首页 > 应用与设计 > 汽车 > TI TMS570 安全技术在汽车中的运用 >

高级驾驶辅助系统 (ADAS) 

最新课程

热门课程

A. TI TMS570 安全技术在汽车中的运用

大家下午好 我是TI负责 EP 也就是数字处理器这类的 芯片 我姓周 周海发 我今天主要给大家讲讲TI在汽车的这个应用里面 的模拟料之外的数字料 就是EP的产品 首先讲570 它其实是一个 很前沿的一个东西 为什么呢 因为这个产品出来面向我们的产品大家接触的不是很多 为什么 因为之前主要是在德国 博世和康体这种类型的客户里运用 然后在市场上 通用市场上见得不是很多 大家没有机会了解其中的一些原理 那我们会介绍570是一个什么样的东西 它可以帮助我们做什么 汽车里能达到一个 什么样的应用的目的 谈到570蓝牙 就会谈到功能安全 功能安全这个东西 在座的各位都是跟汽车行业相关的 对这个概念非常理解 其实功能安全在最早的时候 有很多事件触发了功能安全这个概念的提出 这里就是我们看到的一个油井 美国的一个油井爆炸起火 然后大概死了一些人 其实里面 爆炸的原因是一个非常非常小的点 就是油管里面的油压太高了 但是检测的机制不起作用 导致的爆炸 但这个爆炸现在看来有很多 方式去规避 但当时没有功能安全的概念 没有做这方面的处理 最后导致了严重的后果 导致了生命的问题 这是一个方面 还有就是大家可以看 丰田在美国的事件 丰田赔了很多钱 这里也是因为功能安全的问题 大家可以想象以下 全球有这么多汽车在路上跑 每天跑很多小时 每天高温低温 白天晚上 不同的区域 总归会有一些问题 这些问题如何规避 不规避会有人生财产生命的问题 规避的话 就会比较安全 我们的功能安全有两个目标 第一个 第一是实现功能 如果你停在路上 不能跑 你是安全的 但没有功能也不行 第二 能跑了之后 如果出问题 怎么办呢 我要可预见 这是功能安全的一个核心概念 我要可预见 出问题 我要可预见 才有相应措施去做相应的保护 否则很危险 这就是功能安全的核心概念 功能安全 在汽车上面 大家知道 26262这套体系 前身是 61508 61508原来是给工业用的 但工业毕竟是工业的 核电是核电的 电厂是电厂的 但是这个标准在汽车和 电机上不一定适用 在其他医疗和航天领域不一定适用 所以61508是现在所有标准的母版 在这个基础上 我们有各种各样的专门的安全 26262就是汽车这块的 2201就是电梯这块的 医疗还有其他东西 26262就是将整个汽车 大家可以稍微关注一下这句话 把整个汽车分成不同的部分 每个部分的话 我需要达到一个功能安全的需求 那汽车里面 对功能安全有要求的大概就是这些 几个核心的部件 这都是跟驱动啊 power change 刹车这边相关的 我们看一下 这是VCU 我们能叫charger importer 电机驱动这块 这是ABS 这是EPS 的转向 然后这个是锂电池保护 这个是转高压的一个DCDC 电池电压抬升抬升做一个无线压的控制 然后这边是充电桩 其实还好 没有太多的功能安全的需求 这是电池管理 这是DCDC辅助电源 其实这里大部分东西都有功能安全的需求 有的可能是ASIL C 有些是ASIL D 不一样 但不论如何 这几个部件对汽车都很关键 假设我的电动汽车里面 这块或这块出问题了 那车子肯定停下来 这个出问题 车子肯定停下来 没有一个不停下来的这里的东西 对汽车都很重要的 因为这涉及到生命的安全 所以这些部件肯定有一个高级别的功能安全的需求 对功能安全 TI有一个专门的芯片 叫做Hercules 来做这一块 为什么呢 它有两个产品 一个是RM系列 一个是TMS570系列 就是在RM和570系列之前 我们与一个很老的系列 那这个系列我们见不到 但大家把车子打开 里面全是这个芯片 RM系列呢 它是一个攻略ASIL3 主要做工业的安全 还有一个特别的地方 就是它是105度的 那汽车就不一样了 它是2626的FCST ASIL3 已经很高了 ASILD已经到了遥不可及的味道 汽车里面还有一个关键的 125度的要求 我们的570系列可以做26262 也可以做62508 SIL3 这个芯片都是通过这样的标准 汽车里面通常要有大flash 大RAM啊 EK这些东西也是要有的 TI做汽车的功能安全 我们主要是推这颗的 这个系列叫TMS570 TMS570是基于的Cortex R一个内核 就是Cortex R 是做实时处理的 什么地方需要做实时处理 就是电机电源啊 这种地方 所以这个产品在汽车各个方面的场合都可以用 它有低中高端的 所以可以做各种应用 我们看到的这些 它基本上都可以胜任 我们有这方面的参考设计 这方面的市场占有率非常高 这方面有参考设计 这个都可以做 这是570产品发展的一个规划图 大家可以看到 S03 04 07 09 12 31 43 它们的内核都是一样的 都是双核守护的方式 它们的区别可能是大一点的差异 但从外设的IP来讲的话 大概是一样的 然后从芯片的代码和驱动来说 很多都是兼容的 包括100-pin 140-pin也是完全兼容的 这是功能安全的一些标准 功能安全最大的目的是 降低你的风险 从MCU或处理器的角度来讲 这是两方面的工作 一个是你这块的东西 就是跟你的开发流程 大V 小V啊 相关 另外一方面就是和你的工具相关 你的系统的失效相关 这什么意思呢 很简单 上次我也讲过 比如你写一个代码 一加一等于二的你等于三 你就出问题了 这个是需要你自己负责的 绿色的叫software certification software CSP 我们后面会讲 包括compiler quality啊 Complier Qual