功能安全最佳搭擋：AURIX? TC4x 和 OPTIREG? PMIC TLF4x功能安全概覽

引言

AURIX ^TM 作為英飛凌 32位 汽車(chē)級(jí) MCU 家族的產(chǎn)品之一，其第二代產(chǎn)品 AURIX ^TM TC3x 已經(jīng)是汽車(chē)界公認(rèn)的功能安全設(shè)計(jì)優(yōu)秀的產(chǎn)品，獲得了良好的業(yè)內(nèi)口碑。這也是源于英飛凌從 AURIX ^TM 第一代產(chǎn)品 TC2x 開(kāi)始，就秉持功能安全的理念按照 ISO 26262 : 2011 設(shè)計(jì)出第一款支持 ASIL-D 最高安全等級(jí)的 MCU 產(chǎn)品。

AURIX ^TM 功能安全概念經(jīng)歷了 TC2x 到 TC3x 的優(yōu)化升級(jí)，到 AURIX ^TM 第三代產(chǎn)品 TC4x，芯片的功能安全特性在 TC3x 產(chǎn)品之上又做了進(jìn)一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標(biāo)準(zhǔn)，增強(qiáng)的功能安全特性可以讓用戶的系統(tǒng)功能安全設(shè)計(jì)更加易于實(shí)現(xiàn)。同時(shí)，英飛凌的電源管理芯片 OPTIREG ^TM PMIC 從設(shè)計(jì)之初一直是 AURIX ^TM 的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合讓汽車(chē)安全系統(tǒng)設(shè)計(jì)更加合理。

1

AURIX ^TM TC4x 產(chǎn)品的頂層安全需求 TLSR

MCU 產(chǎn)品，ISO26262 規(guī)定了它可以先于相關(guān)項(xiàng)而按照 SEooC (Safety Element out of Context) 來(lái)設(shè)計(jì)，也就意味著它不是為了某一個(gè)相關(guān)項(xiàng)設(shè)計(jì)的，并且先于其存在。它是否滿足汽車(chē)?yán)锏母鞣N應(yīng)用場(chǎng)景，能否更好地助力汽車(chē)系統(tǒng)安全設(shè)計(jì)，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產(chǎn)品的硬件軟件設(shè)計(jì)都將圍繞其展開(kāi)。

AURIX ^TM TC4x 產(chǎn)品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類(lèi)來(lái)表征：

1. MCU 安全相關(guān)功能的 TLSRs，包含安全運(yùn)行代碼、安全啟動(dòng)、安全輸入、安全輸出、安全通訊、安全傳感器接口，等等。

2. 支持安全狀態(tài)的 TLSRs，包含故障報(bào)警后的響應(yīng)以對(duì)芯片內(nèi)部或外部電路報(bào)告。

3. 免于共因失效的 TLSRs，包含避免電源、時(shí)鐘、過(guò)溫等引起的共因失效，監(jiān)控不同安全等級(jí)的軟件影響，等等。

2

AURIX ^TM TC4x 產(chǎn)品的頂層安全需求

TLSR 是如何得出的？

簡(jiǎn)單來(lái)說(shuō)，從汽車(chē)中的各種應(yīng)用需求中抽取而來(lái)。

下圖中是一個(gè)典型的管柱 EPS 電子助力系統(tǒng)，系統(tǒng)中包含了 EPS ECU 控制器、方向盤(pán)轉(zhuǎn)向角傳感器、方向盤(pán)轉(zhuǎn)矩傳感器、轉(zhuǎn)向柱助力電機(jī)、電機(jī)位置傳感器等。經(jīng)過(guò) HARA 分析后，EPS系統(tǒng)具有最高安全完整性等級(jí)要求的整車(chē)層面危害和安全目標(biāo)是：

假設(shè) EPS ECU 控制器中分解到 MCU 的目標(biāo) FIT 值為 3~4FIT，量化指標(biāo)要求 ASILD 99% SPFM 和 90% LPFM，安全時(shí)間要求 FTTI 50~150ms。按照應(yīng)用假設(shè)，EPS ECU 控制器中需要 MCU 具備的安全功能有：

