隨著新能源汽車的迅猛發(fā)展和汽車電子系統(tǒng)越來越復(fù)雜，汽車的功能安全越來越備受重視，可靠性的要求也越來越高，ISO 26262是國際功能安全的標(biāo)準(zhǔn)，按照ISO26262標(biāo)準(zhǔn)流程開發(fā)產(chǎn)品能有效提高汽車電子、電氣產(chǎn)品功能安全。

在汽車電驅(qū)動的開發(fā)上越有越多的客戶有功能安全設(shè)計的需要，必須滿足系統(tǒng)ASIL C安全等級，目前針對電驅(qū)動的功能安全的主控芯片方案有單芯片的方案，也有雙芯片的方案，兩種方案各有優(yōu)缺點(diǎn)。TI主推的的雙芯片的方案是“C2000+TMS570”，同時利用了C2000在電機(jī)控制上實(shí)時性的優(yōu)勢以及TMS570在功能安全方案的特點(diǎn)，被越來越多的客戶采樣應(yīng)用于汽車電驅(qū)動的功能安全項目上。

汽車電驅(qū)動系統(tǒng)的主要安全目標(biāo)是避免非預(yù)期的扭矩突變，因此在系統(tǒng)設(shè)計中需要采取的安全措施是對輸出扭矩的監(jiān)控，要求為ASIL C, 根據(jù)ISO 26262 ASIL分解原則可以將系統(tǒng)的ASIL C分解為“ASIL C + QM”,即將C2000做分解為QM級別電機(jī)控制，TMS570分解為ASIL C的安全功能監(jiān)控，實(shí)現(xiàn)整個系統(tǒng)的ASIL C控制，這樣既能利用C2000在電機(jī)控制上實(shí)時性的優(yōu)勢，也能利用TMS570專門做功能安全方面的特性，而且在軟件層面上，可以把大部分的電機(jī)控制的代碼放在C2000上，只需滿足QM級別的要求，把小部分跟安全監(jiān)控相關(guān)代碼放在TMS570上執(zhí)行，滿足ASIL C的要求，大大減少軟件的開發(fā)時間和降低成本。

F28379S和TMS570LS017通過SPI進(jìn)行通信，進(jìn)行數(shù)據(jù)交互和相互校驗，也是安全機(jī)制實(shí)現(xiàn)的一種方式，如F28379S和TMS570LS0714可以同時對某一路的電流采樣進(jìn)行采樣，采樣結(jié)果通過SPI傳輸后進(jìn)行相互校驗，如不一致則進(jìn)行錯誤處理，將系統(tǒng)控制到安全狀態(tài)。

C2000是TI專門為數(shù)字電源和電機(jī)控制的應(yīng)用設(shè)計的微控制器，近年來隨著新能源汽車的高速發(fā)展，C2000產(chǎn)品也廣泛應(yīng)用電動汽車上的電機(jī)控制器，能夠滿足電機(jī)控制實(shí)時性的電機(jī)控制性能要求，TMS320F28079S是目前最高性能的C2000產(chǎn)品，滿足電機(jī)控制轉(zhuǎn)速越來越高，實(shí)時性要求越來越高的控制需求，主要有以下新的特點(diǎn)：

200MHz主頻的C28x 核以及 CLA 的協(xié)處理器；

4 路差分輸入的16位 ADC模塊；

三角函數(shù)加速器 (TMU，對SIN, COS, ARCTAN 等指令執(zhí)行只需要1 到 3 個周期；

內(nèi)置8路窗口比較器可以用來做過流保護(hù)，過欠壓保護(hù)等；

內(nèi)置CLB可編程邏輯控制單元；

8 路Sigma Delta抽樣濾波器。

TMS570全系列MCU都是通過了第三方認(rèn)證公司TUV-SUD ASIL D最高等級標(biāo)準(zhǔn)的認(rèn)證，在設(shè)計生產(chǎn)流程方面嚴(yán)格按照26262的要求進(jìn)行，同時有獨(dú)特的安全架構(gòu)和完善的安全機(jī)制處理硬件隨機(jī)失效。目前廣泛應(yīng)用于新能源車上的Traction Inverter、BMS、 OBC、 VCU等ECU系統(tǒng)上。

為了管理隨機(jī)硬件失效，TMS570 MCU集成了很多安全機(jī)制，并且采用的是“安全島”的安全理念，即對能確保MCU軟件正常運(yùn)行的最小系統(tǒng)部分采用的是硬件診斷的安全機(jī)制，如上圖紅色部分, 包括了電源、時鐘、CPU，F(xiàn)LASH，RAM等模塊，例如采用了雙核鎖步的CPU架構(gòu)，F(xiàn)LASH錯誤校正代碼 (ECC)，RAM ECC、Memory BIST等硬件的安全機(jī)制。

為了減少共因失效，TMS570 MCU在空間上和時間上都采取措施，在空間上將其中一個CPU鏡像翻轉(zhuǎn)后垂直于另外一個CPU，兩個CPU在空間上距離超過了100 μm，在時間上兩個CPU 的運(yùn)算錯開2個時鐘周期，運(yùn)算結(jié)果送至專門的比較模塊進(jìn)行實(shí)時比較，如有一個CPU運(yùn)算有問題就馬上報錯處理，TMS570片上帶有FLASH和RAM ECC的功能，即對FLASH或RAM的某一個位錯誤進(jìn)行糾正，如果兩個位發(fā)生錯誤則進(jìn)行報錯處理，TMS570有兩路獨(dú)立的ADC模塊，可以同時對兩路信號進(jìn)行同時采樣轉(zhuǎn)化，可運(yùn)用在電流，電壓，溫度等模擬量的冗余校驗功能中，確保監(jiān)控數(shù)據(jù)的正確性，減少了芯片失效而帶來的故障。ADC模塊還支持ADC通道自檢功能，可以檢測出引腳短路到電源，GND等故障。

審核編輯：郭婷