看到 主要分为三个部分
红色 蓝色和黑色
红色部分是跟 功能安全核心相关的部分
我们称之为安全岛的概念
主要包括双核索普架构架构的CPU
带ECC校验的memory空间
包括flash RAM和(听不清)
都带有ecc校验功能
一个别的错误我们可以自动纠正
两个或者两个以上可以报错
另外包括时钟 锁相环 片向电源监测
crc校验 错误项管理模块
rti等 都有相应的诊断功能
除此之外 我们可以看到
Hercules MCU内嵌 pbst和lbst等自检功能
pbst主要是对可编程memory空间
也就是ram区的自检
lbst主要是逻辑自检
主要是对cpu内部的 门电路做一个诊断
看是否有物理上的损伤
具体的大家可以 参考Hercules MCU相应的用户手册
来了解相应的功能
蓝色部分主要是 Hercules MCU的通信接口
ADC GPR口
以及高端电视器接口等
这些模块主要是保证 在安全岛模块安全的情况下
再通过其它的安全机制
保证这些外设的功能安全性
另外还有黑色部分
黑色部分主要是跟 功能安全没有关系的部分
主要是一些G Tech接口
Trace 功能等等
这些模块在最终产品上是不需要用到
所以不需要功能安全特性
这里是两个mcu安全诊断功能的示例
左边是双核索普的CPU架构
Hercules mcu的CPU是由 两个coteps r系列内核组成
从空间上来看
两个核首先镜像
然后翻转中间会有 一个100微米的距离
从空间上可以避免供应干扰
从时间上来说 我们可以看到左边的一个核
是先运算
运算完之后delay
然后右边的话是先delay一个circle
然后再到CPU里运算
最后同时达到一个硬件比较模块
这样子就形成了 从空间和时间上的一个容易校验
来提高它的诊断覆盖率
右边来说是Hercules mcu 里面ecc功能的示例
当mcu受到外界的干扰
内部memory产生一个比特的翻转
此时我们内嵌的ecc校验模块
可以判断出出现一个比特位的翻转
这个时候就可以把这个位子自动纠正
假如出现两位的翻转
我们就可以像系统报错
这个时候可以让系统进入安全状态
这两个诊断电路可以 帮助检测随机失效
一旦检测到随机失效
系统就可以进行 相应的操作来保护系统
前面我们已经讲了 很多系统随机性失效的管理
接下来我们看一个简单的例子
来演示这个流程
左边是从宏观上来看这个管理流程
右边的话是一个具体例子来看流程
这个例子是关于一个
电子助理转向
也就是eps系统的例子
在这个eps系统里
已经确定的危害之一是
意外转向
相对应的 风险是正面碰撞
由于该危害可能在正常行驶下发生
并且驾驶员难以控制
从而可能导致人生伤害的后果
因此在ISO26262标准里
很可能归结为sld等级
它相应的安全功能是 在没有驾驶员输入时
不产生任何转向辅助扭矩
在这个实例中
电机扭矩由mcu的 PWM信号控制
这意味着我们需要实施控制
以便在没有驾驶员输入时
不产生任何的pm波信号
我们需要了解 驾驶员输入是如何被传感到的
PWM信号是如何产生的
以及可能对其产生 影响的可能故障模式
来计算故障率
如果故障率相对sld要求过高
则需要应用整段以降低故障率
在实施这类诊断之后
应重新计算诊断覆盖率
和残余故障率
已查看是否实现了 之后的风险降低等级
这是以eps为例
来做随机故障的管理
相应的 从宏观上来说的话
我们可以看到
要实现一个功能安全系统
首先要对产品定义
对相应的方式进行定义
定义完之后我们需要做危险分析
危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分
定义了ASIL或者是SIL等级之后
我们需要设定相应的安全目标
以及相应的安全措施
这个就是随机故障管理的过程
那ISO26262 ASIL 等级的划分是如何划分的
接下来我们介绍一下
设计功能安全系统
应在系统级别执行 危害分析和风险评估
应该分析每种可能的 系统故障并确定其风险
如果风险被视为过高
则应该定义安全目标
并对系统应用风险降低技术
以便将风险等级降低到 功能安全标准要求的等级
按照ISO26262里面的说明
应该根据三项指标进行计算
如下图所示
首先是s s代表严重程度
e e的中文解释是暴露率
也可以理解为发生的可能性
c代表可控性
也就是发生危害的时候可控程度
那ISO26262
按汽车安全管理性等级
ASIL对风险进行分类的话
主要就是对这三个指标做一个评估
该失效发生时
越严重 相应的安全等级也就越高
它的可控性越差
那安全等级也会越高
最后 它发生的可能性越大
相应的 我们的安全等级也会越高
所以说 事故发生的风险
跟s严重程度
e发生的可能性
c 发生时 可控程度
是成正比关系
上一页我们从宏观上介绍了
如何定义ISO26262ASIL等级
从这页的表格上
我们可以更清晰的看到
如何定义一个功能安全的ASIL等级
我们还以前面介绍的eps系统为例
eps主要的功能是根据驾驶员操作
为驾驶员提供转向辅助
如果eps系统在没有驾驶员请求时
提供转向辅助
就会导致意外转向
就可能会引起撞车
所以它的故障是 意外转向导致的碰撞
碰撞又导致的人生伤害
从s e c三个维度来说
我们把严重程度分为
s1 s2 s3
s1代表轻微受伤
s2代表比较严重的伤害
s3代表已经威胁到生命安全
可能引起死亡
