功能安全最佳搭擋：AURIX? TC4x 和 OPTIREG? PMIC TLF4x功能安全概覽

作者：時間：2025-01-10 來源：英飛凌

加入技術(shù)交流群
- 掃碼加入
  和技術(shù)大咖面對面交流
  海量資料庫查詢

引言

本文引用地址：http://m.ptau.cn/article/202501/466203.htm

AURIX ^TM作為英飛凌 32位汽車級 MCU 家族的產(chǎn)品之一，其第二代產(chǎn)品 AURIX ^TMTC3x 已經(jīng)是汽車界公認(rèn)的功能安全設(shè)計優(yōu)秀的產(chǎn)品，獲得了良好的業(yè)內(nèi)口碑。這也是源于英飛凌從 AURIX ^TM第一代產(chǎn)品 TC2x 開始，就秉持功能安全的理念按照 ISO 26262 : 2011 設(shè)計出第一款支持 ASIL-D 最高安全等級的 MCU 產(chǎn)品。

AURIX ^TM功能安全概念經(jīng)歷了 TC2x 到 TC3x 的優(yōu)化升級，到 AURIX ^TM第三代產(chǎn)品 TC4x，芯片的功能安全特性在 TC3x 產(chǎn)品之上又做了進(jìn)一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標(biāo)準(zhǔn)，增強的功能安全特性可以讓用戶的系統(tǒng)功能安全設(shè)計更加易于實現(xiàn)。同時，英飛凌的電源管理芯片 OPTIREG ^TMPMIC 從設(shè)計之初一直是 AURIX ^TM的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合讓汽車安全系統(tǒng)設(shè)計更加合理。

AURIX ^TMTC4x 產(chǎn)品的頂層安全需求 TLSR

MCU 產(chǎn)品，ISO26262 規(guī)定了它可以先于相關(guān)項而按照 SEooC (Safety Element out of Context) 來設(shè)計，也就意味著它不是為了某一個相關(guān)項設(shè)計的，并且先于其存在。它是否滿足汽車?yán)锏母鞣N應(yīng)用場景，能否更好地助力汽車系統(tǒng)安全設(shè)計，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產(chǎn)品的硬件軟件設(shè)計都將圍繞其展開。

AURIX ^TMTC4x 產(chǎn)品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類來表征：

MCU 安全相關(guān)功能的 TLSRs，包含安全運行代碼、安全啟動、安全輸入、安全輸出、安全通訊、安全傳感器接口，等等。
支持安全狀態(tài)的 TLSRs，包含故障報警后的響應(yīng)以對芯片內(nèi)部或外部電路報告。
免于共因失效的 TLSRs，包含避免電源、時鐘、過溫等引起的共因失效，監(jiān)控不同安全等級的軟件影響，等等。

AURIX ^TMTC4x 產(chǎn)品的頂層安全需求

TLSR 是如何得出的？

簡單來說，從汽車中的各種應(yīng)用需求中抽取而來。

下圖中是一個典型的管柱 EPS 電子助力系統(tǒng)，系統(tǒng)中包含了 EPS ECU 控制器、方向盤轉(zhuǎn)向角傳感器、方向盤轉(zhuǎn)矩傳感器、轉(zhuǎn)向柱助力電機、電機位置傳感器等。經(jīng)過 HARA 分析后，EPS系統(tǒng)具有最高安全完整性等級要求的整車層面危害和安全目標(biāo)是：

假設(shè) EPS ECU 控制器中分解到 MCU 的目標(biāo) FIT 值為 3~4FIT，量化指標(biāo)要求 ASILD 99% SPFM 和 90% LPFM，安全時間要求 FTTI 50~150ms。按照應(yīng)用假設(shè)，EPS ECU 控制器中需要 MCU 具備的安全功能有：

MCU 可以安全運行軟件，不同安全等級的軟件可以互不影響
MCU 需要在運行用戶代碼之前安全的啟動
啟動時間要在 200ms 之內(nèi)
MCU 可以冗余的讀取電機位置傳感器信號如數(shù)字信號 SENT 或者模擬信號
MCU 可以輸出安全的 PWM 控制信號
MCU 通訊接口可以同其他 ECU 安全的傳輸信號
當(dāng) MCU 故障發(fā)生時，可以輸出故障指示信號，通知外圍電路，讓系統(tǒng)進(jìn)入安全狀態(tài)
…...

以此方法分析汽車中常見的不同應(yīng)用的控制系統(tǒng)，如發(fā)動機控制系統(tǒng)（EMS）、新能源車電池管理系統(tǒng)（BMS）、電源轉(zhuǎn)換系統(tǒng)（OBC/DCDC）、動力牽引系統(tǒng)（Traction Inverter）、電子剎車助動系統(tǒng)、ADAS 輔助自動駕駛系統(tǒng)、雷達(dá)處理系統(tǒng)、網(wǎng)關(guān)、車身控制系統(tǒng)等等，從各種不同的應(yīng)用場景中抽取出了對 AURIX ^TMTC4x 產(chǎn)品的頂層安全需求，后續(xù)的產(chǎn)品設(shè)計活動將圍繞著這些頂層安全需求展開。

AURIX ^TMTC4x 產(chǎn)品的頂層安全需求 TLSR 是如何落實到實際的應(yīng)用設(shè)計中的？

簡單來說，通過把 TC4x TLSR 的各個應(yīng)用案例 Use Case 跟實際應(yīng)用場景結(jié)合后運用到實際應(yīng)用的設(shè)計中。

