A. TI TMS570 安全技术在汽车中的运用
Loading the player...
将在30s后自动为您播放下一课程
大家下午好 我是TI负责 EP 也就是数字处理器这类的 芯片 我姓周 周海发 我今天主要给大家讲讲TI在汽车的这个应用里面 的模拟料之外的数字料 就是EP的产品 首先讲570 它其实是一个 很前沿的一个东西 为什么呢 因为这个产品出来面向我们的产品大家接触的不是很多 为什么 因为之前主要是在德国 博世和康体这种类型的客户里运用 然后在市场上 通用市场上见得不是很多 大家没有机会了解其中的一些原理 那我们会介绍570是一个什么样的东西 它可以帮助我们做什么 汽车里能达到一个 什么样的应用的目的 谈到570蓝牙 就会谈到功能安全 功能安全这个东西 在座的各位都是跟汽车行业相关的 对这个概念非常理解 其实功能安全在最早的时候 有很多事件触发了功能安全这个概念的提出 这里就是我们看到的一个油井 美国的一个油井爆炸起火 然后大概死了一些人 其实里面 爆炸的原因是一个非常非常小的点 就是油管里面的油压太高了 但是检测的机制不起作用 导致的爆炸 但这个爆炸现在看来有很多 方式去规避 但当时没有功能安全的概念 没有做这方面的处理 最后导致了严重的后果 导致了生命的问题 这是一个方面 还有就是大家可以看 丰田在美国的事件 丰田赔了很多钱 这里也是因为功能安全的问题 大家可以想象以下 全球有这么多汽车在路上跑 每天跑很多小时 每天高温低温 白天晚上 不同的区域 总归会有一些问题 这些问题如何规避 不规避会有人生财产生命的问题 规避的话 就会比较安全 我们的功能安全有两个目标 第一个 第一是实现功能 如果你停在路上 不能跑 你是安全的 但没有功能也不行 第二 能跑了之后 如果出问题 怎么办呢 我要可预见 这是功能安全的一个核心概念 我要可预见 出问题 我要可预见 才有相应措施去做相应的保护 否则很危险 这就是功能安全的核心概念 功能安全 在汽车上面 大家知道 26262这套体系 前身是 61508 61508原来是给工业用的 但工业毕竟是工业的 核电是核电的 电厂是电厂的 但是这个标准在汽车和 电机上不一定适用 在其他医疗和航天领域不一定适用 所以61508是现在所有标准的母版 在这个基础上 我们有各种各样的专门的安全 26262就是汽车这块的 2201就是电梯这块的 医疗还有其他东西 26262就是将整个汽车 大家可以稍微关注一下这句话 把整个汽车分成不同的部分 每个部分的话 我需要达到一个功能安全的需求 那汽车里面 对功能安全有要求的大概就是这些 几个核心的部件 这都是跟驱动啊 power change 刹车这边相关的 我们看一下 这是VCU 我们能叫charger importer 电机驱动这块 这是ABS 这是EPS 的转向 然后这个是锂电池保护 这个是转高压的一个DCDC 电池电压抬升抬升做一个无线压的控制 然后这边是充电桩 其实还好 没有太多的功能安全的需求 这是电池管理 这是DCDC辅助电源 其实这里大部分东西都有功能安全的需求 有的可能是ASIL C 有些是ASIL D 不一样 但不论如何 这几个部件对汽车都很关键 假设我的电动汽车里面 这块或这块出问题了 那车子肯定停下来 这个出问题 车子肯定停下来 没有一个不停下来的这里的东西 对汽车都很重要的 因为这涉及到生命的安全 所以这些部件肯定有一个高级别的功能安全的需求 对功能安全 TI有一个专门的芯片 叫做Hercules 来做这一块 为什么呢 它有两个产品 一个是RM系列 一个是TMS570系列 就是在RM和570系列之前 我们与一个很老的系列 那这个系列我们见不到 但大家把车子打开 里面全是这个芯片 RM系列呢 它是一个攻略ASIL3 主要做工业的安全 还有一个特别的地方 就是它是105度的 那汽车就不一样了 它是2626的FCST ASIL3 已经很高了 ASILD已经到了遥不可及的味道 汽车里面还有一个关键的 125度的要求 我们的570系列可以做26262 也可以做62508 SIL3 这个芯片都是通过这样的标准 汽车里面通常要有大flash 大RAM啊 EK这些东西也是要有的 TI做汽车的功能安全 我们主要是推这颗的 这个系列叫TMS570 TMS570是基于的Cortex R一个内核 就是Cortex R 是做实时处理的 什么地方需要做实时处理 就是电机电源啊 这种地方 所以这个产品在汽车各个方面的场合都可以用 它有低中高端的 所以可以做各种应用 我们看到的这些 它基本上都可以胜任 我们有这方面的参考设计 这方面的市场占有率非常高 这方面有参考设计 这个都可以做 这是570产品发展的一个规划图 大家可以看到 S03 04 07 09 12 31 43 它们的内核都是一样的 都是双核守护的方式 它们的区别可能是大一点的差异 但从外设的IP来讲的话 大概是一样的 然后从芯片的代码和驱动来说 很多都是兼容的 包括100-pin 140-pin也是完全兼容的 这是功能安全的一些标准 功能安全最大的目的是 降低你的风险 从MCU或处理器的角度来讲 这是两方面的工作 一个是你这块的东西 就是跟你的开发流程 大V 小V啊 相关 另外一方面就是和你的工具相关 你的系统的失效相关 这什么意思呢 很简单 上次我也讲过 比如你写一个代码 一加一等于二的你等于三 你就出问题了 这个是需要你自己负责的 绿色的叫software certification software CSP 我们后面会讲 包括compiler quality啊 Complier Qual kit 这边是需要一些工具来支持的 工具很多是要通过26262的认证的 什么意思 就是570芯片本身是要过26262的 但是芯片的开发 包括流程啊 工具集啊 也是需要26262认证的 否则你无法证明自己是可以的 或者你的失效率是很低的 这是一方面 还有一方面就是红色的部分 红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西 一般有一个FMEDA的东西 对570肯定也是必须的 具体来看看 就是从MCU这种产品的开发角度来讲 有三个方面是非常非常关键的 第一个是 你的开发流程 第二个软件的驱动库 你的工具集 第三 你的硬件的失效率 这三点对应到我们刚才讲的三点 第一是这个 第二是工具集 第三是硬件 这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构 你是TUV也好 还是SGS 你都要证明这三个方面都是安全的 没办法证明 你肯定过不了 26262 有办法证明就可以通过 基于这三个方面 TI 都有相应的标准 或者过了相应的标准的证书 那我们来看看 TI是第一家做功能安全的半导体厂商 我们在这里的经验是非常丰富的 我们做了20多年 别的都是从TI挖人去做 TI是最好的 因为TI在这行业进入是最早的 我们的第一个device是在2013年 就过了SIL3的标准 