AURIXTM 作為英飛凌 32位 汽車級 MCU 家族的產品之一，其第二代產品 AURIXTM TC3x 已經是汽車界公認的功能安全設計優秀的產品，獲得了良好的業內口碑。這也是源于英飛凌從 AURIXTM 第一代產品 TC2x 開始，就秉持功能安全的理念按照 ISO 26262 : 2011 設計出第一款支持 ASIL-D 最高安全等級的 MCU 產品。

AURIXTM 功能安全概念經歷了 TC2x 到 TC3x 的優化升級，到 AURIXTM 第三代產品 TC4x，芯片的功能安全特性在 TC3x 產品之上又做了進一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標準，增強的功能安全特性可以讓用戶的系統功能安全設計更加易于實現。同時，英飛凌的電源管理芯片 OPTIREGTM PMIC 從設計之初一直是 AURIXTM 的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合讓汽車安全系統設計更加合理。

1

AURIXTM TC4x 產品的頂層安全需求 TLSR

MCU 產品，ISO26262 規定了它可以先于相關項而按照 SEooC (Safety Element out of Context) 來設計，也就意味著它不是為了某一個相關項設計的，并且先于其存在。它是否滿足汽車里的各種應用場景，（找元器件現貨上唯樣商城）能否更好地助力汽車系統安全設計，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產品的硬件軟件設計都將圍繞其展開。

AURIXTM TC4x 產品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類來表征：

MCU 安全相關功能的 TLSRs，包含安全運行代碼、安全啟動、安全輸入、安全輸出、安全通訊、安全傳感器接口，等等。

支持安全狀態的 TLSRs，包含故障報警后的響應以對芯片內部或外部電路報告。

免于共因失效的 TLSRs，包含避免電源、時鐘、過溫等引起的共因失效，監控不同安全等級的軟件影響，等等。

2

AURIXTM TC4x 產品的頂層安全需求

TLSR 是如何得出的？

簡單來說，從汽車中的各種應用需求中抽取而來。

下圖中是一個典型的管柱 EPS 電子助力系統，系統中包含了 EPS ECU 控制器、方向盤轉向角傳感器、方向盤轉矩傳感器、轉向柱助力電機、電機位置傳感器等。經過 HARA 分析后，EPS系統具有最高安全完整性等級要求的整車層面危害和安全目標是：

假設 EPS ECU 控制器中分解到 MCU 的目標 FIT 值為 3~4FIT，量化指標要求 ASILD 99% SPFM 和 90% LPFM，安全時間要求 FTTI 50~150ms。按照應用假設，EPS ECU 控制器中需要 MCU 具備的安全功能有：

MCU 可以安全運行軟件，不同安全等級的軟件可以互不影響

MCU 需要在運行用戶代碼之前安全的啟動

啟動時間要在 200ms 之內

MCU 可以冗余的讀取電機位置傳感器信號如數字信號 SENT 或者模擬信號

MCU 可以輸出安全的 PWM 控制信號

MCU 通訊接口可以同其他 ECU 安全的傳輸信號

當 MCU 故障發生時，可以輸出故障指示信號，通知外圍電路，讓系統進入安全狀態

…...

以此方法分析汽車中常見的不同應用的控制系統，如發動機控制系統（EMS）、新能源車電池管理系統（BMS）、電源轉換系統（OBC/DCDC）、動力牽引系統（Traction Inverter）、電子剎車助動系統、ADAS 輔助自動駕駛系統、雷達處理系統、網關、車身控制系統等等，從各種不同的應用場景中抽取出了對 AURIXTM TC4x 產品的頂層安全需求，后續的產品設計活動將圍繞著這些頂層安全需求展開等。

3

AURIXTM TC4x 產品的頂層安全需求 TLSR 是如何落實到實際的應用設計中的？

簡單來說，通過把 TC4x TLSR 的各個應用案例 Use Case 跟實際應用場景結合后運用到實際應用的設計中。

AURIXTM TC4 的每一個 TLSR 都可以列舉出一個以上的應用案例 Use Case，通過這些應用案例 Use Case 就可以把 AURIXTM TC4x 這些頂層安全需求具體化和場景化。用戶在設計實際系統時根據需要選擇出其中適合的應用案例。

