首页 > 产品 > 微控制器 (MCU) 和处理器 > 功能安全与TI 功能安全MCU方案介绍 >

基于 Arm 的微控制器

最新课程

热门课程

第三讲-功能安全实现示例

TI Hercules的安全CU 有哪些安全指能特性 接下来我们来介绍一下 根据MCU的故障模型和估算的失效率 以及sil或者是asil风险降低的要求 终端产品系统和子系统的开发人员 必须执行各种过程 来获得以实现功能安全 随机故障 指标目标的信心 Hercules MCU实现了各种安全机制 和诊断功能 以帮助诊断各种失效 并在检测失效时对其作出反应 这张框图是Hercules MCU的框图 我们可以看到 主要分为三个部分 红色 蓝色和黑色 红色部分是跟 功能安全核心相关的部分 我们称之为安全岛的概念 主要包括双核索普架构架构的CPU 带ECC校验的memory空间 包括flash RAM和(听不清) 都带有ecc校验功能 一个别的错误我们可以自动纠正 两个或者两个以上可以报错 另外包括时钟 锁相环 片向电源监测 crc校验 错误项管理模块 rti等 都有相应的诊断功能 除此之外 我们可以看到 Hercules MCU内嵌 pbst和lbst等自检功能 pbst主要是对可编程memory空间 也就是ram区的自检 lbst主要是逻辑自检 主要是对cpu内部的 门电路做一个诊断 看是否有物理上的损伤 具体的大家可以 参考Hercules MCU相应的用户手册 来了解相应的功能 蓝色部分主要是 Hercules MCU的通信接口 ADC GPR口 以及高端电视器接口等 这些模块主要是保证 在安全岛模块安全的情况下 再通过其它的安全机制 保证这些外设的功能安全性 另外还有黑色部分 黑色部分主要是跟 功能安全没有关系的部分 主要是一些G Tech接口 Trace 功能等等 这些模块在最终产品上是不需要用到 所以不需要功能安全特性 这里是两个mcu安全诊断功能的示例 左边是双核索普的CPU架构 Hercules mcu的CPU是由 两个coteps r系列内核组成 从空间上来看 两个核首先镜像 然后翻转中间会有 一个100微米的距离 从空间上可以避免供应干扰 从时间上来说 我们可以看到左边的一个核 是先运算 运算完之后delay 然后右边的话是先delay一个circle 然后再到CPU里运算 最后同时达到一个硬件比较模块 这样子就形成了 从空间和时间上的一个容易校验 来提高它的诊断覆盖率 右边来说是Hercules mcu 里面ecc功能的示例 当mcu受到外界的干扰 内部memory产生一个比特的翻转 此时我们内嵌的ecc校验模块 可以判断出出现一个比特位的翻转 这个时候就可以把这个位子自动纠正 假如出现两位的翻转 我们就可以像系统报错 这个时候可以让系统进入安全状态 这两个诊断电路可以 帮助检测随机失效 一旦检测到随机失效 系统就可以进行 相应的操作来保护系统 前面我们已经讲了 很多系统随机性失效的管理 接下来我们看一个简单的例子 来演示这个流程 左边是从宏观上来看这个管理流程 右边的话是一个具体例子来看流程 这个例子是关于一个 电子助理转向 也就是eps系统的例子 在这个eps系统里 已经确定的危害之一是 意外转向 相对应的 风险是正面碰撞 由于该危害可能在正常行驶下发生 并且驾驶员难以控制 从而可能导致人生伤害的后果 因此在ISO26262标准里 很可能归结为sld等级 它相应的安全功能是 在没有驾驶员输入时 不产生任何转向辅助扭矩 在这个实例中 电机扭矩由mcu的 PWM信号控制 这意味着我们需要实施控制 以便在没有驾驶员输入时 不产生任何的pm波信号 我们需要了解 驾驶员输入是如何被传感到的 PWM信号是如何产生的 以及可能对其产生 影响的可能故障模式 来计算故障率 如果故障率相对sld要求过高 则需要应用整段以降低故障率 在实施这类诊断之后 应重新计算诊断覆盖率 和残余故障率 已查看是否实现了 之后的风险降低等级 这是以eps为例 来做随机故障的管理 相应的 从宏观上来说的话 我们可以看到 要实现一个功能安全系统 首先要对产品定义 对相应的方式进行定义 