2011年 那还是26262刚刚出来 我们已经把61508这个标准过了 关于功能安全的开发流程 我们是在13年过的 [听不清]和26262 ASILD 就是这个芯片的硬件开发流程我们也是过了26262和61508的 我有芯片 但我的开发流程对不对呢 就好比你做自己的VCU或EPS 你有自己的流程 能不能过26262 也是你们关心的 另外我们的Hercules芯片过26262加上61508 主要是570这块的话 大家可以看看 我们是IEC 570系列全系列都过了 另外就是软件方面 因为它是MCU 软件也有有相应的功能安全的支持 软件的开发流程我们也是过了这块的 这边可能大家有问题 软件开发流程是我自己写的 为什么 TI要过这个呢 因为软件开发流程里面 我们会做570相关的一些Library 驱动 这些东西也是需要过认证的 有了这个 你才可以做应用层 才能做其他东西 是这样的一个概念 大家可以看看 在我们刚才涉及的三个方面 我们都有相关的认证 这在业界里面应该是最全的一家 好具体看看 先看这个随机失效率 其实就是硬件的随机失效率 我要降低硬件的随机失效率 达到ASIL的要求 C也好 D也好 这个东西怎么做 当然我们有FMEDA 这个图很简答 解释的东西是 我的总体的系统的失效率 是多少 通常如果你不做26262这个系统的话 不按这个系统来做的话 你的失效率一般会很高 我们看这个颜色比较红 那过了26262这个体系后 我们可以把它降低到一个可接受的范围 这是26262跟我们要做的一个事情 硬件失效率方面主要有几个指标 一个就是FITS这个概念 意思很简答 就是说 一个FIT对应一个十个九次方的工作时间 一次失效 就是一个FIT 那这个概念可能相对更容易理解 如果有100万辆车 每天在路上跑 跑四个小时 跑一年 如果发生150次失效 就是对应大概100个FIT FIT的概念非常关键 因为我们后面看到的功能安全等级 都是按照FIT来计算的 不是按照150次失效 或者1次失效来计算的 硬件失效有两个模式 一个是永久性的失效 比如 这个图看到还可以 比如芯片的封装直接打坏了 这就是永久失效 没办法恢复 另外就是随机的临时失效 这种失效情况更复杂 比如你的高低温啊 我举个例子 比如在非洲跑的车子去北极跑了 或者到南极跑了 还有就是比如宇宙射线啊 对你的影响啊 特别是对RAM的影响 会导致一些临时的失效 但你离开这种场景之后 你可能恢复过来了 这就是一个短暂的失效 这对硬件的失效模型来讲是这样的 但这会对应有一个失效率 这种失效率呢 我们用RAM来计算 但对于这种临时的失效率 TI 是有一个具体的数据的 不是我们猜测的数据 而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的 这个很关键 因为你在做26262 或者SIL3也好 ASIL C也好ASILD也好 ASIL B也好 不管你对硬件方面电阻电容 你要提供一个失效率和失效模型 没有这个正式的失效率 你是没办法做后面的计算的 后面我们会讲到 主要是跟FMEDA相关的 你的FIT的计算实际上是帮助你的失效率来计算的 没有失效率 你是没办法计算FIT的 这是26262 我们看到的一些关键的概念 这个就对应了几个主要的安全等级 主要是对应了下面几个方面 第一个就是我们讲的FIT 第二个潜在失效率 还有这是单点的失效率 这三者之间的关系大概是这样的 如果做ASIL C的话 我的单点是大于97%的 诊断是97% FIT是小于100 潜在的话是大于80% 其实这个里面 这个比较关键一些 为什么呢 因为单点失效率的话 相对于FIT和这块的话 我个人觉得 是比较关键的 因为你选择一个好的芯片 一个好的IC的话 你可以很好的去控制它 如果你选择的IC不够好 你很难去控制它 简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容 我就可以做 那ASILC和D为什么难做呢 就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的 是非常非常复杂的 ASIL C和D是有一些差别的 但不是一个数量级的差异 但ASILB和C呢 是一个数量级的差异
大家下午好 我是TI负责 EP 也就是数字处理器这类的 芯片 我姓周 周海发 我今天主要给大家讲讲TI在汽车的这个应用里面 的模拟料之外的数字料 就是EP的产品 首先讲570 它其实是一个 很前沿的一个东西 为什么呢 因为这个产品出来面向我们的产品大家接触的不是很多 为什么 因为之前主要是在德国 博世和康体这种类型的客户里运用 然后在市场上 通用市场上见得不是很多 大家没有机会了解其中的一些原理 那我们会介绍570是一个什么样的东西 它可以帮助我们做什么 汽车里能达到一个 什么样的应用的目的 谈到570蓝牙 就会谈到功能安全 功能安全这个东西 在座的各位都是跟汽车行业相关的 对这个概念非常理解 其实功能安全在最早的时候 有很多事件触发了功能安全这个概念的提出 这里就是我们看到的一个油井 美国的一个油井爆炸起火 然后大概死了一些人 其实里面 爆炸的原因是一个非常非常小的点 就是油管里面的油压太高了 但是检测的机制不起作用 导致的爆炸 但这个爆炸现在看来有很多 方式去规避 但当时没有功能安全的概念 没有做这方面的处理 最后导致了严重的后果 导致了生命的问题 这是一个方面 还有就是大家可以看 丰田在美国的事件 丰田赔了很多钱 这里也是因为功能安全的问题 大家可以想象以下 全球有这么多汽车在路上跑 每天跑很多小时 每天高温低温 白天晚上 不同的区域 总归会有一些问题 这些问题如何规避 不规避会有人生财产生命的问题 规避的话 就会比较安全 我们的功能安全有两个目标 第一个 第一是实现功能 如果你停在路上 不能跑 你是安全的 但没有功能也不行 第二 能跑了之后 如果出问题 怎么办呢 我要可预见 这是功能安全的一个核心概念 我要可预见 出问题 我要可预见 才有相应措施去做相应的保护 否则很危险 这就是功能安全的核心概念 功能安全 在汽车上面 大家知道 26262这套体系 前身是 61508 61508原来是给工业用的 但工业毕竟是工业的 核电是核电的 电厂是电厂的 但是这个标准在汽车和 电机上不一定适用 在其他医疗和航天领域不一定适用 所以61508是现在所有标准的母版 在这个基础上 我们有各种各样的专门的安全 26262就是汽车这块的 2201就是电梯这块的 医疗还有其他东西 26262就是将整个汽车 大家可以稍微关注一下这句话 把整个汽车分成不同的部分 每个部分的话 我需要达到一个功能安全的需求 那汽车里面 对功能安全有要求的大概就是这些 几个核心的部件 这都是跟驱动啊 power change 刹车这边相关的 我们看一下 这是VCU 我们能叫charger importer 电机驱动这块 这是ABS 这是EPS 的转向 然后这个是锂电池保护 