B. TI TMS570 安全技术在汽车中的运用
Loading the player...
将在30s后自动为您播放下一课程
那570在这一块的话 我们是怎么做 各方面的失效率 或者换个角度来讲 我们如何诊断它 因为失效的话 我们都需要相应的措施去诊断 你诊断降低这个失效就可以 提高单点也好 潜在也好 这个可能性也好都可以去做 所以 我们主要来看看570的诊断是怎么做的 其实里面最常见的一个就是诊断 那谈到诊断的话 我们这里有几个概念 大家看看这个红色的地方都是跟功能安全相关的地方 比如内核 内核是两个内核 同时在运算 同时在执行相同的代码 要不然会有一些时间差 执行出来的结果然后做一些比较 这就是我的诊断 RAM FLASH 我有ECC校验 当出现错误 当出现一些BIST 我就可以自己去纠正 当出现很多的BIST 我就可以去报警 那芯片通过ESM进入一个安全的状态 那就是我的一个诊断 我上电对EIC 对PR 就是我的时钟 对电源我都能去检测 这也是我的诊断 对我的代码 对我的RAM 对我的flash 对我的CPU进行一个自检 这也是我的一个诊断 包括提供一些 当然这个总线是经过一些特殊的处理 包括我们提供两个ADC去做 同样的数据的采集 这也是一个数据的采集 大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式 去帮你实现更高等级的这样一个 硬件失效的一个可能性 所以570在这里 这种逻辑结构 这种方式 这种安全的思路 都是TI自己设计出来的 而且是经过很多测试的 而且我们的测试不是简单的TI实验室测试 我们在很多的 因为这个产品是在美国的德州休斯顿 那边做的 那边靠的是宇航中心 有很多测试都是在宇航中心做的 所以这个芯片为什么是第一颗能拿到2626 61508的认证 就是TI做了很多的硬件加软件的机制的保护 这是硬件层面 这是一个简单的例子 关于诊断这个 设计 这个是诊断内核 内核是Lockstep 就是双核锁控 大家可以看出来 为什么这个是这种正常的摆放 这种是翻转了以后的摆放 其实是有自己的逻辑依据的 因为两个核如果你是叠加 或者水平放的话 你是很难去 或者说你没办法 怎么讲 也不是没办法 就是它比物理上这种自动摆放 它是更容易规避现场的一些可能的 可能的一些问题 或者说 这种方式的安全性会比平行啊 或者其他方式更高 他们两个会执行同样的代码 同样的代码进来 都会有相同的接口出来 当然 一个是在执行前加了一些delay 一个是在执行后加了一些delay 两个delay肯定是一样的 结果 结果出来以后变成同样时刻的一个结果 然后进行比较 如果比较出来的结果是一致的话 那我认为我的执行没问题 那如果不一致 说明我的结果是有问题的 说明某一个核出问题了 这时候需要进入某一个安全的状态 这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了 其实道理是类似的 那其实针对硬件这块的话 有了诊断 有了这么多硬件的功能诊断以后 我们在客户层面去实现这个功能 这个诊断 我们怎么做呢 就需要一个指导的手册 叫做safety manual 这个在TI的网站上可以下载 我这里不去讲 它是跟芯片的每一个模块也好 跟功能相关的地方也好 会有一个介绍和解释 你怎么做 会达到一个怎么样的安全等级 safety manual是配合FMEDA做的 FMEDA大家可能比较清楚 就是我这个芯片 最后要计算我的filter 单点也好 潜在也好 可能失效也好 我需要使用FMEDA这个工具 其实就是一个EXCEL的表格 里面是对所有模块非常详细的一个介绍 当然除了模块还有功能方面的东西 它包括下面几个系统 大家做功能安全的话 一定要这个 这个不管你是用TI的还是其他的 你都要用 刚才讲的硬件失效的话 package 包括内核Die啊 包括随机的一些 临时的失效 这是FMEDA大概的一个样子 它是一个EXCEL的表格 有很多的功能 有包括软件和硬件方面的东西 你可要选择用不用这个工具或诊断方式 你用了的话 对应的一个功能和结果 安全性更高 你不用的话 安全性会低一些 但不管如何 你最终要选择一个平衡 去达到你的ASIL C D的要求 这个是FMEDA里面的内容 大家可以看一下 这里有模块 [听不清]模块 这里[听不清]会跟你讲 要用哪些具体详细的功能 然后如果你用了 选1 不用选择0 FMEDA根据你最后选择的内容 最终会为你生成一个结果 告诉你最后能达到怎样的诊断覆盖率 多少FIT 多少单点的 多少潜在的 都在这里 这个只是一个例子 根据这个结果 你可以计算你可以达到多少ASIL的要求 这个是功能开发的 特别是跟硬件相关的 一个方式方法 它是干什么的呢 其实这边有个图 很简单 一般你做功能安全 你需要一个方式safety的 你要知道有这个流程 在这个流程中 第一步 你要知道自己要做什么 比如我要做BMS还是电机控制 还是[听不清]还是其他VPS 那下面你要做的是 我这个产品里面 我存在什么风险 我要做一些分析 比如你BMS 它的风险是什么 它会爆炸对吗 那它爆炸的话 在这个基础上 你可能要去 分析它对应的功能安全等级的要求是什么 是ASIL D还是C 在这个基础上 在有了功能安全的等级后 你可能想细化你的安全目标是什么 你要达到什么样的安全目标 BMS会爆炸 我要控制它的什么 因为什么会爆炸呢 过温啊 过冲啊 为了不让它过温 过冲 我的安全目标是什么 我要知道 下面是一些详细的一些 功能安全要求 这个会结合到你的功能安全硬件上去做 包括你的主芯片 辅助芯片 电阻 电容 其他的 这个地方你要去算了 这个时候 就会有刚才提到的 比如单点效率啊 潜在风险啊 这个都会有 这里面有一个很成熟的算法 在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算 看完了硬件 我们来看软件相关的东西 这些是配合你的硬件来实现的 你只有硬件 没有软件是肯定不行的 而且这个软件是跟功能安全相关的开发的支持 这是功能安全的一个基本的软件框架 这是芯片 我们叫做硬件层 在这个基础上 我们叫软件的外设的驱动 外设的驱动 这样你会有安全的 这个操作系统 可能是RTOS 在这个基础上 AUTOSAR 是你的应用层面的一个library 你可能有很多任务 很多任务之间可以做成Library的方式 然后就是你的应用层 application library和Autosar 你可能会有诊断的一些机制 你要怎么做诊断 保证你的代码 方方面面都是安全的 或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好 我要做检测 那我肯定要有诊断的机制 不可能一个外设我配置好了以后 就直接跑了 这是不可能的 因为在运行过程中的安全 这里TI提供了很多资源 帮助你去实现这个东西 第一个是我们的HALCOGEN 就是外设驱动生成的工具 是一个人机话配置的界面 你在上面可以配置初始化的外设 