功能安全最佳搭擋：AURIX? TC4x 和 OPTIREG? PMIC TLF4x功能安全概覽

AURIXTM 作為英飛凌 32位 汽車(chē)級(jí) MCU 家族的產(chǎn)品之一，其第二代產(chǎn)品 AURIXTM TC3x 已經(jīng)是汽車(chē)界公認(rèn)的功能安全設(shè)計(jì)優(yōu)秀的產(chǎn)品，獲得了良好的業(yè)內(nèi)口碑。這也是源于英飛凌從 AURIXTM 第一代產(chǎn)品 TC2x 開(kāi)始，就秉持功能安全的理念按照 ISO 26262 : 2011 設(shè)計(jì)出第一款支持 ASIL-D 最高安全等級(jí)的 MCU 產(chǎn)品。

AURIXTM 功能安全概念經(jīng)歷了 TC2x 到 TC3x 的優(yōu)化升級(jí)，到 AURIXTM 第三代產(chǎn)品 TC4x，芯片的功能安全特性在 TC3x 產(chǎn)品之上又做了進(jìn)一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標(biāo)準(zhǔn)，增強(qiáng)的功能安全特性可以讓用戶(hù)的系統(tǒng)功能安全設(shè)計(jì)更加易于實(shí)現(xiàn)。同時(shí)，英飛凌的電源管理芯片 OPTIREGTM PMIC 從設(shè)計(jì)之初一直是 AURIXTM 的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合讓汽車(chē)安全系統(tǒng)設(shè)計(jì)更加合理。

1

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR

MCU 產(chǎn)品，ISO26262 規(guī)定了它可以先于相關(guān)項(xiàng)而按照 SEooC (Safety Element out of Context) 來(lái)設(shè)計(jì)，也就意味著它不是為了某一個(gè)相關(guān)項(xiàng)設(shè)計(jì)的，并且先于其存在。它是否滿(mǎn)足汽車(chē)?yán)锏母鞣N應(yīng)用場(chǎng)景，（找元器件現(xiàn)貨上唯樣商城）能否更好地助力汽車(chē)系統(tǒng)安全設(shè)計(jì)，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產(chǎn)品的硬件軟件設(shè)計(jì)都將圍繞其展開(kāi)。

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類(lèi)來(lái)表征：

MCU 安全相關(guān)功能的 TLSRs，包含安全運(yùn)行代碼、安全啟動(dòng)、安全輸入、安全輸出、安全通訊、安全傳感器接口，等等。

支持安全狀態(tài)的 TLSRs，包含故障報(bào)警后的響應(yīng)以對(duì)芯片內(nèi)部或外部電路報(bào)告。

免于共因失效的 TLSRs，包含避免電源、時(shí)鐘、過(guò)溫等引起的共因失效，監(jiān)控不同安全等級(jí)的軟件影響，等等。

2

AURIXTM TC4x 產(chǎn)品的頂層安全需求

TLSR 是如何得出的？

簡(jiǎn)單來(lái)說(shuō)，從汽車(chē)中的各種應(yīng)用需求中抽取而來(lái)。

下圖中是一個(gè)典型的管柱 EPS 電子助力系統(tǒng)，系統(tǒng)中包含了 EPS ECU 控制器、方向盤(pán)轉(zhuǎn)向角傳感器、方向盤(pán)轉(zhuǎn)矩傳感器、轉(zhuǎn)向柱助力電機(jī)、電機(jī)位置傳感器等。經(jīng)過(guò) HARA 分析后，EPS系統(tǒng)具有最高安全完整性等級(jí)要求的整車(chē)層面危害和安全目標(biāo)是：

假設(shè) EPS ECU 控制器中分解到 MCU 的目標(biāo) FIT 值為 3~4FIT，量化指標(biāo)要求 ASILD 99% SPFM 和 90% LPFM，安全時(shí)間要求 FTTI 50~150ms。按照應(yīng)用假設(shè)，EPS ECU 控制器中需要 MCU 具備的安全功能有：

MCU 可以安全運(yùn)行軟件，不同安全等級(jí)的軟件可以互不影響

MCU 需要在運(yùn)行用戶(hù)代碼之前安全的啟動(dòng)

