随着新能源汽车的迅猛发展和汽车电子系统越来越复杂,汽车的功能安全越来越备受重视,可靠性的要求也越来越高,ISO 26262是国际功能安全的标准,按照ISO26262标准流程开发产品能有效提高汽车电子、电气产品功能安全。
在汽车电驱动的开发上越有越多的客户有功能安全设计的需要,必须满足系统ASIL C安全等级,目前针对电驱动的功能安全的主控芯片方案有单芯片的方案,也有双芯片的方案,两种方案各有优缺点。TI主推的的双芯片的方案是“C2000+TMS570”,同时利用了C2000在电机控制上实时性的优势以及TMS570在功能安全方案的特点,被越来越多的客户采样应用于汽车电驱动的功能安全项目上。
汽车电驱动系统的主要安全目标是避免非预期的扭矩突变,因此在系统设计中需要采取的安全措施是对输出扭矩的监控,要求为ASIL C, 根据ISO 26262 ASIL分解原则可以将系统的ASIL C分解为“ASIL C + QM”,即将C2000做分解为QM级别电机控制,TMS570分解为ASIL C的安全功能监控,实现整个系统的ASIL C控制,这样既能利用C2000在电机控制上实时性的优势,也能利用TMS570专门做功能安全方面的特性,而且在软件层面上,可以把大部分的电机控制的代码放在C2000上,只需满足QM级别的要求,把小部分跟安全监控相关代码放在TMS570上执行,满足ASIL C的要求,大大减少软件的开发时间和降低成本。
F28379S和TMS570LS017通过SPI进行通信,进行数据交互和相互校验,也是安全机制实现的一种方式,如F28379S和TMS570LS0714可以同时对某一路的电流采样进行采样,采样结果通过SPI传输后进行相互校验,如不一致则进行错误处理,将系统控制到安全状态。
C2000是TI专门为数字电源和电机控制的应用设计的微控制器,近年来随着新能源汽车的高速发展,C2000产品也广泛应用电动汽车上的电机控制器,能够满足电机控制实时性的电机控制性能要求,TMS320F28079S是目前最高性能的C2000产品,满足电机控制转速越来越高,实时性要求越来越高的控制需求,主要有以下新的特点:
200MHz主频的C28x 核以及 CLA 的协处理器;
4 路差分输入的16位 ADC模块;
三角函数加速器 (TMU,对SIN, COS, ARCTAN 等指令执行只需要1 到 3 个周期;
内置8路窗口比较器可以用来做过流保护,过欠压保护等;
内置CLB可编程逻辑控制单元;
8 路Sigma Delta抽样滤波器。
TMS570全系列MCU都是通过了第三方认证公司TUV-SUD ASIL D最高等级标准的认证,在设计生产流程方面严格按照26262的要求进行,同时有独特的安全架构和完善的安全机制处理硬件随机失效。目前广泛应用于新能源车上的Traction Inverter、BMS、 OBC、 VCU等ECU系统上。
为了管理随机硬件失效,TMS570 MCU集成了很多安全机制,并且采用的是“安全岛”的安全理念,即对能确保MCU软件正常运行的最小系统部分采用的是硬件诊断的安全机制,如上图红色部分, 包括了电源、时钟、CPU,FLASH,RAM等模块,例如采用了双核锁步的CPU架构,FLASH错误校正代码 (ECC),RAM ECC、Memory BIST等硬件的安全机制。
为了减少共因失效,TMS570 MCU在空间上和时间上都采取措施,在空间上将其中一个CPU镜像翻转后垂直于另外一个CPU,两个CPU在空间上距离超过了100 μm,在时间上两个CPU 的运算错开2个时钟周期,运算结果送至专门的比较模块进行实时比较,如有一个CPU运算有问题就马上报错处理,TMS570片上带有FLASH和RAM ECC的功能,即对FLASH或RAM的某一个位错误进行纠正,如果两个位发生错误则进行报错处理,TMS570有两路独立的ADC模块,可以同时对两路信号进行同时采样转化,可运用在电流,电压,温度等模拟量的冗余校验功能中,确保监控数据的正确性,减少了芯片失效而带来的故障。ADC模块还支持ADC通道自检功能,可以检测出引脚短路到电源,GND等故障。