kit 这边是需要一些工具来支持的 工具很多是要通过26262的认证的 什么意思 就是570芯片本身是要过26262的 但是芯片的开发 包括流程啊 工具集啊 也是需要26262认证的 否则你无法证明自己是可以的 或者你的失效率是很低的 这是一方面 还有一方面就是红色的部分 红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西 一般有一个FMEDA的东西 对570肯定也是必须的 具体来看看 就是从MCU这种产品的开发角度来讲 有三个方面是非常非常关键的 第一个是 你的开发流程 第二个软件的驱动库 你的工具集 第三 你的硬件的失效率 这三点对应到我们刚才讲的三点 第一是这个 第二是工具集 第三是硬件 这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构 你是TUV也好 还是SGS 你都要证明这三个方面都是安全的 没办法证明 你肯定过不了 26262 有办法证明就可以通过 基于这三个方面 TI 都有相应的标准 或者过了相应的标准的证书 那我们来看看 TI是第一家做功能安全的半导体厂商 我们在这里的经验是非常丰富的 我们做了20多年 别的都是从TI挖人去做 TI是最好的 因为TI在这行业进入是最早的 我们的第一个device是在2013年 就过了SIL3的标准 2011年 那还是26262刚刚出来 我们已经把61508这个标准过了 关于功能安全的开发流程 我们是在13年过的 [听不清]和26262 ASILD 就是这个芯片的硬件开发流程我们也是过了26262和61508的 我有芯片 但我的开发流程对不对呢 就好比你做自己的VCU或EPS 你有自己的流程 能不能过26262 也是你们关心的 另外我们的Hercules芯片过26262加上61508 主要是570这块的话 大家可以看看 我们是IEC 570系列全系列都过了 另外就是软件方面 因为它是MCU 软件也有有相应的功能安全的支持 软件的开发流程我们也是过了这块的 这边可能大家有问题 软件开发流程是我自己写的 为什么 TI要过这个呢 因为软件开发流程里面 我们会做570相关的一些Library 驱动 这些东西也是需要过认证的 有了这个 你才可以做应用层 才能做其他东西 是这样的一个概念 大家可以看看 在我们刚才涉及的三个方面 我们都有相关的认证 这在业界里面应该是最全的一家 好具体看看 先看这个随机失效率 其实就是硬件的随机失效率 我要降低硬件的随机失效率 达到ASIL的要求 C也好 D也好 这个东西怎么做 当然我们有FMEDA 这个图很简答 解释的东西是 我的总体的系统的失效率 是多少 通常如果你不做26262这个系统的话 不按这个系统来做的话 你的失效率一般会很高 我们看这个颜色比较红 那过了26262这个体系后 我们可以把它降低到一个可接受的范围 这是26262跟我们要做的一个事情 硬件失效率方面主要有几个指标 一个就是FITS这个概念 意思很简答 就是说 一个FIT对应一个十个九次方的工作时间 一次失效 就是一个FIT 那这个概念可能相对更容易理解 如果有100万辆车 每天在路上跑 跑四个小时 跑一年 如果发生150次失效 就是对应大概100个FIT FIT的概念非常关键 因为我们后面看到的功能安全等级 都是按照FIT来计算的 不是按照150次失效 或者1次失效来计算的 硬件失效有两个模式 一个是永久性的失效 比如 这个图看到还可以 比如芯片的封装直接打坏了 这就是永久失效 没办法恢复 另外就是随机的临时失效 这种失效情况更复杂 比如你的高低温啊 我举个例子 比如在非洲跑的车子去北极跑了 或者到南极跑了 还有就是比如宇宙射线啊 对你的影响啊 特别是对RAM的影响 会导致一些临时的失效 但你离开这种场景之后 你可能恢复过来了 这就是一个短暂的失效 这对硬件的失效模型来讲是这样的 但这会对应有一个失效率 这种失效率呢 我们用RAM来计算 但对于这种临时的失效率 TI 是有一个具体的数据的 不是我们猜测的数据 而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的 这个很关键 因为你在做26262 或者SIL3也好 ASIL C也好ASILD也好 ASIL B也好 不管你对硬件方面电阻电容 你要提供一个失效率和失效模型 没有这个正式的失效率 你是没办法做后面的计算的 后面我们会讲到 主要是跟FMEDA相关的 你的FIT的计算实际上是帮助你的失效率来计算的 没有失效率 你是没办法计算FIT的 这是26262 我们看到的一些关键的概念 这个就对应了几个主要的安全等级 主要是对应了下面几个方面 第一个就是我们讲的FIT 第二个潜在失效率 还有这是单点的失效率 这三者之间的关系大概是这样的 如果做ASIL C的话 我的单点是大于97%的 诊断是97% FIT是小于100 潜在的话是大于80% 其实这个里面 这个比较关键一些 为什么呢 因为单点失效率的话 相对于FIT和这块的话 我个人觉得 是比较关键的 因为你选择一个好的芯片 一个好的IC的话 你可以很好的去控制它 如果你选择的IC不够好 你很难去控制它 简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容 我就可以做 那ASILC和D为什么难做呢 就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的 是非常非常复杂的 ASIL C和D是有一些差别的 但不是一个数量级的差异 但ASILB和C呢 是一个数量级的差异

