來源：英飛凌汽車電子生態圈

引言

AURIX^TM 作為英飛凌 32位 汽車級 MCU 家族的產品之一，其第二代產品 AURIX^TM TC3x 已經是汽車界公認的功能安全設計優秀的產品，獲得了良好的業內口碑。這也是源自於英飛凌從 AURIX^TM 第一代產品 TC2x 開始，就秉持功能安全的理念按照 ISO 26262 : 2011 設計出第一款支援 ASIL-D 最高安全等級的 MCU 產品。

AURIX^TM 功能安全概念經歷了 TC2x 到 TC3x 的最佳化升級，到 AURIX^TM 第三代產品 TC4x，晶片的功能安全特性在 TC3x 產品之上又做了進一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標準，增強的功能安全特性可以讓使用者的系統功能安全設計更加容易實現。同時，英飛凌的電源管理晶片 OPTIREGTM PMIC 從設計之初一直是 AURIX^TM 的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的 TLF4x，二者的配合讓汽車安全系統設計更加合理。

1. AURIX^TM TC4x 產品的頂層安全需求 TLSR

MCU 產品，ISO26262 規定了它可以先於相關項而按照 SEooC（Safety Element out of Context）來設計，也就意味著它不是為了某一個相關項設計的，並且先於其存在。它是否滿足汽車裡的各種應用場景，能否更好地助力汽車系統安全設計，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產品的硬體軟體設計都將圍繞其展開。

AURIX^TM TC4x 產品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類來表徵：

1. MCU 安全相關功能的 TLSRs，包含安全運行程式碼、安全啟動、安全輸入、安全輸出、安全通訊、安全感測器接口，等等。
2. 支援安全狀態的 TLSRs，包含故障警報後的回應以對晶片內部或外部電路報告。
3. 免於共因失效的 TLSRs，包含避免電源、時鐘、過溫等所造成的共因失效，監控不同安全等級的軟體影響，等等。
2. AURIX^TM TC4x 產品的頂層安全需求 TLSR 是如何得出的？



簡單來說，從汽車中的各種應用需求中抽取而來。

下圖中是典型的管柱 EPS 電子助力系統，系統中包含了 EPS ECU 控制器、方向盤轉向角感測器、方向盤轉矩感測器、轉向柱助力電機、電機位置感測器等。經過 HARA 分析後，EPS 系統具有最高安全完整性等級要求的整車層面危害和安全目標是：

假設 EPS ECU 控制器中分解到 MCU 的目標 FIT 值為 3~4FIT，量化指標要求 ASILD 99% SPFM 和 90% LPFM，安全時間要求 FTTI 50~150ms。按照應用假設，EPS ECU 控制器中需要 MCU 具備的安全功能有：

1. MCU 可以安全地運作軟體，不同安全等級的軟體可以互不影響
2. MCU 需要在運行使用者程式碼之前安全的啟動
3. 啟動時間要在 200ms 之內
4. MCU 可以冗餘的讀取馬達位置感測器訊號如數字訊號 SENT 或模擬訊號
5. MCU 可以輸出安全的 PWM 控制訊號
6. MCU 通訊接口可以與其他 ECU 安全的傳輸訊號
7. 當 MCU 故障發生時，可輸出故障指示訊號，通知外圍電路，讓系統進入安全狀態
8. ……

以此方法分析汽車中常見的不同應用的控制系統，如引擎控制系統（EMS）、新能源車電池管理系統（BMS）、電源轉換系統（OBC/DCDC）、動力牽引系統（Traction Inverter）、電子煞車輔助系統、ADAS 輔助自動駕駛系統、雷達處理系統、閘道器、車身控制系統等等，從各種不同的應用情境中抽取出了 AURIX^TM TC4x 產品的頂層安全需求，後續的產品設計活動將圍繞著這些頂層安全需求展開。