这个是转高压的一个DCDC 电池电压抬升抬升做一个无线压的控制 然后这边是充电桩 其实还好 没有太多的功能安全的需求 这是电池管理 这是DCDC辅助电源 其实这里大部分东西都有功能安全的需求 有的可能是ASIL C 有些是ASIL D 不一样 但不论如何 这几个部件对汽车都很关键 假设我的电动汽车里面 这块或这块出问题了 那车子肯定停下来 这个出问题 车子肯定停下来 没有一个不停下来的这里的东西 对汽车都很重要的 因为这涉及到生命的安全 所以这些部件肯定有一个高级别的功能安全的需求 对功能安全 TI有一个专门的芯片 叫做Hercules 来做这一块 为什么呢 它有两个产品 一个是RM系列 一个是TMS570系列 就是在RM和570系列之前 我们与一个很老的系列 那这个系列我们见不到 但大家把车子打开 里面全是这个芯片 RM系列呢 它是一个攻略ASIL3 主要做工业的安全 还有一个特别的地方 就是它是105度的 那汽车就不一样了 它是2626的FCST ASIL3 已经很高了 ASILD已经到了遥不可及的味道 汽车里面还有一个关键的 125度的要求 我们的570系列可以做26262 也可以做62508 SIL3 这个芯片都是通过这样的标准 汽车里面通常要有大flash 大RAM啊 EK这些东西也是要有的 TI做汽车的功能安全 我们主要是推这颗的 这个系列叫TMS570 TMS570是基于的Cortex R一个内核 就是Cortex R 是做实时处理的 什么地方需要做实时处理 就是电机电源啊 这种地方 所以这个产品在汽车各个方面的场合都可以用 它有低中高端的 所以可以做各种应用 我们看到的这些 它基本上都可以胜任 我们有这方面的参考设计 这方面的市场占有率非常高 这方面有参考设计 这个都可以做 这是570产品发展的一个规划图 大家可以看到 S03 04 07 09 12 31 43 它们的内核都是一样的 都是双核守护的方式 它们的区别可能是大一点的差异 但从外设的IP来讲的话 大概是一样的 然后从芯片的代码和驱动来说 很多都是兼容的 包括100-pin 140-pin也是完全兼容的 这是功能安全的一些标准 功能安全最大的目的是 降低你的风险 从MCU或处理器的角度来讲 这是两方面的工作 一个是你这块的东西 就是跟你的开发流程 大V 小V啊 相关 另外一方面就是和你的工具相关 你的系统的失效相关 这什么意思呢 很简单 上次我也讲过 比如你写一个代码 一加一等于二的你等于三 你就出问题了 这个是需要你自己负责的 绿色的叫software certification software CSP 我们后面会讲 包括compiler quality啊 Complier Qual kit 这边是需要一些工具来支持的 工具很多是要通过26262的认证的 什么意思 就是570芯片本身是要过26262的 但是芯片的开发 包括流程啊 工具集啊 也是需要26262认证的 否则你无法证明自己是可以的 或者你的失效率是很低的 这是一方面 还有一方面就是红色的部分 红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西 一般有一个FMEDA的东西 对570肯定也是必须的 具体来看看 就是从MCU这种产品的开发角度来讲 有三个方面是非常非常关键的 第一个是 你的开发流程 第二个软件的驱动库 你的工具集 第三 你的硬件的失效率 这三点对应到我们刚才讲的三点 第一是这个 第二是工具集 第三是硬件 这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构 你是TUV也好 还是SGS 你都要证明这三个方面都是安全的 没办法证明 你肯定过不了 26262 有办法证明就可以通过 基于这三个方面 TI 都有相应的标准 或者过了相应的标准的证书 那我们来看看 TI是第一家做功能安全的半导体厂商 我们在这里的经验是非常丰富的 我们做了20多年 别的都是从TI挖人去做 TI是最好的 因为TI在这行业进入是最早的 我们的第一个device是在2013年 就过了SIL3的标准 2011年 那还是26262刚刚出来 我们已经把61508这个标准过了 关于功能安全的开发流程 我们是在13年过的 [听不清]和26262 ASILD 就是这个芯片的硬件开发流程我们也是过了26262和61508的 我有芯片 但我的开发流程对不对呢 就好比你做自己的VCU或EPS 你有自己的流程 能不能过26262 也是你们关心的 另外我们的Hercules芯片过26262加上61508 主要是570这块的话 大家可以看看 我们是IEC 570系列全系列都过了 另外就是软件方面 因为它是MCU 软件也有有相应的功能安全的支持 软件的开发流程我们也是过了这块的 这边可能大家有问题 软件开发流程是我自己写的 为什么 TI要过这个呢 因为软件开发流程里面 我们会做570相关的一些Library 驱动 这些东西也是需要过认证的 有了这个 你才可以做应用层 才能做其他东西 是这样的一个概念 大家可以看看 在我们刚才涉及的三个方面 我们都有相关的认证 这在业界里面应该是最全的一家 好具体看看 先看这个随机失效率 其实就是硬件的随机失效率 我要降低硬件的随机失效率 达到ASIL的要求 C也好 D也好 这个东西怎么做 当然我们有FMEDA 这个图很简答 解释的东西是 我的总体的系统的失效率 是多少 通常如果你不做26262这个系统的话 不按这个系统来做的话 你的失效率一般会很高 我们看这个颜色比较红 那过了26262这个体系后 我们可以把它降低到一个可接受的范围 这是26262跟我们要做的一个事情 硬件失效率方面主要有几个指标 一个就是FITS这个概念 意思很简答 就是说 一个FIT对应一个十个九次方的工作时间 一次失效 就是一个FIT 那这个概念可能相对更容易理解 如果有100万辆车 每天在路上跑 跑四个小时 跑一年 如果发生150次失效 就是对应大概100个FIT FIT的概念非常关键 因为我们后面看到的功能安全等级 都是按照FIT来计算的 不是按照150次失效 或者1次失效来计算的 硬件失效有两个模式 一个是永久性的失效 比如 这个图看到还可以 比如芯片的封装直接打坏了 这就是永久失效 没办法恢复 另外就是随机的临时失效 这种失效情况更复杂 比如你的高低温啊 我举个例子 比如在非洲跑的车子去北极跑了 或者到南极跑了 还有就是比如宇宙射线啊 对你的影响啊 特别是对RAM的影响 会导致一些临时的失效 但你离开这种场景之后 你可能恢复过来了 这就是一个短暂的失效 这对硬件的失效模型来讲是这样的 但这会对应有一个失效率 这种失效率呢 我们用RAM来计算 但对于这种临时的失效率 TI 是有一个具体的数据的 不是我们猜测的数据 而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的 这个很关键 因为你在做26262 或者SIL3也好 