Stellar aggregation unit and functional safety software library : development of configuration, fast detection and clearing interfaces

Nowadays the electronics components (sensors, intercommunications system, RF peripherals, controllers, actuators, …) in automotive field have reached a high diffusion and a high level of complexity. Those components must provide their data to a microprocessor that will be programmed to take the correct decisions. Since the volume of data processed by those controllers is increased directly proportional to the number and the complexity of the components, new powerful SoCs are needed. The working environment of these SoCs is very noisy and this can cause a problem in data management: we must guarantee the so-called Functional Safety. Imagine how potentially dangerous could be a non-detected fault: there is a concrete probability of harm to the driver and passengers. The fault can be concretely seen as a digital data corruption: two examples can be an EM wave which causes a bitflip in a memory address, or a wrong operation performed by the cores. It’s clear that HW and SW protection systems are mandatory. The ISO 26262 standard sets working methodologies, guidelines and quantitative parameters which should be respected to get a proper safety certification of the product. A key parameter contained in the ISO26262 in the FTTI: this is defined as a max time interval in which the system must come back to a non-fault state after a fault event. In this time the fault must be detected, must be chosen a proper reaction (by the application), and the fault must be cleared once the reaction is performed. ST Microelectronics has developed a new chip line for automotive applications, targeting the ASIL-D standard, with a dedicated hardware and software controllers to manage the possible faults. All these can be programmed via a list of specific drivers called Safety Library. My thesis work consists in managing, in a smart and fast way all the possible fault causes, and from here, developing (using C program language) and testing three APIs which interact with HW peripherals. The first one consists in the detection of the origin of the fault in the Soc to provide information to the application which will choose a proper reaction to minimize the risk for drivers and passengers. The second service developed consists in a clearing function which removes any tracks of a fault already managed in memory registers. The last function performs a check of the configuration of some modules: once a customer got the chip, he can configure which part of it use according to his needs. This operation is done manually, so there is probability of errors, and those must be checked.

Oggigiorno la presenza di componenti elettroniche (sensori, sistemi di comunicazione, controllori, attuatori, periferiche RF…) in ambito automobilistico ha raggiunto un alto livello di diffusione e complessità. Queste devono fornire dati ad un microprocessore così che prenda le decisioni corrette in base alla situazione. Poiché’ il volume di informazioni processato è direttamente proporzionale al numero e alla complessità delle periferiche, è necessaria una nuova generazione di potenti microcontrollori. L’ambiente di lavoro di questi System on Chip è molto rumoroso, e ciò può causare errori e fallimenti nella gestione e nell’ elaborazione dei dati: va trovato il modo per garantire la Functional Safety, cioè la protezione rispetto a questi fallimenti del chip. In caso un errore non venga rilevato, le conseguenze per il passeggero e il conducente potrebbero essere potenzialmente catastrofiche: van trovate delle contromisure per far sì che le probabilità di danni a conducente e passeggeri siano minimizzate. Lo standard ISO26262 stabilisce delle linee guida e dei parametri quantitativi, in ambito automotive, che devono essere rispettate per ottenere la certificazione alla vendita del chip. ST Microelectronics ha sviluppato una nuova linea di chip, che mira alla certificazione ASIL-D (la più rigida), con una serie di moduli interni dedicati alla gestione di questi malfunzionamenti. Questi sono programmabili tramite una libreria software chiamata Safety Library. Il mio lavoro di tesi consiste nella gestione in maniera rapida di tutti i possibili errori segnalati nel chip, e da qui sviluppare tre di funzioni che comunicano direttamente con l’hardware e che soddisfino dei requisiti di Functional Safety posti in fase progettuale. La prima funzione si occuperà di individuare rapidamente e con precisione l’origine dell’errore, e fornirà questa informazione all’applicazione che deciderà come gestirlo. La seconda consiste in un servizio di pulizia che cancella dalle periferiche interessate ogni traccia di un errore già gestito in precedenza, così che tornino nuovamente in condizione normale. L’ultima funzione si occupa dei due tipi di controllo sui file configurabili da parte dell’utilizzatore: innanzitutto il controllo che quanto scritto nel file sia effettivamente riportato nei registri del modulo, e infine effettuare un controllo incrociato tra i vari file di configurazione, così da eliminare di un errore umano. Tutte le funzioni sono state testate tramite debugger e sviluppando un embrionale livello applicativo che ricalchi quello usato del cliente.