定义完之后我们需要做危险分析 危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分 定义了ASIL或者是SIL等级之后 我们需要设定相应的安全目标 以及相应的安全措施 这个就是随机故障管理的过程 那ISO26262 ASIL 等级的划分是如何划分的 接下来我们介绍一下 设计功能安全系统 应在系统级别执行 危害分析和风险评估 应该分析每种可能的 系统故障并确定其风险 如果风险被视为过高 则应该定义安全目标 并对系统应用风险降低技术 以便将风险等级降低到 功能安全标准要求的等级 按照ISO26262里面的说明 应该根据三项指标进行计算 如下图所示 首先是s s代表严重程度 e e的中文解释是暴露率 也可以理解为发生的可能性 c代表可控性 也就是发生危害的时候可控程度 那ISO26262 按汽车安全管理性等级 ASIL对风险进行分类的话 主要就是对这三个指标做一个评估 该失效发生时 越严重 相应的安全等级也就越高 它的可控性越差 那安全等级也会越高 最后 它发生的可能性越大 相应的 我们的安全等级也会越高 所以说 事故发生的风险 跟s严重程度 e发生的可能性 c 发生时 可控程度 是成正比关系 上一页我们从宏观上介绍了 如何定义ISO26262ASIL等级 从这页的表格上 我们可以更清晰的看到 如何定义一个功能安全的ASIL等级 我们还以前面介绍的eps系统为例 eps主要的功能是根据驾驶员操作 为驾驶员提供转向辅助 如果eps系统在没有驾驶员请求时 提供转向辅助 就会导致意外转向 就可能会引起撞车 所以它的故障是 意外转向导致的碰撞 碰撞又导致的人生伤害 从s e c三个维度来说 我们把严重程度分为 s1 s2 s3 s1代表轻微受伤 s2代表比较严重的伤害 s3代表已经威胁到生命安全 可能引起死亡 所以s3严重程度最高 我们把包容率分为 e1 e2 e3 e4 e1代表发生的可能性极低 基本上不会发生 e2代表比较低 e3 发生的可能性中等 e4代表发生的可能性非常高 对于可控性来说 我们分为c1 c2 c3 c1代表很容易控制 c2代表发生危险时 控制难易度一般 c3代表发生危险时非常难控制 可控性很差 对于eps系统来说 发生意外转向很可能 对生命安全造成损害 所以它的严重程度比较高 我们定义为s3 而发生eps失效时 意外转向的可能性很高 所以它的包容率e是e4 也是比较高的概率 可控性来说 发生意外转向时 我们很难控制汽车的方向 所以可控性比较差 我们设定为c3 这个时候 我们根据表格 就能非常清晰的获得 eps系统的ASIL等级定义 也就是ASIL D 其实有一个更简单的算法 我们把s3代表3 e4算作4 c3算作3 3+4+3=10 当加起来的和是10的时候 我们就定义为ASIL D 当加起来的值等于9的时候 定义为ASIL C 同样的推法 假如是8 我们定义为ASIL B 假如是7 我们定义为ASIL A 这是一个比较简单的算法 接下来我们通过eps系统 更详细的来了解一下 失效管理的过程 我们可以看到 mcu通过spi接口 与转向扭矩的传感器通信 并且从正交编码器获得电机的位置 mcu的电压来自外部稳压电源 始终通过外部(听不清)获得 根据转向扭矩输入 mcu将计算驱动电机 以完成转向辅助 这个是我们预期的功能 并得到所需的PWM波信号 如果没有转向扭矩命令 转向辅助电机则不应该转动 如果检测到任何故障 mcu应该工作到定义的安全状态 在eps系统中 安全状态是将电机驱动关闭 所以我们可以非常清晰的得到 在eps系统中 它其中一个风险是意外转向 意外转向导致risk又是发生碰撞 发生碰撞之后 会导致人生伤亡 这个时候 我们定义为eps系统的 ASIL等级为ASIL D 它的安全目标是 在不需要转向助力的时候 我们的电机驱动没有输出 为了避免意外转向 我们定义的安全功能之一是 确保当没有驾驶员 输入时不产生任何的转向扭矩 而在eps系统中 我们通常使用(听不清)势能 或者关闭电机驱动部分 如果转向扭矩中的 中转器信号低于特定的阈值 应该把电机驱动的部分disable