所以s3严重程度最高
我们把包容率分为
e1 e2 e3 e4
e1代表发生的可能性极低
基本上不会发生
e2代表比较低
e3 发生的可能性中等
e4代表发生的可能性非常高
对于可控性来说
我们分为c1 c2 c3
c1代表很容易控制
c2代表发生危险时 控制难易度一般
c3代表发生危险时非常难控制
可控性很差
对于eps系统来说
发生意外转向很可能 对生命安全造成损害
所以它的严重程度比较高
我们定义为s3
而发生eps失效时
意外转向的可能性很高
所以它的包容率e是e4
也是比较高的概率
可控性来说
发生意外转向时
我们很难控制汽车的方向
所以可控性比较差
我们设定为c3
这个时候 我们根据表格 就能非常清晰的获得
eps系统的ASIL等级定义
也就是ASIL D
其实有一个更简单的算法
我们把s3代表3
e4算作4
c3算作3
3+4+3=10
当加起来的和是10的时候
我们就定义为ASIL D
当加起来的值等于9的时候
定义为ASIL C
同样的推法 假如是8
我们定义为ASIL B
假如是7 我们定义为ASIL A
这是一个比较简单的算法
接下来我们通过eps系统 更详细的来了解一下
失效管理的过程
我们可以看到 mcu通过spi接口
与转向扭矩的传感器通信
并且从正交编码器获得电机的位置
mcu的电压来自外部稳压电源
始终通过外部(听不清)获得
根据转向扭矩输入
mcu将计算驱动电机
以完成转向辅助
这个是我们预期的功能
并得到所需的PWM波信号
如果没有转向扭矩命令
转向辅助电机则不应该转动
如果检测到任何故障
mcu应该工作到定义的安全状态
在eps系统中
安全状态是将电机驱动关闭
所以我们可以非常清晰的得到
在eps系统中
它其中一个风险是意外转向
意外转向导致risk又是发生碰撞
发生碰撞之后
会导致人生伤亡
这个时候
我们定义为eps系统的 ASIL等级为ASIL D
它的安全目标是
在不需要转向助力的时候
我们的电机驱动没有输出
为了避免意外转向
我们定义的安全功能之一是
确保当没有驾驶员 输入时不产生任何的转向扭矩
而在eps系统中
我们通常使用(听不清)势能 或者关闭电机驱动部分
如果转向扭矩中的 中转器信号低于特定的阈值
应该把电机驱动的部分disable
TI Hercules的安全CU 有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟 功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和(听不清) 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌 pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的 门电路做一个诊断 看是否有物理上的损伤 具体的大家可以 参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是 Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证 在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟 功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由 两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有 一个100微米的距离 从空间上可以避免供应干扰 从时间上来说 我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了 从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu 里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以 帮助检测随机失效 一旦检测到随机失效 系统就可以进行 相应的操作来保护系统 前面我们已经讲了 很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是 在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的 PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解 驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生 影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了 之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL 等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行 危害分析和风险评估 应该分析每种可能的 系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到 