本文指出：引言AurixTM是Infineon 32位汽车级MCU家族的产品之一，第二代产品Aurixtm TC3X是由良好安全设计并获得良好行业声誉的汽车行业认可的。这也是由于AurixTM产品TC2X的第一代Infineon构成的，它遵守了安全安全的概念，并设计了第一个MCU产品，以根据ISO 26262：2011。安全标准。改进的安全性能可以使系统安全功能设计更加容易。同时，Infineon的电源管理芯片OptireGTM Isaurixtm一直是自开始设计以来的最佳合作伙伴。从带有TC2X/TC3X的TLF35584/5到与TC4X的TLF4X，两者的组合使自动化安全系统的设计更加合理。 1 Aurixtm TLSRMCU产品，设置了ISO26262，它可以根据SEOOC进行设计（安全元素不在上下文之前），在相关项目之前，这意味着它不是为相关项目设计的，并且在其之前存在。如果它符合各种汽车申请情况并更好地帮助汽车安全设计，那么首先要做的就是查看领先的MCU安全要求是否是TLSR的定义。在领先的安全要求中，TLSR，MCU产品的硬件和软件的设计围绕它旋转。 Aurixtm TC4X EssentialsAurixTM TC4X安全性TLSR安全要求（最高安全级别）可以分为三类：1。MCU安全相关功能的TLSRS，包括安全代码操作，安全启动，安全输入，安全输入，安全输出，安全输出，安全通信，安全传感器界面等。 3. TLSR免于常见失败，包括预防由电力供应，时钟，动机过多，监视不同安全水平的软件效应等的共同故障。简而言之，它是从不同的应用汽车的需求。下图显示了标准列EPS电子电力辅助系统，其中包括EPS ecuucontroller，方向盘转向角度传感器，方向盘转向扭矩传感器，转向柱电源辅助电动机，电机位置传感器等。在HARANA分析，车辆级别的危害和安全性目标和安全性目标具有EPS系统的最高安全级别的需求：假设EPS的最高安全性decus for decus the EPS IS EPS IS EPS IS EPS IS EPS iS EPS IS EPS IS EPS iS EPS〜EPS INS ept 〜EPS iS EPS 〜EPS iS EPS 〜EPS iS EPS 〜EPS iS EPS 〜EPS iS EPS〜定量指标需要99％的SPFM和90％ANG LPFM，安全时间需要FTTI 50〜150ms。根据应用假设，EPS ECU控制器按安全的安全性为：1。MCU可以安全地运行软件，并且不同安全水平的软件不会互相影响2。MCU需要PWM传感器信号，例如数字信号或MCU的MCU信号。信号可以安全地发送到其他ECU7。当婚礼发生到MCU时，它可以输出指示断层通知外围电路并让系统进入安全状态8的信号。 3 AurixTM在实际应用程序设计中实施的TC4X产品所需的领先安全性水平如何？简而言之，通过将不同的TC4X TLSR应用程序与实际应用情况相结合，并将其应用于实际应用的设计。 Aurixtm TC4的每个TLSR可能会列出多个情况使用。通过此应用程序的情况，可以将安全要求（例如Aurixtm TC4X）的领先级别进行凝结和方案。在设计实际系统时，用户根据需要选择适当的应用程序。例如，TC4X ASIL-D安全软件执行TLSR。应用程序中的不同情况可能包括：●CPU访问其NVM和RAM空间●CPU -accessing代码在SOTA SWA之后访问CPU - 运行代码P是PFLAS BANK A或BANK B●CPU访问NVM和其他CPUSA闪存的共享RAM空间●...●例如，可以在应用程序中实现TC4X ASIL-D ASIL-D安全模拟输入TLSR TLSR：●冗余ADC通道输入到两个TC4X ADC模块。与TMADC模块或DSADC模块一样，两个ADC模块可以是相同类型的类型。 ●例如，可以在应用程序中实现TC4X ASIL-B安全模拟输入TLSR：●DC通道输入到TC4X，然后输入两个ADC模块并分别处理。 ●AOF ADC通道输入了TC4X中ADC模块进行处理。 4 AurixTM使用TC4X产品设计了哪种安全机制，以帮助应用程序案例实现目标结果？ AurixTM TC4X在应用安全要求时所需的每个顶级都具有针对的ASIL级别，这意味着指标数量有要求（SPFM，LFM PMHF）。应用程序的每种情况都包含不同的内部TC4X功能模块。这些功能模型Ules可能会失败并介绍适当失败的值。因此，应将特定的诊断机制应用于每个模块的不同失败模式，以降低模块故障的效率，从而将整个申请案例失败的效率降低到可接受的水平，并响应KTHE目标 - 目标级别指示器的数量。