隨著新能源汽車的迅猛發(fā)展和汽車電子系統(tǒng)越來越復雜，汽車的功能安全越來越備受重視，可靠性的要求也越來越高，ISO 26262是國際功能安全的標準，按照ISO26262標準流程開發(fā)產品能有效提高汽車電子、電氣產品功能安全。

在汽車電驅動的開發(fā)上越有越多的客戶有功能安全設計的需要，必須滿足系統(tǒng)ASIL C安全等級，目前針對電驅動的功能安全的主控芯片方案有單芯片的方案，也有雙芯片的方案，兩種方案各有優(yōu)缺點。TI主推的的雙芯片的方案是“C2000+TMS570”，同時利用了C2000在電機控制上實時性的優(yōu)勢以及TMS570在功能安全方案的特點，被越來越多的客戶采樣應用于汽車電驅動的功能安全項目上。

汽車電驅動系統(tǒng)的主要安全目標是避免非預期的扭矩突變，因此在系統(tǒng)設計中需要采取的安全措施是對輸出扭矩的監(jiān)控，要求為ASIL C, 根據ISO 26262 ASIL分解原則可以將系統(tǒng)的ASIL C分解為“ASIL C + QM”,即將C2000做分解為QM級別電機控制，TMS570分解為ASIL C的安全功能監(jiān)控，實現整個系統(tǒng)的ASIL C控制，這樣既能利用C2000在電機控制上實時性的優(yōu)勢，也能利用TMS570專門做功能安全方面的特性，而且在軟件層面上，可以把大部分的電機控制的代碼放在C2000上，只需滿足QM級別的要求，把小部分跟安全監(jiān)控相關代碼放在TMS570上執(zhí)行，滿足ASIL C的要求，大大減少軟件的開發(fā)時間和降低成本。

F28379S和TMS570LS017通過SPI進行通信，進行數據交互和相互校驗，也是安全機制實現的一種方式，如F28379S和TMS570LS0714可以同時對某一路的電流采樣進行采樣，采樣結果通過SPI傳輸后進行相互校驗，如不一致則進行錯誤處理，將系統(tǒng)控制到安全狀態(tài)。

C2000是TI專門為數字電源和電機控制的應用設計的微控制器，近年來隨著新能源汽車的高速發(fā)展，C2000產品也廣泛應用電動汽車上的電機控制器，能夠滿足電機控制實時性的電機控制性能要求，TMS320F28079S是目前最高性能的C2000產品，滿足電機控制轉速越來越高，實時性要求越來越高的控制需求，主要有以下新的特點：

200MHz主頻的C28x 核以及 CLA 的協(xié)處理器；

4 路差分輸入的16位 ADC模塊；

三角函數加速器 (TMU，對SIN, COS, ARCTAN 等指令執(zhí)行只需要1 到 3 個周期；

內置8路窗口比較器可以用來做過流保護，過欠壓保護等；

內置CLB可編程邏輯控制單元；

8 路Sigma Delta抽樣濾波器。

TMS570全系列MCU都是通過了第三方認證公司TUV-SUD ASIL D最高等級標準的認證，在設計生產流程方面嚴格按照26262的要求進行，同時有獨特的安全架構和完善的安全機制處理硬件隨機失效。目前廣泛應用于新能源車上的Traction Inverter、BMS、 OBC、 VCU等ECU系統(tǒng)上。

為了管理隨機硬件失效，TMS570 MCU集成了很多安全機制，并且采用的是“安全島”的安全理念，即對能確保MCU軟件正常運行的最小系統(tǒng)部分采用的是硬件診斷的安全機制，如上圖紅色部分, 包括了電源、時鐘、CPU，FLASH，RAM等模塊，例如采用了雙核鎖步的CPU架構，FLASH錯誤校正代碼 (ECC)，RAM ECC、Memory BIST等硬件的安全機制。

為了減少共因失效，TMS570 MCU在空間上和時間上都采取措施，在空間上將其中一個CPU鏡像翻轉后垂直于另外一個CPU，兩個CPU在空間上距離超過了100 μm，在時間上兩個CPU 的運算錯開2個時鐘周期，運算結果送至專門的比較模塊進行實時比較，如有一個CPU運算有問題就馬上報錯處理，TMS570片上帶有FLASH和RAM ECC的功能，即對FLASH或RAM的某一個位錯誤進行糾正，如果兩個位發(fā)生錯誤則進行報錯處理，TMS570有兩路獨立的ADC模塊，可以同時對兩路信號進行同時采樣轉化，可運用在電流，電壓，溫度等模擬量的冗余校驗功能中，確保監(jiān)控數據的正確性，減少了芯片失效而帶來的故障。ADC模塊還支持ADC通道自檢功能，可以檢測出引腳短路到電源，GND等故障。

審核編輯：郭婷