1. MCU 可以安全運(yùn)行軟件，不同安全等級(jí)的軟件可以互不影響

2. MCU 需要在運(yùn)行用戶代碼之前安全的啟動(dòng)

3. 啟動(dòng)時(shí)間要在 200ms 之內(nèi)

4. MCU 可以冗余的讀取電機(jī)位置傳感器信號(hào)如數(shù)字信號(hào) SENT 或者模擬信號(hào)

5. MCU 可以輸出安全的 PWM 控制信號(hào)

6. MCU 通訊接口可以同其他 ECU 安全的傳輸信號(hào)

7. 當(dāng) MCU 故障發(fā)生時(shí)，可以輸出故障指示信號(hào)，通知外圍電路，讓系統(tǒng)進(jìn)入安全狀態(tài)

8. …...

以此方法分析汽車(chē)中常見(jiàn)的不同應(yīng)用的控制系統(tǒng)，如發(fā)動(dòng)機(jī)控制系統(tǒng)（EMS）、新能源車(chē)電池管理系統(tǒng)（BMS）、電源轉(zhuǎn)換系統(tǒng)（OBC/DCDC）、動(dòng)力牽引系統(tǒng)（Traction Inverter）、電子剎車(chē)助動(dòng)系統(tǒng)、ADAS 輔助自動(dòng)駕駛系統(tǒng)、雷達(dá)處理系統(tǒng)、網(wǎng)關(guān)、車(chē)身控制系統(tǒng)等等，從各種不同的應(yīng)用場(chǎng)景中抽取出了對(duì) AURIX ^TM TC4x 產(chǎn)品的頂層安全需求，后續(xù)的產(chǎn)品設(shè)計(jì)活動(dòng)將圍繞著這些頂層安全需求展開(kāi)。

3

AURIX ^TM TC4x 產(chǎn)品的頂層安全需求 TLSR 是 如何落實(shí)到實(shí)際的應(yīng)用設(shè)計(jì)中的？

簡(jiǎn)單來(lái)說(shuō)，通過(guò)把 TC4x TLSR 的各個(gè)應(yīng)用案例 Use Case 跟實(shí)際應(yīng)用場(chǎng)景結(jié)合后運(yùn)用到實(shí)際應(yīng)用的設(shè)計(jì)中。

AURIX ^TM TC4 的每一個(gè) TLSR 都可以列舉出一個(gè)以上的應(yīng)用案例 Use Case，通過(guò)這些應(yīng)用案例 Use Case 就可以把 AURIX ^TM TC4x 這些頂層安全需求具體化和場(chǎng)景化。用戶在設(shè)計(jì)實(shí)際系統(tǒng)時(shí)根據(jù)需要選擇出其中適合的應(yīng)用案例。

比如，TC4x ASIL-D 安全軟件執(zhí)行 TLSR，在應(yīng)用中不同的場(chǎng)景可能有：

• CPU 訪問(wèn)各自的 NVM 和 RAM 空間

• SOTA SWAP 后 CPU 運(yùn)行代碼的訪問(wèn)區(qū)間是 PFLASH Bank A 或者 Bank B

• CPU 訪問(wèn)其他 CPU 的 NVM 和共享 RAM 空間

• CPU 訪問(wèn)DFLASH 中數(shù)據(jù)或者存儲(chǔ)數(shù)據(jù)至 DFLASH 中

• 代碼存儲(chǔ)在片外 FLASH 中

• ……

比如，TC4x ASIL-D 安全模擬輸入TLSR，在應(yīng)用中可以實(shí)現(xiàn)的場(chǎng)景有：

• 冗余 ADC 通道輸入到兩個(gè) TC4x ADC 模塊中，兩個(gè) ADC 模塊可以是同一種類(lèi)型的，比如都是 TMADC 模塊，或者都是 DSADC 模塊。

比如，TC4x ASIL-B 安全模擬輸入TLSR ，在應(yīng)用中可以實(shí)現(xiàn)的場(chǎng)景有：

• 一個(gè) ADC 通道輸入到 TC4x 內(nèi)部后進(jìn)入兩個(gè) ADC 模塊后分別處理。

• 一個(gè) ADC 通道輸入到 TC4x 內(nèi)部的一個(gè) ADC 模塊進(jìn)行處理。

4

AURIX ^TM TC4x 產(chǎn)品中設(shè)計(jì)了怎樣的安全機(jī)制 以助力應(yīng)用案例達(dá)到目標(biāo) ASIL？