可以把C代码直接生成 C代码生成之后你可以直接通过你的Autosar 我们有一个M Call 有这样的M Call在里面 这是第一 第二 就是有一个诊断的库 HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置 电源 时钟 外设 包括所有的东西都可以去配 诊断库刚才有讲到 就是我要初始化跟功能安全相关的一些机制 然后我要注入一些故障 否则我怎么知道安不安全呢 故障以后 我需要ESM这个模块去处理 出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态 这是诊断库做的事情 那无论如何 我们把它整理成一个compliance support package 里面有很多文档 教你如何去用这个东西 当然这里面 是收费的 毕竟还是过了ISO26262的东西 提到26262 这个是全是钱堆的 这个东西一般都有额外的收费 另外是跟软件相关的 刚才是生产的代码的东西 然后是跟软件相关的编辑器 我代码写好了 逻辑没问题 编辑器得出的结果出了问题 这是得不偿失的 就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准 软件硬件都要过 才能达到系统的安全 这就是刚才我们上一页大家还记得有一个直角 show me evidence 给我看看你的证据 有了证据你可以通过 没有证据 你要想办法证明 这个工作量是很大的 过了26262说明 它是可以去认可的 当然对于26262 不同的认证机构 不管是SGS 也好 他们可能各自有自己额外的要求 但是 就是各自对26262有自己的一些要求或理解也好 基本上过了26262 都是认可的 AUTOSTAR是里面绕不过去的一个东西 现在大家做汽车 AUTOSTAR 也跟着很流行起来 它在国内有几家供应商 比如EP ES 然后还有一个什么 还有一个叫什么 RTOR 对吗 AUTOSTAR简单来说 就是一个 纯软件的东西 帮你干什么呢 帮助你做系统相关的 你可以把它当做一个操作系统 帮你做系统相关的调度 调度可以保证你的代码生成 不会出错 因为汽车行业 代码量是非常非常大的 你没有一个很好的操作系统AUTOSAR去帮你处理的话 你写出来的代码是很难保证功能安全的 AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西 然后直接代码生成 是一个非常非常好的工具 当然它对内存和系统资源占用也很多 使用AUTOSART是一个操作系统 对你的底层是有一些要求的 你要提供符合它的底层要求的一个库 叫做M CALL我们570肯定有这方面的支持 最后 我们讲讲 570其实在 为什么在很多功能安全领域都选择570 我现在手上有很多客户 都在做570 不管是工业还是汽车 包括BMS也在做 是有很多考虑 总体来讲讲 首先从产品的角度 我们产品的覆盖面还是很广的 从小到大的flash 从高主频到低主频 产品系列还是比较全的 然后相同的[听不清]都是兼容的 在这个行业里面 因为570的资源比较特殊 特别是外设的资源比较特殊 所以它对汽车的[听不清]也好 ABS AIRBAG也好 ESP也好 它都能做 而且我们有很多成功的案例 在国内比较少 国外特别特别多 在国外特别多 当然AUTOSTAR也是支持的 从芯片角度 我们这样看 第二从570的历史数据来看 这个很关键 570的历史数据来看 还是非常强劲的 570已经做了20多年了 就是我们Herclus570已经做了20多年了 Q100肯定是没问题 我们到目前为止是0个dppm 这个是非常难做的 或者 非常难实现的 一个小插曲 当年我们 我们当年跟博世谈的时候 就是这个要去 但是TI没答应 因为无法保证 但TI的目标肯定是Q100 这就是在20年来 我们都是0dppm 这是非常非常难做的 20年[听不清] 这是非常难做的 温度等级我们就不谈了 下面是一些应用和26262相关的 这块TI不输任何的竞争对手 因为我们是最早做的 然后在工具集方面 文档 软件也好 其实方面也好 我们是非常全面的 刚才也看到 我们有很多软件的硬件的 包括配合的FMEDA 然后还有编译器的支持 相关软件的支持 TI 都有 OK 我要讲的东西差不多这么多
那570在这一块的话 我们是怎么做 各方面的失效率 或者换个角度来讲 我们如何诊断它 因为失效的话 我们都需要相应的措施去诊断 你诊断降低这个失效就可以 提高单点也好 潜在也好 这个可能性也好都可以去做 所以 我们主要来看看570的诊断是怎么做的 其实里面最常见的一个就是诊断 那谈到诊断的话 我们这里有几个概念 大家看看这个红色的地方都是跟功能安全相关的地方 比如内核 内核是两个内核 同时在运算 同时在执行相同的代码 要不然会有一些时间差 执行出来的结果然后做一些比较 这就是我的诊断 RAM FLASH 我有ECC校验 当出现错误 当出现一些BIST 我就可以自己去纠正 当出现很多的BIST 我就可以去报警 那芯片通过ESM进入一个安全的状态 那就是我的一个诊断 我上电对EIC 对PR 就是我的时钟 对电源我都能去检测 这也是我的诊断 对我的代码 对我的RAM 对我的flash 对我的CPU进行一个自检 这也是我的一个诊断 包括提供一些 当然这个总线是经过一些特殊的处理 包括我们提供两个ADC去做 同样的数据的采集 这也是一个数据的采集 大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式 去帮你实现更高等级的这样一个 硬件失效的一个可能性 所以570在这里 这种逻辑结构 这种方式 这种安全的思路 都是TI自己设计出来的 而且是经过很多测试的 而且我们的测试不是简单的TI实验室测试 我们在很多的 因为这个产品是在美国的德州休斯顿 那边做的 那边靠的是宇航中心 有很多测试都是在宇航中心做的 所以这个芯片为什么是第一颗能拿到2626 61508的认证 就是TI做了很多的硬件加软件的机制的保护 这是硬件层面 这是一个简单的例子 关于诊断这个 设计 这个是诊断内核 内核是Lockstep 就是双核锁控 大家可以看出来 为什么这个是这种正常的摆放 这种是翻转了以后的摆放 其实是有自己的逻辑依据的 因为两个核如果你是叠加 或者水平放的话 你是很难去 或者说你没办法 怎么讲 也不是没办法 就是它比物理上这种自动摆放 它是更容易规避现场的一些可能的 可能的一些问题 或者说 这种方式的安全性会比平行啊 或者其他方式更高 他们两个会执行同样的代码 同样的代码进来 都会有相同的接口出来 当然 一个是在执行前加了一些delay 一个是在执行后加了一些delay 两个delay肯定是一样的 结果 结果出来以后变成同样时刻的一个结果 然后进行比较 如果比较出来的结果是一致的话 那我认为我的执行没问题 那如果不一致 说明我的结果是有问题的 说明某一个核出问题了 这时候需要进入某一个安全的状态 