3. AURIX^TM TC4x 產品的頂層安全需求 TLSR 是如何落實到實際的應用設計中的？

簡單來說，通過把 TC4x TLSR 的各個應用案例 Use Case 跟實際應用場景結合後運用到實際應用的設計中。

AURIX^TM TC4 的每一個 TLSR 都可以列舉出一個以上的應用案例 Use Case，通過這些應用案例 Use Case 就可以把 AURIX^TM TC4x 這些頂層安全需求具體化和場景化。使用者在設計實際系統時根據需求選擇出其中適合的應用案例。

比如，TC4x ASIL-D 安全軟體執行 TLSR，在應用中不同的場景可能有：

• CPU 存取各自的 NVM 和 RAM 空間
• SOTA SWAP 後 CPU 運行代碼的存取區間是 PFLASH Bank A 或 Bank B
• CPU 存取其他 CPU 的 NVM 和共享 RAM 空間
• CPU 存取DFLASH 中資料或存儲資料至 DFLASH 中
• 程式碼儲存在片外 FLASH 中
• ……

比如，TC4x ASIL-D 安全模擬輸入 TLSR，在應用程式中可以實現的場景有：

• 冗餘 ADC 通道輸入到兩個 TC4x ADC 模組中，兩個 ADC 模組可以是同一種類型的，例如都是 TMADC 模組，或是都是 DSADC 模組。

比如，TC4x ASIL-B 安全模擬輸入 TLSR ，在應用中可以實現的場景有：

• 一個 ADC 通道輸入到 TC4x 內部後進入兩個 ADC 模組後分別處理。
• 一個 ADC 通道輸入到 TC4x 內部的一個 ADC 模組進行處理。
4. AURIX^TM TC4x 產品中設計了怎樣的安全機制以助力應用案例達到目標 ASIL？

AURIX^TM TC4x 每個頂層安全需求的應用案例中，都有其目標 ASIL 等級，這意味著有量化指標（SPFM, LFM & PMHF）的要求。每個應用案例中包含了 TC4x 的不同的內部功能模組，這些功能模組都可能會發生故障引發失效從而引入失效率 FIT 值，因此必須對每個模組的各種失效模式加以一定的診斷機制，以降低此模組的失效率，從而使整個應用案例的失效率降低到可以接受的水平，達到目標 ASIL 等級的量化指標要求。

對於晶片內部故障的診斷來自於不同的安全機制：

1. 內部硬體安全機制 SM[HW]
2. 內部軟體安全機制 SM[SW]
3. 外部硬體安全機制 ESM[HW]
4. 外部軟體安全機制 ESM[SW]

AURIX^TM TC4x 跟 TC3x 一樣，設計了非常多的內部硬體安全機制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加並增強了許多片內硬體安全機制的設計。接下來從幾個方面說明這些增強點和變化點。

1. TC4x Systematic Fault Avoidance 避免系統失效

在 TC4x 產品硬體設計中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數模組是 QM 或 ASIL-B 等級，其他模組硬體電路都可以達到 ASIL-D 等級。

2. TC4x Safe Boot 安全啟動

固化在 TC4x 內部 ROM 的啟動代碼 SSW 是按照 ASIL-D 安全等級開發的，其功能是完成 TC4x 晶片的基本功能初始化或配合上電啟動檢測，目的是讓 TC4x 在開始運行用戶代碼時有一個安全完整的初始環境。固件啟動代碼 SSW 中集成的安全機制可以識別啟動代碼運作過程中硬體模組的故障導致的非預期行為，從而讓 TC4x 啟動停止。如果 TC4x 沒有安全完整的啟動過程，使用者程式碼就不會被運行，因而係統也不會有潛在失效的風險。



3. TC4x SMU 升級為 Safety and Security Alarm Management Unit

AURIX^TM TC3x 的 SMU 模組包含了 SMU_core 和 SMU_stdby 兩個冗餘模組，而 TC4x 中 SMU 模組則升級為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個子模組。

SMU_CS 位於 Core Domain，它負責收集處理跟 Security 相關的片內 Alarm 警報，如密鑰使用錯誤、認證失敗、調試口誤使能監控等警報，或者如電源監控、總線時鐘監控、總線錯誤等警報，都由 SMU_CS 來處理和回應。

