AURIXTM 作为英飞凌 32位 汽车级 MCU 家族的产品之一,其第二代产品 AURIXTM TC3x 已经是汽车界公认的功能安全设计优秀的产品,获得了良好的业内口碑。。。
引言
AURIXTM 作为英飞凌 32位 汽车级 MCU 家族的产品之一,其第二代产品 AURIXTM TC3x 已经是汽车界公认的功能安全设计优秀的产品,获得了良好的业内口碑。这也是源于英飞凌从 AURIXTM 第一代产品 TC2x 开始,就秉持功能安全的理念按照 ISO 26262 : 2011 设计出第一款支持 ASIL-D 最高安全等级的 MCU 产品。
AURIXTM 功能安全概念经历了 TC2x 到 TC3x 的优化升级,到 AURIXTM 第三代产品 TC4x,芯片的功能安全特性在 TC3x 产品之上又做了进一步的提升,而且完全符合 ISO 26262 : 2018 功能安全标准,增强的功能安全特性可以让用户的系统功能安全设计更加易于实现。同时,英飞凌的电源管理芯片 OPTIREGTM PMIC 从设计之初一直是 AURIXTM 的最佳搭档,从搭配 TC2x/TC3x 的 TLF35584/5,到搭配 TC4x 的TLF4x,二者的配合让汽车安全系统设计更加合理。
图片
1
AURIXTM TC4x 产品的顶层安全需求 TLSR
MCU 产品,ISO26262 规定了它可以先于相关项而按照 SEooC (Safety Element out of Context) 来设计,也就意味着它不是为了某一个相关项设计的,并且先于其存在。它是否满足汽车里的各种应用场景,能否更好地助力汽车系统安全设计,首先就要看该 MCU 的顶层安全需求 TLSR 的定义是否合理。有了这些顶层安全需求 TLSR,MCU 产品的硬件软件设计都将围绕其展开。
AURIXTM TC4x 产品的顶层安全需求 TLSR(Top Level Safety Requirement)可以分成三大类来表征:
MCU 安全相关功能的 TLSRs,包含安全运行代码、安全启动、安全输入、安全输出、安全通讯、安全传感器接口,等等。
支持安全状态的 TLSRs,包含故障报警后的响应以对芯片内部或外部电路报告。
免于共因失效的 TLSRs,包含避免电源、时钟、过温等引起的共因失效,监控不同安全等级的软件影响,等等。
假设 EPS ECU 控制器中分解到 MCU 的目标 FIT 值为 3~4FIT,量化指标要求 ASILD 99% SPFM 和 90% LPFM,安全时间要求 FTTI 50~150ms。按照应用假设,EPS ECU 控制器中需要 MCU 具备的安全功能有:
MCU 可以安全运行软件,不同安全等级的软件可以互不影响
MCU 需要在运行用户代码之前安全的启动
启动时间要在 200ms 之内
MCU 可以冗余的读取电机位置传感器信号如数字信号 SENT 或者模拟信号
MCU 可以输出安全的 PWM 控制信号
MCU 通讯接口可以同其他 ECU 安全的传输信号
当 MCU 故障发生时,可以输出故障指示信号,通知外围电路,让系统进入安全状态
…...
以此方法分析汽车中常见的不同应用的控制系统,如发动机控制系统(EMS)、新能源车电池管理系统(BMS)、电源转换系统(OBC/DCDC)、动力牵引系统(Traction Inverter)、电子刹车助动系统、ADAS 辅助自动驾驶系统、雷达处理系统、网关、车身控制系统等等,从各种不同的应用场景中抽取出了对 AURIXTM TC4x 产品的顶层安全需求,后续的产品设计活动将围绕着这些顶层安全需求展开。AURIXTM TC4x 产品的顶层安全需求 TLSR 是如何落实到实际的应用设计中的?