啟動(dòng)時(shí)間要在 200ms 之內(nèi)

MCU 可以冗余的讀取電機(jī)位置傳感器信號(hào)如數(shù)字信號(hào) SENT 或者模擬信號(hào)

MCU 可以輸出安全的 PWM 控制信號(hào)

MCU 通訊接口可以同其他 ECU 安全的傳輸信號(hào)

當(dāng) MCU 故障發(fā)生時(shí)，可以輸出故障指示信號(hào)，通知外圍電路，讓系統(tǒng)進(jìn)入安全狀態(tài)

…...

以此方法分析汽車(chē)中常見(jiàn)的不同應(yīng)用的控制系統(tǒng)，如發(fā)動(dòng)機(jī)控制系統(tǒng)（EMS）、新能源車(chē)電池管理系統(tǒng)（BMS）、電源轉(zhuǎn)換系統(tǒng)（OBC/DCDC）、動(dòng)力牽引系統(tǒng)（Traction Inverter）、電子剎車(chē)助動(dòng)系統(tǒng)、ADAS 輔助自動(dòng)駕駛系統(tǒng)、雷達(dá)處理系統(tǒng)、網(wǎng)關(guān)、車(chē)身控制系統(tǒng)等等，從各種不同的應(yīng)用場(chǎng)景中抽取出了對(duì) AURIXTM TC4x 產(chǎn)品的頂層安全需求，后續(xù)的產(chǎn)品設(shè)計(jì)活動(dòng)將圍繞著這些頂層安全需求展開(kāi)等。

3

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR 是如何落實(shí)到實(shí)際的應(yīng)用設(shè)計(jì)中的？

簡(jiǎn)單來(lái)說(shuō)，通過(guò)把 TC4x TLSR 的各個(gè)應(yīng)用案例 Use Case 跟實(shí)際應(yīng)用場(chǎng)景結(jié)合后運(yùn)用到實(shí)際應(yīng)用的設(shè)計(jì)中。

AURIXTM TC4 的每一個(gè) TLSR 都可以列舉出一個(gè)以上的應(yīng)用案例 Use Case，通過(guò)這些應(yīng)用案例 Use Case 就可以把 AURIXTM TC4x 這些頂層安全需求具體化和場(chǎng)景化。用戶(hù)在設(shè)計(jì)實(shí)際系統(tǒng)時(shí)根據(jù)需要選擇出其中適合的應(yīng)用案例。

比如，TC4x ASIL-D 安全軟件執(zhí)行 TLSR，在應(yīng)用中不同的場(chǎng)景可能有：

CPU 訪問(wèn)各自的 NVM 和 RAM 空間

SOTA SWAP 后 CPU 運(yùn)行代碼的訪問(wèn)區(qū)間是 PFLASH Bank A 或者 Bank B

CPU 訪問(wèn)其他 CPU 的 NVM 和共享 RAM 空間

CPU 訪問(wèn)DFLASH 中數(shù)據(jù)或者存儲(chǔ)數(shù)據(jù)至 DFLASH 中

代碼存儲(chǔ)在片外 FLASH 中

……

比如，TC4x ASIL-D 安全模擬輸入TLSR，在應(yīng)用中可以實(shí)現(xiàn)的場(chǎng)景有：

冗余 ADC 通道輸入到兩個(gè) TC4x ADC 模塊中，兩個(gè) ADC 模塊可以是同一種類(lèi)型的，比如都是 TMADC 模塊，或者都是 DSADC 模塊。