SMU_SAFE0、SMU_SAFE1 位於 Core Domain，它們負責收集處理 Safety 相關的片內 Alarm 警報。 SMU_SAFE0 和 SMU_SAFE1 設計一樣，TC4x 片內所有安全機制的 Alarm 都可以接入兩個 SMU_SAFEx 模組中，由使用者來決定哪些 Alarm 由哪個 SMU_SAFEx 來處理，SMU_SAFEx 會根據 Alarm 配置來進行對應的回應動作。兩個 SMU_SAFEx 模組可以獨立使用，分開處理片內不同的 Alarm，分別有各自獨立的錯誤狀態輸出腳連接至片外其他晶片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模組設計的目的是面向多應用集成於一個 TC4x 的場景下，各個應用程式有其獨立的故障回應路徑，進而使系統進入安全狀態。

SMU_STDBY 位於 Standby Domain，獨立於 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模組，它負責收集片內造成 CCF 共因失效的電壓、溫度、時鐘的安全機制警報，還通過 SMU Alive 訊號監控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內安全機制 Alarm 訊號可以分別集中到一個 Critical Alarm 中送至 SMU_STDBY 中做冗餘處理。 SMU_STDBY 對這些 Alarm 回應時可以強制將 FSP Error Pin 轉為故障狀態，通知外圍監控晶片做二級安全路徑的輸出控制。

4. TC4x Safe Computation Platform 安全軟體運行

AURIX^TM 中跟安全軟體運作相關的模組包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機制，針對 IR 和 DMA 模組，TC3x 產品則需要使用者實現外部軟體安全機制來診斷 IR 和 DMA 模組的故障。但是在 TC4x，Lockstep 鎖步核安全機制已經從 CPU 擴展到了 IR 和 DMA，過去的 TC3x 中的軟體安全機制就不再需要了，這項設計對使用者非常友善。


5. TC4x RAM ECC 可修正位元錯誤

AURIX^TM 片內易失性儲存單元 RAM 可糾正位元錯誤在運作中被讀取時會被 ECC 機制即時糾正，所以對這類可修正位元錯誤的硬體故障，應用上由於可以保證讀取的 RAM 內容是正確的，不存在引起違反系統安全目標的的風險，片內 RAM 可糾正位元錯誤的故障不需要用戶對其做任何響應，因此 TC4x 中取消了 RAM 可糾正位元錯誤的位址緩存設計，不再將其列為安全相關的故障。 TC3x 中沒有強調這一點，使用者很容易在設計中忽略這一點，導致對 RAM 可糾正位元錯誤故障的過度安全回應動作頻傳。

6. TC4x MBIST 揮發性存儲單元自我檢測

AURIX^TM TC4x 片內易失性儲存單元 RAM 的集成測試模組支援對 RAM 做 MBIST （Memory Build-In-Self-Test）自檢。 TC3x MBIST 只支援 Non-destructive Inversion Test（NDIT），而 TC4x MBIST 升級到支援 Destructive Test。 Destructive Test 有更高的診斷覆蓋率，可以達到 ASIL-D 等級。此外，TC4x 支援 Key-On / Key-Off 的 MBIST 測試。在 TC4x SafeTlib 軟體中包含了 Key-on / Key-off MBIST 測試。

7. TC4x LBIST 邏輯電路自檢

ARUIXTM TC4x LBIST 支援兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內部把 LBIST 進行了分層設計，分成多個測試域。 Key-on LBIST 只測試片內安全相關的數字邏輯電路，可在 5~6ms 之內完成，可達到 90% Stuck-at 測試覆蓋率。 Key-off LBIST 測試晶片內部完整的數字邏輯電路，多層測試域依序完成測試，每層測試域測試在 50ms 之內，可達 90% Stuck-at 測試覆蓋率。在 TC4x SafeTlib 軟體中包含了 Key-on LBIST 測試。

8. TC4x Clock Monitoring 時鐘監控

ARUIXTM TC4x 時鐘系統中保留如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬體安全機制。此外，TC4x 中加入了針對片內產生的各個時鐘的 Plausibility 合理性檢查的硬體安全機制，這一安全機制在 TC3x 中是需要用戶軟體來實現的，TC4x 這些增強的硬體安全機制簡化了用戶對時鐘安全的軟體設計。