大家下午好 我是TI负责

EP 也就是数字处理器这类的

芯片 我姓周 周海发

我今天主要给大家讲讲TI在汽车的这个应用里面

的模拟料之外的数字料

就是EP的产品

首先讲570 它其实是一个

很前沿的一个东西 为什么呢

因为这个产品出来面向我们的产品大家接触的不是很多

为什么 因为之前主要是在德国

博世和康体这种类型的客户里运用

然后在市场上 通用市场上见得不是很多

大家没有机会了解其中的一些原理

那我们会介绍570是一个什么样的东西 它可以帮助我们做什么

汽车里能达到一个 什么样的应用的目的

谈到570蓝牙 就会谈到功能安全

功能安全这个东西 在座的各位都是跟汽车行业相关的

对这个概念非常理解 其实功能安全在最早的时候

有很多事件触发了功能安全这个概念的提出

这里就是我们看到的一个油井

美国的一个油井爆炸起火

然后大概死了一些人 其实里面

爆炸的原因是一个非常非常小的点

就是油管里面的油压太高了

但是检测的机制不起作用 导致的爆炸

但这个爆炸现在看来有很多 方式去规避

但当时没有功能安全的概念 没有做这方面的处理

最后导致了严重的后果 导致了生命的问题

这是一个方面 还有就是大家可以看 丰田在美国的事件

丰田赔了很多钱 这里也是因为功能安全的问题

大家可以想象以下 全球有这么多汽车在路上跑

每天跑很多小时 每天高温低温 白天晚上

不同的区域 总归会有一些问题

这些问题如何规避 不规避会有人生财产生命的问题

规避的话 就会比较安全

我们的功能安全有两个目标 第一个

第一是实现功能 如果你停在路上 不能跑

你是安全的 但没有功能也不行

第二 能跑了之后 如果出问题

怎么办呢 我要可预见

这是功能安全的一个核心概念 我要可预见

出问题 我要可预见 才有相应措施去做相应的保护

否则很危险 这就是功能安全的核心概念

功能安全 在汽车上面 大家知道

26262这套体系 前身是 61508

61508原来是给工业用的

但工业毕竟是工业的 核电是核电的 电厂是电厂的

但是这个标准在汽车和 电机上不一定适用

在其他医疗和航天领域不一定适用

所以61508是现在所有标准的母版

在这个基础上 我们有各种各样的专门的安全

26262就是汽车这块的 2201就是电梯这块的

医疗还有其他东西

26262就是将整个汽车 大家可以稍微关注一下这句话

把整个汽车分成不同的部分 每个部分的话

我需要达到一个功能安全的需求

那汽车里面 对功能安全有要求的大概就是这些

几个核心的部件 这都是跟驱动啊

power change 刹车这边相关的

我们看一下 这是VCU 我们能叫charger importer

电机驱动这块 这是ABS

这是EPS 的转向

然后这个是锂电池保护

这个是转高压的一个DCDC

电池电压抬升抬升做一个无线压的控制

然后这边是充电桩 其实还好 没有太多的功能安全的需求

这是电池管理 这是DCDC辅助电源

其实这里大部分东西都有功能安全的需求

有的可能是ASIL C 有些是ASIL D

不一样 但不论如何 这几个部件对汽车都很关键

假设我的电动汽车里面 这块或这块出问题了

那车子肯定停下来 这个出问题 车子肯定停下来

没有一个不停下来的这里的东西

对汽车都很重要的 因为这涉及到生命的安全

所以这些部件肯定有一个高级别的功能安全的需求

对功能安全 TI有一个专门的芯片 叫做Hercules

来做这一块 为什么呢

它有两个产品 一个是RM系列 一个是TMS570系列

就是在RM和570系列之前 我们与一个很老的系列

那这个系列我们见不到 但大家把车子打开

里面全是这个芯片 RM系列呢

它是一个攻略ASIL3 主要做工业的安全

还有一个特别的地方 就是它是105度的

那汽车就不一样了 它是2626的FCST

ASIL3 已经很高了 ASILD已经到了遥不可及的味道

汽车里面还有一个关键的 125度的要求