TI Hercules的安全CU 有哪些安全指能特性

接下来我们来介绍一下

根据MCU的故障模型和估算的失效率

以及sil或者是asil风险降低的要求

终端产品系统和子系统的开发人员

必须执行各种过程

来获得以实现功能安全

随机故障 指标目标的信心

Hercules MCU实现了各种安全机制

和诊断功能

以帮助诊断各种失效

并在检测失效时对其作出反应

这张框图是Hercules MCU的框图

我们可以看到 主要分为三个部分

红色 蓝色和黑色

红色部分是跟 功能安全核心相关的部分

我们称之为安全岛的概念

主要包括双核索普架构架构的CPU

带ECC校验的memory空间

包括flash RAM和(听不清)

都带有ecc校验功能

一个别的错误我们可以自动纠正

两个或者两个以上可以报错

另外包括时钟 锁相环 片向电源监测

crc校验 错误项管理模块

rti等 都有相应的诊断功能

除此之外 我们可以看到

Hercules MCU内嵌 pbst和lbst等自检功能

pbst主要是对可编程memory空间

也就是ram区的自检

lbst主要是逻辑自检

主要是对cpu内部的 门电路做一个诊断

看是否有物理上的损伤

具体的大家可以 参考Hercules MCU相应的用户手册

来了解相应的功能

蓝色部分主要是 Hercules MCU的通信接口

ADC GPR口

以及高端电视器接口等

这些模块主要是保证 在安全岛模块安全的情况下

再通过其它的安全机制

保证这些外设的功能安全性

另外还有黑色部分

黑色部分主要是跟 功能安全没有关系的部分

主要是一些G Tech接口

Trace 功能等等

这些模块在最终产品上是不需要用到

所以不需要功能安全特性

这里是两个mcu安全诊断功能的示例

左边是双核索普的CPU架构

Hercules mcu的CPU是由 两个coteps r系列内核组成

从空间上来看

两个核首先镜像

然后翻转中间会有 一个100微米的距离

从空间上可以避免供应干扰

从时间上来说 我们可以看到左边的一个核

是先运算

运算完之后delay

然后右边的话是先delay一个circle

然后再到CPU里运算

最后同时达到一个硬件比较模块

这样子就形成了 从空间和时间上的一个容易校验

来提高它的诊断覆盖率

右边来说是Hercules mcu 里面ecc功能的示例

当mcu受到外界的干扰

内部memory产生一个比特的翻转

此时我们内嵌的ecc校验模块

可以判断出出现一个比特位的翻转

这个时候就可以把这个位子自动纠正

假如出现两位的翻转

我们就可以像系统报错

这个时候可以让系统进入安全状态

这两个诊断电路可以 帮助检测随机失效

一旦检测到随机失效

系统就可以进行 相应的操作来保护系统

前面我们已经讲了 很多系统随机性失效的管理

接下来我们看一个简单的例子

来演示这个流程

左边是从宏观上来看这个管理流程

右边的话是一个具体例子来看流程

这个例子是关于一个

电子助理转向

也就是eps系统的例子

在这个eps系统里

已经确定的危害之一是

意外转向

相对应的 风险是正面碰撞

由于该危害可能在正常行驶下发生

并且驾驶员难以控制

从而可能导致人生伤害的后果

因此在ISO26262标准里

很可能归结为sld等级

它相应的安全功能是 在没有驾驶员输入时

不产生任何转向辅助扭矩

在这个实例中

电机扭矩由mcu的 PWM信号控制

这意味着我们需要实施控制

以便在没有驾驶员输入时

不产生任何的pm波信号

我们需要了解 驾驶员输入是如何被传感到的

PWM信号是如何产生的

以及可能对其产生 影响的可能故障模式

来计算故障率

如果故障率相对sld要求过高

则需要应用整段以降低故障率

在实施这类诊断之后

应重新计算诊断覆盖率

和残余故障率

已查看是否实现了 之后的风险降低等级

这是以eps为例

来做随机故障的管理

相应的 从宏观上来说的话

我们可以看到

要实现一个功能安全系统

首先要对产品定义

对相应的方式进行定义

定义完之后我们需要做危险分析

危险分析完之后我们需要做 相应的ASIL或者是SIL等级的划分

定义了ASIL或者是SIL等级之后

我们需要设定相应的安全目标

以及相应的安全措施

这个就是随机故障管理的过程