ASIL C也好ASILD也好 ASIL B也好 不管你对硬件方面电阻电容 你要提供一个失效率和失效模型 没有这个正式的失效率 你是没办法做后面的计算的 后面我们会讲到 主要是跟FMEDA相关的 你的FIT的计算实际上是帮助你的失效率来计算的 没有失效率 你是没办法计算FIT的 这是26262 我们看到的一些关键的概念 这个就对应了几个主要的安全等级 主要是对应了下面几个方面 第一个就是我们讲的FIT 第二个潜在失效率 还有这是单点的失效率 这三者之间的关系大概是这样的 如果做ASIL C的话 我的单点是大于97%的 诊断是97% FIT是小于100 潜在的话是大于80% 其实这个里面 这个比较关键一些 为什么呢 因为单点失效率的话 相对于FIT和这块的话 我个人觉得 是比较关键的 因为你选择一个好的芯片 一个好的IC的话 你可以很好的去控制它 如果你选择的IC不够好 你很难去控制它 简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容 我就可以做 那ASILC和D为什么难做呢 就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的 是非常非常复杂的 ASIL C和D是有一些差别的 但不是一个数量级的差异 但ASILB和C呢 是一个数量级的差异
大家下午好 我是TI负责
EP 也就是数字处理器这类的
芯片 我姓周 周海发
我今天主要给大家讲讲TI在汽车的这个应用里面
的模拟料之外的数字料
就是EP的产品
首先讲570 它其实是一个
很前沿的一个东西 为什么呢
因为这个产品出来面向我们的产品大家接触的不是很多
为什么 因为之前主要是在德国
博世和康体这种类型的客户里运用
然后在市场上 通用市场上见得不是很多
大家没有机会了解其中的一些原理
那我们会介绍570是一个什么样的东西 它可以帮助我们做什么
汽车里能达到一个 什么样的应用的目的
谈到570蓝牙 就会谈到功能安全
功能安全这个东西 在座的各位都是跟汽车行业相关的
对这个概念非常理解 其实功能安全在最早的时候
有很多事件触发了功能安全这个概念的提出
这里就是我们看到的一个油井
美国的一个油井爆炸起火
然后大概死了一些人 其实里面
爆炸的原因是一个非常非常小的点
就是油管里面的油压太高了
但是检测的机制不起作用 导致的爆炸
但这个爆炸现在看来有很多 方式去规避
但当时没有功能安全的概念 没有做这方面的处理
最后导致了严重的后果 导致了生命的问题
这是一个方面 还有就是大家可以看 丰田在美国的事件
丰田赔了很多钱 这里也是因为功能安全的问题
大家可以想象以下 全球有这么多汽车在路上跑
每天跑很多小时 每天高温低温 白天晚上
不同的区域 总归会有一些问题
这些问题如何规避 不规避会有人生财产生命的问题
规避的话 就会比较安全
我们的功能安全有两个目标 第一个
第一是实现功能 如果你停在路上 不能跑
你是安全的 但没有功能也不行
第二 能跑了之后 如果出问题
怎么办呢 我要可预见
这是功能安全的一个核心概念 我要可预见
出问题 我要可预见 才有相应措施去做相应的保护
否则很危险 这就是功能安全的核心概念
功能安全 在汽车上面 大家知道
26262这套体系 前身是 61508
61508原来是给工业用的
但工业毕竟是工业的 核电是核电的 电厂是电厂的
但是这个标准在汽车和 电机上不一定适用
在其他医疗和航天领域不一定适用
所以61508是现在所有标准的母版
在这个基础上 我们有各种各样的专门的安全
26262就是汽车这块的 2201就是电梯这块的
医疗还有其他东西
26262就是将整个汽车 大家可以稍微关注一下这句话
把整个汽车分成不同的部分 每个部分的话
我需要达到一个功能安全的需求
那汽车里面 对功能安全有要求的大概就是这些
几个核心的部件 这都是跟驱动啊
power change 刹车这边相关的
我们看一下 这是VCU 我们能叫charger importer
电机驱动这块 这是ABS
这是EPS 的转向
然后这个是锂电池保护
这个是转高压的一个DCDC
电池电压抬升抬升做一个无线压的控制
然后这边是充电桩 其实还好 没有太多的功能安全的需求
这是电池管理 这是DCDC辅助电源
其实这里大部分东西都有功能安全的需求
有的可能是ASIL C 有些是ASIL D
不一样 但不论如何 这几个部件对汽车都很关键
假设我的电动汽车里面 这块或这块出问题了
那车子肯定停下来 这个出问题 车子肯定停下来
没有一个不停下来的这里的东西
对汽车都很重要的 因为这涉及到生命的安全
所以这些部件肯定有一个高级别的功能安全的需求
对功能安全 TI有一个专门的芯片 叫做Hercules
来做这一块 为什么呢
它有两个产品 一个是RM系列 一个是TMS570系列
就是在RM和570系列之前 我们与一个很老的系列
那这个系列我们见不到 但大家把车子打开
里面全是这个芯片 RM系列呢
它是一个攻略ASIL3 主要做工业的安全
还有一个特别的地方 就是它是105度的
那汽车就不一样了 它是2626的FCST
ASIL3 已经很高了 ASILD已经到了遥不可及的味道
汽车里面还有一个关键的 125度的要求
我们的570系列可以做26262 也可以做62508
SIL3 这个芯片都是通过这样的标准
汽车里面通常要有大flash 大RAM啊
EK这些东西也是要有的
TI做汽车的功能安全 我们主要是推这颗的
这个系列叫TMS570
TMS570是基于的Cortex R一个内核
就是Cortex R 是做实时处理的
什么地方需要做实时处理 就是电机电源啊
这种地方 所以这个产品在汽车各个方面的场合都可以用
它有低中高端的
所以可以做各种应用
我们看到的这些 它基本上都可以胜任
我们有这方面的参考设计 这方面的市场占有率非常高
这方面有参考设计 这个都可以做
这是570产品发展的一个规划图
大家可以看到 S03 04 07
09 12 31 43
它们的内核都是一样的 都是双核守护的方式
它们的区别可能是大一点的差异
但从外设的IP来讲的话 大概是一样的
然后从芯片的代码和驱动来说 很多都是兼容的
包括100-pin 140-pin也是完全兼容的
这是功能安全的一些标准 功能安全最大的目的是
降低你的风险
从MCU或处理器的角度来讲
这是两方面的工作 一个是你这块的东西
就是跟你的开发流程 大V 小V啊
相关 另外一方面就是和你的工具相关
你的系统的失效相关 这什么意思呢
很简单 上次我也讲过 比如你写一个代码
一加一等于二的你等于三 你就出问题了
这个是需要你自己负责的
绿色的叫software certification software CSP
我们后面会讲 包括compiler quality啊
Complier Qual kit 这边是需要一些工具来支持的
工具很多是要通过26262的认证的
什么意思 就是570芯片本身是要过26262的