比如，TC4x ASIL-B 安全模擬輸入TLSR ，在應(yīng)用中可以實(shí)現(xiàn)的場(chǎng)景有：

一個(gè) ADC 通道輸入到 TC4x 內(nèi)部后進(jìn)入兩個(gè) ADC 模塊后分別處理。

一個(gè) ADC 通道輸入到 TC4x 內(nèi)部的一個(gè) ADC 模塊進(jìn)行處理。

4

AURIXTM TC4x 產(chǎn)品中設(shè)計(jì)了怎樣的安全機(jī)制以助力應(yīng)用案例達(dá)到目標(biāo) ASIL？

AURIXTM TC4x 每個(gè)頂層安全需求的應(yīng)用案例中，都有其目標(biāo) ASIL 等級(jí)，這就意味著有量化指標(biāo)（SPFM, LFM & PMHF）的要求。每個(gè)應(yīng)用案例中包含了 TC4x 的不同的內(nèi)部功能模塊，這些功能模塊都可能會(huì)發(fā)生故障引發(fā)失效從而引入失效率 FIT 值，因此必須對(duì)每個(gè)模塊的各種失效模式加以一定的診斷機(jī)制，以降低該模塊的失效率，從而使整個(gè)應(yīng)用案例的失效率降低到可以接受的水平，達(dá)到目標(biāo) ASIL 等級(jí)的量化指標(biāo)要求。

對(duì)于芯片內(nèi)部故障的診斷來(lái)自于不同的安全機(jī)制：

內(nèi)部硬件安全機(jī)制 SM[HW]

內(nèi)部軟件安全機(jī)制 SM[SW]

外部硬件安全機(jī)制 ESM[HW]

外部軟件安全機(jī)制 ESM[SW]

AURIXTM TC4x 跟 TC3x 一樣，設(shè)計(jì)了非常多的內(nèi)部硬件安全機(jī)制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增強(qiáng)了許多片內(nèi)硬件安全機(jī)制的設(shè)計(jì)。接下來(lái)從幾個(gè)方面說(shuō)明一下這些增強(qiáng)點(diǎn)和變化點(diǎn)。

1. TC4x Systematic Fault Avoidance 避免系統(tǒng)失效

在 TC4x 產(chǎn)品硬件設(shè)計(jì)中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數(shù)幾個(gè)模塊是 QM 或 ASIL-B 等級(jí)，其他模塊硬件電路都可以達(dá)到 ASIL-D 等級(jí)。

2. TC4x Safe Boot 安全啟動(dòng)

固化在 TC4x 內(nèi)部 ROM 的啟動(dòng)代碼 SSW 是按照 ASIL-D 安全等級(jí)開(kāi)發(fā)的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上電啟動(dòng)檢測(cè)，目的是讓 TC4x 在開(kāi)始運(yùn)行用戶(hù)代碼時(shí)有一個(gè)安全完整的初始環(huán)境。固件啟動(dòng)代碼 SSW 中集成的安全機(jī)制可以識(shí)別啟動(dòng)代碼運(yùn)行過(guò)程中硬件模塊的故障導(dǎo)致的非預(yù)期行為，從而讓 TC4x 啟動(dòng)停止。如果 TC4x 沒(méi)有安全完整的啟動(dòng)過(guò)程，用戶(hù)代碼就不會(huì)被運(yùn)行，因而系統(tǒng)也不會(huì)存在潛在失效的風(fēng)險(xiǎn)。

3. TC4x SMU 升級(jí)為 Safety and Security Alarm Management Unit

AURIXTM TC3x 的 SMU 模塊包含了 SMU_core 和 SMU_stdby 兩個(gè)冗余模塊，而 TC4x 中 SMU 模塊則升級(jí)為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個(gè)子模塊。

SMU_CS 位于 Core Domain，它負(fù)責(zé)收集處理跟 Security 相關(guān)的片內(nèi) Alarm 報(bào)警，如密鑰使用錯(cuò)誤、認(rèn)證失敗、調(diào)試口誤使能監(jiān)控等報(bào)警，或者如電源監(jiān)控、總線時(shí)鐘監(jiān)控、總線錯(cuò)誤等報(bào)警，都由 SMU_CS 來(lái)處理和響應(yīng)。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它們負(fù)責(zé)收集處理跟 Safety 相關(guān)的片內(nèi) Alarm 報(bào)警。SMU_SAFE0 和 SMU_SAFE1 設(shè)計(jì)一樣，TC4x 片內(nèi)所有安全機(jī)制的 Alarm 都可以接入兩個(gè) SMU_SAFEx 模塊中，由用戶(hù)來(lái)決定哪些 Alarm 由哪個(gè) SMU_SAFEx 來(lái)處理，SMU_SAFEx 會(huì)根據(jù) Alarm 配置來(lái)進(jìn)行相應(yīng)的響應(yīng)動(dòng)作。兩個(gè) SMU_SAFEx 模塊可以獨(dú)立使用，分開(kāi)處理片內(nèi)不同的 Alarm，分別有各自獨(dú)立的錯(cuò)誤狀態(tài)輸出腳連接至片外其他芯片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模塊設(shè)計(jì)的目的是面向多應(yīng)用集成于一個(gè) TC4x 的場(chǎng)景下，各個(gè)應(yīng)用有其獨(dú)立的故障響應(yīng)路徑，進(jìn)而使系統(tǒng)進(jìn)入安全狀態(tài)。

