TI Hercules TMS570 / RM48 安全 MCU 工程化 — Cortex-R5F lock-step / CCM-R5 / ESM / SafeTI / ASIL D 路径

三支线的关键区分是认证目标 + Safety Manual 文档包,不是硅本身:

关键认知:TMS470M 是单 Cortex-M3 核,与 TMS570 没共硅 — 名字相似但定位不同(TMS470 是 2005 年 ARM7 老线沿用,只剩 TMS470MF03107 等少量型号在产);新设计选 Hercules 必从 TMS570 / RM4x 入手。

实际量产 4 颗占 Hercules 出货 80%+。下表 6 列(型号 / 支线 / core / 主频 / Flash+RAM / 场景),外设差异留正文说明:

外设侧:LS3137 / RM48L952(R4F 代)主带 FlexRay + CAN classic + LIN + MIBSPI,适合传统总线 ECU;LC4357 / RM57L843(R5F 代)加 CAN-FD + Ethernet(LC4357 标 Ethernet,RM57 还含 Ethernet AVB)+ EMIF,适合需要高速通信或外挂 DDR 的场景。

选型决策原则:EPS / ABS = LS3137 默认,主驱 + 高算力 = LC4357,工业 = RM48 默认,工业高端 = RM57。LC4357 与 RM57L843 硅几乎相同,Tier-1 选汽车标走 LC4357,工业标走 RM57 — 同一 BOM 不同 Safety Manual。

TI 命名 TMS570 / RM + L(LDO 集成)/ S(标准)/ C(Cortex-R5F)+ Flash KB ÷ 100。TMS570LC4357 = LC 系列 4 MB Flash + R5F;TMS570LS3137 = LS 系列 3 MB Flash + R4F。

Hercules 用 2 颗物理 Cortex-R5F(Master + Checker)做 lock-step,Checker 滞后 Master 2 cycle 执行(配相同输入),CPU Compare Module 在每个 cycle 比较两个 CPU 的输出总线信号(地址 / 数据 / 控制)。注:比较模块命名随核代走 — R4F 代(LS3137 / RM48L952)是 CCM-R4F,R5F 代(LC4357 / RM57L843)是 CCM-R5F;下文 CCM-R5 仅指 R5F 代,R4F 代型号 TRM 里查 CCM-R4F:

• 不一致 → CCM-R5 拉 mismatch 信号 → ESM Group2 high → nERROR pin 拉低(硬件路径,μs 内)
• Checker 对软件不可见 — 不出现在地址空间、不可读写、不能单独运行(与 AURIX 可解锁 lock-step 形成对比)
• 2 cycle 延迟目的是滤掉电气瞬态共模错(同时同地址的 SEU 罕见,延迟比较能检测大部分共模)

关键认知:Hercules lock-step 不可解锁 — 这是它和 AURIX TC3xx 最大的设计差。AURIX 允许 QM 任务时解锁 Checker 跑独立线程做性能,Hercules 永远固定 dual lock-step。好处:safety case 简单,Tier-1 不需要证 lock-step state transition 安全。坏处:die 利用率低,500 DMIPS 的 LC4357 算力 ≈ S32K3 单 M7,Hercules 一直被"算力贵"诟病。

Hercules 把 ECC 做到几乎所有存储:

SECDED(Single Error Correct Double Error Detect)的关键:单 bit 错自动纠正、双 bit 错强制 ESM Group2 高 → nERROR。Tier-1 必启动时跑 PBIST 把所有 RAM 写一遍以填好 ECC 校验位(否则首次读 RAM 必触发 ESM "未初始化 ECC" 假告警,Q&A 论坛里"开机即 ESM Group2" 是 90% 这个原因)。

时钟 / 电压 / 温度 的硬件监控:

• DCC(Dual-Clock Comparator)× 2:对两路时钟做交叉计数比较 — 主 PLL ↔ LPO 低速振荡器 / FlexRay 外部时钟 ↔ HCLK,PLL 漂移 > 阈值 → ESM Group1 IRQ
• PLL slip detect + LPO monitor:PLL 失锁或 LPO 超频/欠频 → ESM
• VMON:VCC / VCCIO / VCCP 三路 OV/UV(粗粒度,精度依赖外部 SBC)
• Temp sensor:Tj 监控,超阈值 → ESM Group1(应用层决定是否降频 / 关核)

DCC 是 Hercules 比较独特的设计 — AURIX 用 SMU clock alarm,Hercules 显式给 2 个独立 DCC 计数器跑交叉比较,Tier-1 配置时必给 2 个 DCC 不同时钟源对(否则共模时钟错不可检)。

ESM 用 可屏蔽性 + 是否直驱 nERROR 两条正交维度切 3 个 Group — 软件可恢复的错(单 bit ECC、温度 warn)走 Group1 让应用层处理,绝不可让步的错(lock-step mismatch、双 bit ECC)走 Group2 硬件直接拉 nERROR 跳过 CPU,外设和应用层定制错走 Group3 由 Tier-1 自配 reaction:

