作者： TI MCU 工程師 Strong ZHANG

隨著新能源汽車的迅猛發(fā)展和汽車電子系統(tǒng)越來越復(fù)雜，汽車的功能安全越來越備受重視，可靠性的要求也越來越高，ISO 26262是國(guó)際功能安全的標(biāo)準(zhǔn)，按照ISO26262標(biāo)準(zhǔn)流程開發(fā)產(chǎn)品能有效提高汽車電子、電氣產(chǎn)品功能安全。

在汽車電驅(qū)動(dòng)的開發(fā)上越有越多的客戶有功能安全設(shè)計(jì)的需要，必須滿足系統(tǒng)ASIL C安全等級(jí)，目前針對(duì)電驅(qū)動(dòng)的功能安全的主控芯片方案有單芯片的方案，也有雙芯片的方案，兩種方案各有優(yōu)缺點(diǎn)。TI主推的的雙芯片的方案是“C2000+TMS570”，同時(shí)利用了C2000在電機(jī)控制上實(shí)時(shí)性的優(yōu)勢(shì)以及TMS570在功能安全方案的特點(diǎn)，被越來越多的客戶采樣應(yīng)用于汽車電驅(qū)動(dòng)的功能安全項(xiàng)目上。

圖1為“F28379S + TMS570LS0714”雙芯片架構(gòu)的功能安全的電驅(qū)動(dòng)框圖，汽車電驅(qū)動(dòng)系統(tǒng)的主要安全目標(biāo)是避免非預(yù)期的扭矩突變，因此在系統(tǒng)設(shè)計(jì)中需要采取的安全措施是對(duì)輸出扭矩的監(jiān)控，要求為ASIL C, 根據(jù)ISO 26262 ASIL分解原則可以將系統(tǒng)的ASIL C分解為“ASIL C + QM”,即將C2000做分解為QM級(jí)別電機(jī)控制，TMS570分解為ASIL C的安全功能監(jiān)控，實(shí)現(xiàn)整個(gè)系統(tǒng)的ASIL C控制，這樣既能利用C2000在電機(jī)控制上實(shí)時(shí)性的優(yōu)勢(shì)，也能利用TMS570專門做功能安全方面的特性，而且在軟件層面上，可以把大部分的電機(jī)控制的代碼放在C2000上，只需滿足QM級(jí)別的要求，把小部分跟安全監(jiān)控相關(guān)代碼放在TMS570上執(zhí)行，滿足ASIL C的要求，大大減少軟件的開發(fā)時(shí)間和降低成本。

F28379S和TMS570LS017通過SPI進(jìn)行通信，進(jìn)行數(shù)據(jù)交互和相互校驗(yàn)，也是安全機(jī)制實(shí)現(xiàn)的一種方式，如F28379S和TMS570LS0714可以同時(shí)對(duì)某一路的電流采樣進(jìn)行采樣，采樣結(jié)果通過SPI傳輸后進(jìn)行相互校驗(yàn)，如不一致則進(jìn)行錯(cuò)誤處理，將系統(tǒng)控制到安全狀態(tài)。

C2000是TI專門為數(shù)字電源和電機(jī)控制的應(yīng)用設(shè)計(jì)的微控制器，近年來隨著新能源汽車的高速發(fā)展，C2000產(chǎn)品也廣泛應(yīng)用電動(dòng)汽車上的電機(jī)控制器，能夠滿足電機(jī)控制實(shí)時(shí)性的電機(jī)控制性能要求，TMS320F28079S是目前最高性能的C2000產(chǎn)品，滿足電機(jī)控制轉(zhuǎn)速越來越高，實(shí)時(shí)性要求越來越高的控制需求，主要有以下新的特點(diǎn)：

200MHz主頻的C28x 核以及 CLA 的協(xié)處理器；

4 路差分輸入的16位 ADC模塊；

三角函數(shù)加速器 (TMU，對(duì)SIN, COS, ARCTAN 等指令執(zhí)行只需要1 到 3 個(gè)周期；

內(nèi)置8路窗口比較器可以用來做過流保護(hù)，過欠壓保護(hù)等；

內(nèi)置CLB可編程邏輯控制單元；

8 路Sigma Delta抽樣濾波器。

TMS570全系列MCU都是通過了第三方認(rèn)證公司TUV-SUD ASIL D最高等級(jí)標(biāo)準(zhǔn)的認(rèn)證，在設(shè)計(jì)生產(chǎn)流程方面嚴(yán)格按照26262的要求進(jìn)行，同時(shí)有獨(dú)特的安全架構(gòu)和完善的安全機(jī)制處理硬件隨機(jī)失效。目前廣泛應(yīng)用于新能源車上的Traction Inverter、BMS、 OBC、 VCU等ECU系統(tǒng)上。

為了管理隨機(jī)硬件失效，TMS570 MCU集成了很多安全機(jī)制，并且采用的是“安全島”的安全理念，即對(duì)能確保MCU軟件正常運(yùn)行的最小系統(tǒng)部分采用的是硬件診斷的安全機(jī)制，如上圖紅色部分, 包括了電源、時(shí)鐘、CPU，F(xiàn)LASH，RAM等模塊，例如采用了雙核鎖步的CPU架構(gòu)，F(xiàn)LASH錯(cuò)誤校正代碼 (ECC)，RAM ECC、Memory BIST等硬件的安全機(jī)制。

為了減少共因失效，TMS570 MCU在空間上和時(shí)間上都采取措施，在空間上將其中一個(gè)CPU鏡像翻轉(zhuǎn)后垂直于另外一個(gè)CPU，兩個(gè)CPU在空間上距離超過了100 μm，在時(shí)間上兩個(gè)CPU 的運(yùn)算錯(cuò)開2個(gè)時(shí)鐘周期，運(yùn)算結(jié)果送至專門的比較模塊進(jìn)行實(shí)時(shí)比較，如有一個(gè)CPU運(yùn)算有問題就馬上報(bào)錯(cuò)處理，TMS570片上帶有FLASH和RAM ECC的功能，即對(duì)FLASH或RAM的某一個(gè)位錯(cuò)誤進(jìn)行糾正，如果兩個(gè)位發(fā)生錯(cuò)誤則進(jìn)行報(bào)錯(cuò)處理，TMS570有兩路獨(dú)立的ADC模塊，可以同時(shí)對(duì)兩路信號(hào)進(jìn)行同時(shí)采樣轉(zhuǎn)化，可運(yùn)用在電流，電壓，溫度等模擬量的冗余校驗(yàn)功能中，確保監(jiān)控?cái)?shù)據(jù)的正確性，減少了芯片失效而帶來的故障。ADC模塊還支持ADC通道自檢功能，可以檢測(cè)出引腳短路到電源，GND等故障。

審核編輯：何安