内部芯片故障的诊断来自各种安全机制：1。内部硬件安全机制SM [HW] 2。内部软件安全机制SM [SW] 3。外部硬件安全机制ESM [HW]。设计的，例如CPU Lockstep，NVM ECC，RAM ECC，电源电压监视器，时钟监视器等。接下来，解释了一些改进点并从某些方面从某些方面进行更改。 1.TC4X系统的预防罪是预防系统预防TC4X产品硬件设计中ASIL-D安全要求的故障D认罪。除了一些模块，例如SCR和CSRM，QM或ASIL-B级别，其他模块的硬件的电路可以达到ASIL-D级别。 2。TC4X安全启动安全启动启动启动启动TC4X内ROM中的启动代码SSW是根据安全级别的级别开发的。.固件启动代码SSW的集成安全机制可以识别启动代码操作期间硬件模块中故障导致的意外行为，从而导致TC4X停止。如果TC4X没有安全而完整的启动过程，则用户代码将无法运行，因此没有潜在系统故障的风险。 3。TC4XSMU升级到安全和保障警报管理Unitauxtm TC3X的SMU模块，带有两个冗余模块，SMU_CORE和SMU_STDBY，而TC4X模块正在升级到四个子模块：SMU_CS：SMU_CS，SMU_SAFE0，SMU_SAFE0，SMU_SAFE1，SMU_SAFE1和SMU___SU__STDBY。 SMU_CS可以在主要域中找到。它负责Theolect和处理警报警报相关警报相关的警报相关警报，例如主要使用错误，验证f疾病，调试端口错误和其他警报，或处理SMU_CS并响应它们。 SMU_SAFE0和SMU_SAFE1在主要域中找到，它们负责收集和处理警报警报警报相关的警报相关警报。设计了SMU_SAFE0和SMU_SAFE1。所有TC4X芯片安全机制的警报可以连接到两个SMU_SAFEX模块。用户决定SMU_SAFEX拥有哪些SMU_SAFEX将根据警报调整执行相应的响应操作。可以独立地使用两个SMU_SAFEX模块，以分别处理不同的芯片警报，并具有自己的独立输出输出误差连接的SA Off-Chip（例如Infineon PMIC TLF4X）。该双SMU_SAFEX模块的目的设计为与许多应用程序的TC4X方案集成在一起。每个应用程序都有自己的独立回复故障的途径，这将系统带到了安全状态。 smu_stdby位于待机域中，独立于主域中的SMU_SAFEX和SMU_CS模块。它负责在电压安全机制，温度和时钟中收集警报，从而导致芯片中常见的CCF故障，还通过SMU Alive信号监视SMU_SAFEX和SMU_CS错误。此外，在SMU_SAFEX和SMU_CS中处理的片上安全机制可能会集中在关键警报中，并发送到SMU_STDBY以减少冗余。在响应此事时，SMU_STDBY可以将FSP错误引脚迫使错误状态，并告知外围监视芯片以执行第二个安全路径的输出控制。 4。与在TC4X安全计算平台安全软件在CPU，IR，DMA，NVM，RAM，RAM，SRI BUS和FPI BUS（包括CPU）安全软件运行的模块相关的模块。 TC3X中的CPU具有锁定安全机制。对于IR和DMA模块，TC3X产品要求用户实施外部软件安全机制来评估FAIIR和DMA模块的诱饵。但是，在TC4X中，LockStep Lockstep核心安全机制已从CPU扩展到IR和DMA，并且不再需要上一个TC3X中的软件安全机制。该设计非常友好。 5。TC4XRAM ECC可以纠正AurixTM芯片上错误的静止单元存储器可以在操作过程中读取错误时的单元内存。因此，对于可以纠正错误的这种类型的硬件故障，它将确保RAM内容正确并且没有违反系统安全目的的风险。片上RAM可以纠正位错误，不需要任何用户对此做出响应。因此，RAM地址缓存设计可以纠正TC4X错误被取消，并且不再列出为与安全相关的故障。在TC3X中不强调这一点，用户可以轻松地在其设计中忽略它，从而导致经常出现对正确错误的RAM响应动作。 6。tc4x mbist挥发性内存单元自我测试Aurixtm TC4X片上的多种内存单元RAM rAM THECOMBINES TEST模块支持MBIST（内存建筑物内置测试）RAM自测。 TC3X MBIST仅支持非破坏性测试（NDI），而TC4X MBIST则升级以支持破坏性试验。破坏性测试的诊断范围更高，可以达到结果-D的水平。此外，TC4X支持键入 /键的MBIST测试。 TC4X Safetlib软件中包含键入 /键MBIST测试。 7.TC4X LBIST逻辑电路自我测试aruixtm TC4Sefine x lbists两种操作模式，即键入LBIST和密钥OFF LBIST。 