AURIX ^TM TC4x 每個(gè)頂層安全需求的應(yīng)用案例中，都有其目標(biāo) ASIL 等級(jí)，這就意味著有量化指標(biāo)（SPFM, LFM & PMHF）的要求。每個(gè)應(yīng)用案例中包含了 TC4x 的不同的內(nèi)部功能模塊，這些功能模塊都可能會(huì)發(fā)生故障引發(fā)失效從而引入失效率 FIT 值，因此必須對(duì)每個(gè)模塊的各種失效模式加以一定的診斷機(jī)制，以降低該模塊的失效率，從而使整個(gè)應(yīng)用案例的失效率降低到可以接受的水平，達(dá)到目標(biāo) ASIL 等級(jí)的量化指標(biāo)要求。

對(duì)于芯片內(nèi)部故障的診斷來(lái)自于不同的安全機(jī)制：

1. 內(nèi)部硬件安全機(jī)制 SM[HW]

2. 內(nèi)部軟件安全機(jī)制 SM[SW]

3. 外部硬件安全機(jī)制 ESM[HW]

4. 外部軟件安全機(jī)制 ESM[SW]

AURIX ^TM TC4x 跟 TC3x 一樣，設(shè)計(jì)了非常多的內(nèi)部硬件安全機(jī)制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增強(qiáng)了許多片內(nèi)硬件安全機(jī)制的設(shè)計(jì)。接下來(lái)從幾個(gè)方面說(shuō)明一下這些增強(qiáng)點(diǎn)和變化點(diǎn)。

1. TC4x Systematic Fault Avoidance 避免系統(tǒng)失效

在 TC4x 產(chǎn)品硬件設(shè)計(jì)中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數(shù)幾個(gè)模塊是 QM 或 ASIL-B 等級(jí)，其他模塊硬件電路都可以達(dá)到 ASIL-D 等級(jí)。

2. TC4x Safe Boot 安全啟動(dòng)

固化在 TC4x 內(nèi)部 ROM 的啟動(dòng)代碼 SSW 是按照 ASIL-D 安全等級(jí)開(kāi)發(fā)的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上電啟動(dòng)檢測(cè)，目的是讓 TC4x 在開(kāi)始運(yùn)行用戶代碼時(shí)有一個(gè)安全完整的初始環(huán)境。固件啟動(dòng)代碼 SSW 中集成的安全機(jī)制可以識(shí)別啟動(dòng)代碼運(yùn)行過(guò)程中硬件模塊的故障導(dǎo)致的非預(yù)期行為，從而讓 TC4x 啟動(dòng)停止。如果 TC4x 沒(méi)有安全完整的啟動(dòng)過(guò)程，用戶代碼就不會(huì)被運(yùn)行，因而系統(tǒng)也不會(huì)存在潛在失效的風(fēng)險(xiǎn)。

3. TC4x SMU 升級(jí)為 Safety and Security Alarm Management Unit

AURIX ^TM TC3x 的 SMU 模塊包含了 SMU_core 和 SMU_stdby 兩個(gè)冗余模塊，而 TC4x 中 SMU 模塊則升級(jí)為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個(gè)子模塊。