9. TC4x Power Monitoring 電壓監控

AURIX^TM TC4x 同 TC3x 一樣有一級欠壓監控和二級欠壓過壓監控，不同於 TC3x，TC4x 中只有二級欠壓過壓監控被列入片內電源監控安全機制中，一級欠壓監控不再歸為安全相關。理由是，當電壓在 TC4x 工作電壓範圍之內到達一級欠壓監控電壓閾值之前，二級欠壓和過壓監控即可以報出 Alarm，SMU 可以對該 Alarm 執行合適的安全響應動作。

10. TC4x Over-temperature 過溫監控

AURIX^TM TC4x 同 TC3x 一樣有冗餘的溫度偵測模組 DTS，不同於 TC3x 的 2 個，TC4x 中增加到了 6 個。而且在 TC4x 中只有過溫才是安全相關的，因為 MCU 的任何內部故障都不會使其自行降溫，故溫度過低不是 MCU 故障導致的失效模式，所以只有晶片過溫才被納入安全考慮範圍。 DTS 會每隔 2ms 持續測溫，如晶片過溫即報出 Alarm。

11. Safe Digital Actuation 安全數字輸出

在針對安全數位輸出的設計中，通常是對一個 Mission Channel 輸出增加一個 Monitoring Channel 輸入返回到 AURIX^TM 進行監控，通過比較兩個訊號來確保 AURIX^TM 數位輸出如預期，以達到 ASIL-D 的安全數字輸出。在 TC3x 中，這種比較通常引入了一個 IOM（Input Output Monitor）硬體模組來完成。在 TC4x 中，這個硬體模組已經被去掉，對於 Mission Channel 輸出訊號和 Monitoring Channel 回讀訊號的比較，通常由訊號發生單元同時也是訊號擷取單元的硬體模組如 GTM/eGTM 即可以實現，對使用者來說簡化了安全字位輸出的設計。


12. Safe Digital Acquisition 安全輸字輸入

針對安全數字輸入的安全機制，通常採用冗餘輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過比較校驗數字輸入的完整性。 TC4x 中以獨立的 GTM/eGTM 雙通道捕捉外部雙路數字輸入進行冗餘校驗可以實現 ASIL-D 的安全輸入方案，外部單路數字輸入至晶片內部分成雙通道至獨立的 GTM/eGTM 雙通道進行冗餘校驗可以實現 ASIL-B 的安全輸入方案。比 TC3x 的安全數字輸入應用案例更豐富，方便使用者靈活設計。

13. Safe Analog Acquisition 安全模擬輸入

針對安全模擬輸入的安全機制，通常採用冗餘輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比進行校驗模擬輸入的完整性。 TC4x 中針對安全模擬輸入，同類 ADC 模組的雙路輸入冗餘校驗（如 TMADC + TMADC 或 DSADC + DSADC）即可實現 ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至晶片內部後分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進行冗餘校驗，或外部單路模擬通道送至內部單 ADC 模組處理，都可以實現 ASIL-B 的安全輸入方案。這比 TC3x 的安全應用案例更豐富，幫助使用者設計所需 ASIL 等級的安全類比輸入方案。

除了上述這些安全特性的增強或變化，TC4x 中還增加了一些新的 IP 模組，例如 PPU（Parallel Processing Unit）、LLI（Low Latency Interconnect）、PCIe、DRE（Data Routing Engine）、xSPI、AUDIO 等，對它們也都有頂層安全需求和應用案例，相應地增加了所需的安全機制。

5. OPTIREGTM TLF4x 輔助 AURIX^TM TC4x 實現 ASIL D 的應用設計


英飛凌的 TLF3x　和 TLF4x 兩代電源管理晶片，都具備了為 AURIX^TM 量身定制的安全監控功能，提供 AURIX^TM 所需的外部安全措施：

1. 供電電壓監控
2. 時鐘監控（看門狗）
3. SMU（安全管理單元）警報監控

此外，PMIC 還為系統提供獨立於 MCU 的第二條關斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支援系統實現 ASIL-D 的功能安全要求。

