首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

TC3xx启动的功能安全机制浅析

汽车   2024-07-02 08:50   广东  
目录

1.SM基本概念

2.启动中safety相关解读

2.1 芯片启动阶段

2.2 应用启动阶段 

3.小结

之前描述TC3xx Boot Firmware逻辑时提到了功能安全的内容,但没有完全展开;启动阶段与功能安全相关的内容如下图所示:

其中,
  • 灰色背景指在BootRom Fireware里的运行逻辑,这部分我们改变不了,但是可以通过UCB进行配置;
  • 浅绿色背景是应用启动阶段,包含用户的启动代码,这部分就随心所欲了; 
但是,在背景里有很多不同颜色的内容,例如SM、ESM、SMC等等,这些到底表示什么?对于启动代码的设计有什么帮助?我们来具体分析分析。

1.SM基本概念

SM是safety mechanism的缩写,什么是SM。根据英飞凌定义:
Safety Mechanism是用于避免\控制系统失效、探测\控制随机硬件失效的一种活动或者技术手段。 
这就比较明确了,安全机制来管控失效,而系统失效(Systematic Failures)我们可以在设计阶段尽量去避免;随机硬件失效(Random Hardware Failures)则只能在系统运行时探测和控制,根据安全机制的作用域,可以划分为2大类:
  • Safety Mechanism(SM):可以交由MCU内部的软件或者硬件处理的机制;
  • External Safety Mechanism(ESM):需要有系统级别的软件或者硬件方案来处理的机制
而之前我们聊过SMU,alarm的行为是需要应用软件进行配置的,因此SMC(Safety Mechanism Configuration)就是用来提示使用者Check是否根据系统定义正确配置了alarm行为。

2.启动中safety相关解读

2.1 芯片启动阶段

芯片启动阶段包括两大块内容,模拟上电和BootFirmware运行,其功能安全相关流程如下:
系统上电后,一旦电压和Backup时钟达到目标值后,硬件会触发SM[HW]:PMS:PBIST,该机制的具体含义如下图所示:
那么很明显,这个PBIST就是由MCU内部PMS这个模块硬件实现,全称Power Built-in Self Test;PBIST仅在冷启动释放前对电压监控、供电功能等进行自测,这个如果没测过,片子就挂了,所以它不需要有任何alarm,硬件全权处理。
测试通过后解除断言,就来到了我们比较熟悉的Boot Firmware阶段。这个阶段虽然修改不了代码,但是可以通过UCB配置影响运行逻辑;在上述示例中,首先要求了SSW RAM INIT,这是因为冷启动后RAM里是随机值,如果去做Memory BIST,肯定全是错误,因此TC3xx提供了UCB17\25(UCB_DFLASH)使得用户可以根据需要配置些RAM需要在SSW阶段进行初始化:
对应寄存器DMU_HF_PROCONRAM.LMUSEL\RAMINSEL,如下图:
对应配置项如下:
当SSW(Boot Firmware1)根据UCB配置将数据装载至相关寄存器后,还会有一套程序CHSW(Boot Firmware2)对结果做一系列检查,预防该阶段出现随机硬件失效,对应安全机制:SM[SW]:FW:MCU_STARTUP_PREOS_FW。
同样的,上述机制依旧没有alarm对应,SSW阶段探测到错误,通过ESR0报告使得MCU进入错误状态;CHSW则会将错误状态记录到STEMEx,由用户来判断这部分错误:
在CHSW运行前,英飞凌提供了LBIST相关配置,我们在BMHD里配置了LBISTENA = 1B,SSW阶段会自动运行LBIST,对应安全机制SM[HW]:MCU:LBIST,该机制是通过检测MCU数字逻辑电路来探测潜伏和多点故障。
LBIST的触发是需要软件配置Pattern等参数等,对应寄存器SCU_LBISTCTRLx;那么在SSW阶段如果我们配置了UCB.BMHD.LBISTENA = 1,SSW就会使用一套默认配置,这个可以在每个具体型号片子手册里找到,例如TC37x AA的LBIST Configuration 配置如下:
需要注意的是,一旦LBIST启动MCU就不能用了,因此LBIST结束后保存相关结果到寄存器,并产生系统复位,重新运行SSW。

2.2 应用启动阶段 

在用户启动阶段,与功能安全相关的内容是比较多的,我们要考虑LBIST触发(如果SSW没有触发LBIST)、LBIST结果检查,MONBIST触发,MBIST触发,SMU的alarm配置等。
因此我们首先总结需要配置的安全机制,包括:
SMC[SW]:PMS:MONBIST_CFG
        应用软件用于配置MONBIST参数并触发MONBIST( Monitor Built-in Self Test,用于检测二级电压监控、standby alarm path路径是否正常),对应配置模块PMS\SMU_Standby
SMC[SW]:VMT:MBIST
        应用软件用于配置哪些Memory并触发MBIST,对应配置模块MTU
SMC[SW]:MCU:LBIST_CFG