LBIST在TC4内的层次结构中设计，并分为许多测试域。钥匙限制仅测试与数字逻辑电路相关的芯片，该芯片可以在5〜6ms内完成，并且可以达到90％的测试范围。 KeyOffLBIST测试芯片在多层测试域中具有完整的数字逻辑电路，每一层的测试域都在50ms之内，可以达到90％的审判职业。键入LBIST测试包含在TC4X Safetlib软件中。 8.TC4X时钟监视时钟监视Aruixtm TC4X时钟系统维护三个硬件安全机制：OSC WatchDog Monitor，PLL丢失锁定检测监视器和时钟Living Monitor，就像TC3X一样。此外，TC4X还增加了一个硬件安全机制，以合理检查片上生成的每个时钟。该安全机制在用户软件TC3X中实现。改进的硬件安全机制简化了用户的软件设计，以实现时钟安全性。 9.TC4X电源Monitoritc4x电压监视AurixTM具有第一级欠压监测，TC4X中TC4X中的欠压过电压监测的次级级别在机构的芯片安全监控中包括，并且在底层的第一级监测不再是分类的安全性。原因是在达到阈值的主要欠压监控之前的电压之前TC4X操作电压范围内的电压，第二次欠压和过电压监视可能会报告警报，SMU可能会执行适当的安全安全操作。 10.TC4X过度temptive的过度监视Aurixtm TC4X具有DTS温度检测的冗余模块，例如TC3X。与TC3X的2不同，TC4X中的数量增加到6。此外，在TC4X中，公正的范围与安全有关，因为MCU的任何内部故障都不会使其降温。因此，太低的温度不是由MCU失败引起的故障方式，因此安全考虑中只包含芯片芯片。 DTS将继续每2ms测量温度，如果芯片过多，将报告警报。 11.安全数字驱动安全数字输出通常是为通道输出任务而设计的，它添加了跟踪通道输入，以返回AurixTM进行监视。通过比较两个信号，请确保AurixTM数字输出预期可实现安全digital结果-D结果。在TC3X中，通常通过引入IOM（输入输出输入）模块来进行此比较。在TC4X中，该硬件模块已删除。为了比较频道任务和频道读取信号的输出信号，通常可以实现硬件模块，例如GTM/EGTM，即信号采集单元，这简化了用户安全数字输出的设计。 12. SAFE数字采集安全输入的安全输入的安全机制通常以冗余的输入方法，任务渠道和跟踪渠道进行，以通过比较和验证来证明数字输入的完整性。在TC4X中，使用独立的GTM/EGTM双通道捕获外部双通道数字输入进行冗余验证，可以实现安全的ASIL-D输入解决方案，以及芯片部分中的外部单通道数字输入，以分离GTM/EGTM解决方案。它比安全的数字TC3拥有更多的应用程序X输入，使用户更具MADI设计灵活性。 13.SAF模拟采集安全模拟输入用于测量安全模拟输入的安全机理。它通常使用冗余的输入方法，一个任务通道和跟踪通道，通过比较验证模拟输入的完整性。在TC4X中，相似的ADC模块（例如TMADC + TMADC或DSADC + DSADC）的双输入冗余验证可能会意识到安全的ASIL-D ASIL输入解决方案；为了在芯片中安全输入模拟输入，可以将其分为双通道（TMADC + TMADC，TMADC + DSADC，TMADC + FCC）进行冗余验证，或将外部单个输入通道发送到内部单个ADC模块以进行处理，这可以实现安全的BUD-B。这比TC3X的Segurida应用程序更丰富，该应用程序可帮助用户设计具有所需结果级别的安全解决方案。除上述安全功能或更改外，TC4X还添加了一些新的IP模块，例如PPU（并行处理单元）和LLI .. 5 OptireGTM TLF4X帮助AurixTM TC4X实施ASIL D申请设计Infineon的TLF3X和TLF4X两代-AURIXTM -AURIXTM安全监控功能，该功能提供了aurixtm的外部安全监控：1。最小的功能安全单元，该单元支持系统实现安全要求-dili -d的安全要求。与TLF35584/5相比，TLF4X系列的电源管理芯片得到了进一步优化，并增强了该功能的安全结构：1。具有自身的控制关闭控制（安全开关）PMIC转换的第一级同步DCDC（Pre-Buck）从高电压域（12V/24V）到低效光度Domain（6v）。动力MOSFET半桥中的上管是连接高压域和低压域的设备。此MOSFET的D-S短路故障模式是单个P整个系统的电源单元故障的建议，这带来了系统安全挑战以实现ASIL-D。当这种并发的预击是MOSFET的外部结构时，其效果尤为重要。 TLF4X系列PMICS全部包括安全控制单元，可以检测到预击MOSFET功率中的严重错误（包括上管中的D-S Shosrt-Circuit故障），然后触发关闭路径，为此部分D提供诊断范围。 