第四讲-安全文档使用介绍

对于一个MCU来说

要实现功能安全 我们有很多的核心部件

包括电源

时钟 CPU flash SRAM 单波接口

QEP接口 SPI接口 GPL口等

这些都是在前面 EPS系统里使用的模块

所以我们要根据安全标准 也就是ISO 26262标准

计算和检查诊断覆盖率

根据以上聊的EPS示例 我们知道在安全功能

也就是在没有驾驶员输入时

不产生任何转向辅助扭矩时

使用了哪些MCU模块

现在为了对这些 模块实施相应的诊断

我们该如何去做呢

其实很简单 出发点是 Hercules MCU的安全手册

也就是safety manual

相对应的每一个安全手册提供了 相应的Hercules MCU安全概念说明

随机故障安全管理架构 假设列表

和诊断功能列表

下面我们举个例子

在TMS 570 LS 12x 11x 的safety manual里

我们可以看到

第六章按照电源时钟CPU

flash的模块介绍了适用的安全机制

我们针对每一个模块 比如说电源管理

我们有相应的安全机制来实现诊断

我们可以参考 safety manual了解更多详情

现在我们知道使用哪些MCU模块以及使用的每一个模块关联的诊断功能

为了评估故障率是否满足 功能安全的A SIL硬件指标

我们还需要做什么

其实很简单

相关工具是Hercules MCU 详细安全分析报告

及其FMEDA工作表

也就是我们前面说的work sheet

这个工作表是针对每个MCU与 我们的合作伙伴UGTECH联合开发的

可将其用于按照安全功能估算故障率

以及评估 应用诊断 所产生的风险降低效果

那么 如何使用FMEDA工作表呢

步骤如下

定制MCU的使用条件

也就是 根据应用场景 选择MCU的使用情况

比如说使用了哪些模块 哪些I/O口

哪些外设

然后选择用于安全功能的MCU模块

对应的 选择相应的安全机制或者诊断

然后进行故障率分析 所有这些操作 都可以从我们的worksheet里来执行

大家只需要联系TI 申请相应的NDA文件

就可以免费拿到这些材料

另外 故障率 还取决于使用的环境条件

所以我们在估算故障率时 第一步 还要更新相应的FMEDA工作表

用剖面以及反映系统使用情况的参数

比如产品里 电源打开或者关闭的小时数

电源打开或者关闭的循环次数

环境温度等

对于辐射引发的瞬态故障

故障率规范化为纽约市的海平面

其通量系数等于1

也可以根据相应的 地理位置更改这个通量系数

这一页就是介绍在 相应的Hercules MCU worksheet里

如何更新使用条件的示例

从这个图表上我们可以看到

计算硬件指标我们需要对 工作环境的参数做一个配置

TI Hercules MCU FMEDA工作表默认值是基于

IEC 62380汽车电机控制的 mission profile 其中显示了三项温度

温度一 温度二 温度三

多次打开电源关闭的循环 以及非常有限的电源打开次数

通样设置系数等

我们的用户可以根据 自己的使用环境调节温度

修改打开关闭循环次数

修改电源打开关闭的次数

以及反映自己的使用条件

对于不同的使用条件

原始的裸片永久的 filter rate会有所不同

例如敞开恒定70℃ mission profile的原始filter rate

要比汽车电机控制的mission profile的 原始filter rate要高20倍

而在我们默认的mission profile里

我们可以看到 我们把 汽车的生命周期定义为10年

然后每天的使用分为 晚上用 白天用 或者一天都不使用

对于每年的温度范围 我们分为

cold warm跟hot

三个等级

也就是汽车工作的三个温度范围

分别定义夏天 冬天跟春秋

而汽车工作跟非工作的时间比例是

0.058:0.942

这是基于汽车电子里面的 使用做这样的一个配置

与工业里面有很大差别

另外 对于Hercules MCU来说

它是一款通用的安全MCU

它的应用场景很广泛

所以大家需要根据自己的应用场景

使用哪些外设 来做安全性分析

TI Hercules MCU提供的FMEDA worksheet允许我们的用户

根据自己使用的安全模块和外设