这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了 其实道理是类似的 那其实针对硬件这块的话 有了诊断 有了这么多硬件的功能诊断以后 我们在客户层面去实现这个功能 这个诊断 我们怎么做呢 就需要一个指导的手册 叫做safety manual 这个在TI的网站上可以下载 我这里不去讲 它是跟芯片的每一个模块也好 跟功能相关的地方也好 会有一个介绍和解释 你怎么做 会达到一个怎么样的安全等级 safety manual是配合FMEDA做的 FMEDA大家可能比较清楚 就是我这个芯片 最后要计算我的filter 单点也好 潜在也好 可能失效也好 我需要使用FMEDA这个工具 其实就是一个EXCEL的表格 里面是对所有模块非常详细的一个介绍 当然除了模块还有功能方面的东西 它包括下面几个系统 大家做功能安全的话 一定要这个 这个不管你是用TI的还是其他的 你都要用 刚才讲的硬件失效的话 package 包括内核Die啊 包括随机的一些 临时的失效 这是FMEDA大概的一个样子 它是一个EXCEL的表格 有很多的功能 有包括软件和硬件方面的东西 你可要选择用不用这个工具或诊断方式 你用了的话 对应的一个功能和结果 安全性更高 你不用的话 安全性会低一些 但不管如何 你最终要选择一个平衡 去达到你的ASIL C D的要求 这个是FMEDA里面的内容 大家可以看一下 这里有模块 [听不清]模块 这里[听不清]会跟你讲 要用哪些具体详细的功能 然后如果你用了 选1 不用选择0 FMEDA根据你最后选择的内容 最终会为你生成一个结果 告诉你最后能达到怎样的诊断覆盖率 多少FIT 多少单点的 多少潜在的 都在这里 这个只是一个例子 根据这个结果 你可以计算你可以达到多少ASIL的要求 这个是功能开发的 特别是跟硬件相关的 一个方式方法 它是干什么的呢 其实这边有个图 很简单 一般你做功能安全 你需要一个方式safety的 你要知道有这个流程 在这个流程中 第一步 你要知道自己要做什么 比如我要做BMS还是电机控制 还是[听不清]还是其他VPS 那下面你要做的是 我这个产品里面 我存在什么风险 我要做一些分析 比如你BMS 它的风险是什么 它会爆炸对吗 那它爆炸的话 在这个基础上 你可能要去 分析它对应的功能安全等级的要求是什么 是ASIL D还是C 在这个基础上 在有了功能安全的等级后 你可能想细化你的安全目标是什么 你要达到什么样的安全目标 BMS会爆炸 我要控制它的什么 因为什么会爆炸呢 过温啊 过冲啊 为了不让它过温 过冲 我的安全目标是什么 我要知道 下面是一些详细的一些 功能安全要求 这个会结合到你的功能安全硬件上去做 包括你的主芯片 辅助芯片 电阻 电容 其他的 这个地方你要去算了 这个时候 就会有刚才提到的 比如单点效率啊 潜在风险啊 这个都会有 这里面有一个很成熟的算法 在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算 看完了硬件 我们来看软件相关的东西 这些是配合你的硬件来实现的 你只有硬件 没有软件是肯定不行的 而且这个软件是跟功能安全相关的开发的支持 这是功能安全的一个基本的软件框架 这是芯片 我们叫做硬件层 在这个基础上 我们叫软件的外设的驱动 外设的驱动 这样你会有安全的 这个操作系统 可能是RTOS 在这个基础上 AUTOSAR 是你的应用层面的一个library 你可能有很多任务 很多任务之间可以做成Library的方式 然后就是你的应用层 application library和Autosar 你可能会有诊断的一些机制 你要怎么做诊断 保证你的代码 方方面面都是安全的 或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好 我要做检测 那我肯定要有诊断的机制 不可能一个外设我配置好了以后 就直接跑了 这是不可能的 因为在运行过程中的安全 这里TI提供了很多资源 帮助你去实现这个东西 第一个是我们的HALCOGEN 就是外设驱动生成的工具 是一个人机话配置的界面 你在上面可以配置初始化的外设 可以把C代码直接生成 C代码生成之后你可以直接通过你的Autosar 我们有一个M Call 有这样的M Call在里面 这是第一 第二 就是有一个诊断的库 HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置 电源 时钟 外设 包括所有的东西都可以去配 诊断库刚才有讲到 就是我要初始化跟功能安全相关的一些机制 然后我要注入一些故障 否则我怎么知道安不安全呢 故障以后 我需要ESM这个模块去处理 出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态 这是诊断库做的事情 那无论如何 我们把它整理成一个compliance support package 里面有很多文档 教你如何去用这个东西 当然这里面 是收费的 毕竟还是过了ISO26262的东西 提到26262 这个是全是钱堆的 这个东西一般都有额外的收费 另外是跟软件相关的 刚才是生产的代码的东西 然后是跟软件相关的编辑器 我代码写好了 逻辑没问题 编辑器得出的结果出了问题 这是得不偿失的 就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准 软件硬件都要过 才能达到系统的安全 这就是刚才我们上一页大家还记得有一个直角 show me evidence 给我看看你的证据 有了证据你可以通过 没有证据 你要想办法证明 这个工作量是很大的 过了26262说明 它是可以去认可的 当然对于26262 不同的认证机构 不管是SGS 也好 他们可能各自有自己额外的要求 但是 就是各自对26262有自己的一些要求或理解也好 基本上过了26262 都是认可的 AUTOSTAR是里面绕不过去的一个东西 现在大家做汽车 AUTOSTAR 也跟着很流行起来 它在国内有几家供应商 比如EP ES 然后还有一个什么 还有一个叫什么 RTOR 对吗 AUTOSTAR简单来说 就是一个 纯软件的东西 帮你干什么呢 帮助你做系统相关的 你可以把它当做一个操作系统 帮你做系统相关的调度 调度可以保证你的代码生成 不会出错 因为汽车行业 代码量是非常非常大的 你没有一个很好的操作系统AUTOSAR去帮你处理的话 你写出来的代码是很难保证功能安全的 AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西 然后直接代码生成 是一个非常非常好的工具 当然它对内存和系统资源占用也很多 使用AUTOSART是一个操作系统 对你的底层是有一些要求的 你要提供符合它的底层要求的一个库 叫做M CALL我们570肯定有这方面的支持 最后 我们讲讲 570其实在 为什么在很多功能安全领域都选择570 我现在手上有很多客户 