SMU_CS 位于 Core Domain，它負(fù)責(zé)收集處理跟 Security 相關(guān)的片內(nèi) Alarm 報(bào)警，如密鑰使用錯(cuò)誤、認(rèn)證失敗、調(diào)試口誤使能監(jiān)控等報(bào)警，或者如電源監(jiān)控、總線時(shí)鐘監(jiān)控、總線錯(cuò)誤等報(bào)警，都由 SMU_CS 來(lái)處理和響應(yīng)。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它們負(fù)責(zé)收集處理跟 Safety 相關(guān)的片內(nèi) Alarm 報(bào)警。SMU_SAFE0 和 SMU_SAFE1 設(shè)計(jì)一樣，TC4x 片內(nèi)所有安全機(jī)制的 Alarm 都可以接入兩個(gè) SMU_SAFEx 模塊中，由用戶來(lái)決定哪些 Alarm 由哪個(gè) SMU_SAFEx 來(lái)處理，SMU_SAFEx 會(huì)根據(jù) Alarm 配置來(lái)進(jìn)行相應(yīng)的響應(yīng)動(dòng)作。兩個(gè) SMU_SAFEx 模塊可以獨(dú)立使用，分開(kāi)處理片內(nèi)不同的 Alarm，分別有各自獨(dú)立的錯(cuò)誤狀態(tài)輸出腳連接至片外其他芯片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模塊設(shè)計(jì)的目的是面向多應(yīng)用集成于一個(gè) TC4x 的場(chǎng)景下，各個(gè)應(yīng)用有其獨(dú)立的故障響應(yīng)路徑，進(jìn)而使系統(tǒng)進(jìn)入安全狀態(tài)。

SMU_STDBY 位于 Standby Domain，獨(dú)立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模塊，它負(fù)責(zé)收集片內(nèi)引起 CCF 共因失效的電壓、溫度、時(shí)鐘的安全機(jī)制報(bào)警，還通過(guò) SMU Alive 信號(hào)監(jiān)控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內(nèi)安全機(jī)制 Alarm 信號(hào)可以分別集中到一個(gè) Critical Alarm 中送至 SMU_STDBY 中做冗余處理。SMU_STDBY 對(duì)這些 Alarm 響應(yīng)時(shí)可以強(qiáng)制將 FSP Error Pin 轉(zhuǎn)為故障狀態(tài)，通知外圍監(jiān)控芯片做二級(jí)安全路徑的輸出控制。

4. TC4x Safe Computation Platform 安全軟件運(yùn)行

AURIX ^TM 中跟安全軟件運(yùn)行相關(guān)的模塊包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機(jī)制，針對(duì) IR 和 DMA 模塊，TC3x 產(chǎn)品則需要用戶實(shí)現(xiàn)外部軟件安全機(jī)制來(lái)診斷 IR 和 DMA 模塊的故障。但是在 TC4x，Lockstep 鎖步核安全機(jī)制已經(jīng)從 CPU 擴(kuò)展到了 IR 和 DMA，過(guò)去的 TC3x 中的軟件安全機(jī)制就不再需要了，這一設(shè)計(jì)對(duì)用戶非常友好。

5. TC4x RAM ECC 可糾正位錯(cuò)誤

AURIX ^TM 片內(nèi)易失性存儲(chǔ)單元 RAM 可糾正位錯(cuò)誤在運(yùn)行中被讀取時(shí)會(huì)被 ECC 機(jī)制實(shí)時(shí)糾正，所以對(duì)這類(lèi)可糾正位錯(cuò)誤的硬件故障，應(yīng)用上由于可以保證讀取的 RAM 內(nèi)容是正確的，不存在引起違反系統(tǒng)安全目標(biāo)的的風(fēng)險(xiǎn)，片內(nèi) RAM 可糾正位錯(cuò)誤的故障不需要用戶對(duì)其做任何響應(yīng)，因此 TC4x 中取消了 RAM 可糾正位錯(cuò)誤的地址緩存設(shè)計(jì)，不再將其列為安全相關(guān)的故障。TC3x 中沒(méi)有強(qiáng)調(diào)這一點(diǎn)，用戶很容易在設(shè)計(jì)中忽視這一點(diǎn)，導(dǎo)致對(duì) RAM 可糾正位錯(cuò)誤故障的過(guò)度安全響應(yīng)動(dòng)作頻發(fā)。

6. TC4x MBIST 易失性存儲(chǔ)單元自檢

AURIX ^TM TC4x 片內(nèi)易失性存儲(chǔ)單元 RAM 的集成測(cè)試模塊支持對(duì) RAM 做 MBIST （Memory Build-In-Self-Test）自檢。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升級(jí)到支持 Destructive Test。Destructive Test 有更高的診斷覆蓋率，可以達(dá)到 ASIL-D 級(jí)別。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 測(cè)試。在 TC4x SafeTlib 軟件中包含了 Key-on / Key-off MBIST 測(cè)試。