进行故障率分析和计算

在前面我们提到的示例中

用到了电源 时钟 CPU memory

等外设 而没有使用到ADC 所以我们在配置的时候

可以把ADC给disable

也没有用到flexray

所以flexray 短线也不会 在功能安全分析的时候出现

另外我们需要根据自己应用中 使用的flash和SRAM的使用情况

来做一个调整

以得到一个最精确的诊断覆盖率

所有这些都可以通过Hercules MCU的FMEDA worksheet来做修改和裁剪

除此之外 在Hercules MCU FMEDA worksheet中

我们还可以对它使用的 安全机制做一个裁剪

这里的表格中主要提到了

power clock 跟reset模块

相对应的 它使用的安全机制

有power 1 power 2 PMM 1等等

在每一个安全机制后面 我们可以看到有一个选择项

1代表这个诊断机制是使用 0代表这个诊断机制没有使用

具体的安全机制我们可以 在相应MCU的safety manual里找到

具体可以参见第六章节

在这个实例中 我们可以看到

对于power clock reset来说

所有的安全机制都使用了

除了clock里面的clock 4

这个安全机制

它没有使用外部的 设备来检测使用输出

现在再更新了前面 我们所讲的mission profile之后

我们就可以在相应的summary和FMEDA worksheet detail中 找到

相应的裁剪过的诊断覆盖率

和filter rate指标

这些关于MCU的指标参数 可以作为系统级FMEDA的一部分

所有这些filter rate 和诊断覆盖率指标值

都可以免费提供给签了NDA的用户

而一些标准可能对 一些模块有特殊的要求

比如说对CPU 对flash 对SRAM 对CAN

NDC的模块 需要提供瞬态 或者是永久的filter rate值

或者需要提供（听不清） 或者pack值之后的FMEDA数据

所有这些值都可以在 Hercules MCU的FMEDA中得到

同样的 只要我们的用户签了NDA

就可以免费提供

对于一个MCU来说

要实现功能安全 我们有很多的核心部件

包括电源

时钟 CPU flash SRAM 单波接口

QEP接口 SPI接口 GPL口等

这些都是在前面 EPS系统里使用的模块

所以我们要根据安全标准 也就是ISO 26262标准

计算和检查诊断覆盖率

根据以上聊的EPS示例 我们知道在安全功能

也就是在没有驾驶员输入时

不产生任何转向辅助扭矩时

使用了哪些MCU模块

现在为了对这些 模块实施相应的诊断

我们该如何去做呢

其实很简单 出发点是 Hercules MCU的安全手册

也就是safety manual

相对应的每一个安全手册提供了 相应的Hercules MCU安全概念说明

随机故障安全管理架构 假设列表

和诊断功能列表

下面我们举个例子

在TMS 570 LS 12x 11x 的safety manual里

我们可以看到

第六章按照电源时钟CPU

flash的模块介绍了适用的安全机制

我们针对每一个模块 比如说电源管理

我们有相应的安全机制来实现诊断

我们可以参考 safety manual了解更多详情

现在我们知道使用哪些MCU模块以及使用的每一个模块关联的诊断功能

为了评估故障率是否满足 功能安全的A SIL硬件指标

我们还需要做什么

其实很简单

相关工具是Hercules MCU 详细安全分析报告

及其FMEDA工作表

也就是我们前面说的work sheet

这个工作表是针对每个MCU与 我们的合作伙伴UGTECH联合开发的

可将其用于按照安全功能估算故障率

以及评估 应用诊断 所产生的风险降低效果

那么 如何使用FMEDA工作表呢

步骤如下

定制MCU的使用条件

也就是 根据应用场景 选择MCU的使用情况

比如说使用了哪些模块 哪些I/O口

哪些外设

然后选择用于安全功能的MCU模块

对应的 选择相应的安全机制或者诊断

然后进行故障率分析 所有这些操作 都可以从我们的worksheet里来执行

大家只需要联系TI 申请相应的NDA文件

就可以免费拿到这些材料