但是芯片的开发 包括流程啊 工具集啊
也是需要26262认证的
否则你无法证明自己是可以的
或者你的失效率是很低的
这是一方面 还有一方面就是红色的部分
红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西
一般有一个FMEDA的东西 对570肯定也是必须的
具体来看看
就是从MCU这种产品的开发角度来讲
有三个方面是非常非常关键的 第一个是
你的开发流程
第二个软件的驱动库
你的工具集
第三 你的硬件的失效率
这三点对应到我们刚才讲的三点
第一是这个 第二是工具集 第三是硬件
这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构
你是TUV也好 还是SGS
你都要证明这三个方面都是安全的
没办法证明 你肯定过不了 26262
有办法证明就可以通过
基于这三个方面 TI 都有相应的标准
或者过了相应的标准的证书
那我们来看看 TI是第一家做功能安全的半导体厂商
我们在这里的经验是非常丰富的 我们做了20多年
别的都是从TI挖人去做
TI是最好的 因为TI在这行业进入是最早的
我们的第一个device是在2013年 就过了SIL3的标准
2011年 那还是26262刚刚出来
我们已经把61508这个标准过了
关于功能安全的开发流程
我们是在13年过的
[听不清]和26262 ASILD
就是这个芯片的硬件开发流程我们也是过了26262和61508的
我有芯片 但我的开发流程对不对呢
就好比你做自己的VCU或EPS
你有自己的流程 能不能过26262
也是你们关心的
另外我们的Hercules芯片过26262加上61508 主要是570这块的话
大家可以看看 我们是IEC 570系列全系列都过了
另外就是软件方面 因为它是MCU
软件也有有相应的功能安全的支持
软件的开发流程我们也是过了这块的
这边可能大家有问题 软件开发流程是我自己写的 为什么
TI要过这个呢 因为软件开发流程里面
我们会做570相关的一些Library 驱动
这些东西也是需要过认证的
有了这个 你才可以做应用层 才能做其他东西
是这样的一个概念
大家可以看看 在我们刚才涉及的三个方面
我们都有相关的认证
这在业界里面应该是最全的一家
好具体看看 先看这个随机失效率
其实就是硬件的随机失效率
我要降低硬件的随机失效率 达到ASIL的要求
C也好 D也好 这个东西怎么做
当然我们有FMEDA
这个图很简答 解释的东西是
我的总体的系统的失效率
是多少 通常如果你不做26262这个系统的话
不按这个系统来做的话 你的失效率一般会很高
我们看这个颜色比较红
那过了26262这个体系后 我们可以把它降低到一个可接受的范围
这是26262跟我们要做的一个事情
硬件失效率方面主要有几个指标
一个就是FITS这个概念 意思很简答 就是说
一个FIT对应一个十个九次方的工作时间
一次失效 就是一个FIT
那这个概念可能相对更容易理解
如果有100万辆车 每天在路上跑
跑四个小时 跑一年
如果发生150次失效 就是对应大概100个FIT
FIT的概念非常关键
因为我们后面看到的功能安全等级 都是按照FIT来计算的
不是按照150次失效 或者1次失效来计算的
硬件失效有两个模式 一个是永久性的失效
比如 这个图看到还可以
比如芯片的封装直接打坏了
这就是永久失效 没办法恢复
另外就是随机的临时失效
这种失效情况更复杂 比如你的高低温啊
我举个例子 比如在非洲跑的车子去北极跑了
或者到南极跑了 还有就是比如宇宙射线啊
对你的影响啊 特别是对RAM的影响
会导致一些临时的失效 但你离开这种场景之后
你可能恢复过来了 这就是一个短暂的失效
这对硬件的失效模型来讲是这样的
但这会对应有一个失效率 这种失效率呢
我们用RAM来计算 但对于这种临时的失效率 TI
是有一个具体的数据的 不是我们猜测的数据
而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的
这个很关键 因为你在做26262 或者SIL3也好
ASIL C也好ASILD也好
ASIL B也好 不管你对硬件方面电阻电容
你要提供一个失效率和失效模型
没有这个正式的失效率 你是没办法做后面的计算的
后面我们会讲到 主要是跟FMEDA相关的
你的FIT的计算实际上是帮助你的失效率来计算的
没有失效率 你是没办法计算FIT的
这是26262 我们看到的一些关键的概念
这个就对应了几个主要的安全等级 主要是对应了下面几个方面
第一个就是我们讲的FIT
第二个潜在失效率
还有这是单点的失效率
这三者之间的关系大概是这样的
如果做ASIL C的话 我的单点是大于97%的
诊断是97% FIT是小于100
潜在的话是大于80%
其实这个里面 这个比较关键一些
为什么呢 因为单点失效率的话
相对于FIT和这块的话 我个人觉得
是比较关键的 因为你选择一个好的芯片
一个好的IC的话 你可以很好的去控制它
如果你选择的IC不够好 你很难去控制它
简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容
我就可以做 那ASILC和D为什么难做呢
就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的
是非常非常复杂的
ASIL C和D是有一些差别的
但不是一个数量级的差异 但ASILB和C呢
是一个数量级的差异
大家下午好 我是TI负责 EP 也就是数字处理器这类的 芯片 我姓周 周海发 我今天主要给大家讲讲TI在汽车的这个应用里面 的模拟料之外的数字料 就是EP的产品 首先讲570 它其实是一个 很前沿的一个东西 为什么呢 因为这个产品出来面向我们的产品大家接触的不是很多 为什么 因为之前主要是在德国 博世和康体这种类型的客户里运用 然后在市场上 通用市场上见得不是很多 大家没有机会了解其中的一些原理 那我们会介绍570是一个什么样的东西 它可以帮助我们做什么 汽车里能达到一个 什么样的应用的目的 谈到570蓝牙 就会谈到功能安全 功能安全这个东西 在座的各位都是跟汽车行业相关的 对这个概念非常理解 其实功能安全在最早的时候 有很多事件触发了功能安全这个概念的提出 这里就是我们看到的一个油井 美国的一个油井爆炸起火 然后大概死了一些人 其实里面 爆炸的原因是一个非常非常小的点 就是油管里面的油压太高了 但是检测的机制不起作用 导致的爆炸 但这个爆炸现在看来有很多 方式去规避 但当时没有功能安全的概念 没有做这方面的处理 最后导致了严重的后果 导致了生命的问题 这是一个方面 还有就是大家可以看 丰田在美国的事件 丰田赔了很多钱 这里也是因为功能安全的问题 大家可以想象以下 全球有这么多汽车在路上跑 每天跑很多小时 每天高温低温 白天晚上 不同的区域 总归会有一些问题 这些问题如何规避 不规避会有人生财产生命的问题 