7. TC4x LBIST 邏輯電路自檢

ARUIX ^TM TC4x LBIST 支持兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內(nèi)部把 LBIST 進(jìn)行了分層設(shè)計(jì)，分成多個(gè)測(cè)試域。Key-on LBIST 只測(cè)試片內(nèi)安全相關(guān)的數(shù)字邏輯電路，可以在 5~6ms 之內(nèi)完成，可以達(dá)到 90% Stuck-at 測(cè)試覆蓋率。Key-off LBIST 測(cè)試芯片內(nèi)部完整的數(shù)字邏輯電路，多層測(cè)試域依次完成測(cè)試，每層測(cè)試域測(cè)試在 50ms 之內(nèi)，可以達(dá)到 90% Stuck-at 測(cè)試覆蓋率。在 TC4x SafeTlib 軟件中包含了 Key-on LBIST 測(cè)試。

8. TC4x Clock Monitoring 時(shí)鐘監(jiān)控

ARUIX ^TM TC4x 時(shí)鐘系統(tǒng)中保留了如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬件安全機(jī)制。此外，TC4x 中加入了針對(duì)片內(nèi)產(chǎn)生的各個(gè)時(shí)鐘的 Plausibility 合理性檢查的硬件安全機(jī)制，這一安全機(jī)制在 TC3x 中是需要用戶軟件來(lái)實(shí)現(xiàn)的，TC4x 這些增強(qiáng)的硬件安全機(jī)制簡(jiǎn)化了用戶對(duì)時(shí)鐘安全的軟件設(shè)計(jì)。

9. TC4x Power Monitoring 電壓監(jiān)控

AURIX ^TM TC4x 同 TC3x 一樣有一級(jí)欠壓監(jiān)控和二級(jí)欠壓過(guò)壓監(jiān)控，不同于 TC3x，TC4x 中只有二級(jí)欠壓過(guò)壓監(jiān)控被列入片內(nèi)電源監(jiān)控安全機(jī)制中，一級(jí)欠壓監(jiān)控不再歸為安全相關(guān)。理由是，當(dāng)電壓在 TC4x 工作電壓范圍之內(nèi)到達(dá)一級(jí)欠壓監(jiān)控電壓閾值之前，二級(jí)欠壓和過(guò)壓監(jiān)控即可以報(bào)出 Alarm，SMU 可以對(duì)該 Alarm 執(zhí)行合適的安全響應(yīng)動(dòng)作。

10. TC4x Over-temperature 過(guò)溫監(jiān)控

AURIX ^TM TC4x 同 TC3x 一樣有冗余的溫度檢測(cè)模塊 DTS，不同于 TC3x 的 2 個(gè)，TC4x 中增加到了 6 個(gè)。而且在 TC4x 中只有過(guò)溫才是安全相關(guān)的，因?yàn)?MCU 的任何內(nèi)部故障都不會(huì)使其自行降溫，故溫度過(guò)低不是 MCU 故障導(dǎo)致的失效模式，所以只有芯片過(guò)溫才被納入安全考慮范圍。DTS 會(huì)每隔 2ms 持續(xù)測(cè)溫，如芯片過(guò)溫即報(bào)出 Alarm。

11. Safe Digital Actuation 安全數(shù)字輸出

針對(duì)安全數(shù)字輸出的設(shè)計(jì)中，通常是對(duì)一個(gè) Mission Channel 輸出增加一個(gè) Monitoring Channel 輸入返回到 AURIX ^TM 進(jìn)行監(jiān)控，通過(guò)比較兩個(gè)信號(hào)來(lái)確保 AURIX ^TM 數(shù)字輸出如預(yù)期，以達(dá)到 ASIL-D 的安全數(shù)字輸出。在 TC3x 中，這種比較通常引入了一個(gè) IOM (Input Output Monitor) 硬件模塊來(lái)完成。在 TC4x 中，這個(gè)硬件模塊已經(jīng)去掉，對(duì)于 Mission Channel 輸出信號(hào)和 Monitoring Channel 回讀信號(hào)的比較，通常由信號(hào)發(fā)生單元同時(shí)也是信號(hào)捕獲單元的硬件模塊如 GTM/eGTM 即可以實(shí)現(xiàn)，對(duì)用戶來(lái)說(shuō)簡(jiǎn)化了安全數(shù)字輸出的設(shè)計(jì)。