SMU_STDBY 位于 Standby Domain，獨(dú)立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模塊，它負(fù)責(zé)收集片內(nèi)引起 CCF 共因失效的電壓、溫度、時(shí)鐘的安全機(jī)制報(bào)警，還通過(guò) SMU Alive 信號(hào)監(jiān)控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內(nèi)安全機(jī)制 Alarm 信號(hào)可以分別集中到一個(gè) Critical Alarm 中送至 SMU_STDBY 中做冗余處理。SMU_STDBY 對(duì)這些 Alarm 響應(yīng)時(shí)可以強(qiáng)制將 FSP Error Pin 轉(zhuǎn)為故障狀態(tài)，通知外圍監(jiān)控芯片做二級(jí)安全路徑的輸出控制

4. TC4x Safe Computation Platform 安全軟件運(yùn)行

AURIXTM 中跟安全軟件運(yùn)行相關(guān)的模塊包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機(jī)制，針對(duì) IR 和 DMA 模塊，TC3x 產(chǎn)品則需要用戶(hù)實(shí)現(xiàn)外部軟件安全機(jī)制來(lái)診斷 IR 和 DMA 模塊的故障。但是在 TC4x，Lockstep 鎖步核安全機(jī)制已經(jīng)從 CPU 擴(kuò)展到了 IR 和 DMA，過(guò)去的 TC3x 中的軟件安全機(jī)制就不再需要了，這一設(shè)計(jì)對(duì)用戶(hù)非常友好。

5. TC4x RAM ECC 可糾正位錯(cuò)誤

AURIXTM 片內(nèi)易失性存儲(chǔ)單元 RAM 可糾正位錯(cuò)誤在運(yùn)行中被讀取時(shí)會(huì)被 ECC 機(jī)制實(shí)時(shí)糾正，所以對(duì)這類(lèi)可糾正位錯(cuò)誤的硬件故障，應(yīng)用上由于可以保證讀取的 RAM 內(nèi)容是正確的，不存在引起違反系統(tǒng)安全目標(biāo)的的風(fēng)險(xiǎn)，片內(nèi) RAM 可糾正位錯(cuò)誤的故障不需要用戶(hù)對(duì)其做任何響應(yīng)，因此 TC4x 中取消了 RAM 可糾正位錯(cuò)誤的地址緩存設(shè)計(jì)，不再將其列為安全相關(guān)的故障。TC3x 中沒(méi)有強(qiáng)調(diào)這一點(diǎn)，用戶(hù)很容易在設(shè)計(jì)中忽視這一點(diǎn)，導(dǎo)致對(duì) RAM 可糾正位錯(cuò)誤故障的過(guò)度安全響應(yīng)動(dòng)作頻發(fā)。

6. TC4x MBIST 易失性存儲(chǔ)單元自檢

AURIXTM TC4x 片內(nèi)易失性存儲(chǔ)單元 RAM 的集成測(cè)試模塊支持對(duì) RAM 做 MBIST （Memory Build-In-Self-Test）自檢。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升級(jí)到支持 Destructive Test。Destructive Test 有更高的診斷覆蓋率，可以達(dá)到 ASIL-D 級(jí)別。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 測(cè)試。在 TC4x SafeTlib 軟件中包含了 Key-on / Key-off MBIST 測(cè)試。