规避的话 就会比较安全 我们的功能安全有两个目标 第一个 第一是实现功能 如果你停在路上 不能跑 你是安全的 但没有功能也不行 第二 能跑了之后 如果出问题 怎么办呢 我要可预见 这是功能安全的一个核心概念 我要可预见 出问题 我要可预见 才有相应措施去做相应的保护 否则很危险 这就是功能安全的核心概念 功能安全 在汽车上面 大家知道 26262这套体系 前身是 61508 61508原来是给工业用的 但工业毕竟是工业的 核电是核电的 电厂是电厂的 但是这个标准在汽车和 电机上不一定适用 在其他医疗和航天领域不一定适用 所以61508是现在所有标准的母版 在这个基础上 我们有各种各样的专门的安全 26262就是汽车这块的 2201就是电梯这块的 医疗还有其他东西 26262就是将整个汽车 大家可以稍微关注一下这句话 把整个汽车分成不同的部分 每个部分的话 我需要达到一个功能安全的需求 那汽车里面 对功能安全有要求的大概就是这些 几个核心的部件 这都是跟驱动啊 power change 刹车这边相关的 我们看一下 这是VCU 我们能叫charger importer 电机驱动这块 这是ABS 这是EPS 的转向 然后这个是锂电池保护 这个是转高压的一个DCDC 电池电压抬升抬升做一个无线压的控制 然后这边是充电桩 其实还好 没有太多的功能安全的需求 这是电池管理 这是DCDC辅助电源 其实这里大部分东西都有功能安全的需求 有的可能是ASIL C 有些是ASIL D 不一样 但不论如何 这几个部件对汽车都很关键 假设我的电动汽车里面 这块或这块出问题了 那车子肯定停下来 这个出问题 车子肯定停下来 没有一个不停下来的这里的东西 对汽车都很重要的 因为这涉及到生命的安全 所以这些部件肯定有一个高级别的功能安全的需求 对功能安全 TI有一个专门的芯片 叫做Hercules 来做这一块 为什么呢 它有两个产品 一个是RM系列 一个是TMS570系列 就是在RM和570系列之前 我们与一个很老的系列 那这个系列我们见不到 但大家把车子打开 里面全是这个芯片 RM系列呢 它是一个攻略ASIL3 主要做工业的安全 还有一个特别的地方 就是它是105度的 那汽车就不一样了 它是2626的FCST ASIL3 已经很高了 ASILD已经到了遥不可及的味道 汽车里面还有一个关键的 125度的要求 我们的570系列可以做26262 也可以做62508 SIL3 这个芯片都是通过这样的标准 汽车里面通常要有大flash 大RAM啊 EK这些东西也是要有的 TI做汽车的功能安全 我们主要是推这颗的 这个系列叫TMS570 TMS570是基于的Cortex R一个内核 就是Cortex R 是做实时处理的 什么地方需要做实时处理 就是电机电源啊 这种地方 所以这个产品在汽车各个方面的场合都可以用 它有低中高端的 所以可以做各种应用 我们看到的这些 它基本上都可以胜任 我们有这方面的参考设计 这方面的市场占有率非常高 这方面有参考设计 这个都可以做 这是570产品发展的一个规划图 大家可以看到 S03 04 07 09 12 31 43 它们的内核都是一样的 都是双核守护的方式 它们的区别可能是大一点的差异 但从外设的IP来讲的话 大概是一样的 然后从芯片的代码和驱动来说 很多都是兼容的 包括100-pin 140-pin也是完全兼容的 这是功能安全的一些标准 功能安全最大的目的是 降低你的风险 从MCU或处理器的角度来讲 这是两方面的工作 一个是你这块的东西 就是跟你的开发流程 大V 小V啊 相关 另外一方面就是和你的工具相关 你的系统的失效相关 这什么意思呢 很简单 上次我也讲过 比如你写一个代码 一加一等于二的你等于三 你就出问题了 这个是需要你自己负责的 绿色的叫software certification software CSP 我们后面会讲 包括compiler quality啊 Complier Qual kit 这边是需要一些工具来支持的 工具很多是要通过26262的认证的 什么意思 就是570芯片本身是要过26262的 但是芯片的开发 包括流程啊 工具集啊 也是需要26262认证的 否则你无法证明自己是可以的 或者你的失效率是很低的 这是一方面 还有一方面就是红色的部分 红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西 一般有一个FMEDA的东西 对570肯定也是必须的 具体来看看 就是从MCU这种产品的开发角度来讲 有三个方面是非常非常关键的 第一个是 你的开发流程 第二个软件的驱动库 你的工具集 第三 你的硬件的失效率 这三点对应到我们刚才讲的三点 第一是这个 第二是工具集 第三是硬件 这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构 你是TUV也好 还是SGS 你都要证明这三个方面都是安全的 没办法证明 你肯定过不了 26262 有办法证明就可以通过 基于这三个方面 TI 都有相应的标准 或者过了相应的标准的证书 那我们来看看 TI是第一家做功能安全的半导体厂商 我们在这里的经验是非常丰富的 我们做了20多年 别的都是从TI挖人去做 TI是最好的 因为TI在这行业进入是最早的 我们的第一个device是在2013年 就过了SIL3的标准 2011年 那还是26262刚刚出来 我们已经把61508这个标准过了 关于功能安全的开发流程 我们是在13年过的 [听不清]和26262 ASILD 就是这个芯片的硬件开发流程我们也是过了26262和61508的 我有芯片 但我的开发流程对不对呢 就好比你做自己的VCU或EPS 你有自己的流程 能不能过26262 也是你们关心的 另外我们的Hercules芯片过26262加上61508 主要是570这块的话 大家可以看看 我们是IEC 570系列全系列都过了 另外就是软件方面 因为它是MCU 软件也有有相应的功能安全的支持 软件的开发流程我们也是过了这块的 这边可能大家有问题 软件开发流程是我自己写的 为什么 TI要过这个呢 因为软件开发流程里面 我们会做570相关的一些Library 驱动 这些东西也是需要过认证的 有了这个 你才可以做应用层 才能做其他东西 是这样的一个概念 大家可以看看 在我们刚才涉及的三个方面 我们都有相关的认证 这在业界里面应该是最全的一家 好具体看看 先看这个随机失效率 其实就是硬件的随机失效率 我要降低硬件的随机失效率 达到ASIL的要求 C也好 D也好 这个东西怎么做 当然我们有FMEDA 这个图很简答 解释的东西是 我的总体的系统的失效率 是多少 通常如果你不做26262这个系统的话 不按这个系统来做的话 你的失效率一般会很高 我们看这个颜色比较红 那过了26262这个体系后 我们可以把它降低到一个可接受的范围 这是26262跟我们要做的一个事情 硬件失效率方面主要有几个指标 一个就是FITS这个概念 