12. Safe Digital Acquisition 安全輸字輸入

針對(duì)安全數(shù)字輸入的安全機(jī)制，通常采用冗余輸入的方式，一個(gè) Mission Channel 和一個(gè) Monitoring Channel，通過(guò)對(duì)比校驗(yàn)數(shù)字輸入的完整性。TC4x 中用獨(dú)立的 GTM/eGTM 雙通道捕獲外部雙路數(shù)字輸入進(jìn)行冗余校驗(yàn)可以實(shí)現(xiàn) ASIL-D 的安全輸入方案，外部單路數(shù)字輸入至芯片內(nèi)部分成雙通道至獨(dú)立的 GTM/eGTM 雙通道進(jìn)行冗余校驗(yàn)可以實(shí)現(xiàn) ASIL-B 的安全輸入方案。比 TC3x 的安全數(shù)字輸入應(yīng)用案例更加豐富，便于用戶靈活設(shè)計(jì)。

13. Safe Analog Acquisition 安全模擬輸入

針對(duì)安全模擬輸入的安全機(jī)制，通常采用冗余輸入的方式，一個(gè) Mission Channel 和一個(gè) Monitoring Channel，通過(guò)對(duì)比進(jìn)行校驗(yàn)?zāi)M輸入的完整性。TC4x 中針對(duì)安全模擬輸入，同類(lèi) ADC 模塊的雙路輸入冗余校驗(yàn)（如 TMADC + TMADC 或者 DSADC + DSADC）即可以實(shí)現(xiàn) ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至芯片內(nèi)部后分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進(jìn)行冗余校驗(yàn)，或者外部單輸入通道送至內(nèi)部單 ADC 模塊處理，都可以實(shí)現(xiàn) ASIL-B 的安全輸入方案。這比 TC3x 的安全應(yīng)用案例更加豐富，幫助用戶設(shè)計(jì)所需 ASIL 等級(jí)的安全模擬輸入方案。

除了上面這些安全特性的增強(qiáng)或者變化，TC4x 中還增加了一些新的 IP 模塊，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，對(duì)它們也都有頂層安全需求和應(yīng)用案例，相應(yīng)地增加了所需的安全機(jī)制。

5

OPTIREG ^TM TLF4x 助力 AURIX ^TM TC4x

實(shí)現(xiàn) ASIL D 的應(yīng)用設(shè)計(jì)

英飛凌的 TLF3x和 TLF4x 兩代電源管理芯片，都具備了為 AURIX ^TM 量身定制的安全監(jiān)控功能，提供 AURIX ^TM 所需的外部安全措施：

1. 供電電壓監(jiān)控

2. 時(shí)鐘監(jiān)控（看門(mén)狗）

3. SMU（安全管理單元）告警監(jiān)控

此外，PMIC 還為系統(tǒng)提供獨(dú)立于 MCU 的第二條關(guān)斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支持系統(tǒng)實(shí)現(xiàn)ASIL-D 的功能安全要求。

TLF4x 系列的電源管理芯片，相較于 TLF35584/5，在功能安全結(jié)構(gòu)上做了更進(jìn)一步的優(yōu)化和增強(qiáng)：

1. 自帶安全關(guān)斷控制（Safety Switch）

PMIC 的一級(jí)同步 DCDC (Pre-buck) 實(shí)現(xiàn)了從高壓域（12V/24V）到低壓域（<6V）的轉(zhuǎn)換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的器件。這個(gè) MOSFET 的 D-S 短路失效模式，是整個(gè)系統(tǒng)供電單元的單點(diǎn)失效，為系統(tǒng)的功能安全達(dá)到ASIL-D 帶來(lái)了挑戰(zhàn)，當(dāng)這個(gè)同步 Pre-Buck 為 MOSFET 外置的結(jié)構(gòu)時(shí)，其影響尤為顯著。