7. TC4x LBIST 邏輯電路自檢

ARUIXTM TC4x LBIST 支持兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內(nèi)部把 LBIST 進(jìn)行了分層設(shè)計(jì)，分成多個(gè)測(cè)試域。Key-on LBIST 只測(cè)試片內(nèi)安全相關(guān)的數(shù)字邏輯電路，可以在 5~6ms 之內(nèi)完成，可以達(dá)到 90% Stuck-at 測(cè)試覆蓋率。Key-off LBIST 測(cè)試芯片內(nèi)部完整的數(shù)字邏輯電路，多層測(cè)試域依次完成測(cè)試，每層測(cè)試域測(cè)試在 50ms 之內(nèi)，可以達(dá)到 90% Stuck-at 測(cè)試覆蓋率。在 TC4x SafeTlib 軟件中包含了 Key-on LBIST 測(cè)試。

8. TC4x Clock Monitoring 時(shí)鐘監(jiān)控

ARUIXTM TC4x 時(shí)鐘系統(tǒng)中保留了如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬件安全機(jī)制。此外，TC4x 中加入了針對(duì)片內(nèi)產(chǎn)生的各個(gè)時(shí)鐘的 Plausibility 合理性檢查的硬件安全機(jī)制，這一安全機(jī)制在 TC3x 中是需要用戶(hù)軟件來(lái)實(shí)現(xiàn)的，TC4x 這些增強(qiáng)的硬件安全機(jī)制簡(jiǎn)化了用戶(hù)對(duì)時(shí)鐘安全的軟件設(shè)計(jì)。

9. TC4x Power Monitoring 電壓監(jiān)控

AURIXTM TC4x 同 TC3x 一樣有一級(jí)欠壓監(jiān)控和二級(jí)欠壓過(guò)壓監(jiān)控，不同于 TC3x，TC4x 中只有二級(jí)欠壓過(guò)壓監(jiān)控被列入片內(nèi)電源監(jiān)控安全機(jī)制中，一級(jí)欠壓監(jiān)控不再歸為安全相關(guān)。理由是，當(dāng)電壓在 TC4x 工作電壓范圍之內(nèi)到達(dá)一級(jí)欠壓監(jiān)控電壓閾值之前，二級(jí)欠壓和過(guò)壓監(jiān)控即可以報(bào)出 Alarm，SMU 可以對(duì)該 Alarm 執(zhí)行合適的安全響應(yīng)動(dòng)作。

10. TC4x Over-temperature 過(guò)溫監(jiān)控

AURIXTM TC4x 同 TC3x 一樣有冗余的溫度檢測(cè)模塊 DTS，不同于 TC3x 的 2 個(gè)，TC4x 中增加到了 6 個(gè)。而且在 TC4x 中只有過(guò)溫才是安全相關(guān)的，因?yàn)?MCU 的任何內(nèi)部故障都不會(huì)使其自行降溫，故溫度過(guò)低不是 MCU 故障導(dǎo)致的失效模式，所以只有芯片過(guò)溫才被納入安全考慮范圍。DTS 會(huì)每隔 2ms 持續(xù)測(cè)溫，如芯片過(guò)溫即報(bào)出 Alarm。

11. Safe Digital Actuation 安全數(shù)字輸出

針對(duì)安全數(shù)字輸出的設(shè)計(jì)中，通常是對(duì)一個(gè) Mission Channel 輸出增加一個(gè) Monitoring Channel 輸入返回到 AURIXTM 進(jìn)行監(jiān)控，通過(guò)比較兩個(gè)信號(hào)來(lái)確保 AURIXTM 數(shù)字輸出如預(yù)期，以達(dá)到 ASIL-D 的安全數(shù)字輸出。在 TC3x 中，這種比較通常引入了一個(gè) IOM (Input Output Monitor) 硬件模塊來(lái)完成。在 TC4x 中，這個(gè)硬件模塊已經(jīng)去掉，對(duì)于 Mission Channel 輸出信號(hào)和 Monitoring Channel 回讀信號(hào)的比較，通常由信號(hào)發(fā)生單元同時(shí)也是信號(hào)捕獲單元的硬件模塊如 GTM/eGTM 即可以實(shí)現(xiàn)，對(duì)用戶(hù)來(lái)說(shuō)簡(jiǎn)化了安全數(shù)字輸出的設(shè)計(jì)。