功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是 意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时 控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能 对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格 就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统 更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部(听不清)获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的 ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员 输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用(听不清)势能 或者关闭电机驱动部分 如果转向扭矩中的 中转器信号低于特定的阈值 应该把电机驱动的部分disable
TI Hercules的安全CU 有哪些安全指能特性
接下来我们来介绍一下
根据MCU的故障模型和估算的失效率
以及sil或者是asil风险降低的要求
终端产品系统和子系统的开发人员
必须执行各种过程
来获得以实现功能安全
随机故障 指标目标的信心
Hercules MCU实现了各种安全机制
和诊断功能
以帮助诊断各种失效
并在检测失效时对其作出反应
这张框图是Hercules MCU的框图
我们可以看到 主要分为三个部分
红色 蓝色和黑色
红色部分是跟 功能安全核心相关的部分
我们称之为安全岛的概念
主要包括双核索普架构架构的CPU
带ECC校验的memory空间
包括flash RAM和(听不清)
都带有ecc校验功能
一个别的错误我们可以自动纠正
两个或者两个以上可以报错
另外包括时钟 锁相环 片向电源监测
crc校验 错误项管理模块
rti等 都有相应的诊断功能
除此之外 我们可以看到
Hercules MCU内嵌 pbst和lbst等自检功能
pbst主要是对可编程memory空间
也就是ram区的自检
lbst主要是逻辑自检
主要是对cpu内部的 门电路做一个诊断
看是否有物理上的损伤
具体的大家可以 参考Hercules MCU相应的用户手册
来了解相应的功能
蓝色部分主要是 Hercules MCU的通信接口
ADC GPR口
以及高端电视器接口等
这些模块主要是保证 在安全岛模块安全的情况下
再通过其它的安全机制
保证这些外设的功能安全性
另外还有黑色部分
黑色部分主要是跟 功能安全没有关系的部分
主要是一些G Tech接口
Trace 功能等等
这些模块在最终产品上是不需要用到
所以不需要功能安全特性
这里是两个mcu安全诊断功能的示例
左边是双核索普的CPU架构
Hercules mcu的CPU是由 两个coteps r系列内核组成
从空间上来看
两个核首先镜像
然后翻转中间会有 一个100微米的距离
从空间上可以避免供应干扰
从时间上来说 我们可以看到左边的一个核
是先运算
运算完之后delay
然后右边的话是先delay一个circle
然后再到CPU里运算
最后同时达到一个硬件比较模块
这样子就形成了 从空间和时间上的一个容易校验
来提高它的诊断覆盖率
右边来说是Hercules mcu 里面ecc功能的示例
当mcu受到外界的干扰
内部memory产生一个比特的翻转
此时我们内嵌的ecc校验模块
可以判断出出现一个比特位的翻转
这个时候就可以把这个位子自动纠正
假如出现两位的翻转
我们就可以像系统报错
这个时候可以让系统进入安全状态
这两个诊断电路可以 帮助检测随机失效
一旦检测到随机失效
系统就可以进行 相应的操作来保护系统
前面我们已经讲了 很多系统随机性失效的管理
接下来我们看一个简单的例子
来演示这个流程
左边是从宏观上来看这个管理流程
右边的话是一个具体例子来看流程
这个例子是关于一个
电子助理转向
也就是eps系统的例子
在这个eps系统里
已经确定的危害之一是
意外转向
相对应的 风险是正面碰撞
由于该危害可能在正常行驶下发生
并且驾驶员难以控制
从而可能导致人生伤害的后果
因此在ISO26262标准里
很可能归结为sld等级
它相应的安全功能是 在没有驾驶员输入时
不产生任何转向辅助扭矩
在这个实例中
电机扭矩由mcu的 PWM信号控制
这意味着我们需要实施控制
以便在没有驾驶员输入时
不产生任何的pm波信号
我们需要了解 驾驶员输入是如何被传感到的
PWM信号是如何产生的
以及可能对其产生 影响的可能故障模式
来计算故障率
如果故障率相对sld要求过高
则需要应用整段以降低故障率
在实施这类诊断之后
应重新计算诊断覆盖率
和残余故障率
已查看是否实现了 之后的风险降低等级
这是以eps为例
来做随机故障的管理
相应的 从宏观上来说的话
我们可以看到
要实现一个功能安全系统
首先要对产品定义
对相应的方式进行定义
定义完之后我们需要做危险分析
危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分