TLF4x 系列的 PMIC 全部集成了安全關(guān)斷控制單元，能夠檢測(cè)到 Pre-Buck 的功率 MOSFET 上發(fā)生的嚴(yán)重故障（包括上管的D-S 短路故障），繼而觸發(fā)關(guān)斷路徑，為這部分單點(diǎn)失效提供了診斷覆蓋，使系統(tǒng)電源設(shè)計(jì)輕松達(dá)到 ASIL-D 的功能安全要求。

2. 支持多合一系統(tǒng)的獨(dú)立安全監(jiān)控/關(guān)斷策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能夠支持兩套獨(dú)立的“時(shí)鐘監(jiān)控”和“SMU告警監(jiān)控”，同時(shí)，提供兩套獨(dú)立的“中斷告警（INTx）”和“安全關(guān)斷路徑（SSOx）”，以配合 TC4x 的 Hypervisor 功能實(shí)現(xiàn)在多合一系統(tǒng)中，多個(gè)應(yīng)用在功能和功能安全設(shè)計(jì)上的獨(dú)立性。

6

AURIX ^TM TC4x SafeTlib 安全軟件庫(kù)

TC4x SafeTlib 安全軟件庫(kù)是由英飛凌開(kāi)發(fā)的可以集成到 AUTOSAR 環(huán)境中的商用軟件包，ASIL-D 安全等級(jí)，支持單核或多核環(huán)境。

TC4x 內(nèi)置 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內(nèi)數(shù)字電路、RAM 存儲(chǔ)單元、電壓監(jiān)控電路的潛伏故障的檢測(cè)，但是這些 BIST 電路有些是需要軟件進(jìn)行觸發(fā)并檢驗(yàn)測(cè)試結(jié)果的。此外，TC4x 片內(nèi)有一些硬件安全機(jī)制需要額外的測(cè)試，還有一些硬件安全機(jī)制的報(bào)警通路需要測(cè)試，以降低潛伏故障的風(fēng)險(xiǎn)，這些都可以由 TC4x SafeTlib 軟件來(lái)完成。此外，配合 TC4x 的 PMIC TLF4x 的復(fù)雜驅(qū)動(dòng)包和 TLF4x 內(nèi)置安全Watchdog即作為 TC4x外部安全Watchdog 的驅(qū)動(dòng)包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應(yīng)用案例中提到的運(yùn)行中的軟件安全機(jī)制需要用戶自行實(shí)現(xiàn)。

7

AURIX ^TM TC4x AUTOSAR MCAL 軟件

TC4x MCAL 軟件是由英飛凌開(kāi)發(fā)的 AUTOSAR底層商用軟件包。其安全目標(biāo)，一是從功能角度避免系統(tǒng)性失效可達(dá)到 ASIL-D 或者 ASIL-B 級(jí)別（不同 MCAL 軟件模塊的應(yīng)用需求決定其 ASIL 等級(jí)不同），二是避免內(nèi)存干擾系統(tǒng)中其他軟件可達(dá)到 ASIL-D 級(jí)別。幫助用戶在系統(tǒng)設(shè)計(jì)中有 ASIL-D 軟件功能安全需求時(shí)可以有相應(yīng)的 ASIL-D 的 MCU 底層軟件來(lái)支撐，同時(shí)保證集成到 ASIL-D系統(tǒng)軟件中時(shí) TC4x MCAL 軟件不會(huì)對(duì)任何非MCAL 軟件造成任何干擾。

結(jié)束語(yǔ)

綜上所述，AURIX ^TM TC4x 和 OPTIREG ? PMIC TLF4x 在支持 ASIL-D 功能安全需求的設(shè)計(jì)上更上一層樓，不僅增加了符合未來(lái)汽車(chē)電子產(chǎn)品的新功能需求，而且設(shè)計(jì)上的優(yōu)化也幫助客戶設(shè)計(jì)系統(tǒng)功能安全時(shí)的選擇更靈活且更便捷。AURIX ^TM TC4x 和 OPTIREG? PMIC TLF4x產(chǎn)品在英飛凌創(chuàng)新峰會(huì)（IACE）上已強(qiáng)勢(shì)發(fā)布，更多關(guān)于 TC4x 和 TLF4x 產(chǎn)品的功能安全特性可以聯(lián)系英飛凌獲取 TC4x和TLF4x 功能安全相關(guān)文檔。