12. Safe Digital Acquisition 安全輸字輸入

針對(duì)安全數(shù)字輸入的安全機(jī)制，通常采用冗余輸入的方式，一個(gè) Mission Channel 和一個(gè) Monitoring Channel，通過(guò)對(duì)比校驗(yàn)數(shù)字輸入的完整性。TC4x 中用獨(dú)立的 GTM/eGTM 雙通道捕獲外部雙路數(shù)字輸入進(jìn)行冗余校驗(yàn)可以實(shí)現(xiàn) ASIL-D 的安全輸入方案，外部單路數(shù)字輸入至芯片內(nèi)部分成雙通道至獨(dú)立的 GTM/eGTM 雙通道進(jìn)行冗余校驗(yàn)可以實(shí)現(xiàn) ASIL-B 的安全輸入方案。比 TC3x 的安全數(shù)字輸入應(yīng)用案例更加豐富，便于用戶(hù)靈活設(shè)計(jì)。

13. Safe Analog Acquisition 安全模擬輸入

針對(duì)安全模擬輸入的安全機(jī)制，通常采用冗余輸入的方式，一個(gè) Mission Channel 和一個(gè) Monitoring Channel，通過(guò)對(duì)比進(jìn)行校驗(yàn)?zāi)M輸入的完整性。TC4x 中針對(duì)安全模擬輸入，同類(lèi) ADC 模塊的雙路輸入冗余校驗(yàn)（如 TMADC + TMADC 或者 DSADC + DSADC）即可以實(shí)現(xiàn) ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至芯片內(nèi)部后分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進(jìn)行冗余校驗(yàn)，或者外部單輸入通道送至內(nèi)部單 ADC 模塊處理，都可以實(shí)現(xiàn) ASIL-B 的安全輸入方案。這比 TC3x 的安全應(yīng)用案例更加豐富，幫助用戶(hù)設(shè)計(jì)所需 ASIL 等級(jí)的安全模擬輸入方案。

除了上面這些安全特性的增強(qiáng)或者變化，TC4x 中還增加了一些新的 IP 模塊，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，對(duì)它們也都有頂層安全需求和應(yīng)用案例，相應(yīng)地增加了所需的安全機(jī)制。

5

OPTIREGTM TLF4x 助力 AURIXTM TC4x

實(shí)現(xiàn) ASIL D 的應(yīng)用設(shè)計(jì)

英飛凌的 TLF3x和 TLF4x 兩代電源管理芯片，都具備了為 AURIXTM 量身定制的安全監(jiān)控功能，提供 AURIXTM 所需的外部安全措施：

供電電壓監(jiān)控

時(shí)鐘監(jiān)控（看門(mén)狗）

SMU（安全管理單元）告警監(jiān)控

此外，PMIC 還為系統(tǒng)提供獨(dú)立于 MCU 的第二條關(guān)斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支持系統(tǒng)實(shí)現(xiàn)ASIL-D 的功能安全要求。

TLF4x 系列的電源管理芯片，相較于 TLF35584/5，在功能安全結(jié)構(gòu)上做了更進(jìn)一步的優(yōu)化和增強(qiáng)：

1. 自帶安全關(guān)斷控制（Safety Switch）

PMIC 的一級(jí)同步 DCDC (Pre-buck) 實(shí)現(xiàn)了從高壓域（12V/24V）到低壓域（<6V）的轉(zhuǎn)換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的器件。這個(gè) MOSFET 的 D-S 短路失效模式，是整個(gè)系統(tǒng)供電單元的單點(diǎn)失效，為系統(tǒng)的功能安全達(dá)到ASIL-D 帶來(lái)了挑戰(zhàn)，當(dāng)這個(gè)同步 Pre-Buck 為 MOSFET 外置的結(jié)構(gòu)時(shí)，其影響尤為顯著。

TLF4x 系列的 PMIC 全部集成了安全關(guān)斷控制單元，能夠檢測(cè)到 Pre-Buck 的功率 MOSFET 上發(fā)生的嚴(yán)重故障（包括上管的D-S 短路故障），繼而觸發(fā)關(guān)斷路徑，為這部分單點(diǎn)失效提供了診斷覆蓋，使系統(tǒng)電源設(shè)計(jì)輕松達(dá)到 ASIL-D 的功能安全要求。

