27f9cf80-d9a2-11ed-bfe3-dac502259ad0.png

1、加载硬件驱动

首先,芯片启动是需要驱动底层硬件驱动模块,通常行业内称之为BootLoader引导启动方式。该引导流程是引导加载程序执行,从而初始化 SoC 和并未后续加载芯片级上操作系统做准备。

Bootloader 期间需要执行的主要操作包含如下:

初始化存储设备、内存控制器 (MC)、外部内存控制器 (EMC) 和 CPU

设置安全参数

加载和验证固件组件

维护信任链

为各种固件组件创建内存分配

刷写存储设备

引导至操作系统

2、加载软件模块

整个芯片应用软件及操作系统等软件包的启动包含三大部分:引导和电源管理处理器BPMP、平台安全控制器PSC、中央处理单元CPU。对于整个软件启动而言,实际应该是两段式启动加载。类似TI系列的SPL加载方式一样。英伟达系列芯片首先需要进行底层微启动模块MB1的驱动加载,完成如下一些工作:

平台配置,包括 pinmux、GPIO、焊盘电压、SCR 和防火墙;

根据 Memory BCT 初始化 SDRAM

加载固件,包括初始化 CPU 复合体 (CCplex) 的组件;

对 PMIC 进行编程以启用 VDD_CPU 轨;

创建内存分割;

下图显示了引导软件中的控制流程。

27854b74-d9a2-11ed-bfe3-dac502259ad0.png

首先,通过业务流程管理平台 BPMP 输入给服务端相应的业务流。业务流程管理平台涉 及如下的资源分散流程。包括通过硬件连接方式初始化启动媒体,并从中加载微驱动器Microboot1(MB1)。

1)BPMP(引导和电源管理处理器)

驱动存储器BootROM (BR) 硬连线到 SoC,它在 BPMP 离开重置状态时开始执行初始化启动媒体,并从存储中加载启动配置表 BR(BCT)、信息安全的平台控制器驱动PSC(BL1)、微启动模块Microboot1 (MB1) 和 模块配置表MB1(BCT),然后停止。

BootROM 引导配置表 (BR-BCT) 的最多四个副本可以存储在引导介质的开头。BR-BCT的每个副本都在“设备擦除扇区大小”边界上对齐,如有必要,副本之间留有空白空间。BR-BCT 包含 BootROM 用于硬件初始化的配置参数以及有关引导加载程序(MB1、MB1-BCT 和 PSC-BL)的信息,包括:尺寸、入口点、加载地址、散列。BootROM 使用此信息来验证和加载 Bootloader 和 MB1-BCT 的组件。

接通电源后,BPMP 会唤醒并执行存储在板载 iROM (BootROM) 中的初始引导代码。在安全环境中,此时的主要目的是验证和初始化所有低级系统功能。这些是基本时钟、内部电 源轨和启动媒体(SD、SPI 等)之类的东西,然后解析启动配置表 (BCT) 以寻找有效的启动配置。

2)平台安全控制器 (Platform security controller,PSC)

前序文章中提到信息安全子系统包括平台安全控制器(PSC)以及信息安全引擎(SE)。其中,PSC-ROM 通过硬连线到 NVIDIA Orin 芯片中。将来自保险丝的 OEM 密钥和来自 RTL 的 NVIDIA 密钥安全地加载到安全引擎中。

安全控制器需要验证和解密引导 ROM 加载的二进制文件。ROM 是 SoC 中的硬件组件,一旦处理器被重置,它就会开始运行。前文提到PSC-ROM 拥有 NVIDIA 和 OEM 身份验证和解密所需的所有密钥。它为 BootROM 提供鉴权和解密服务,并能很好的管控和引导BPMP(即 MB1)和 PSC(即 PSC-BL1)进行下一阶段的服务。

相应的安全启动引导流程顺序如下:

27aa96ea-d9a2-11ed-bfe3-dac502259ad0.png

注意:根据 BOOT_SECURITY_INFO 保险丝设置,可选择对 MB1-BCT 进行解密。

引导 ROM 和 PSC-ROM 使用名为 BR_BCT 的引导配置表,其中包含以下信息:

MB1、PSC-BL1、MB1-BCT的BCH存储位置引导链参数 PSC-ROM 使用的调试标志。MB1_BCT 通常不能由客户进行配置,验证 BCH/BCT 中与计算值匹配的 SHA-512 散列。使用 BCH/BCT 中的公钥验证公共签名,并根据其在保险丝中的摘要进行验证。BCH 包含 SHA-512,然后由 PSC-ROM 进行再次验证。