TLF4x 系列的電源管理晶片，相較於 TLF35584/5，在功能安全結構上做了更進一步的優化和增強：

1. 自帶安全關斷控制（Safety Switch）


PMIC 的一級同步 DCDC（Pre-buck）實現了從高壓域（12V/24V）到低壓域（< 6V）的轉換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的元件。這個 MOSFET 的 D-S 短路失效模式，是整個系統供電單元的單點失效，為系統的功能安全達到 ASIL-D 帶來了挑戰，當這個同步 Pre-Buck 為 MOSFET 外置的結構時，其影響尤為顯著。

TLF4x 系列的 PMIC 全部整合了安全關斷控制單元，能夠偵測到 Pre-Buck 的功率 MOSFET 上發生的嚴重故障（包括上管的 D-S 短路故障），進而觸發關斷路徑，為這部分單點失效提供了診斷覆蓋，使系統電源設計輕鬆達到 ASIL-D 的功能安全要求。

2. 支援多合一系統的獨立安全監控/關斷策略


TLF4D985 新增加的 “REDUCED OPERATION MODE” 能夠支援兩套獨立的 “時鐘監控” 和 “SMU告警監控”，同時，提供兩套獨立的 “中斷告警（INTx）” 和 “安全關斷路徑（SSOx）” ，以配合 TC4x 的 Hypervisor 功能實現在多合一系統中，多個應用在功能和功能安全設計上的獨立性。

6. AURIX^TM TC4x SafeTlib 安全軟體庫


TC4x SafeTlib 安全軟體庫是由英飛凌開發的可集成到 AUTOSAR 環境中的商用軟體包，ASIL-D 安全等級，支援單核心或多核心環境。

TC4x 內建 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內數字電路、RAM 存儲單元、電壓監控電路的潛伏故障的檢測，但是這些 BIST 電路有些是需要軟體進行觸發並檢驗測試結果的。此外，TC4x 片內有一些硬體安全機制需要額外的測試，還有一些硬體安全機制的警報通路需要測試，以降低潛伏故障的風險，這些都可以由 TC4x SafeTlib 軟體來完成。此外，配合 TC4x 的 PMIC TLF4x 的複雜驅動包和 TLF4x 內建安全 Watchdog 即作為 TC4x 外部安全 Watchdog 的驅動包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應用程式案例中提到的運作中的軟體安全機制需要使用者自行實作。

7. AURIX^TM TC4x AUTOSAR MCAL 軟體

TC4x MCAL 軟體是由英飛凌開發的 AUTOSAR 底層商用軟體套件。其安全目標，一是從功能角度避免系統性失效可達到 ASIL-D 或 ASIL-B 等級（不同 MCAL 軟體模組的應用需求決定其 ASIL 等級不同），二是避免內存干擾系統中其他軟體可達到 ASIL -D 級別。幫助使用者在系統設計上有 ASIL-D 軟體功能安全需求時可以有相應的 ASIL-D 的 MCU 底層軟體來支撐，同時保證整合到 ASIL-D 系統軟體中時 TC4x MCAL 軟體不會對任何非 MCAL 軟體造成任何干擾。

結束語

綜上所述，AURIX^TM TC4x 和OPTIREG™ PMIC TLF4x 在支援 ASIL-D 功能安全需求的設計上更上一層樓，不僅增加了符合未來汽車電子產品的新功能需求，而且設計上的優化也幫助客戶設計系統功能安全時的選擇更靈活且更便捷。 AURIX^TM TC4x 和 OPTIREG™ PMIC TLF4x 產品在英飛凌創新高峰會（IACE）上已強勢發布，更多關於 TC4x 和 TLF4x 產品的功能安全特性可以聯繫英飛凌獲取 TC4x 和 TLF4x 功能安全相關文件。

掃描二維碼, 關注英飛凌汽車電子生態圈尋找更多應用或產品資訊