意思很简答 就是说 一个FIT对应一个十个九次方的工作时间 一次失效 就是一个FIT 那这个概念可能相对更容易理解 如果有100万辆车 每天在路上跑 跑四个小时 跑一年 如果发生150次失效 就是对应大概100个FIT FIT的概念非常关键 因为我们后面看到的功能安全等级 都是按照FIT来计算的 不是按照150次失效 或者1次失效来计算的 硬件失效有两个模式 一个是永久性的失效 比如 这个图看到还可以 比如芯片的封装直接打坏了 这就是永久失效 没办法恢复 另外就是随机的临时失效 这种失效情况更复杂 比如你的高低温啊 我举个例子 比如在非洲跑的车子去北极跑了 或者到南极跑了 还有就是比如宇宙射线啊 对你的影响啊 特别是对RAM的影响 会导致一些临时的失效 但你离开这种场景之后 你可能恢复过来了 这就是一个短暂的失效 这对硬件的失效模型来讲是这样的 但这会对应有一个失效率 这种失效率呢 我们用RAM来计算 但对于这种临时的失效率 TI 是有一个具体的数据的 不是我们猜测的数据 而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的 这个很关键 因为你在做26262 或者SIL3也好 ASIL C也好ASILD也好 ASIL B也好 不管你对硬件方面电阻电容 你要提供一个失效率和失效模型 没有这个正式的失效率 你是没办法做后面的计算的 后面我们会讲到 主要是跟FMEDA相关的 你的FIT的计算实际上是帮助你的失效率来计算的 没有失效率 你是没办法计算FIT的 这是26262 我们看到的一些关键的概念 这个就对应了几个主要的安全等级 主要是对应了下面几个方面 第一个就是我们讲的FIT 第二个潜在失效率 还有这是单点的失效率 这三者之间的关系大概是这样的 如果做ASIL C的话 我的单点是大于97%的 诊断是97% FIT是小于100 潜在的话是大于80% 其实这个里面 这个比较关键一些 为什么呢 因为单点失效率的话 相对于FIT和这块的话 我个人觉得 是比较关键的 因为你选择一个好的芯片 一个好的IC的话 你可以很好的去控制它 如果你选择的IC不够好 你很难去控制它 简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容 我就可以做 那ASILC和D为什么难做呢 就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的 是非常非常复杂的 ASIL C和D是有一些差别的 但不是一个数量级的差异 但ASILB和C呢 是一个数量级的差异
大家下午好 我是TI负责
EP 也就是数字处理器这类的
芯片 我姓周 周海发
我今天主要给大家讲讲TI在汽车的这个应用里面
的模拟料之外的数字料
就是EP的产品
首先讲570 它其实是一个
很前沿的一个东西 为什么呢
因为这个产品出来面向我们的产品大家接触的不是很多
为什么 因为之前主要是在德国
博世和康体这种类型的客户里运用
然后在市场上 通用市场上见得不是很多
大家没有机会了解其中的一些原理
那我们会介绍570是一个什么样的东西 它可以帮助我们做什么
汽车里能达到一个 什么样的应用的目的
谈到570蓝牙 就会谈到功能安全
功能安全这个东西 在座的各位都是跟汽车行业相关的
对这个概念非常理解 其实功能安全在最早的时候
有很多事件触发了功能安全这个概念的提出
这里就是我们看到的一个油井
美国的一个油井爆炸起火
然后大概死了一些人 其实里面
爆炸的原因是一个非常非常小的点
就是油管里面的油压太高了
但是检测的机制不起作用 导致的爆炸
但这个爆炸现在看来有很多 方式去规避
但当时没有功能安全的概念 没有做这方面的处理
最后导致了严重的后果 导致了生命的问题
这是一个方面 还有就是大家可以看 丰田在美国的事件
丰田赔了很多钱 这里也是因为功能安全的问题
大家可以想象以下 全球有这么多汽车在路上跑
每天跑很多小时 每天高温低温 白天晚上
不同的区域 总归会有一些问题
这些问题如何规避 不规避会有人生财产生命的问题
规避的话 就会比较安全
我们的功能安全有两个目标 第一个
第一是实现功能 如果你停在路上 不能跑
你是安全的 但没有功能也不行
第二 能跑了之后 如果出问题
怎么办呢 我要可预见
这是功能安全的一个核心概念 我要可预见
出问题 我要可预见 才有相应措施去做相应的保护
否则很危险 这就是功能安全的核心概念
功能安全 在汽车上面 大家知道
26262这套体系 前身是 61508
61508原来是给工业用的
但工业毕竟是工业的 核电是核电的 电厂是电厂的
但是这个标准在汽车和 电机上不一定适用
在其他医疗和航天领域不一定适用
所以61508是现在所有标准的母版
在这个基础上 我们有各种各样的专门的安全
26262就是汽车这块的 2201就是电梯这块的
医疗还有其他东西
26262就是将整个汽车 大家可以稍微关注一下这句话
把整个汽车分成不同的部分 每个部分的话
我需要达到一个功能安全的需求
那汽车里面 对功能安全有要求的大概就是这些
几个核心的部件 这都是跟驱动啊
power change 刹车这边相关的
我们看一下 这是VCU 我们能叫charger importer
电机驱动这块 这是ABS
这是EPS 的转向
然后这个是锂电池保护
这个是转高压的一个DCDC
电池电压抬升抬升做一个无线压的控制
然后这边是充电桩 其实还好 没有太多的功能安全的需求
这是电池管理 这是DCDC辅助电源
其实这里大部分东西都有功能安全的需求
有的可能是ASIL C 有些是ASIL D
不一样 但不论如何 这几个部件对汽车都很关键
假设我的电动汽车里面 这块或这块出问题了
那车子肯定停下来 这个出问题 车子肯定停下来
没有一个不停下来的这里的东西
对汽车都很重要的 因为这涉及到生命的安全
所以这些部件肯定有一个高级别的功能安全的需求
对功能安全 TI有一个专门的芯片 叫做Hercules
来做这一块 为什么呢
它有两个产品 一个是RM系列 一个是TMS570系列
就是在RM和570系列之前 我们与一个很老的系列
那这个系列我们见不到 但大家把车子打开
里面全是这个芯片 RM系列呢
它是一个攻略ASIL3 主要做工业的安全
还有一个特别的地方 就是它是105度的
那汽车就不一样了 它是2626的FCST
ASIL3 已经很高了 ASILD已经到了遥不可及的味道
汽车里面还有一个关键的 125度的要求
我们的570系列可以做26262 也可以做62508
SIL3 这个芯片都是通过这样的标准
汽车里面通常要有大flash 大RAM啊
EK这些东西也是要有的
TI做汽车的功能安全 我们主要是推这颗的
这个系列叫TMS570
TMS570是基于的Cortex R一个内核
就是Cortex R 是做实时处理的
什么地方需要做实时处理 就是电机电源啊
这种地方 所以这个产品在汽车各个方面的场合都可以用
它有低中高端的