BootROM执行完毕后,PSC-ROM/PSC-BL1释放BPMP R5上的reset,启动Microboot1(MB1),启动流程如下:

27bfb782-d9a2-11ed-bfe3-dac502259ad0.png

MB1 扩展 BootROM 以提供与 PSC-BL1 相同的安全级别。在 MB1 序列期间,将执行以下任务:

设置时钟和安全设置

从 MB1_BCT 初始化平台配置设置

根据MB1引导配置表、MB1_BCT、MEM_BCT初始化SDRAM。

初始化 CCPLEX,包括 MCE FW

加载/验证 NVDEC、BPMP-FW、PSC-FW 和 TSEC 固件

加载 SC7 固件并准备 SC7 上下文

加载/验证

3)CPU Microboot1(MB1)

该模块运行在 BPMP 之上,是BootROM在 AOTZRAM 中加载的第一个引导软件组件。它初始化 SoC 的某些部分,并执行安全配置。MB1 由 NVIDIA 拥有的密钥签名和加密。

下图显示了它的控制流程。

27ddd9ba-d9a2-11ed-bfe3-dac502259ad0.png

安全启动过程需要找到有效的 BCT,它将加载 TegraBoot 二进制文件并传输到在非安全环境中运行的二进制文件中。TegraBoot 有不同的二进制文件,一种用于冷启动路径,一种用于热启动。

重置或开机被定义为“冷”启动,“热”启动是从挂起状态恢复。热启动将执行一组不同的配置。一个单独的“恢复”模式二进制文件用于通过 USB 处理与闪存/升级路径的通信。它的使用取决于开机时的 GPIO 引脚状态和连接的有效外部 USB 主机。如果未找到有效的 BCT, 它也会进入此状态(例如,首次从生产中启动) 。在正常的“冷”引导流程中,TegraBoot 将加载 CCPLEX 相关引导加载程序、EL3 监控程序包(Arm Trusted Firmware,ATF)、挂起模式支持固件和更全面的引导加载程序,称为 CBoot。

注意:所有时间戳都与开机有关,输出来自BPMP,直到它停止。系统设备树二进制文件也被加载,内核和引导加载程序允许有不同的版本,但实际上在大多数情况下它们往往是相同的副本。

CCPLEX 的主要 EL2 引导加载程序是 CBoot,该二进制文件被加载到主系统内存中并设 置为下一个可执行文件。当主 CCPLEX 启动时,它将执行转移到之前加载的 CBoot 二进制 文件。

SC7 挂起模式固件与运行时 BPMP 固件一起加载,这是该处理器执行的非引导加载程序 相关代码。加载 EL3 监视器/ATF 包并检查其完整性。为下一阶段的启动加载了所有内容,主 CCPLEX 被释放并且 BPMP 自行停止。将在稍后的过程中重新启动,之前加载的 BPMP-FW 将充当主要 CCPLEX 访问电源管理和低级系统控制功能的通信路径(通过共享内存邮箱和 PSCI)。

TZ(Trusted Zone),ATF(ARM Trusted Firmware) ;是 ARM 在 Arm V8 引入的安全解决方案,为安全提供了整体解决方案。包括启动和运行过程中的特权级划分,对Trust Zone(TZ)的优化,补充了启动过程信任链的传导,细化了运行过程的特权级区间。

基于NVIDIA芯片的自动驾驶系统架构电源设计及启动流程

这里以单 Orin系列 实现的架构方案来说明如何针对性的进行域控层级的启动时序与电源管理 BPMP 。

英伟达系列芯片的启动过程包含:冷启动、热启动、深睡眠(SC7)、电源管理。其中电源管理包含底层时钟管理(存储控制器频率交换机)、Orin芯片系列电源状态管理,进程、电压和温度传感器管理。整个驱动与电源管理包含一个 ARM Cortex-R5 处理器,该处理器有双精度浮点单元(FPU)。双精度 FPU 的这种特性包含了板上 Cortex-R5(比如 AON 和 RCE)簇的所有特性。内置的两个紧耦合的存储单元:ATCM 和 BTCM,可以分别存储片上驱动 ROM 和一个128KB 的 RAM(用于执行延迟关键代码)。驱动与电源管理的另一些特性是还有矢量中断控制器、计时器、直接内存访问(DMA)、NIC、地址映射逻辑、Debug 调试等,这样可以确保对驱动和电源管理的完整支持。