都在做570 不管是工业还是汽车 包括BMS也在做 是有很多考虑 总体来讲讲 首先从产品的角度 我们产品的覆盖面还是很广的 从小到大的flash 从高主频到低主频 产品系列还是比较全的 然后相同的[听不清]都是兼容的 在这个行业里面 因为570的资源比较特殊 特别是外设的资源比较特殊 所以它对汽车的[听不清]也好 ABS AIRBAG也好 ESP也好 它都能做 而且我们有很多成功的案例 在国内比较少 国外特别特别多 在国外特别多 当然AUTOSTAR也是支持的 从芯片角度 我们这样看 第二从570的历史数据来看 这个很关键 570的历史数据来看 还是非常强劲的 570已经做了20多年了 就是我们Herclus570已经做了20多年了 Q100肯定是没问题 我们到目前为止是0个dppm 这个是非常难做的 或者 非常难实现的 一个小插曲 当年我们 我们当年跟博世谈的时候 就是这个要去 但是TI没答应 因为无法保证 但TI的目标肯定是Q100 这就是在20年来 我们都是0dppm 这是非常非常难做的 20年[听不清] 这是非常难做的 温度等级我们就不谈了 下面是一些应用和26262相关的 这块TI不输任何的竞争对手 因为我们是最早做的 然后在工具集方面 文档 软件也好 其实方面也好 我们是非常全面的 刚才也看到 我们有很多软件的硬件的 包括配合的FMEDA 然后还有编译器的支持 相关软件的支持 TI 都有 OK 我要讲的东西差不多这么多
那570在这一块的话 我们是怎么做
各方面的失效率
或者换个角度来讲
我们如何诊断它 因为失效的话
我们都需要相应的措施去诊断
你诊断降低这个失效就可以
提高单点也好 潜在也好
这个可能性也好都可以去做 所以
我们主要来看看570的诊断是怎么做的
其实里面最常见的一个就是诊断
那谈到诊断的话 我们这里有几个概念
大家看看这个红色的地方都是跟功能安全相关的地方
比如内核 内核是两个内核
同时在运算 同时在执行相同的代码
要不然会有一些时间差
执行出来的结果然后做一些比较
这就是我的诊断 RAM FLASH 我有ECC校验
当出现错误 当出现一些BIST
我就可以自己去纠正
当出现很多的BIST 我就可以去报警
那芯片通过ESM进入一个安全的状态
那就是我的一个诊断
我上电对EIC
对PR 就是我的时钟
对电源我都能去检测 这也是我的诊断
对我的代码 对我的RAM 对我的flash
对我的CPU进行一个自检 这也是我的一个诊断
包括提供一些 当然这个总线是经过一些特殊的处理
包括我们提供两个ADC去做
同样的数据的采集 这也是一个数据的采集
大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式
去帮你实现更高等级的这样一个
硬件失效的一个可能性
所以570在这里 这种逻辑结构
这种方式 这种安全的思路
都是TI自己设计出来的 而且是经过很多测试的
而且我们的测试不是简单的TI实验室测试
我们在很多的 因为这个产品是在美国的德州休斯顿
那边做的 那边靠的是宇航中心
有很多测试都是在宇航中心做的
所以这个芯片为什么是第一颗能拿到2626 61508的认证
就是TI做了很多的硬件加软件的机制的保护
这是硬件层面
这是一个简单的例子 关于诊断这个
设计 这个是诊断内核
内核是Lockstep 就是双核锁控
大家可以看出来 为什么这个是这种正常的摆放
这种是翻转了以后的摆放 其实是有自己的逻辑依据的
因为两个核如果你是叠加
或者水平放的话 你是很难去
或者说你没办法 怎么讲 也不是没办法
就是它比物理上这种自动摆放
它是更容易规避现场的一些可能的
可能的一些问题 或者说
这种方式的安全性会比平行啊
或者其他方式更高
他们两个会执行同样的代码 同样的代码进来
都会有相同的接口出来 当然
一个是在执行前加了一些delay 一个是在执行后加了一些delay
两个delay肯定是一样的 结果
结果出来以后变成同样时刻的一个结果
然后进行比较 如果比较出来的结果是一致的话
那我认为我的执行没问题
那如果不一致 说明我的结果是有问题的
说明某一个核出问题了 这时候需要进入某一个安全的状态
这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了
其实道理是类似的
那其实针对硬件这块的话 有了诊断
有了这么多硬件的功能诊断以后
我们在客户层面去实现这个功能 这个诊断
我们怎么做呢 就需要一个指导的手册 叫做safety manual
这个在TI的网站上可以下载 我这里不去讲
它是跟芯片的每一个模块也好 跟功能相关的地方也好
会有一个介绍和解释
你怎么做 会达到一个怎么样的安全等级
safety manual是配合FMEDA做的
FMEDA大家可能比较清楚 就是我这个芯片
最后要计算我的filter 单点也好 潜在也好
可能失效也好 我需要使用FMEDA这个工具
其实就是一个EXCEL的表格
里面是对所有模块非常详细的一个介绍
当然除了模块还有功能方面的东西
它包括下面几个系统
大家做功能安全的话 一定要这个
这个不管你是用TI的还是其他的 你都要用
刚才讲的硬件失效的话 package
包括内核Die啊 包括随机的一些
临时的失效 这是FMEDA大概的一个样子
它是一个EXCEL的表格 有很多的功能
有包括软件和硬件方面的东西
你可要选择用不用这个工具或诊断方式
你用了的话 对应的一个功能和结果
安全性更高 你不用的话 安全性会低一些
但不管如何 你最终要选择一个平衡
去达到你的ASIL C D的要求
这个是FMEDA里面的内容
大家可以看一下 这里有模块
[听不清]模块 这里[听不清]会跟你讲
要用哪些具体详细的功能
然后如果你用了 选1 不用选择0
FMEDA根据你最后选择的内容
最终会为你生成一个结果
告诉你最后能达到怎样的诊断覆盖率
多少FIT 多少单点的 多少潜在的
都在这里 这个只是一个例子
根据这个结果 你可以计算你可以达到多少ASIL的要求
这个是功能开发的 特别是跟硬件相关的
一个方式方法 它是干什么的呢
其实这边有个图 很简单
一般你做功能安全 你需要一个方式safety的
你要知道有这个流程 在这个流程中 第一步
你要知道自己要做什么
比如我要做BMS还是电机控制
还是[听不清]还是其他VPS
那下面你要做的是 我这个产品里面
我存在什么风险 我要做一些分析
比如你BMS 它的风险是什么
它会爆炸对吗
那它爆炸的话 在这个基础上 你可能要去
分析它对应的功能安全等级的要求是什么
是ASIL D还是C
在这个基础上 在有了功能安全的等级后
你可能想细化你的安全目标是什么
你要达到什么样的安全目标
BMS会爆炸 我要控制它的什么 因为什么会爆炸呢
过温啊 过冲啊
为了不让它过温 过冲 我的安全目标是什么
我要知道 下面是一些详细的一些
功能安全要求 这个会结合到你的功能安全硬件上去做
包括你的主芯片 辅助芯片
电阻 电容 其他的
这个地方你要去算了
这个时候 就会有刚才提到的 比如单点效率啊