定义了ASIL或者是SIL等级之后
我们需要设定相应的安全目标
以及相应的安全措施
这个就是随机故障管理的过程
那ISO26262 ASIL 等级的划分是如何划分的
接下来我们介绍一下
设计功能安全系统
应在系统级别执行 危害分析和风险评估
应该分析每种可能的 系统故障并确定其风险
如果风险被视为过高
则应该定义安全目标
并对系统应用风险降低技术
以便将风险等级降低到 功能安全标准要求的等级
按照ISO26262里面的说明
应该根据三项指标进行计算
如下图所示
首先是s s代表严重程度
e e的中文解释是暴露率
也可以理解为发生的可能性
c代表可控性
也就是发生危害的时候可控程度
那ISO26262
按汽车安全管理性等级
ASIL对风险进行分类的话
主要就是对这三个指标做一个评估
该失效发生时
越严重 相应的安全等级也就越高
它的可控性越差
那安全等级也会越高
最后 它发生的可能性越大
相应的 我们的安全等级也会越高
所以说 事故发生的风险
跟s严重程度
e发生的可能性
c 发生时 可控程度
是成正比关系
上一页我们从宏观上介绍了
如何定义ISO26262ASIL等级
从这页的表格上
我们可以更清晰的看到
如何定义一个功能安全的ASIL等级
我们还以前面介绍的eps系统为例
eps主要的功能是根据驾驶员操作
为驾驶员提供转向辅助
如果eps系统在没有驾驶员请求时
提供转向辅助
就会导致意外转向
就可能会引起撞车
所以它的故障是 意外转向导致的碰撞
碰撞又导致的人生伤害
从s e c三个维度来说
我们把严重程度分为
s1 s2 s3
s1代表轻微受伤
s2代表比较严重的伤害
s3代表已经威胁到生命安全
可能引起死亡
所以s3严重程度最高
我们把包容率分为
e1 e2 e3 e4
e1代表发生的可能性极低
基本上不会发生
e2代表比较低
e3 发生的可能性中等
e4代表发生的可能性非常高
对于可控性来说
我们分为c1 c2 c3
c1代表很容易控制
c2代表发生危险时 控制难易度一般
c3代表发生危险时非常难控制
可控性很差
对于eps系统来说
发生意外转向很可能 对生命安全造成损害
所以它的严重程度比较高
我们定义为s3
而发生eps失效时
意外转向的可能性很高
所以它的包容率e是e4
也是比较高的概率
可控性来说
发生意外转向时
我们很难控制汽车的方向
所以可控性比较差
我们设定为c3
这个时候 我们根据表格 就能非常清晰的获得
eps系统的ASIL等级定义
也就是ASIL D
其实有一个更简单的算法
我们把s3代表3
e4算作4
c3算作3
3+4+3=10
当加起来的和是10的时候
我们就定义为ASIL D
当加起来的值等于9的时候
定义为ASIL C
同样的推法 假如是8
我们定义为ASIL B
假如是7 我们定义为ASIL A
这是一个比较简单的算法
接下来我们通过eps系统 更详细的来了解一下
失效管理的过程
我们可以看到 mcu通过spi接口
与转向扭矩的传感器通信
并且从正交编码器获得电机的位置
mcu的电压来自外部稳压电源
始终通过外部(听不清)获得
根据转向扭矩输入
mcu将计算驱动电机
以完成转向辅助
这个是我们预期的功能
并得到所需的PWM波信号
如果没有转向扭矩命令
转向辅助电机则不应该转动
如果检测到任何故障
mcu应该工作到定义的安全状态
在eps系统中
安全状态是将电机驱动关闭
所以我们可以非常清晰的得到
在eps系统中
它其中一个风险是意外转向
意外转向导致risk又是发生碰撞
发生碰撞之后
会导致人生伤亡
这个时候
我们定义为eps系统的 ASIL等级为ASIL D
它的安全目标是
在不需要转向助力的时候
我们的电机驱动没有输出
为了避免意外转向
我们定义的安全功能之一是
确保当没有驾驶员 输入时不产生任何的转向扭矩
而在eps系统中
我们通常使用(听不清)势能 或者关闭电机驱动部分
如果转向扭矩中的 中转器信号低于特定的阈值
应该把电机驱动的部分disable
视频报错
手机看
扫码用手机观看
收藏本课程
视频简介
第三讲-功能安全实现示例
所属课程:功能安全与TI 功能安全MCU方案介绍
发布时间:2016.11.11
视频集数:7
本节视频时长:00:11:39
本节视频如何定义安全完整性等级以及硬件安全分析流程介绍。
//=$v1;?>
//=$v['id']?>//=$v['down_category']?>//=$v['link']?>//=$v['is_dl']?>//=$v['link']?>//=$v['name']?>//=$v['name']?>
//=$v['id']?>//=$v['down_category']?>//=$v['path']?>//=$v['is_dl']?>//=$v['path']?>//=$v['name']?>//=$v['name']?>
////=count($lesson['bbsinfo'])?>
//=$elink?>//=$elink?>//=$tags[0]?>//=$tags[0]?>//=$elink?>//= $elink?>//=$tags[1]?>//=$tags[1]?>
//=$lesson['bbs'];?>
//=count($lesson['bbsinfo'])?>