核心规则:

• Group2 是 ASIL D 的硬骨架 — Tier-1 绝不可屏蔽 Group2 任何一通道。CCM-R5 mismatch 必定走 Group2,硬件强制 nERROR
• Group1 是软件可恢复故障 — 单 bit ECC 纠正、温度 warning、DCC 偏移等,IRQ 处理后清 status bit
• Group3 是 Tier-1 自定义区 — FlexRay / Ethernet / 应用层 fault 接到 Group3,decide reaction 灵活

Hercules 的最后一道硬件保险是 nERROR pin(active low):

• ESM Group2 任意通道 high → ESM 内部 state machine → nERROR pin 在 < 1 μs 内拉低(纯硬件,不经 CPU)
• nERROR 外接 SBC TPS6538x-Q1 的 ENDRV 输入
• SBC 收到 nERROR low → ENDRV / 主输出关闭 → 外部 power stage(MOSFET 驱动 / 主继电器 / STO 触发)断开
• 这是 ASIL D 的 fail-silent 终态 — 系统进入 safe state(无 torque / 无输出)

Tier-1 量产规则:nERROR pin 必走独立 PCB 走线 + 上拉 10 kΩ 到 VCC(SBC 侧拉低),走线短 + 远离 PWM / 大电流。若 nERROR 用作菊花链(多个 fault 源 OR)必加 open-drain 缓冲。

Hercules 启动必跑安全自检序列,顺序错则 ESM 误触发:

1. PBIST(Programmable BIST):RAM 全测一遍(2-5 ms),填好 ECC 校验位
2. LBIST(Logic BIST):CPU 内部逻辑 stuck-at 测试(50-100 ms,只在 cold boot 跑,warm boot skip)
3. STC(Self-Test Controller):CPU 周期性运行时自检(可配置每 N 小时一次)
4. ECC enable:打开 Flash / SRAM ECC
5. ESM init:配 Group mask 和 reaction
6. MPU / 应用启动

典型陷阱:LBIST 在 warm boot 跑会 100 ms 启动延迟超 ECU 1 s 上电要求 — Tier-1 必区分 cold vs warm boot reset 类型(读 SYS.SYSESR 寄存器)决定是否跳过 LBIST。

TPS6538x-Q1(TPS65381 是早期型号、TPS65386x 是 2020+ 新型号)集成:

• VPRE pre-regulator + VCORE / VAUX / VCAN / VSENSE 多路电源(类似 NXP FS65 架构)
• Q&A challenge watchdog(MCU 必算出 challenge 回答,防 ISR 卡死)
• ENDRV pin(来自 MCU 的 nERROR / 来自 WD 超时)→ 控制 SBC 输出 enable
• DIAG_OUT pin(多路 SBC 内部模拟/数字信号给 MCU 做独立监控)
• SPI 接口给 MCU 读 SBC fault status

Tier-1 接法:

1. MCU nERROR → SBC ENDRV(直驱,硬件路径)
2. MCU SPI ↔ SBC SPI(WD challenge / fault status)
3. SBC DIAG_OUT → MCU ADC(MCU 独立查 SBC 内部电压 / 温度 — 双向监控)
4. SBC fault → MCU GPIO IRQ(SBC 状态变化通知 MCU)

Hercules 单芯片就达 ASIL D capability,差异在外部 SBC 配置 + safety case 完整度:

四家的设计哲学可压成一句话:Hercules 简(固定 lock-step + ESM 三 Group)/ AURIX 强(6 核可解锁 lock-step + SMU 4-stage)/ S32K3 通(Cortex-M7 通用生态 + FCCU)/ RH850 私(自有 ISA + 日系闭环)。算力 / Flash / lock-step 灵活性 / SBC 配套是 4 个关键 trade-off 维度:

Hercules 的不可替代区:

• EPS / ABS — 算力够 + 文档全 + 量产 15 年稳定 → 选 LS3137 不出错
• 工业 SIL 3 — RM4x 在医疗灌注泵 / 工业伺服 / 铁路信号是 IEC 61508 工程的稳产选择(竞品 RH850 + STM32H7 + i.MX RT 都不太占)
• 算力中等 + safety case 要简 — Hercules 架构简单,不会卡 lock-step state transition 评审

Hercules 让位区:

• EV 主驱 — 2024+ 国内 NXP S32K3 + FS65 / TI 自家 AM26x + TPS6538x 抢市场,Hercules LC4357 算力偏紧
• L2+ ADAS / IDB — AURIX TC3xx 多核算力压制,Hercules 不上桌
• 算力刚需 1000+ DMIPS — Hercules 4 MB Flash + 500 DMIPS 不够,必走 AURIX TC397 / RH850/U2C