潜在风险啊 这个都会有
这里面有一个很成熟的算法
在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算
看完了硬件 我们来看软件相关的东西
这些是配合你的硬件来实现的
你只有硬件 没有软件是肯定不行的
而且这个软件是跟功能安全相关的开发的支持
这是功能安全的一个基本的软件框架
这是芯片 我们叫做硬件层
在这个基础上 我们叫软件的外设的驱动
外设的驱动 这样你会有安全的
这个操作系统
可能是RTOS 在这个基础上 AUTOSAR
是你的应用层面的一个library
你可能有很多任务 很多任务之间可以做成Library的方式
然后就是你的应用层 application library和Autosar
你可能会有诊断的一些机制
你要怎么做诊断 保证你的代码 方方面面都是安全的
或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好
我要做检测
那我肯定要有诊断的机制 不可能一个外设我配置好了以后
就直接跑了 这是不可能的 因为在运行过程中的安全
这里TI提供了很多资源 帮助你去实现这个东西
第一个是我们的HALCOGEN
就是外设驱动生成的工具
是一个人机话配置的界面
你在上面可以配置初始化的外设
可以把C代码直接生成
C代码生成之后你可以直接通过你的Autosar
我们有一个M Call
有这样的M Call在里面
这是第一 第二 就是有一个诊断的库
HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置
电源 时钟 外设 包括所有的东西都可以去配
诊断库刚才有讲到
就是我要初始化跟功能安全相关的一些机制
然后我要注入一些故障
否则我怎么知道安不安全呢
故障以后 我需要ESM这个模块去处理
出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态
这是诊断库做的事情 那无论如何
我们把它整理成一个compliance support package
里面有很多文档 教你如何去用这个东西 当然这里面
是收费的 毕竟还是过了ISO26262的东西
提到26262 这个是全是钱堆的
这个东西一般都有额外的收费
另外是跟软件相关的 刚才是生产的代码的东西
然后是跟软件相关的编辑器 我代码写好了 逻辑没问题
编辑器得出的结果出了问题 这是得不偿失的
就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准
软件硬件都要过 才能达到系统的安全
这就是刚才我们上一页大家还记得有一个直角
show me evidence
给我看看你的证据
有了证据你可以通过 没有证据 你要想办法证明
这个工作量是很大的 过了26262说明
它是可以去认可的
当然对于26262 不同的认证机构
不管是SGS 也好
他们可能各自有自己额外的要求 但是
就是各自对26262有自己的一些要求或理解也好
基本上过了26262 都是认可的
AUTOSTAR是里面绕不过去的一个东西
现在大家做汽车 AUTOSTAR
也跟着很流行起来
它在国内有几家供应商 比如EP ES 然后还有一个什么
还有一个叫什么 RTOR
对吗 AUTOSTAR简单来说 就是一个
纯软件的东西 帮你干什么呢
帮助你做系统相关的 你可以把它当做一个操作系统
帮你做系统相关的调度
调度可以保证你的代码生成
不会出错 因为汽车行业 代码量是非常非常大的
你没有一个很好的操作系统AUTOSAR去帮你处理的话
你写出来的代码是很难保证功能安全的
AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西
然后直接代码生成 是一个非常非常好的工具
当然它对内存和系统资源占用也很多
使用AUTOSART是一个操作系统 对你的底层是有一些要求的
你要提供符合它的底层要求的一个库
叫做M CALL我们570肯定有这方面的支持
最后 我们讲讲 570其实在
为什么在很多功能安全领域都选择570 我现在手上有很多客户
都在做570 不管是工业还是汽车
包括BMS也在做
是有很多考虑
总体来讲讲 首先从产品的角度
我们产品的覆盖面还是很广的 从小到大的flash
从高主频到低主频 产品系列还是比较全的
然后相同的[听不清]都是兼容的
在这个行业里面 因为570的资源比较特殊
特别是外设的资源比较特殊 所以它对汽车的[听不清]也好
ABS AIRBAG也好 ESP也好
它都能做
而且我们有很多成功的案例
在国内比较少 国外特别特别多
在国外特别多
当然AUTOSTAR也是支持的
从芯片角度 我们这样看
第二从570的历史数据来看
这个很关键 570的历史数据来看
还是非常强劲的
570已经做了20多年了
就是我们Herclus570已经做了20多年了
Q100肯定是没问题
我们到目前为止是0个dppm
这个是非常难做的 或者
非常难实现的 一个小插曲 当年我们
我们当年跟博世谈的时候 就是这个要去
但是TI没答应
因为无法保证 但TI的目标肯定是Q100
这就是在20年来 我们都是0dppm
这是非常非常难做的
20年[听不清] 这是非常难做的
温度等级我们就不谈了
下面是一些应用和26262相关的
这块TI不输任何的竞争对手
因为我们是最早做的 然后在工具集方面
文档 软件也好
其实方面也好 我们是非常全面的
刚才也看到 我们有很多软件的硬件的
包括配合的FMEDA
然后还有编译器的支持 相关软件的支持
TI 都有
OK 我要讲的东西差不多这么多
那570在这一块的话 我们是怎么做 各方面的失效率 或者换个角度来讲 我们如何诊断它 因为失效的话 我们都需要相应的措施去诊断 你诊断降低这个失效就可以 提高单点也好 潜在也好 这个可能性也好都可以去做 所以 我们主要来看看570的诊断是怎么做的 其实里面最常见的一个就是诊断 那谈到诊断的话 我们这里有几个概念 大家看看这个红色的地方都是跟功能安全相关的地方 比如内核 内核是两个内核 同时在运算 同时在执行相同的代码 要不然会有一些时间差 执行出来的结果然后做一些比较 这就是我的诊断 RAM FLASH 我有ECC校验 当出现错误 当出现一些BIST 我就可以自己去纠正 当出现很多的BIST 我就可以去报警 那芯片通过ESM进入一个安全的状态 那就是我的一个诊断 我上电对EIC 对PR 就是我的时钟 对电源我都能去检测 这也是我的诊断 对我的代码 对我的RAM 对我的flash 对我的CPU进行一个自检 这也是我的一个诊断 包括提供一些 当然这个总线是经过一些特殊的处理 包括我们提供两个ADC去做 同样的数据的采集 这也是一个数据的采集 大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式 去帮你实现更高等级的这样一个 硬件失效的一个可能性 所以570在这里 这种逻辑结构 