2.支持多合一系統(tǒng)的獨(dú)立安全監(jiān)控/關(guān)斷策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能夠支持兩套獨(dú)立的“時(shí)鐘監(jiān)控”和“SMU告警監(jiān)控”，同時(shí)，提供兩套獨(dú)立的“中斷告警（INTx）”和“安全關(guān)斷路徑（SSOx）”，以配合 TC4x 的 Hypervisor 功能實(shí)現(xiàn)在多合一系統(tǒng)中，多個(gè)應(yīng)用在功能和功能安全設(shè)計(jì)上的獨(dú)立性。

6

AURIXTM TC4x SafeTlib 安全軟件庫(kù)

TC4x SafeTlib 安全軟件庫(kù)是由英飛凌開(kāi)發(fā)的可以集成到 AUTOSAR 環(huán)境中的商用軟件包，ASIL-D 安全等級(jí)，支持單核或多核環(huán)境。

TC4x 內(nèi)置 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內(nèi)數(shù)字電路、RAM 存儲(chǔ)單元、電壓監(jiān)控電路的潛伏故障的檢測(cè)，但是這些 BIST 電路有些是需要軟件進(jìn)行觸發(fā)并檢驗(yàn)測(cè)試結(jié)果的。此外，TC4x 片內(nèi)有一些硬件安全機(jī)制需要額外的測(cè)試，還有一些硬件安全機(jī)制的報(bào)警通路需要測(cè)試，以降低潛伏故障的風(fēng)險(xiǎn)，這些都可以由 TC4x SafeTlib 軟件來(lái)完成。此外，配合 TC4x 的 PMIC TLF4x 的復(fù)雜驅(qū)動(dòng)包和 TLF4x 內(nèi)置安全Watchdog即作為 TC4x外部安全Watchdog 的驅(qū)動(dòng)包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應(yīng)用案例中提到的運(yùn)行中的軟件安全機(jī)制需要用戶(hù)自行實(shí)現(xiàn)

7

AURIXTM TC4x AUTOSAR MCAL 軟件

TC4x MCAL 軟件是由英飛凌開(kāi)發(fā)的 AUTOSAR底層商用軟件包。其安全目標(biāo)，一是從功能角度避免系統(tǒng)性失效可達(dá)到 ASIL-D 或者 ASIL-B 級(jí)別（不同 MCAL 軟件模塊的應(yīng)用需求決定其 ASIL 等級(jí)不同），二是避免內(nèi)存干擾系統(tǒng)中其他軟件可達(dá)到 ASIL-D 級(jí)別。幫助用戶(hù)在系統(tǒng)設(shè)計(jì)中有 ASIL-D 軟件功能安全需求時(shí)可以有相應(yīng)的 ASIL-D 的 MCU 底層軟件來(lái)支撐，同時(shí)保證集成到 ASIL-D系統(tǒng)軟件中時(shí) TC4x MCAL 軟件不會(huì)對(duì)任何非MCAL 軟件造成任何干擾。

結(jié)束語(yǔ)

綜上所述，AURIXTM TC4x 和 OPTIREG? PMIC TLF4x 在支持 ASIL-D 功能安全需求的設(shè)計(jì)上更上一層樓，不僅增加了符合未來(lái)汽車(chē)電子產(chǎn)品的新功能需求，而且設(shè)計(jì)上的優(yōu)化也幫助客戶(hù)設(shè)計(jì)系統(tǒng)功能安全時(shí)的選擇更靈活且更便捷。AURIXTM TC4x 和 OPTIREG? PMIC TLF4x產(chǎn)品在英飛凌創(chuàng)新峰會(huì)（IACE）上已強(qiáng)勢(shì)發(fā)布，更多關(guān)于 TC4x 和 TLF4x 產(chǎn)品的功能安全特性可以聯(lián)系英飛凌獲取 TC4x和TLF4x 功能安全相關(guān)文檔。

審核編輯 黃宇