比如，TC4x ASIL-D 安全軟件執行 TLSR，在應用中不同的場景可能有：

CPU 訪問各自的 NVM 和 RAM 空間

SOTA SWAP 后 CPU 運行代碼的訪問區間是 PFLASH Bank A 或者 Bank B

CPU 訪問其他 CPU 的 NVM 和共享 RAM 空間

CPU 訪問DFLASH 中數據或者存儲數據至 DFLASH 中

代碼存儲在片外 FLASH 中

……

比如，TC4x ASIL-D 安全模擬輸入TLSR，在應用中可以實現的場景有：

冗余 ADC 通道輸入到兩個 TC4x ADC 模塊中，兩個 ADC 模塊可以是同一種類型的，比如都是 TMADC 模塊，或者都是 DSADC 模塊。

比如，TC4x ASIL-B 安全模擬輸入TLSR ，在應用中可以實現的場景有：

一個 ADC 通道輸入到 TC4x 內部后進入兩個 ADC 模塊后分別處理。

一個 ADC 通道輸入到 TC4x 內部的一個 ADC 模塊進行處理。

4

AURIXTM TC4x 產品中設計了怎樣的安全機制以助力應用案例達到目標 ASIL？

AURIXTM TC4x 每個頂層安全需求的應用案例中，都有其目標 ASIL 等級，這就意味著有量化指標（SPFM, LFM & PMHF）的要求。每個應用案例中包含了 TC4x 的不同的內部功能模塊，這些功能模塊都可能會發生故障引發失效從而引入失效率 FIT 值，因此必須對每個模塊的各種失效模式加以一定的診斷機制，以降低該模塊的失效率，從而使整個應用案例的失效率降低到可以接受的水平，達到目標 ASIL 等級的量化指標要求。

對于芯片內部故障的診斷來自于不同的安全機制：

內部硬件安全機制 SM[HW]

內部軟件安全機制 SM[SW]

外部硬件安全機制 ESM[HW]

外部軟件安全機制 ESM[SW]

AURIXTM TC4x 跟 TC3x 一樣，設計了非常多的內部硬件安全機制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增強了許多片內硬件安全機制的設計。接下來從幾個方面說明一下這些增強點和變化點。

1. TC4x Systematic Fault Avoidance 避免系統失效

在 TC4x 產品硬件設計中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數幾個模塊是 QM 或 ASIL-B 等級，其他模塊硬件電路都可以達到 ASIL-D 等級。

2. TC4x Safe Boot 安全啟動

固化在 TC4x 內部 ROM 的啟動代碼 SSW 是按照 ASIL-D 安全等級開發的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上電啟動檢測，目的是讓 TC4x 在開始運行用戶代碼時有一個安全完整的初始環境。固件啟動代碼 SSW 中集成的安全機制可以識別啟動代碼運行過程中硬件模塊的故障導致的非預期行為，從而讓 TC4x 啟動停止。如果 TC4x 沒有安全完整的啟動過程，用戶代碼就不會被運行，因而系統也不會存在潛在失效的風險。

3. TC4x SMU 升級為 Safety and Security Alarm Management Unit

AURIXTM TC3x 的 SMU 模塊包含了 SMU_core 和 SMU_stdby 兩個冗余模塊，而 TC4x 中 SMU 模塊則升級為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個子模塊。

SMU_CS 位于 Core Domain，它負責收集處理跟 Security 相關的片內 Alarm 報警，如密鑰使用錯誤、認證失敗、調試口誤使能監控等報警，或者如電源監控、總線時鐘監控、總線錯誤等報警，都由 SMU_CS 來處理和響應。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它們負責收集處理跟 Safety 相關的片內 Alarm 報警。SMU_SAFE0 和 SMU_SAFE1 設計一樣，TC4x 片內所有安全機制的 Alarm 都可以接入兩個 SMU_SAFEx 模塊中，由用戶來決定哪些 Alarm 由哪個 SMU_SAFEx 來處理，SMU_SAFEx 會根據 Alarm 配置來進行相應的響應動作。兩個 SMU_SAFEx 模塊可以獨立使用，分開處理片內不同的 Alarm，分別有各自獨立的錯誤狀態輸出腳連接至片外其他芯片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模塊設計的目的是面向多應用集成于一個 TC4x 的場景下，各個應用有其獨立的故障響應路徑，進而使系統進入安全狀態。

SMU_STDBY 位于 Standby Domain，獨立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模塊，它負責收集片內引起 CCF 共因失效的電壓、溫度、時鐘的安全機制報警，還通過 SMU Alive 信號監控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內安全機制 Alarm 信號可以分別集中到一個 Critical Alarm 中送至 SMU_STDBY 中做冗余處理。SMU_STDBY 對這些 Alarm 響應時可以強制將 FSP Error Pin 轉為故障狀態，通知外圍監控芯片做二級安全路徑的輸出控制

4. TC4x Safe Computation Platform 安全軟件運行

AURIXTM 中跟安全軟件運行相關的模塊包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機制，針對 IR 和 DMA 模塊，TC3x 產品則需要用戶實現外部軟件安全機制來診斷 IR 和 DMA 模塊的故障。但是在 TC4x，Lockstep 鎖步核安全機制已經從 CPU 擴展到了 IR 和 DMA，過去的 TC3x 中的軟件安全機制就不再需要了，這一設計對用戶非常友好。