这种方式 这种安全的思路 都是TI自己设计出来的 而且是经过很多测试的 而且我们的测试不是简单的TI实验室测试 我们在很多的 因为这个产品是在美国的德州休斯顿 那边做的 那边靠的是宇航中心 有很多测试都是在宇航中心做的 所以这个芯片为什么是第一颗能拿到2626 61508的认证 就是TI做了很多的硬件加软件的机制的保护 这是硬件层面 这是一个简单的例子 关于诊断这个 设计 这个是诊断内核 内核是Lockstep 就是双核锁控 大家可以看出来 为什么这个是这种正常的摆放 这种是翻转了以后的摆放 其实是有自己的逻辑依据的 因为两个核如果你是叠加 或者水平放的话 你是很难去 或者说你没办法 怎么讲 也不是没办法 就是它比物理上这种自动摆放 它是更容易规避现场的一些可能的 可能的一些问题 或者说 这种方式的安全性会比平行啊 或者其他方式更高 他们两个会执行同样的代码 同样的代码进来 都会有相同的接口出来 当然 一个是在执行前加了一些delay 一个是在执行后加了一些delay 两个delay肯定是一样的 结果 结果出来以后变成同样时刻的一个结果 然后进行比较 如果比较出来的结果是一致的话 那我认为我的执行没问题 那如果不一致 说明我的结果是有问题的 说明某一个核出问题了 这时候需要进入某一个安全的状态 这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了 其实道理是类似的 那其实针对硬件这块的话 有了诊断 有了这么多硬件的功能诊断以后 我们在客户层面去实现这个功能 这个诊断 我们怎么做呢 就需要一个指导的手册 叫做safety manual 这个在TI的网站上可以下载 我这里不去讲 它是跟芯片的每一个模块也好 跟功能相关的地方也好 会有一个介绍和解释 你怎么做 会达到一个怎么样的安全等级 safety manual是配合FMEDA做的 FMEDA大家可能比较清楚 就是我这个芯片 最后要计算我的filter 单点也好 潜在也好 可能失效也好 我需要使用FMEDA这个工具 其实就是一个EXCEL的表格 里面是对所有模块非常详细的一个介绍 当然除了模块还有功能方面的东西 它包括下面几个系统 大家做功能安全的话 一定要这个 这个不管你是用TI的还是其他的 你都要用 刚才讲的硬件失效的话 package 包括内核Die啊 包括随机的一些 临时的失效 这是FMEDA大概的一个样子 它是一个EXCEL的表格 有很多的功能 有包括软件和硬件方面的东西 你可要选择用不用这个工具或诊断方式 你用了的话 对应的一个功能和结果 安全性更高 你不用的话 安全性会低一些 但不管如何 你最终要选择一个平衡 去达到你的ASIL C D的要求 这个是FMEDA里面的内容 大家可以看一下 这里有模块 [听不清]模块 这里[听不清]会跟你讲 要用哪些具体详细的功能 然后如果你用了 选1 不用选择0 FMEDA根据你最后选择的内容 最终会为你生成一个结果 告诉你最后能达到怎样的诊断覆盖率 多少FIT 多少单点的 多少潜在的 都在这里 这个只是一个例子 根据这个结果 你可以计算你可以达到多少ASIL的要求 这个是功能开发的 特别是跟硬件相关的 一个方式方法 它是干什么的呢 其实这边有个图 很简单 一般你做功能安全 你需要一个方式safety的 你要知道有这个流程 在这个流程中 第一步 你要知道自己要做什么 比如我要做BMS还是电机控制 还是[听不清]还是其他VPS 那下面你要做的是 我这个产品里面 我存在什么风险 我要做一些分析 比如你BMS 它的风险是什么 它会爆炸对吗 那它爆炸的话 在这个基础上 你可能要去 分析它对应的功能安全等级的要求是什么 是ASIL D还是C 在这个基础上 在有了功能安全的等级后 你可能想细化你的安全目标是什么 你要达到什么样的安全目标 BMS会爆炸 我要控制它的什么 因为什么会爆炸呢 过温啊 过冲啊 为了不让它过温 过冲 我的安全目标是什么 我要知道 下面是一些详细的一些 功能安全要求 这个会结合到你的功能安全硬件上去做 包括你的主芯片 辅助芯片 电阻 电容 其他的 这个地方你要去算了 这个时候 就会有刚才提到的 比如单点效率啊 潜在风险啊 这个都会有 这里面有一个很成熟的算法 在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算 看完了硬件 我们来看软件相关的东西 这些是配合你的硬件来实现的 你只有硬件 没有软件是肯定不行的 而且这个软件是跟功能安全相关的开发的支持 这是功能安全的一个基本的软件框架 这是芯片 我们叫做硬件层 在这个基础上 我们叫软件的外设的驱动 外设的驱动 这样你会有安全的 这个操作系统 可能是RTOS 在这个基础上 AUTOSAR 是你的应用层面的一个library 你可能有很多任务 很多任务之间可以做成Library的方式 然后就是你的应用层 application library和Autosar 你可能会有诊断的一些机制 你要怎么做诊断 保证你的代码 方方面面都是安全的 或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好 我要做检测 那我肯定要有诊断的机制 不可能一个外设我配置好了以后 就直接跑了 这是不可能的 因为在运行过程中的安全 这里TI提供了很多资源 帮助你去实现这个东西 第一个是我们的HALCOGEN 就是外设驱动生成的工具 是一个人机话配置的界面 你在上面可以配置初始化的外设 可以把C代码直接生成 C代码生成之后你可以直接通过你的Autosar 我们有一个M Call 有这样的M Call在里面 这是第一 第二 就是有一个诊断的库 HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置 电源 时钟 外设 包括所有的东西都可以去配 诊断库刚才有讲到 就是我要初始化跟功能安全相关的一些机制 然后我要注入一些故障 否则我怎么知道安不安全呢 故障以后 我需要ESM这个模块去处理 出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态 这是诊断库做的事情 那无论如何 我们把它整理成一个compliance support package 里面有很多文档 教你如何去用这个东西 当然这里面 是收费的 毕竟还是过了ISO26262的东西 提到26262 这个是全是钱堆的 这个东西一般都有额外的收费 另外是跟软件相关的 刚才是生产的代码的东西 然后是跟软件相关的编辑器 我代码写好了 逻辑没问题 编辑器得出的结果出了问题 这是得不偿失的 就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准 软件硬件都要过 才能达到系统的安全 这就是刚才我们上一页大家还记得有一个直角 show me evidence 给我看看你的证据 有了证据你可以通过 没有证据 你要想办法证明 