“C2000+TMS570” 双芯片方案在汽车电驱动功能安全上的应用

作者: TI MCU 工程师 Strong ZHANG 

随着新能源汽车的迅猛发展和汽车电子系统越来越复杂,汽车的功能安全越来越备受重视,可靠性的要求也越来越高,ISO 26262是国际功能安全的标准,按照ISO26262标准流程开发产品能有效提高汽车电子、电气产品功能安全。

在汽车电驱动的开发上越有越多的客户有功能安全设计的需要,必须满足系统ASIL C安全等级,目前针对电驱动的功能安全的主控芯片方案有单芯片的方案,也有双芯片的方案,两种方案各有优缺点。TI主推的的双芯片的方案是“C2000+TMS570”,同时利用了C2000在电机控制上实时性的优势以及TMS570在功能安全方案的特点,被越来越多的客户采样应用于汽车电驱动的功能安全项目上。

图1. 基于“F28379S + TMS570LS0714”架构的功能安全电驱动框图

图1为“F28379S + TMS570LS0714”双芯片架构的功能安全的电驱动框图,汽车电驱动系统的主要安全目标是避免非预期的扭矩突变,因此在系统设计中需要采取的安全措施是对输出扭矩的监控,要求为ASIL C, 根据ISO 26262 ASIL分解原则可以将系统的ASIL C分解为“ASIL C + QM”,即将C2000做分解为QM级别电机控制,TMS570分解为ASIL C的安全功能监控,实现整个系统的ASIL C控制,这样既能利用C2000在电机控制上实时性的优势,也能利用TMS570专门做功能安全方面的特性,而且在软件层面上,可以把大部分的电机控制的代码放在C2000上,只需满足QM级别的要求,把小部分跟安全监控相关代码放在TMS570上执行,满足ASIL C的要求,大大减少软件的开发时间和降低成本。

F28379S和TMS570LS017通过SPI进行通信,进行数据交互和相互校验,也是安全机制实现的一种方式,如F28379S和TMS570LS0714可以同时对某一路的电流采样进行采样,采样结果通过SPI传输后进行相互校验,如不一致则进行错误处理,将系统控制到安全状态。

C2000是TI专门为数字电源和电机控制的应用设计的微控制器,近年来随着新能源汽车的高速发展,C2000产品也广泛应用电动汽车上的电机控制器,能够满足电机控制实时性的电机控制性能要求,TMS320F28079S是目前最高性能的C2000产品,满足电机控制转速越来越高,实时性要求越来越高的控制需求,主要有以下新的特点:

  • 200MHz主频的C28x 核以及 CLA 的协处理器;
  • 4 路差分输入的16位 ADC模块;
  • 三角函数加速器 (TMU,对SIN, COS, ARCTAN 等指令执行只需要1 到 3 个周期;
  • 内置8路窗口比较器可以用来做过流保护,过欠压保护等;
  • 内置CLB可编程逻辑控制单元;
  • 8 路Sigma Delta抽样滤波器。

 

TMS570全系列MCU都是通过了第三方认证公司TUV-SUD ASIL D最高等级标准的认证,在设计生产流程方面严格按照26262的要求进行,同时有独特的安全架构和完善的安全机制处理硬件随机失效。目前广泛应用于新能源车上的Traction Inverter、BMS、 OBC、 VCU等ECU系统上。

图2. TMS570 的安全特性框图

为了管理随机硬件失效,TMS570 MCU集成了很多安全机制,并且采用的是“安全岛”的安全理念,即对能确保MCU软件正常运行的最小系统部分采用的是硬件诊断的安全机制,如上图红色部分, 包括了电源、时钟、CPU,FLASH,RAM等模块,例如采用了双核锁步的CPU架构,FLASH错误校正代码 (ECC),RAM ECC、Memory BIST等硬件的安全机制。

为了减少共因失效,TMS570 MCU在空间上和时间上都采取措施,在空间上将其中一个CPU镜像翻转后垂直于另外一个CPU,两个CPU在空间上距离超过了100 μm,在时间上两个CPU 的运算错开2个时钟周期,运算结果送至专门的比较模块进行实时比较,如有一个CPU运算有问题就马上报错处理,TMS570片上带有FLASH和RAM ECC的功能,即对FLASH或RAM的某一个位错误进行纠正,如果两个位发生错误则进行报错处理,TMS570有两路独立的ADC模块,可以同时对两路信号进行同时采样转化,可运用在电流,电压,温度等模拟量的冗余校验功能中,确保监控数据的正确性,减少了芯片失效而带来的故障。ADC模块还支持ADC通道自检功能,可以检测出引脚短路到电源,GND等故障。

除了TMS570芯片本身具有的一些安全特性外,TI还提供了一系列的安全文档、工具帮助系统开发者实现系统上的功能安全开发,以下是TI公开或者签NDA可以提供给客户的文档和工具:

  • 安全手册;
  • Safety Analysis Report Summary (SAR1) ;
  • Detailed Safety Analysis Report (SAR2) ;
  • 安全诊断库Safety TI Diagnostic Libraries;
  • 验证安全诊断库的代码可靠性的安全支持包(CSP);
  • 支持Autosar, 可以提供MCAL。

 

另外,TMS570网上在线的资源也非常丰富,提供以下链接支持资料下载和技术交流。

提供数据手册,用户手册,应用设计文档,软件工具下载以及EVM板申请。

TMS570相关的芯片层面的技术问题的交流平台。

主要是功能安全相关的技术问题的交流平台。