1、Orin PMIC

Orin-x系列芯片电源包含一个电源序列 VRS-10,高电流电压矫正器(HCVR)VRS-11,VRS-12 电压监视器和电流电压矫正器(LCVR),VRS-10 提供了基于多电压矫正器的事件测序输出, 这样就可以存储到六个 OTP 序列用于上下电,SC7 的进入/退出。由于 Orin-n 不再需要 DLA 和 PVA,因此 VDD_CV 轨也就不再需要。此外,在 VDD_GPU 的电源轨也仅仅是单相的。

2、MCU PMIC

安全的 MCU 可用于功能安全,其中包含监控和控制 Orin 芯片的电源轨进入。MCU 的 GPIO 引脚可以用于使能电源序列,同时科被当做一个电源信号的回读信号。一般考虑到系统需求,Orin 芯片的进入设计可以运行在不同的电源状态下,不同的进入状态是由不同的进入条件来触发的。

MCU 的 PMIC 管理模块(TLF35584)可以提供 MCU 对应的电量,并且唤醒可用的 CAN 链路。SPI总线则可用于在 MCU PMIC 和 MCU 之间进行通信,从而实现对系统的唤醒、休眠、看门狗心跳的模式设置。

3、电源树设置

在 Orin Entry 设计后,即可通过 KL30 接入电源,MCU 可以控制 Orin 的电源。Orin Entry 设计也可以支持“深度睡眠”(由 SC7 进行电源状态管理,后面会做详细说明)。整个域控的唤醒要么由 CAN,要么由专门的连接器输入唤醒。

如下图表示了 Orin Entry 设计的电源树图。

27f9cf80-d9a2-11ed-bfe3-dac502259ad0.png

为了详细的说明 Orin 电源子系统的电源树结构,这里可以将电源树结构区分为三大部分:蓄电池接入端 KL30、降压器、稳压器(TLF35584 或 LM5176)。

TLF35584 QVVS2 是一款多输出系统电源,适用于安全相关应用,通过高效灵活的前置/后置稳压器,在宽输入电压范围内提供 3.3V-μC、收发器传感器。它具备宽开关频率范围允许在效率和小型滤波器组件的使用方面进行优化。专用参考稳压器独立于 μC 负载阶跃为 ADC 供电,并充当 2 个独立传感器电源的跟踪源。灵活的状态机、包括定时器在内的唤醒概念以及备用稳压器有利于在整个电源树设计中首先进行降压稳压处理。

本电源树设计模块配置为在 6V-36V 的输入电压范围内工作,并提供具有高达 12A 负 载电流的 12V 稳压输出。因此,可以通过 LM5176 供给 MCU 和 Can 收发器作为电压输入。通过使用稳压器 LM5176 可调节电流限制、使能、频率同步、电源正常、预偏置启动、同步 整流、UVLO 可调整。同时,LM5176 的宽输入电压降压-升压控制器可以输出灵活的高功率降压-升压设计。通过高效同步 DC-DC 降压转换器(如 TPS62065-Q1)可以提供固定的 5V 和 3.3V 输出给到 MCU、摄像头单元、超声波接口、冷却系统、芯片内部的工作电压 VDD。且MCU 的最高输出电流可以达到2A。

此外,通过使用 LM5143 降压器,其中的高密度评估模块(EVM)可以实现高性能、双通道、汽车同步 DC/DC 降压控制器的性能。它可在 3.5V 至 36V 的宽输入电压范围内运行,这样整个有 Orin 配置的域控电源闭环就可以实现系统电源及子系统电源电压的输出了。这部分输出可以完全供给给域控内部的以太网交换机、加解串器、SOC、Can PHY 以及接入电路电压的控制。

4、电路保护

如上图所示的反向电池保护模块可以用于保护可能流入设备的负向电压,这些设备都是 连接到电池输入端的。通常,反向电压保护是由二极管保护起来的。电源电压监控有三个 VRS-12设备,每个设备有6个监控输入,监控 Orin Soc 电源轨。

总结

本文从英伟达系列芯片本身启动时序以及利用该芯片构建的自动驾驶系统外设电源管理及启动模式进行分析,帮助读者了解整个芯片的启动原理及如何设计外围最小化系统架构。后续文章中将更加详细的就外围设计电路的启动路径及电源管理时序等进行详述。

(文章来源:焉知汽车)

Loading

发表回复