这个工作量是很大的 过了26262说明 它是可以去认可的 当然对于26262 不同的认证机构 不管是SGS 也好 他们可能各自有自己额外的要求 但是 就是各自对26262有自己的一些要求或理解也好 基本上过了26262 都是认可的 AUTOSTAR是里面绕不过去的一个东西 现在大家做汽车 AUTOSTAR 也跟着很流行起来 它在国内有几家供应商 比如EP ES 然后还有一个什么 还有一个叫什么 RTOR 对吗 AUTOSTAR简单来说 就是一个 纯软件的东西 帮你干什么呢 帮助你做系统相关的 你可以把它当做一个操作系统 帮你做系统相关的调度 调度可以保证你的代码生成 不会出错 因为汽车行业 代码量是非常非常大的 你没有一个很好的操作系统AUTOSAR去帮你处理的话 你写出来的代码是很难保证功能安全的 AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西 然后直接代码生成 是一个非常非常好的工具 当然它对内存和系统资源占用也很多 使用AUTOSART是一个操作系统 对你的底层是有一些要求的 你要提供符合它的底层要求的一个库 叫做M CALL我们570肯定有这方面的支持 最后 我们讲讲 570其实在 为什么在很多功能安全领域都选择570 我现在手上有很多客户 都在做570 不管是工业还是汽车 包括BMS也在做 是有很多考虑 总体来讲讲 首先从产品的角度 我们产品的覆盖面还是很广的 从小到大的flash 从高主频到低主频 产品系列还是比较全的 然后相同的[听不清]都是兼容的 在这个行业里面 因为570的资源比较特殊 特别是外设的资源比较特殊 所以它对汽车的[听不清]也好 ABS AIRBAG也好 ESP也好 它都能做 而且我们有很多成功的案例 在国内比较少 国外特别特别多 在国外特别多 当然AUTOSTAR也是支持的 从芯片角度 我们这样看 第二从570的历史数据来看 这个很关键 570的历史数据来看 还是非常强劲的 570已经做了20多年了 就是我们Herclus570已经做了20多年了 Q100肯定是没问题 我们到目前为止是0个dppm 这个是非常难做的 或者 非常难实现的 一个小插曲 当年我们 我们当年跟博世谈的时候 就是这个要去 但是TI没答应 因为无法保证 但TI的目标肯定是Q100 这就是在20年来 我们都是0dppm 这是非常非常难做的 20年[听不清] 这是非常难做的 温度等级我们就不谈了 下面是一些应用和26262相关的 这块TI不输任何的竞争对手 因为我们是最早做的 然后在工具集方面 文档 软件也好 其实方面也好 我们是非常全面的 刚才也看到 我们有很多软件的硬件的 包括配合的FMEDA 然后还有编译器的支持 相关软件的支持 TI 都有 OK 我要讲的东西差不多这么多
那570在这一块的话 我们是怎么做
各方面的失效率
或者换个角度来讲
我们如何诊断它 因为失效的话
我们都需要相应的措施去诊断
你诊断降低这个失效就可以
提高单点也好 潜在也好
这个可能性也好都可以去做 所以
我们主要来看看570的诊断是怎么做的
其实里面最常见的一个就是诊断
那谈到诊断的话 我们这里有几个概念
大家看看这个红色的地方都是跟功能安全相关的地方
比如内核 内核是两个内核
同时在运算 同时在执行相同的代码
要不然会有一些时间差
执行出来的结果然后做一些比较
这就是我的诊断 RAM FLASH 我有ECC校验
当出现错误 当出现一些BIST
我就可以自己去纠正
当出现很多的BIST 我就可以去报警
那芯片通过ESM进入一个安全的状态
那就是我的一个诊断
我上电对EIC
对PR 就是我的时钟
对电源我都能去检测 这也是我的诊断
对我的代码 对我的RAM 对我的flash
对我的CPU进行一个自检 这也是我的一个诊断
包括提供一些 当然这个总线是经过一些特殊的处理
包括我们提供两个ADC去做
同样的数据的采集 这也是一个数据的采集
大家可以看到 我们570提供了很多硬件加上软件诊断的可行方式
去帮你实现更高等级的这样一个
硬件失效的一个可能性
所以570在这里 这种逻辑结构
这种方式 这种安全的思路
都是TI自己设计出来的 而且是经过很多测试的
而且我们的测试不是简单的TI实验室测试
我们在很多的 因为这个产品是在美国的德州休斯顿
那边做的 那边靠的是宇航中心
有很多测试都是在宇航中心做的
所以这个芯片为什么是第一颗能拿到2626 61508的认证
就是TI做了很多的硬件加软件的机制的保护
这是硬件层面
这是一个简单的例子 关于诊断这个
设计 这个是诊断内核
内核是Lockstep 就是双核锁控
大家可以看出来 为什么这个是这种正常的摆放
这种是翻转了以后的摆放 其实是有自己的逻辑依据的
因为两个核如果你是叠加
或者水平放的话 你是很难去
或者说你没办法 怎么讲 也不是没办法
就是它比物理上这种自动摆放
它是更容易规避现场的一些可能的
可能的一些问题 或者说
这种方式的安全性会比平行啊
或者其他方式更高
他们两个会执行同样的代码 同样的代码进来
都会有相同的接口出来 当然
一个是在执行前加了一些delay 一个是在执行后加了一些delay
两个delay肯定是一样的 结果
结果出来以后变成同样时刻的一个结果
然后进行比较 如果比较出来的结果是一致的话
那我认为我的执行没问题
那如果不一致 说明我的结果是有问题的
说明某一个核出问题了 这时候需要进入某一个安全的状态
这就是一个简单的诊断 这边有ECC的诊断 我们就不去讲了
其实道理是类似的
那其实针对硬件这块的话 有了诊断
有了这么多硬件的功能诊断以后
我们在客户层面去实现这个功能 这个诊断
我们怎么做呢 就需要一个指导的手册 叫做safety manual
这个在TI的网站上可以下载 我这里不去讲
它是跟芯片的每一个模块也好 跟功能相关的地方也好
会有一个介绍和解释
你怎么做 会达到一个怎么样的安全等级
safety manual是配合FMEDA做的
FMEDA大家可能比较清楚 就是我这个芯片
最后要计算我的filter 单点也好 潜在也好
可能失效也好 我需要使用FMEDA这个工具
其实就是一个EXCEL的表格
里面是对所有模块非常详细的一个介绍
当然除了模块还有功能方面的东西
它包括下面几个系统
大家做功能安全的话 一定要这个
这个不管你是用TI的还是其他的 你都要用
刚才讲的硬件失效的话 package
包括内核Die啊 包括随机的一些
临时的失效 这是FMEDA大概的一个样子
它是一个EXCEL的表格 有很多的功能
有包括软件和硬件方面的东西
你可要选择用不用这个工具或诊断方式
你用了的话 对应的一个功能和结果
安全性更高 你不用的话 安全性会低一些
但不管如何 你最终要选择一个平衡
去达到你的ASIL C D的要求
这个是FMEDA里面的内容
大家可以看一下 这里有模块
[听不清]模块 这里[听不清]会跟你讲
要用哪些具体详细的功能
然后如果你用了 选1 不用选择0
FMEDA根据你最后选择的内容