5. TC4x RAM ECC 可糾正位錯誤

AURIXTM 片內易失性存儲單元 RAM 可糾正位錯誤在運行中被讀取時會被 ECC 機制實時糾正，所以對這類可糾正位錯誤的硬件故障，應用上由于可以保證讀取的 RAM 內容是正確的，不存在引起違反系統安全目標的的風險，片內 RAM 可糾正位錯誤的故障不需要用戶對其做任何響應，因此 TC4x 中取消了 RAM 可糾正位錯誤的地址緩存設計，不再將其列為安全相關的故障。TC3x 中沒有強調這一點，用戶很容易在設計中忽視這一點，導致對 RAM 可糾正位錯誤故障的過度安全響應動作頻發。

6. TC4x MBIST 易失性存儲單元自檢

AURIXTM TC4x 片內易失性存儲單元 RAM 的集成測試模塊支持對 RAM 做 MBIST （Memory Build-In-Self-Test）自檢。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升級到支持 Destructive Test。Destructive Test 有更高的診斷覆蓋率，可以達到 ASIL-D 級別。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 測試。在 TC4x SafeTlib 軟件中包含了 Key-on / Key-off MBIST 測試。

7. TC4x LBIST 邏輯電路自檢

ARUIXTM TC4x LBIST 支持兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內部把 LBIST 進行了分層設計，分成多個測試域。Key-on LBIST 只測試片內安全相關的數字邏輯電路，可以在 5~6ms 之內完成，可以達到 90% Stuck-at 測試覆蓋率。Key-off LBIST 測試芯片內部完整的數字邏輯電路，多層測試域依次完成測試，每層測試域測試在 50ms 之內，可以達到 90% Stuck-at 測試覆蓋率。在 TC4x SafeTlib 軟件中包含了 Key-on LBIST 測試。

8. TC4x Clock Monitoring 時鐘監控

ARUIXTM TC4x 時鐘系統中保留了如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬件安全機制。此外，TC4x 中加入了針對片內產生的各個時鐘的 Plausibility 合理性檢查的硬件安全機制，這一安全機制在 TC3x 中是需要用戶軟件來實現的，TC4x 這些增強的硬件安全機制簡化了用戶對時鐘安全的軟件設計。

9. TC4x Power Monitoring 電壓監控

AURIXTM TC4x 同 TC3x 一樣有一級欠壓監控和二級欠壓過壓監控，不同于 TC3x，TC4x 中只有二級欠壓過壓監控被列入片內電源監控安全機制中，一級欠壓監控不再歸為安全相關。理由是，當電壓在 TC4x 工作電壓范圍之內到達一級欠壓監控電壓閾值之前，二級欠壓和過壓監控即可以報出 Alarm，SMU 可以對該 Alarm 執行合適的安全響應動作。

10. TC4x Over-temperature 過溫監控

AURIXTM TC4x 同 TC3x 一樣有冗余的溫度檢測模塊 DTS，不同于 TC3x 的 2 個，TC4x 中增加到了 6 個。而且在 TC4x 中只有過溫才是安全相關的，因為 MCU 的任何內部故障都不會使其自行降溫，故溫度過低不是 MCU 故障導致的失效模式，所以只有芯片過溫才被納入安全考慮范圍。DTS 會每隔 2ms 持續測溫，如芯片過溫即報出 Alarm。

11. Safe Digital Actuation 安全數字輸出

針對安全數字輸出的設計中，通常是對一個 Mission Channel 輸出增加一個 Monitoring Channel 輸入返回到 AURIXTM 進行監控，通過比較兩個信號來確保 AURIXTM 數字輸出如預期，以達到 ASIL-D 的安全數字輸出。在 TC3x 中，這種比較通常引入了一個 IOM (Input Output Monitor) 硬件模塊來完成。在 TC4x 中，這個硬件模塊已經去掉，對于 Mission Channel 輸出信號和 Monitoring Channel 回讀信號的比較，通常由信號發生單元同時也是信號捕獲單元的硬件模塊如 GTM/eGTM 即可以實現，對用戶來說簡化了安全數字輸出的設計。

12. Safe Digital Acquisition 安全輸字輸入

針對安全數字輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比校驗數字輸入的完整性。TC4x 中用獨立的 GTM/eGTM 雙通道捕獲外部雙路數字輸入進行冗余校驗可以實現 ASIL-D 的安全輸入方案，外部單路數字輸入至芯片內部分成雙通道至獨立的 GTM/eGTM 雙通道進行冗余校驗可以實現 ASIL-B 的安全輸入方案。比 TC3x 的安全數字輸入應用案例更加豐富，便于用戶靈活設計。

