汽车功能安全
关注
分享
扫一扫
文章平均质量分 90
CyberSecurity_zhang
低级MCU软件开发工程师
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
汽车功能安全 -- TC3xx Error Pin监控机制
摘要:本文介绍了TC3xx微控制器的外部安全机制(ESM),重点讲解了FSP(故障信号协议)错误引脚监控机制。文章详细阐述了FSP的三种输出模式选择依据,并通过英飞凌安全方案示例说明模式选择需考虑外部设备需求。以TLF35584电源管理芯片为例,分析了其对ErrorPin的监控设计,包括信号频率检测范围(10-50kHz)和异常处理机制。最后给出了TC3xx SMU寄存器配置伪代码,实现与TLF35584的协同工作。全文为汽车功能安全系统中错误状态监控提供了实用配置指导。原创 2025-07-25 17:56:18 · 680 阅读 · 0 评论 -
汽车功能安全 -- TC3xx外部看门狗
本文介绍了TC3xxSMU芯片中外部看门狗安全机制(ESM)的实现方案。重点阐述了利用TLF35584外部设备实现ESM[HW]:SYS:WATCHDOG_FUNCTION机制的方法,该设备通过窗口型和问答型两类看门狗监测MCU状态:窗口看门狗通过GPIO或SPI喂狗监测时间行为,问答看门狗则通过SPI进行4字节签名验证监测应用逻辑。当喂狗失败超过阈值时,TLF35584会拉低输出信号使系统进入安全状态。这种外部机制有效补充了MCU内部安全机制,为系统级安全提供了保障。原创 2025-07-17 19:01:33 · 489 阅读 · 0 评论 -
汽车功能安全--TC3xx之PBIST、MONBIST
总结下来,英飞凌4种硬件BIST机制,我们需要关心的就是LBIST、MBIST、MONBIST,分别关联模块SCU.LBIST、MTU(MBIST)、SMU Core\Standby(MONBIST),因此搞懂这几个模块的配置关联关系,理清上电启动LBIST、MBIST、MONBIST执行顺序,这样才能做好一颗芯片的功能安全软件。其次,在PBIST状态下、EVR33、EVRC regulator启动之前,VEXT、VEXRSB由次级监控进行检测,一旦发现电压不在范围内,则不会释放CPU。原创 2024-09-08 22:20:19 · 2867 阅读 · 0 评论 -
汽车功能安全--TC3xx SMU之看门狗alarm处理
而从实际alarm输出来看,从上图虚线部分可以看到,例如CPU内部看门狗发生超时,一方面通过ALM_WDTCPUx(x=0~5)进行反映,另一方面会与每个核的对应信号、以及Safety看门狗的超时信号,进行或运算,最终合并为一个ALM_WDTALL。根据文档描述,当出现没有及时喂狗的情况,虽然触发了alarm,但仍需要一段特殊流程来保证MCU行为,特别是在重启前给与软件一小段时间用于保存现场,这是非常关键的。Trap Class Number,作为Trap table的索引,由硬件根据BTV生成。原创 2024-09-02 18:22:01 · 2115 阅读 · 0 评论 -
汽车功能安全--TC3xx LBIST触发时机讨论
LBIST,全称Logic Built-in Self Test。在TC3xx中,LBIST是一种硬件功能安全机制,目的是为了探测MCU内部逻辑电路的潜伏故障(latent faults)。从使用者角度来看,只需要知道TC3xx的LBIST,它是基于对MCU进行量产测试的DFT(Design Fot Test)结构。这些测试逻辑是在芯片设计过程中被引入,流片后在ATE(自动测试仪)设备上通过对芯片进行测试,挑出有制造缺陷的芯片并淘汰掉,保证芯片的良率。因此首先我们来熟悉熟悉LBIST架构。原创 2024-08-27 17:12:34 · 2399 阅读 · 0 评论 -
汽车功能安全--AutoSAR中的功能安全机制
大家好,这里是高温下认真码字的肌肉;许久没有聊中间件的问题,正巧可能要启动SafetyPack的开发,因此今天回顾回顾在AUTOSAR文档中关于Safety的一些机制。在实际开发中,我们经常遇到不同功能安全等级的软件模块集成到一个ECU中,例如座舱域中MCU电源管理模块和IPC通信模块的ASIL等级在产品定义就不同,如何保证低ASIL等级的软件模块不对高ASIL等级软件模块的造成影响?从方向上虽然是四个方面,但从实际产品看,内存保护、时序可以由OS、WdgM来保证,信息交互可以由E2E来保证。原创 2024-08-23 17:59:05 · 2064 阅读 · 0 评论 -
TC3xx启动的功能安全机制浅析(2)
上文我们简单总结了SM基本概念,梳理了启动阶段定义的各种安全机制,包括SM和ESM。不得不感叹英飞凌在车规MCU的经验老道,在方案设计上十分周全。好好学习,站在巨人的肩膀上才能看得更远。原创 2024-06-24 18:56:28 · 2165 阅读 · 0 评论 -
TC3xx启动的功能安全机制浅析(1)
之前描述TC3xx Boot Firmware逻辑时提到了功能安全的内容,但没有完全展开;启动阶段与功能安全相关的内容如下图所示:其中,但是,在背景里有很多不同颜色的内容,例如SM、ESM、SMC等等,这些到底表示什么?对于启动代码的设计有什么帮助?我们来具体分析分析。原创 2024-06-24 18:53:29 · 2290 阅读 · 0 评论 -
TC3xx SMU、PMIC和Tranceiver的功能安全闭环
在之前文章里,我们简述了TC3xx SMU如何与PMIC TLF35584协同工作,并且主要从datasheet推荐的应用连接分析了功能安全方面的实现机制,如下图:但是仍然遗漏了一个关键点,从ECU级别来看,35584的SS1\2到底可以输出给谁?原创 2024-02-28 18:57:26 · 1898 阅读 · 1 评论 -
功能安全Part1-名词定义
例如,我正在开车,突然前面窜出了一个电瓶车,距离不到20米,那我肯定要开始刹车,心里想,哎妈,2s后就创上去了,得两秒内刹车。相关失效:相关失效是指失效同时或相继发生的概率不能表示为每个失效无条件发生概率的简单乘积。比如当失效A和失效B同时发生的概率不等于两个失效概率的乘机,用数学关系式表示为Pab =Pa*Pb,失效A和B可被定义为相关失效。级联失效:一个item中的element因为内外部的根因造成失效,从而导致该item中的其他或者相同的elements也失效了。相关失效包括共因失效和级联失效。原创 2023-09-23 11:11:26 · 1694 阅读 · 0 评论 -
汽车功能安全 -- Part6(2)
修正条件判定覆盖要求在一个程序中每一种输入输出至少得出现一次,在程序中的每一个条件必须产生所有可能的输出结果至少一次,并且每一个判定中的每一个条件必须能够独立影响一个判定的输出,即在其他条件不变的前提下仅改变这个条件的值,而使判定结果改变。需要注意pair-programming,结对编程,传统意义上应该是两个都比较有经验的工程师,常见形式:一个负责详设,一个负责代码;总体来讲,一个好的单元测试,需要测试功能,也要测试功能安全需求;其次,指针的有限制使用,这一点其实在代码中很难把握这个度。原创 2023-03-28 10:51:44 · 756 阅读 · 0 评论 -
汽车功能安全 -- Part6(1)
Part6 主要描述了汽车应用产品在软件开发层面上的需求和流程,旨在保证软件开发过程的一致性和规范性原创 2023-03-27 17:42:05 · 806 阅读 · 0 评论