最终会为你生成一个结果
告诉你最后能达到怎样的诊断覆盖率
多少FIT 多少单点的 多少潜在的
都在这里 这个只是一个例子
根据这个结果 你可以计算你可以达到多少ASIL的要求
这个是功能开发的 特别是跟硬件相关的
一个方式方法 它是干什么的呢
其实这边有个图 很简单
一般你做功能安全 你需要一个方式safety的
你要知道有这个流程 在这个流程中 第一步
你要知道自己要做什么
比如我要做BMS还是电机控制
还是[听不清]还是其他VPS
那下面你要做的是 我这个产品里面
我存在什么风险 我要做一些分析
比如你BMS 它的风险是什么
它会爆炸对吗
那它爆炸的话 在这个基础上 你可能要去
分析它对应的功能安全等级的要求是什么
是ASIL D还是C
在这个基础上 在有了功能安全的等级后
你可能想细化你的安全目标是什么
你要达到什么样的安全目标
BMS会爆炸 我要控制它的什么 因为什么会爆炸呢
过温啊 过冲啊
为了不让它过温 过冲 我的安全目标是什么
我要知道 下面是一些详细的一些
功能安全要求 这个会结合到你的功能安全硬件上去做
包括你的主芯片 辅助芯片
电阻 电容 其他的
这个地方你要去算了
这个时候 就会有刚才提到的 比如单点效率啊
潜在风险啊 这个都会有
这里面有一个很成熟的算法
在你们做功能安全的时候 TUV的工作人员肯定会告诉你怎么去算
看完了硬件 我们来看软件相关的东西
这些是配合你的硬件来实现的
你只有硬件 没有软件是肯定不行的
而且这个软件是跟功能安全相关的开发的支持
这是功能安全的一个基本的软件框架
这是芯片 我们叫做硬件层
在这个基础上 我们叫软件的外设的驱动
外设的驱动 这样你会有安全的
这个操作系统
可能是RTOS 在这个基础上 AUTOSAR
是你的应用层面的一个library
你可能有很多任务 很多任务之间可以做成Library的方式
然后就是你的应用层 application library和Autosar
你可能会有诊断的一些机制
你要怎么做诊断 保证你的代码 方方面面都是安全的
或者在执行过程中你需要对你的内核的 MCU的RAM也好FLASH也好
我要做检测
那我肯定要有诊断的机制 不可能一个外设我配置好了以后
就直接跑了 这是不可能的 因为在运行过程中的安全
这里TI提供了很多资源 帮助你去实现这个东西
第一个是我们的HALCOGEN
就是外设驱动生成的工具
是一个人机话配置的界面
你在上面可以配置初始化的外设
可以把C代码直接生成
C代码生成之后你可以直接通过你的Autosar
我们有一个M Call
有这样的M Call在里面
这是第一 第二 就是有一个诊断的库
HALCOGEN其实刚才讲过 就是一个人机化的一个界面 让你配置
电源 时钟 外设 包括所有的东西都可以去配
诊断库刚才有讲到
就是我要初始化跟功能安全相关的一些机制
然后我要注入一些故障
否则我怎么知道安不安全呢
故障以后 我需要ESM这个模块去处理
出现了故障 我的模块能不能工作 能不能让系统进入一个安全的状态
这是诊断库做的事情 那无论如何
我们把它整理成一个compliance support package
里面有很多文档 教你如何去用这个东西 当然这里面
是收费的 毕竟还是过了ISO26262的东西
提到26262 这个是全是钱堆的
这个东西一般都有额外的收费
另外是跟软件相关的 刚才是生产的代码的东西
然后是跟软件相关的编辑器 我代码写好了 逻辑没问题
编辑器得出的结果出了问题 这是得不偿失的
就是编译器也是很重要的 编译器也要过61508和26262的一些安全标准
软件硬件都要过 才能达到系统的安全
这就是刚才我们上一页大家还记得有一个直角
show me evidence
给我看看你的证据
有了证据你可以通过 没有证据 你要想办法证明
这个工作量是很大的 过了26262说明
它是可以去认可的
当然对于26262 不同的认证机构
不管是SGS 也好
他们可能各自有自己额外的要求 但是
就是各自对26262有自己的一些要求或理解也好
基本上过了26262 都是认可的
AUTOSTAR是里面绕不过去的一个东西
现在大家做汽车 AUTOSTAR
也跟着很流行起来
它在国内有几家供应商 比如EP ES 然后还有一个什么
还有一个叫什么 RTOR
对吗 AUTOSTAR简单来说 就是一个
纯软件的东西 帮你干什么呢
帮助你做系统相关的 你可以把它当做一个操作系统
帮你做系统相关的调度
调度可以保证你的代码生成
不会出错 因为汽车行业 代码量是非常非常大的
你没有一个很好的操作系统AUTOSAR去帮你处理的话
你写出来的代码是很难保证功能安全的
AUTOSTAR可以帮你把很多东西做成任务或者模块化的东西
然后直接代码生成 是一个非常非常好的工具
当然它对内存和系统资源占用也很多
使用AUTOSART是一个操作系统 对你的底层是有一些要求的
你要提供符合它的底层要求的一个库
叫做M CALL我们570肯定有这方面的支持
最后 我们讲讲 570其实在
为什么在很多功能安全领域都选择570 我现在手上有很多客户
都在做570 不管是工业还是汽车
包括BMS也在做
是有很多考虑
总体来讲讲 首先从产品的角度
我们产品的覆盖面还是很广的 从小到大的flash
从高主频到低主频 产品系列还是比较全的
然后相同的[听不清]都是兼容的
在这个行业里面 因为570的资源比较特殊
特别是外设的资源比较特殊 所以它对汽车的[听不清]也好
ABS AIRBAG也好 ESP也好
它都能做
而且我们有很多成功的案例
在国内比较少 国外特别特别多
在国外特别多
当然AUTOSTAR也是支持的
从芯片角度 我们这样看
第二从570的历史数据来看
这个很关键 570的历史数据来看
还是非常强劲的
570已经做了20多年了
就是我们Herclus570已经做了20多年了
Q100肯定是没问题
我们到目前为止是0个dppm
这个是非常难做的 或者
非常难实现的 一个小插曲 当年我们
我们当年跟博世谈的时候 就是这个要去
但是TI没答应
因为无法保证 但TI的目标肯定是Q100
这就是在20年来 我们都是0dppm
这是非常非常难做的
20年[听不清] 这是非常难做的
温度等级我们就不谈了
下面是一些应用和26262相关的
这块TI不输任何的竞争对手
因为我们是最早做的 然后在工具集方面
文档 软件也好
其实方面也好 我们是非常全面的
刚才也看到 我们有很多软件的硬件的
包括配合的FMEDA
然后还有编译器的支持 相关软件的支持
TI 都有
OK 我要讲的东西差不多这么多
手机看
扫码用手机观看
视频简介
B. TI TMS570 安全技术在汽车中的运用
所属课程:TI TMS570 安全技术在汽车中的运用
发布时间:2016.09.02
视频集数:2
本节视频时长:00:16:58
介绍TMS570是什么?能做什么?在汽车里能达到什么应用目的。
未学习 A. TI TMS570 安全技术在汽车中的运用
未学习 B. TI TMS570 安全技术在汽车中的运用