13. Safe Analog Acquisition 安全模擬輸入

針對安全模擬輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比進行校驗模擬輸入的完整性。TC4x 中針對安全模擬輸入，同類 ADC 模塊的雙路輸入冗余校驗（如 TMADC + TMADC 或者 DSADC + DSADC）即可以實現 ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至芯片內部后分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進行冗余校驗，或者外部單輸入通道送至內部單 ADC 模塊處理，都可以實現 ASIL-B 的安全輸入方案。這比 TC3x 的安全應用案例更加豐富，幫助用戶設計所需 ASIL 等級的安全模擬輸入方案。

除了上面這些安全特性的增強或者變化，TC4x 中還增加了一些新的 IP 模塊，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，對它們也都有頂層安全需求和應用案例，相應地增加了所需的安全機制。

5

OPTIREGTM TLF4x 助力 AURIXTM TC4x

實現 ASIL D 的應用設計

英飛凌的 TLF3x和 TLF4x 兩代電源管理芯片，都具備了為 AURIXTM 量身定制的安全監控功能，提供 AURIXTM 所需的外部安全措施：

供電電壓監控

時鐘監控（看門狗）

SMU（安全管理單元）告警監控

此外，PMIC 還為系統提供獨立于 MCU 的第二條關斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支持系統實現ASIL-D 的功能安全要求。

TLF4x 系列的電源管理芯片，相較于 TLF35584/5，在功能安全結構上做了更進一步的優化和增強：

1. 自帶安全關斷控制（Safety Switch）

PMIC 的一級同步 DCDC (Pre-buck) 實現了從高壓域（12V/24V）到低壓域（<6V）的轉換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的器件。這個 MOSFET 的 D-S 短路失效模式，是整個系統供電單元的單點失效，為系統的功能安全達到ASIL-D 帶來了挑戰，當這個同步 Pre-Buck 為 MOSFET 外置的結構時，其影響尤為顯著。

TLF4x 系列的 PMIC 全部集成了安全關斷控制單元，能夠檢測到 Pre-Buck 的功率 MOSFET 上發生的嚴重故障（包括上管的D-S 短路故障），繼而觸發關斷路徑，為這部分單點失效提供了診斷覆蓋，使系統電源設計輕松達到 ASIL-D 的功能安全要求。

2.支持多合一系統的獨立安全監控/關斷策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能夠支持兩套獨立的“時鐘監控”和“SMU告警監控”，同時，提供兩套獨立的“中斷告警（INTx）”和“安全關斷路徑（SSOx）”，以配合 TC4x 的 Hypervisor 功能實現在多合一系統中，多個應用在功能和功能安全設計上的獨立性。

6

AURIXTM TC4x SafeTlib 安全軟件庫

TC4x SafeTlib 安全軟件庫是由英飛凌開發的可以集成到 AUTOSAR 環境中的商用軟件包，ASIL-D 安全等級，支持單核或多核環境。

TC4x 內置 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內數字電路、RAM 存儲單元、電壓監控電路的潛伏故障的檢測，但是這些 BIST 電路有些是需要軟件進行觸發并檢驗測試結果的。此外，TC4x 片內有一些硬件安全機制需要額外的測試，還有一些硬件安全機制的報警通路需要測試，以降低潛伏故障的風險，這些都可以由 TC4x SafeTlib 軟件來完成。此外，配合 TC4x 的 PMIC TLF4x 的復雜驅動包和 TLF4x 內置安全Watchdog即作為 TC4x外部安全Watchdog 的驅動包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應用案例中提到的運行中的軟件安全機制需要用戶自行實現

7

AURIXTM TC4x AUTOSAR MCAL 軟件

TC4x MCAL 軟件是由英飛凌開發的 AUTOSAR底層商用軟件包。其安全目標，一是從功能角度避免系統性失效可達到 ASIL-D 或者 ASIL-B 級別（不同 MCAL 軟件模塊的應用需求決定其 ASIL 等級不同），二是避免內存干擾系統中其他軟件可達到 ASIL-D 級別。幫助用戶在系統設計中有 ASIL-D 軟件功能安全需求時可以有相應的 ASIL-D 的 MCU 底層軟件來支撐，同時保證集成到 ASIL-D系統軟件中時 TC4x MCAL 軟件不會對任何非MCAL 軟件造成任何干擾。

結束語

綜上所述，AURIXTM TC4x 和 OPTIREG? PMIC TLF4x 在支持 ASIL-D 功能安全需求的設計上更上一層樓，不僅增加了符合未來汽車電子產品的新功能需求，而且設計上的優化也幫助客戶設計系統功能安全時的選擇更靈活且更便捷。AURIXTM TC4x 和 OPTIREG? PMIC TLF4x產品在英飛凌創新峰會（IACE）上已強勢發布，更多關于 TC4x 和 TLF4x 產品的功能安全特性可以聯系英飛凌獲取 TC4x和TLF4x 功能安全相關文檔。

審核編輯 黃宇