所以可以做各种应用
我们看到的这些 它基本上都可以胜任
我们有这方面的参考设计 这方面的市场占有率非常高
这方面有参考设计 这个都可以做
这是570产品发展的一个规划图
大家可以看到 S03 04 07
09 12 31 43
它们的内核都是一样的 都是双核守护的方式
它们的区别可能是大一点的差异
但从外设的IP来讲的话 大概是一样的
然后从芯片的代码和驱动来说 很多都是兼容的
包括100-pin 140-pin也是完全兼容的
这是功能安全的一些标准 功能安全最大的目的是
降低你的风险
从MCU或处理器的角度来讲
这是两方面的工作 一个是你这块的东西
就是跟你的开发流程 大V 小V啊
相关 另外一方面就是和你的工具相关
你的系统的失效相关 这什么意思呢
很简单 上次我也讲过 比如你写一个代码
一加一等于二的你等于三 你就出问题了
这个是需要你自己负责的
绿色的叫software certification software CSP
我们后面会讲 包括compiler quality啊
Complier Qual kit 这边是需要一些工具来支持的
工具很多是要通过26262的认证的
什么意思 就是570芯片本身是要过26262的
但是芯片的开发 包括流程啊 工具集啊
也是需要26262认证的
否则你无法证明自己是可以的
或者你的失效率是很低的
这是一方面 还有一方面就是红色的部分
红色的部分是你的随机的失效率 一般是和你的硬件相关的一些东西
一般有一个FMEDA的东西 对570肯定也是必须的
具体来看看
就是从MCU这种产品的开发角度来讲
有三个方面是非常非常关键的 第一个是
你的开发流程
第二个软件的驱动库
你的工具集
第三 你的硬件的失效率
这三点对应到我们刚才讲的三点
第一是这个 第二是工具集 第三是硬件
这三个方面都需要show me evidence 就是需要你的认证机构 不管是哪个认证机构
你是TUV也好 还是SGS
你都要证明这三个方面都是安全的
没办法证明 你肯定过不了 26262
有办法证明就可以通过
基于这三个方面 TI 都有相应的标准
或者过了相应的标准的证书
那我们来看看 TI是第一家做功能安全的半导体厂商
我们在这里的经验是非常丰富的 我们做了20多年
别的都是从TI挖人去做
TI是最好的 因为TI在这行业进入是最早的
我们的第一个device是在2013年 就过了SIL3的标准
2011年 那还是26262刚刚出来
我们已经把61508这个标准过了
关于功能安全的开发流程
我们是在13年过的
[听不清]和26262 ASILD
就是这个芯片的硬件开发流程我们也是过了26262和61508的
我有芯片 但我的开发流程对不对呢
就好比你做自己的VCU或EPS
你有自己的流程 能不能过26262
也是你们关心的
另外我们的Hercules芯片过26262加上61508 主要是570这块的话
大家可以看看 我们是IEC 570系列全系列都过了
另外就是软件方面 因为它是MCU
软件也有有相应的功能安全的支持
软件的开发流程我们也是过了这块的
这边可能大家有问题 软件开发流程是我自己写的 为什么
TI要过这个呢 因为软件开发流程里面
我们会做570相关的一些Library 驱动
这些东西也是需要过认证的
有了这个 你才可以做应用层 才能做其他东西
是这样的一个概念
大家可以看看 在我们刚才涉及的三个方面
我们都有相关的认证
这在业界里面应该是最全的一家
好具体看看 先看这个随机失效率
其实就是硬件的随机失效率
我要降低硬件的随机失效率 达到ASIL的要求
C也好 D也好 这个东西怎么做
当然我们有FMEDA
这个图很简答 解释的东西是
我的总体的系统的失效率
是多少 通常如果你不做26262这个系统的话
不按这个系统来做的话 你的失效率一般会很高
我们看这个颜色比较红
那过了26262这个体系后 我们可以把它降低到一个可接受的范围
这是26262跟我们要做的一个事情
硬件失效率方面主要有几个指标
一个就是FITS这个概念 意思很简答 就是说
一个FIT对应一个十个九次方的工作时间
一次失效 就是一个FIT
那这个概念可能相对更容易理解
如果有100万辆车 每天在路上跑
跑四个小时 跑一年
如果发生150次失效 就是对应大概100个FIT
FIT的概念非常关键
因为我们后面看到的功能安全等级 都是按照FIT来计算的
不是按照150次失效 或者1次失效来计算的
硬件失效有两个模式 一个是永久性的失效
比如 这个图看到还可以
比如芯片的封装直接打坏了
这就是永久失效 没办法恢复
另外就是随机的临时失效
这种失效情况更复杂 比如你的高低温啊
我举个例子 比如在非洲跑的车子去北极跑了
或者到南极跑了 还有就是比如宇宙射线啊
对你的影响啊 特别是对RAM的影响
会导致一些临时的失效 但你离开这种场景之后
你可能恢复过来了 这就是一个短暂的失效
这对硬件的失效模型来讲是这样的
但这会对应有一个失效率 这种失效率呢
我们用RAM来计算 但对于这种临时的失效率 TI
是有一个具体的数据的 不是我们猜测的数据
而是在我们的洛杉矶实验室和 TI自己的实验室测试出来的
这个很关键 因为你在做26262 或者SIL3也好
ASIL C也好ASILD也好
ASIL B也好 不管你对硬件方面电阻电容
你要提供一个失效率和失效模型
没有这个正式的失效率 你是没办法做后面的计算的
后面我们会讲到 主要是跟FMEDA相关的
你的FIT的计算实际上是帮助你的失效率来计算的
没有失效率 你是没办法计算FIT的
这是26262 我们看到的一些关键的概念
这个就对应了几个主要的安全等级 主要是对应了下面几个方面
第一个就是我们讲的FIT
第二个潜在失效率
还有这是单点的失效率
这三者之间的关系大概是这样的
如果做ASIL C的话 我的单点是大于97%的
诊断是97% FIT是小于100
潜在的话是大于80%
其实这个里面 这个比较关键一些
为什么呢 因为单点失效率的话
相对于FIT和这块的话 我个人觉得
是比较关键的 因为你选择一个好的芯片
一个好的IC的话 你可以很好的去控制它
如果你选择的IC不够好 你很难去控制它
简单一点 为什么大家觉得ASIL B 好做呢 因为我用一些简单的电阻电容
我就可以做 那ASILC和D为什么难做呢
就是大家不要看这七个点 其实他们背后的逻辑是非常复杂的
是非常非常复杂的
ASIL C和D是有一些差别的
但不是一个数量级的差异 但ASILB和C呢
是一个数量级的差异
手机看
扫码用手机观看
视频简介
A. TI TMS570 安全技术在汽车中的运用
所属课程:TI TMS570 安全技术在汽车中的运用
发布时间:2016.09.02
视频集数:2
本节视频时长:00:18:11
介绍TMS570是什么?能做什么?在汽车里能达到什么应用目的。
未学习 A. TI TMS570 安全技术在汽车中的运用
未学习 B. TI TMS570 安全技术在汽车中的运用