我们的570系列可以做26262 也可以做62508

SIL3 这个芯片都是通过这样的标准

汽车里面通常要有大flash 大RAM啊

EK这些东西也是要有的

TI做汽车的功能安全 我们主要是推这颗的

这个系列叫TMS570

TMS570是基于的Cortex R一个内核

就是Cortex R 是做实时处理的

什么地方需要做实时处理 就是电机电源啊

这种地方 所以这个产品在汽车各个方面的场合都可以用

它有低中高端的

所以可以做各种应用

我们看到的这些 它基本上都可以胜任

我们有这方面的参考设计 这方面的市场占有率非常高

这方面有参考设计 这个都可以做

这是570产品发展的一个规划图

大家可以看到 S03 04 07

09 12 31 43

它们的内核都是一样的 都是双核守护的方式

它们的区别可能是大一点的差异

但从外设的IP来讲的话 大概是一样的

然后从芯片的代码和驱动来说 很多都是兼容的

包括100-pin 140-pin也是完全兼容的

这是功能安全的一些标准 功能安全最大的目的是

降低你的风险

从MCU或处理器的角度来讲

这是两方面的工作 一个是你这块的东西

就是跟你的开发流程 大V 小V啊

相关 另外一方面就是和你的工具相关

你的系统的失效相关 这什么意思呢

很简单 上次我也讲过 比如你写一个代码

一加一等于二的你等于三 你就出问题了

这个是需要你自己负责的

绿色的叫software certification software CSP

我们后面会讲 包括compiler quality啊

Complier Qual kit 这边是需要一些工具来支持的

工具很多是要通过26262的认证的

什么意思 就是570芯片本身是要过26262的

但是芯片的开发 包括流程啊 工具集啊

也是需要26262认证的

否则你无法证明自己是可以的

或者你的失效率是很低的

这是一方面 还有一方面就是红色的部分

红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西

一般有一个FMEDA的东西 对570肯定也是必须的

具体来看看

就是从MCU这种产品的开发角度来讲

有三个方面是非常非常关键的 第一个是

你的开发流程

第二个软件的驱动库

你的工具集

第三 你的硬件的失效率

这三点对应到我们刚才讲的三点

第一是这个 第二是工具集 第三是硬件

这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构

你是TUV也好 还是SGS

你都要证明这三个方面都是安全的

没办法证明 你肯定过不了 26262

有办法证明就可以通过

基于这三个方面 TI 都有相应的标准

或者过了相应的标准的证书

那我们来看看 TI是第一家做功能安全的半导体厂商

我们在这里的经验是非常丰富的 我们做了20多年

别的都是从TI挖人去做

TI是最好的 因为TI在这行业进入是最早的

我们的第一个device是在2013年 就过了SIL3的标准

2011年 那还是26262刚刚出来

我们已经把61508这个标准过了

关于功能安全的开发流程

我们是在13年过的

[听不清]和26262 ASILD

就是这个芯片的硬件开发流程我们也是过了26262和61508的

我有芯片 但我的开发流程对不对呢

就好比你做自己的VCU或EPS

你有自己的流程 能不能过26262

也是你们关心的

另外我们的Hercules芯片过26262加上61508 主要是570这块的话

大家可以看看 我们是IEC 570系列全系列都过了

另外就是软件方面 因为它是MCU

软件也有有相应的功能安全的支持

软件的开发流程我们也是过了这块的

这边可能大家有问题 软件开发流程是我自己写的 为什么

TI要过这个呢 因为软件开发流程里面