简单来说,通过把 TC4x TLSR 的各个应用案例 Use Case 跟实际应用场景结合后运用到实际应用的设计中。
AURIXTM TC4 的每一个 TLSR 都可以列举出一个以上的应用案例 Use Case,通过这些应用案例 Use Case 就可以把 AURIXTM TC4x 这些顶层安全需求具体化和场景化。用户在设计实际系统时根据需要选择出其中适合的应用案例。
比如,TC4x ASIL-D 安全软件执行 TLSR,在应用中不同的场景可能有:
CPU 访问各自的 NVM 和 RAM 空间
SOTA SWAP 后 CPU 运行代码的访问区间是 PFLASH Bank A 或者 Bank B
CPU 访问其他 CPU 的 NVM 和共享 RAM 空间
CPU 访问DFLASH 中数据或者存储数据至 DFLASH 中
引言
AURIXTM 作为英飞凌 32位 汽车级 MCU 家族的产品之一,其第二代产品 AURIXTM TC3x 已经是汽车界公认的功能安全设计优秀的产品,获得了良好的业内口碑。这也是源于英飞凌从 AURIXTM 第一代产品 TC2x 开始,就秉持功能安全的理念按照 ISO 26262 : 2011 设计出第一款支持 ASIL-D 最高安全等级的 MCU 产品。
AURIXTM 功能安全概念经历了 TC2x 到 TC3x 的优化升级,到 AURIXTM 第三代产品 TC4x,芯片的功能安全特性在 TC3x 产品之上又做了进一步的提升,而且完全符合 ISO 26262 : 2018 功能安全标准,增强的功能安全特性可以让用户的系统功能安全设计更加易于实现。同时,英飞凌的电源管理芯片 OPTIREGTM PMIC 从设计之初一直是 AURIXTM 的最佳搭档,从搭配 TC2x/TC3x 的 TLF35584/5,到搭配 TC4x 的TLF4x,二者的配合让汽车安全系统设计更加合理。
图片
1
AURIXTM TC4x 产品的顶层安全需求 TLSR
MCU 产品,ISO26262 规定了它可以先于相关项而按照 SEooC (Safety Element out of Context) 来设计,也就意味着它不是为了某一个相关项设计的,并且先于其存在。它是否满足汽车里的各种应用场景,能否更好地助力汽车系统安全设计,首先就要看该 MCU 的顶层安全需求 TLSR 的定义是否合理。有了这些顶层安全需求 TLSR,MCU 产品的硬件软件设计都将围绕其展开。
AURIXTM TC4x 产品的顶层安全需求 TLSR(Top Level Safety Requirement)可以分成三大类来表征:
MCU 安全相关功能的 TLSRs,包含安全运行代码、安全启动、安全输入、安全输出、安全通讯、安全传感器接口,等等。
支持安全状态的 TLSRs,包含故障报警后的响应以对芯片内部或外部电路报告。
免于共因失效的 TLSRs,包含避免电源、时钟、过温等引起的共因失效,监控不同安全等级的软件影响,等等。
假设 EPS ECU 控制器中分解到 MCU 的目标 FIT 值为 3~4FIT,量化指标要求 ASILD 99% SPFM 和 90% LPFM,安全时间要求 FTTI 50~150ms。按照应用假设,EPS ECU 控制器中需要 MCU 具备的安全功能有:
MCU 可以安全运行软件,不同安全等级的软件可以互不影响
MCU 需要在运行用户代码之前安全的启动
启动时间要在 200ms 之内
MCU 可以冗余的读取电机位置传感器信号如数字信号 SENT 或者模拟信号
MCU 可以输出安全的 PWM 控制信号
MCU 通讯接口可以同其他 ECU 安全的传输信号
当 MCU 故障发生时,可以输出故障指示信号,通知外围电路,让系统进入安全状态
…...
以此方法分析汽车中常见的不同应用的控制系统,如发动机控制系统(EMS)、新能源车电池管理系统(BMS)、电源转换系统(OBC/DCDC)、动力牵引系统(Traction Inverter)、电子刹车助动系统、ADAS 辅助自动驾驶系统、雷达处理系统、网关、车身控制系统等等,从各种不同的应用场景中抽取出了对 AURIXTM TC4x 产品的顶层安全需求,后续的产品设计活动将围绕着这些顶层安全需求展开。AURIXTM TC4x 产品的顶层安全需求 TLSR 是如何落实到实际的应用设计中的?
简单来说,通过把 TC4x TLSR 的各个应用案例 Use Case 跟实际应用场景结合后运用到实际应用的设计中。
AURIXTM TC4 的每一个 TLSR 都可以列举出一个以上的应用案例 Use Case,通过这些应用案例 Use Case 就可以把 AURIXTM TC4x 这些顶层安全需求具体化和场景化。用户在设计实际系统时根据需要选择出其中适合的应用案例。
比如,TC4x ASIL-D 安全软件执行 TLSR,在应用中不同的场景可能有:
CPU 访问各自的 NVM 和 RAM 空间
SOTA SWAP 后 CPU 运行代码的访问区间是 PFLASH Bank A 或者 Bank B
CPU 访问其他 CPU 的 NVM 和共享 RAM 空间
CPU 访问DFLASH 中数据或者存储数据至 DFLASH 中