另外 故障率 还取决于使用的环境条件

所以我们在估算故障率时 第一步 还要更新相应的FMEDA工作表

用剖面以及反映系统使用情况的参数

比如产品里 电源打开或者关闭的小时数

电源打开或者关闭的循环次数

环境温度等

对于辐射引发的瞬态故障

故障率规范化为纽约市的海平面

其通量系数等于1

也可以根据相应的 地理位置更改这个通量系数

这一页就是介绍在 相应的Hercules MCU worksheet里

如何更新使用条件的示例

从这个图表上我们可以看到

计算硬件指标我们需要对 工作环境的参数做一个配置

TI Hercules MCU FMEDA工作表默认值是基于

IEC 62380汽车电机控制的 mission profile 其中显示了三项温度

温度一 温度二 温度三

多次打开电源关闭的循环 以及非常有限的电源打开次数

通样设置系数等

我们的用户可以根据 自己的使用环境调节温度

修改打开关闭循环次数

修改电源打开关闭的次数

以及反映自己的使用条件

对于不同的使用条件

原始的裸片永久的 filter rate会有所不同

例如敞开恒定70℃ mission profile的原始filter rate

要比汽车电机控制的mission profile的 原始filter rate要高20倍

而在我们默认的mission profile里

我们可以看到 我们把 汽车的生命周期定义为10年

然后每天的使用分为 晚上用 白天用 或者一天都不使用

对于每年的温度范围 我们分为

cold warm跟hot

三个等级

也就是汽车工作的三个温度范围

分别定义夏天 冬天跟春秋

而汽车工作跟非工作的时间比例是

0.058:0.942

这是基于汽车电子里面的 使用做这样的一个配置

与工业里面有很大差别

另外 对于Hercules MCU来说

它是一款通用的安全MCU

它的应用场景很广泛

所以大家需要根据自己的应用场景

使用哪些外设 来做安全性分析

TI Hercules MCU提供的FMEDA worksheet允许我们的用户

根据自己使用的安全模块和外设

进行故障率分析和计算

在前面我们提到的示例中

用到了电源 时钟 CPU memory

等外设 而没有使用到ADC 所以我们在配置的时候

可以把ADC给disable

也没有用到flexray

所以flexray 短线也不会 在功能安全分析的时候出现

另外我们需要根据自己应用中 使用的flash和SRAM的使用情况

来做一个调整

以得到一个最精确的诊断覆盖率

所有这些都可以通过Hercules MCU的FMEDA worksheet来做修改和裁剪

除此之外 在Hercules MCU FMEDA worksheet中

我们还可以对它使用的 安全机制做一个裁剪

这里的表格中主要提到了

power clock 跟reset模块

相对应的 它使用的安全机制

有power 1 power 2 PMM 1等等

在每一个安全机制后面 我们可以看到有一个选择项

1代表这个诊断机制是使用 0代表这个诊断机制没有使用

具体的安全机制我们可以 在相应MCU的safety manual里找到

具体可以参见第六章节

在这个实例中 我们可以看到

对于power clock reset来说

所有的安全机制都使用了

除了clock里面的clock 4

这个安全机制

它没有使用外部的 设备来检测使用输出

现在再更新了前面 我们所讲的mission profile之后

我们就可以在相应的summary和FMEDA worksheet detail中 找到

相应的裁剪过的诊断覆盖率

和filter rate指标

这些关于MCU的指标参数 可以作为系统级FMEDA的一部分

所有这些filter rate 和诊断覆盖率指标值

都可以免费提供给签了NDA的用户

而一些标准可能对 一些模块有特殊的要求

比如说对CPU 对flash 对SRAM 对CAN

NDC的模块 需要提供瞬态 或者是永久的filter rate值

或者需要提供（听不清） 或者pack值之后的FMEDA数据

所有这些值都可以在 Hercules MCU的FMEDA中得到

同样的 只要我们的用户签了NDA

就可以免费提供