我们会做570相关的一些Library 驱动

这些东西也是需要过认证的

有了这个 你才可以做应用层 才能做其他东西

是这样的一个概念

大家可以看看 在我们刚才涉及的三个方面

我们都有相关的认证

这在业界里面应该是最全的一家

好具体看看 先看这个随机失效率

其实就是硬件的随机失效率

我要降低硬件的随机失效率 达到ASIL的要求

C也好 D也好 这个东西怎么做

当然我们有FMEDA

这个图很简答 解释的东西是

我的总体的系统的失效率

是多少 通常如果你不做26262这个系统的话

不按这个系统来做的话 你的失效率一般会很高

我们看这个颜色比较红

那过了26262这个体系后 我们可以把它降低到一个可接受的范围

这是26262跟我们要做的一个事情

硬件失效率方面主要有几个指标

一个就是FITS这个概念 意思很简答 就是说

一个FIT对应一个十个九次方的工作时间

一次失效 就是一个FIT

那这个概念可能相对更容易理解

如果有100万辆车 每天在路上跑

跑四个小时 跑一年

如果发生150次失效 就是对应大概100个FIT

FIT的概念非常关键

因为我们后面看到的功能安全等级 都是按照FIT来计算的

不是按照150次失效 或者1次失效来计算的

硬件失效有两个模式 一个是永久性的失效

比如 这个图看到还可以

比如芯片的封装直接打坏了

这就是永久失效 没办法恢复

另外就是随机的临时失效

这种失效情况更复杂 比如你的高低温啊

我举个例子 比如在非洲跑的车子去北极跑了

或者到南极跑了 还有就是比如宇宙射线啊

对你的影响啊 特别是对RAM的影响

会导致一些临时的失效 但你离开这种场景之后

你可能恢复过来了 这就是一个短暂的失效

这对硬件的失效模型来讲是这样的

但这会对应有一个失效率 这种失效率呢

我们用RAM来计算 但对于这种临时的失效率 TI

是有一个具体的数据的 不是我们猜测的数据

而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的

这个很关键 因为你在做26262 或者SIL3也好

ASIL C也好ASILD也好

ASIL B也好 不管你对硬件方面电阻电容

你要提供一个失效率和失效模型

没有这个正式的失效率 你是没办法做后面的计算的

后面我们会讲到 主要是跟FMEDA相关的

你的FIT的计算实际上是帮助你的失效率来计算的

没有失效率 你是没办法计算FIT的

这是26262 我们看到的一些关键的概念

这个就对应了几个主要的安全等级 主要是对应了下面几个方面

第一个就是我们讲的FIT

第二个潜在失效率

还有这是单点的失效率

这三者之间的关系大概是这样的

如果做ASIL C的话 我的单点是大于97%的

诊断是97% FIT是小于100

潜在的话是大于80%

其实这个里面 这个比较关键一些

为什么呢 因为单点失效率的话

相对于FIT和这块的话 我个人觉得

是比较关键的 因为你选择一个好的芯片

一个好的IC的话 你可以很好的去控制它

如果你选择的IC不够好 你很难去控制它

简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容

我就可以做 那ASILC和D为什么难做呢

就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的

是非常非常复杂的

ASIL C和D是有一些差别的

但不是一个数量级的差异 但ASILB和C呢

是一个数量级的差异

视频报错
手机看
扫码用手机观看
收藏本课程

视频简介

A. TI TMS570 安全技术在汽车中的运用

所属课程:TI TMS570 安全技术在汽车中的运用 发布时间:2016.09.02 视频集数:2 本节视频时长:00:18:11
介绍TMS570是什么?能做什么?在汽车里能达到什么应用目的。
TI培训小程序