2。支持所有系统的独立监视/关闭安全策略。新添加的“减少操作模式”可以支持两个独立的“时钟监视”和“ SMU警报跟踪”。同时，提供了两个独立的“中断警报（INTX）”和“安全关闭路径（SSOX）”，以与TC4X Hypervisor功能合作，以实现多合一系统中许多安全性和性能设计应用程序的自由度。 6 Aurixtm TC4X Safetlib安全软件库TC4X Safetlib安全sOftware库是Infineon开发的商业软件包，可以集成到AutoSar环境中。 ASIL-D安全级别，支持单核或多核NA环境。 Built-in TC4X circuits such as LBIST, MBIST, and Monbists can provide detection of latent errors that cover on-chip digital circuits, RAM memory cells, and voltage monitoring circuits, but some of these bist circuits need software to be able to control and verify this circuit and it requires software to be able to trigger and verify this software to control and verify this software and verify and verify this software to control and verify the software and对其进行验证并验证软件并验证并验证软件并验证软件并验证它并验证软件以及仅）测试结果。此外，TC4X芯片中有几种硬件安全机制需要其他测试，以及一些需要测试以减少测试的硬件安全机制潜在失败的风险。这些可以由TC4X Safetlib软件制成。此外，TC4X Safetlib中还包含复杂的PMIC TLF4X驱动程序以及TC4X和内置的TLF4X安全保护罩，即TC4X外部保安驱动程序。此外，TC4XSAFETLIB不再包括运行时测试，并且TC4X安全应用程序中提到的软件安全操作机制要求用户实现它。 7 AurixTM TC4X AutoSar MCAL软件TC4X MCAL软件是一款基于Infineon开发的商业软件包。它的安全目的是：从功能性的角度来防止系统故障，可以达到ASIL-D或ASIL-B的水平（不同MCAL软件模块的应用要求将确定其结果级别不同），而另一些则是防止内存中断。系统中的其他软件可以达到结果-D的水平。帮助用户P用户具有ASIL-D软件功能安全系统安全要求，并且该软件正在进行Kauthentic Asil-D MCU支持，同时确保与系统软件结合使用TC4X MCAL软件不会对任何非MCAL软件造成任何干扰。 Konklusyon sa kabuuan, kinuha ng Aurixtm TC4X at Optireg ™ PMIC TLF4X ang susunod na antas sa disenyo na sumusuporta sa mga kinakailangan sa kaligtasan ng ASIL-D, hindi lamang ang pagdaragdag ng mga bagong kinakailangan sa pag-andar upang matugunan ang hinaharap na automotive电子na mga produkto，ngunit din ang pag-pag-optimize ng disenyo ay nakakatulong din sa mga din sa mga客户na pumili na kakayahahang umangkop a maginhawa kapag kapag kapag ngdidisenyo sa kaligan ng kaligan ng kaligan ng kaligan ng kaligan ng kaligan ng kaligain ng kaligangain AurixTM TC4X和Optireg™PMIC TLF4X产品在Infineon Innovation Summit（IACE）上强烈发布。有关TC4X和TLF4X产品的安全功能的更多信息，请联系Infineon用于TC4X和TLF4X安全相关文档。