应用软件用于配置LBIST Pattern并触发,对应配置模块SCU_LBIST

具体配置方法可以在之前SMU、MTU的文章里面查询。
接下来我们继续基于流程来讨论.
应用代码开始运行后,根据当前产品ASIL等级,选择性做如下功能安全相关操作:
(1)需要检查LBIST结果,如果没有SSW没有触发,则需要在该阶段触发;对应安全机制ESM[SW]:MCU:LBIST_RESULT,由于是系统级别的机制,因此也没有alarm进行匹配。 
(2配置并触发MONBIST,测试完成后,还需要通过相应寄存器MONBISTAT检查MONBIST结果。这一部分异常处理措施也是由产品系统来定义,对应机制ESM[SW]:PMS:MONBIST_RESULT;
(3)MONBIST处理完成后,应用软件需要检查Boot Firmware是否正确执行,包括寄存器值的设置、SMU alarm是否都在预定义的范围里,如果检查有问题,就需要考虑通过再次冷复位,来判断是否出现了芯片级别的永久失效,对应机制ESM[SW]:SYS:MCU_FW_CHECKESM[SW]:SYS:MCU_STARTUP.
(4)如果都通过了,就需要对SMU alive、REG_MONITOR进行测试。
针对SMU Alive,需要使用SMU指令SMU_AliveTest(),进行测试,对应alarm21[16]:
针对REG_MONITOR,我们需要配置SMU_Stanby 对应寄存器例如RMCTL,进行测试,对应alarm共计11个。
(5)通过配置MTU相关寄存器,我们可以保证RAM没有故障,对应alarm如下:
(6)最后确保使能与应用相关的所有SMU警报。需要注意一点,在PLL配置时需要注意Clock Monitor、PLL loss of lock detection等alarm的行为。

3.小结

上文我们简单总结了SM基本概念,梳理了启动阶段定义的各种安全机制,包括SM和ESM。不得不感叹英飞凌在车规MCU的经验老道,在方案设计上十分周全。
好好学习,站在巨人的肩膀上才能看得更远。

-end-


分享不易,恳请点个【👍】和【在看】

 http://mp.weixin.qq.com/s?__biz=Mzg4NjIxODk4Mg==&mid=2247520155&idx=1&sn=94d08bc1a37ded85a2e597bb013a6629
汽车ECU开发
持续为您提供汽车科技、技术
 最新文章
谈谈软件的任务调度策略
CAPL脚本常用语法
UDS状态位介绍
“小满”安全车控操作系统开源发布会暨共建计划说明会
破解一个”屎山“项目
《中国汽车基础软件发展报告 5.0》解读
VCU软件开发训练营
深入宝马夜视系统:红外摄像头拆解揭秘
免费参会:奔驰、长城、商汤绝影、黑芝麻智能、火山引擎邀您共探AI大模型&智能汽车
拆解奔驰车身控制模块
对功能安全职业发展的思考与建议
智能配电盒的作用及关键器件
从整车层级到零部件层级的网络管理开发
谈车规MCU的安全启动
AUTOSAR CAN网管测试用例
UDS协议TP层测试用例梳理
UDS协议测试用例梳理
倒计时2天|中国汽车设计(国际)峰会启幕在即!
详解汽车软件集成与分支管理
VCU软件开发训练营四期预报名中
基于CAN的OTA测试用例梳理
上汽集团总设计师邵景峰确认出席2024汽车设计国际峰会
对整车研发“大跃进”的思考
VCU电控软件开发训练营
一文详解AUTOSAR DLT模块
基于AUTOSAR的一帧CAN报文的收发流程
参会攻略,倒计时5天 | 强标实施在即!上汽、吉利、长城、蔚来等邀您下周共聚AutoSec汽车安全盛宴!
从“非软件”角度看AUTOSAR CP
从定点到SOP,汽车零部件开发的关键节点解析
大咖来了 | 腾讯科技:基于强标的车辆信息安全检测实践
CanNm处于PBS状态下接收到一帧诊断报文DCM会响应吗
智能驾驶供电冗余设计详解
油门和刹车踏板解析功能
大咖来了 | 国家工业信息安全发展研究中心:汽车网络和数据安全风险分析与应对
江淮汽车动力电池热管理技术
新能源汽车行业精英汇聚,上汽选手勇夺三项冠军!
线上直播注册 | 2024 MathWorks中国汽车年会
ECU上下电过程CanSM为什么会多次设置CandTrcv和CanController模式
万字长文详解汽车软件需求开发与管理
详解整车区域控制器(ZCU)
汽车整车功能梳理
VCU电控软件开发训练营
基于高速FPGA的电力电子与电机控制的半实物仿真测试方案线上研讨会
如何提高车载以太网性能?
理想/蔚来/小鹏/路特斯/Lucid/东风/广汽/上汽/北汽/岚图/阿维塔/长城等嘉宾大揭秘 | 第四届焉知汽车年会详细议程
一文理解单片机BootLoader的前世今生
基于AUTOSAR的底层软件开发训练营
车辆ESP系统功能梳理
一文轻松搞定ETAS CP工具链基本概念与开发流程
如何设计一个车规级ECU?
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