Startseite > Messen + Testen > Sensorik > Entwicklungszeit schrumpft um sechs Wochen

Automotive-Taktgeneratoren

Entwicklungszeit schrumpft um sechs Wochen

30. September 2024, 12:55 Uhr | Heinz Arnold

Die »Chorus automotive«-Clock Generators sitzen in einem QFN-Gehäuse, das eine Fläche von 4 mmm x 4mm einnimmt.

SiTime hat in den neuen Automotive-Taktgeneratoren den MEMS-Resonator, den Oszillator und Sicherheitsmechanismen in einem einzigen Gehäuse integriert, was die Entwicklungszeit für funktionale Sicherheit um bis zu sechs Wochen beschleunigt.

▶ Diesen Artikel anhören

Die neuen Taktgeneratoren der »Chorus automotive«-Serie sind ersten voll integrierten Taktsysteme auf einem Chip (ClkSoC) mit integrierten Fehlerüberwachungsmechanismen für den gesamten Signalpfad der Takterzeugung. Ihr Betriebstemperaturbereich liegt zwischen -40 °C und 125 °C. Damit lassen sich funktionale Sicherheitsmetriken einfacher erreichen und die System-Timing-Architektur vereinfacht sich. Außerdem erreichen die »Chorus«-Taktgebeber eine bis zu zehn Mal höheren Leistung bei halber Größe im Vergleich zu eigenständigen Oszillatoren.

Automobilingenieure stehen bei der Implementierung von SDVs vor vielen Herausforderungen. Die Autokäufer erwarten ein Benutzererlebnis, das so nahtlos ist wie bei Smartphones, ohne dass die Sicherheit darunter leidet. Weil die Fahrzeuge autonomer werden, sind Hardware-Fehlfunktionen nicht nur ärgerlich, sondern können auch schwerwiegende Folgen für Leben und Eigentum haben.

Jobangebote+ passend zum Thema

Ingenieur/Elektroingenieur/Elektrotechniker als Field Application Engineer

GEYER Electronic GmbH, Planegg

Alle Jobangebote im Elektroniknet Karrierebereich anzeigen

Bei Softwaredefined Vehicles (SDVs) muss es sich um robuste Datenzentren auf Rädern handeln. Die Sensoren wie Kameras, Lidar und Radar liefern Daten in Echtzeit, die schnell verarbeitet werden müssen, um Entscheidungen zu treffen. Der Sicherheit der Menschen im Fahrzeug und auf der Straße kommt dabei höchste Priorität zu. High-Performance-Computer (HPS) können dazu Tausende von Tera-Operationen pro Sekunde (TOPS) durchführen. Das erfordert ein synchrones Präzisions-Timing-Netzwerk mit garantierter, zuverlässiger Leistung bei Erschütterungen, Vibrationen und extremen Witterungsbedingungen und einer Lebensdauer von Jahrzehnten.

Wenn der Taktgeber für eine kritische Komponente ausfällt, kann es zu katastrophalen Ausfällen kommen. Etwa weil ein Prozessor abstürzt oder eine Hochgeschwindigkeitsverbindung Pakete verliert. Ein Sicherheits-Mikrocontroller im System erkennt solche schwerwiegenden Ausfälle und schaltet die ausfallende Funktion ab, um einen sicheren Zustand zu erreichen. Wenn ein Auto beispielsweise meldet, dass der Spurhalteassistent nicht mehr verfügbar ist, sorgt der Sicherheits-Mikrocontroller für einen sicheren Zustand, in dem der Fahrer nicht mehr auf die ausgefallene Funktion angewiesen ist. Zeit spielt hier die entscheidende Rolle. Ziel der Ingenieure ist es, die Zeit zwischen dem Auftreten eines Fehlers und der Systemmeldung – das fehlertolerante Zeitintervall (Fault-Tolerant Time Interval, kurz FTTI) – zu verkürzen. SiTime hat »Chorus automotive« darauf in optimiert, die kritischen Millisekunden einzusparen und die Taktfehler früher als bisher zu melden.

Die FTTI-Anforderungen sind Teil der ISO-Norm 26262, dem Rahmenwerk für die Klassifizierung von Gefahren, die durch fehlerhafte Automobilsysteme verursacht werden, und gelten für den Automotive Safety Integrity Level (ASIL). ADAS-Sensoren und die ECUs müssen die ASIL-Anforderungen erfüllen, um zertifiziert zu werden. Jedes Modul erfordert eine detaillierte Analyse von Fehlerszenarien, die Zuweisung von Ausfallwahrscheinlichkeiten und Diagnoseabdeckungsmetriken für jedes Bauteil.

Um den Weg zur Zertifizierung zu erleichtern, müssen die Ingenieure mit den richtigen Bausteinen beginnen – Komponenten, die eine geringere Ausfallwahrscheinlichkeit haben und über eine effektive Diagnose zur frühzeitigen Fehlererkennung verfügen. »Chorus automotive« überwindet laut SiTme mit seiner FailSafe-Technologie die Einschränkungen herkömmlicher quarzbasierter Taktgeber bei der Bewältigung dieser Herausforderungen mit einer bis zu 10-fach geringeren Ausfallrate und verbesserten Diagnosen.