那ISO26262 ASIL 等级的划分是如何划分的

接下来我们介绍一下

设计功能安全系统

应在系统级别执行 危害分析和风险评估

应该分析每种可能的 系统故障并确定其风险

如果风险被视为过高

则应该定义安全目标

并对系统应用风险降低技术

以便将风险等级降低到 功能安全标准要求的等级

按照ISO26262里面的说明

应该根据三项指标进行计算

如下图所示

首先是s s代表严重程度

e e的中文解释是暴露率

也可以理解为发生的可能性

c代表可控性

也就是发生危害的时候可控程度

那ISO26262

按汽车安全管理性等级

ASIL对风险进行分类的话

主要就是对这三个指标做一个评估

该失效发生时

越严重 相应的安全等级也就越高

它的可控性越差

那安全等级也会越高

最后 它发生的可能性越大

相应的 我们的安全等级也会越高

所以说 事故发生的风险

跟s严重程度

e发生的可能性

c 发生时 可控程度

是成正比关系

上一页我们从宏观上介绍了

如何定义ISO26262ASIL等级

从这页的表格上

我们可以更清晰的看到

如何定义一个功能安全的ASIL等级

我们还以前面介绍的eps系统为例

eps主要的功能是根据驾驶员操作

为驾驶员提供转向辅助

如果eps系统在没有驾驶员请求时

提供转向辅助

就会导致意外转向

就可能会引起撞车

所以它的故障是 意外转向导致的碰撞

碰撞又导致的人生伤害

从s e c三个维度来说

我们把严重程度分为

s1 s2 s3

s1代表轻微受伤

s2代表比较严重的伤害

s3代表已经威胁到生命安全

可能引起死亡

所以s3严重程度最高

我们把包容率分为

e1 e2 e3 e4

e1代表发生的可能性极低

基本上不会发生

e2代表比较低

e3 发生的可能性中等

e4代表发生的可能性非常高

对于可控性来说

我们分为c1 c2 c3

c1代表很容易控制

c2代表发生危险时 控制难易度一般

c3代表发生危险时非常难控制

可控性很差

对于eps系统来说

发生意外转向很可能 对生命安全造成损害

所以它的严重程度比较高

我们定义为s3

而发生eps失效时

意外转向的可能性很高

所以它的包容率e是e4

也是比较高的概率

可控性来说

发生意外转向时

我们很难控制汽车的方向

所以可控性比较差

我们设定为c3

这个时候 我们根据表格 就能非常清晰的获得

eps系统的ASIL等级定义

也就是ASIL D

其实有一个更简单的算法

我们把s3代表3

e4算作4

c3算作3

3+4+3=10

当加起来的和是10的时候

我们就定义为ASIL D

当加起来的值等于9的时候

定义为ASIL C

同样的推法 假如是8

我们定义为ASIL B

假如是7 我们定义为ASIL A

这是一个比较简单的算法

接下来我们通过eps系统 更详细的来了解一下

失效管理的过程

我们可以看到 mcu通过spi接口

与转向扭矩的传感器通信

并且从正交编码器获得电机的位置

mcu的电压来自外部稳压电源

始终通过外部(听不清)获得

根据转向扭矩输入

mcu将计算驱动电机

以完成转向辅助

这个是我们预期的功能

并得到所需的PWM波信号

如果没有转向扭矩命令

转向辅助电机则不应该转动

如果检测到任何故障

mcu应该工作到定义的安全状态

在eps系统中

安全状态是将电机驱动关闭

所以我们可以非常清晰的得到

在eps系统中

它其中一个风险是意外转向

意外转向导致risk又是发生碰撞

发生碰撞之后

会导致人生伤亡

这个时候

我们定义为eps系统的 ASIL等级为ASIL D

它的安全目标是

在不需要转向助力的时候

我们的电机驱动没有输出

为了避免意外转向

我们定义的安全功能之一是

确保当没有驾驶员 输入时不产生任何的转向扭矩

而在eps系统中

我们通常使用(听不清)势能 或者关闭电机驱动部分

如果转向扭矩中的 中转器信号低于特定的阈值

应该把电机驱动的部分disable

视频报错
手机看
扫码用手机观看
收藏本课程

视频简介

第三讲-功能安全实现示例

所属课程:功能安全与TI 功能安全MCU方案介绍 发布时间:2016.11.11 视频集数:7 本节视频时长:00:11:39
本节视频如何定义安全完整性等级以及硬件安全分析流程介绍。
TI培训小程序