Weniger komplexe Taktbäume

In der Vergangenheit bestand das Timing-Network aus eigenständigen Oszillatoren. Diese Oszillatoren konnten weder synchronisiert werden noch verfügten sie über Diagnosefunktionen. Manchmal wurden Taktgeneratoren mit mehreren Ausgängen verwendet, die meist mit einem externen Quarzresonator gepaart waren, der Probleme mit der Impedanzanpassung und dem Rauschen aufwies. »Chorus automotive« ersetzt bis zu vier differentielle oder acht unsymmetrische Einzeloszillatoren, wodurch der Platzbedarf auf der Leiterplatte um bis zu 50 Prozent verringert und Probleme mit Rauschen oder Impedanzfehlanpassung beseitigt werden. Darüber hinaus ist jeder Chorus-Taktausgang individuell programmierbar und steuerbar. Sein Verhalten kann auf spezifische Systemanforderungen abgestimmt werden, indem elektromagnetische Interferenzen (EMI) kontrolliert und Phasenverschiebungen und Verzögerungen angepasst werden, falls lange Leiterbahnen betrieben werden müssen. Jetzt können mehrere Taktgeber einfach in ein einziges kompaktes Gerät integriert werden, um beispielsweise einen komplexen Taktbaum eines ADAS-Steuergeräts oder eines zonalen Gateways zu betreiben.

Herkömmliche Taktgeneratoren konzentrieren sich – sofern sie überhaupt Überwachungsfunktionen besitzen – hauptsächlich darauf, die häufig auftretenden Ausfälle externer Quarzresonatoren zu erkennen. Allerdings können sie den Rest der Taktsignalkette (Oszillator, Phase-Locked-Loop, Ausgangstreiber usw.) nicht erfassen.

»Chorus automotive hat das Problem der Quarzausfälle gelöst und bietet eine durchgängige, kontinuierliche Echtzeit-Fehlerüberwachung vom MEMS-Resonator bis zum Ausgangspin, sowie der Stromschienen, des internen Speichers und der Chiptemperatur. Die Sicherheitstransparenz für jeden Taktausgang kann individuell angepasst werden, je nach den Zielen der funktionalen Sicherheit des Systems«, sagt Sumeet Kulkarni, Leiter des Produktmarketings Automotive von SiTime.

Mit der Fähigkeit, einen Sicherheits-Mikrocontroller innerhalb von Mikrosekunden statt Millisekunden auf einen Fehler in der Uhr aufmerksam zu machen, lange bevor nachgelagerte Fehler auftreten können, können Fahrzeuge bis zu 1000-mal schneller als bisher in einen sicheren Zustand zurückkehren. Diese Kombination aus deutlich niedrigeren Ausfallraten, erweiterter Diagnose und schnellerer Fehlermeldung verschafft den Ingenieuren mehr Spielraum. Dies kann wochenlange Entwicklungsarbeit einsparen und die Kosten für externe Überwachungsmechanismen senken. Vor allem sollte der Sicherheits-Mikrocontroller selbst von einem separaten Oszillator getaktet werden, um mögliche abhängige Ausfälle zu vermeiden. »SiTime verfügt über das erforderliche Fachwissen, um bei der intelligenten Partitionierung des Taktbaums zu beraten, damit die beiden Ziele Integration und Sicherheit erreicht werden«, so Sumeet Kulkarni.

»Chorus Automotive« mit FailSafe-Technologie

orchestriert komplexes Timing für Rechen- und Sensorsysteme im Automobil, indem es bis zu vier konfigurierbare differentielle oder bis zu acht unsymmetrische Ausgänge mit geringem Versatz bereitstellt. Seine »FailSafe«-Technologie ermöglicht ein einfaches Design der funktionalen Sicherheit durch programmierbare End-to-End-Sicherheitsmonitore.

Der Baustein ist mit PCI Express (PCIe) der Generationen 1 bis 6 konform und verfügt über Spread-Spectrum-Optionen, On-Chip-Regler für eine extrem gute Rauschunterdrückung der Stromversorgung sowie phasenkonfigurierbare und programmierbare Skew-Ausgänge.

»Chorus« kann eine externe Sicherheitsmanager-MCU über konfigurierbare Allzweck-E/A-Pins (GPIO) auf Taktfehler aufmerksam machen. Die serielle Schnittstelle (I2C oder SPI) kann zum Auslesen interner Register, einschließlich des Status der internen Überwachungsfunktionen, verwendet werden. Diese Bausteine ermöglichen darüber hinaus ein hohes Maß an Flexibilität durch den In-System-Configuration (ISC)-Modus, um die Bausteinkonfiguration und jedes Ausgangsverhalten über die serielle Schnittstelle zu ändern.