AURIX ^TMTC4 的每一個 TLSR 都可以列舉出一個以上的應(yīng)用案例 Use Case，通過這些應(yīng)用案例 Use Case 就可以把 AURIX ^TMTC4x 這些頂層安全需求具體化和場景化。用戶在設(shè)計實際系統(tǒng)時根據(jù)需要選擇出其中適合的應(yīng)用案例。

比如，TC4x ASIL-D 安全軟件執(zhí)行 TLSR，在應(yīng)用中不同的場景可能有：

CPU 訪問各自的 NVM 和 RAM 空間
SOTA SWAP 后 CPU 運行代碼的訪問區(qū)間是 PFLASH Bank A 或者 Bank B
CPU 訪問其他 CPU 的 NVM 和共享 RAM 空間
CPU 訪問DFLASH 中數(shù)據(jù)或者存儲數(shù)據(jù)至 DFLASH 中
代碼存儲在片外 FLASH 中
……

比如，TC4x ASIL-D 安全模擬輸入TLSR，在應(yīng)用中可以實現(xiàn)的場景有：

冗余 ADC 通道輸入到兩個 TC4x ADC 模塊中，兩個 ADC 模塊可以是同一種類型的，比如都是 TMADC 模塊，或者都是 DSADC 模塊。

比如，TC4x ASIL-B 安全模擬輸入TLSR ，在應(yīng)用中可以實現(xiàn)的場景有：

一個 ADC 通道輸入到 TC4x 內(nèi)部后進(jìn)入兩個 ADC 模塊后分別處理。
一個 ADC 通道輸入到 TC4x 內(nèi)部的一個 ADC 模塊進(jìn)行處理。

AURIX ^TMTC4x 產(chǎn)品中設(shè)計了怎樣的安全機制以助力應(yīng)用案例達(dá)到目標(biāo) ASIL？

AURIX ^TMTC4x 每個頂層安全需求的應(yīng)用案例中，都有其目標(biāo) ASIL 等級，這就意味著有量化指標(biāo)（SPFM, LFM & PMHF）的要求。每個應(yīng)用案例中包含了 TC4x 的不同的內(nèi)部功能模塊，這些功能模塊都可能會發(fā)生故障引發(fā)失效從而引入失效率 FIT 值，因此必須對每個模塊的各種失效模式加以一定的診斷機制，以降低該模塊的失效率，從而使整個應(yīng)用案例的失效率降低到可以接受的水平，達(dá)到目標(biāo) ASIL 等級的量化指標(biāo)要求。

對于芯片內(nèi)部故障的診斷來自于不同的安全機制：

內(nèi)部硬件安全機制 SM[HW]
內(nèi)部軟件安全機制 SM[SW]
外部硬件安全機制 ESM[HW]
外部軟件安全機制 ESM[SW]

AURIX ^TMTC4x 跟 TC3x 一樣，設(shè)計了非常多的內(nèi)部硬件安全機制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增強了許多片內(nèi)硬件安全機制的設(shè)計。接下來從幾個方面說明一下這些增強點和變化點。

1. TC4x Systematic Fault Avoidance 避免系統(tǒng)失效

在 TC4x 產(chǎn)品硬件設(shè)計中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數(shù)幾個模塊是 QM 或 ASIL-B 等級，其他模塊硬件電路都可以達(dá)到 ASIL-D 等級。

2. TC4x Safe Boot 安全啟動

固化在 TC4x 內(nèi)部 ROM 的啟動代碼 SSW 是按照 ASIL-D 安全等級開發(fā)的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上電啟動檢測，目的是讓 TC4x 在開始運行用戶代碼時有一個安全完整的初始環(huán)境。固件啟動代碼 SSW 中集成的安全機制可以識別啟動代碼運行過程中硬件模塊的故障導(dǎo)致的非預(yù)期行為，從而讓 TC4x 啟動停止。如果 TC4x 沒有安全完整的啟動過程，用戶代碼就不會被運行，因而系統(tǒng)也不會存在潛在失效的風(fēng)險。

3. TC4x SMU 升級為 Safety and Security Alarm Management Unit

AURIX ^TMTC3x 的 SMU 模塊包含了 SMU_core 和 SMU_stdby 兩個冗余模塊，而 TC4x 中 SMU 模塊則升級為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個子模塊。

SMU_CS 位于 Core Domain，它負(fù)責(zé)收集處理跟 Security 相關(guān)的片內(nèi) Alarm 報警，如密鑰使用錯誤、認(rèn)證失敗、調(diào)試口誤使能監(jiān)控等報警，或者如電源監(jiān)控、總線時鐘監(jiān)控、總線錯誤等報警，都由 SMU_CS 來處理和響應(yīng)。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它們負(fù)責(zé)收集處理跟 Safety 相關(guān)的片內(nèi) Alarm 報警。SMU_SAFE0 和 SMU_SAFE1 設(shè)計一樣，TC4x 片內(nèi)所有安全機制的 Alarm 都可以接入兩個 SMU_SAFEx 模塊中，由用戶來決定哪些 Alarm 由哪個 SMU_SAFEx 來處理，SMU_SAFEx 會根據(jù) Alarm 配置來進(jìn)行相應(yīng)的響應(yīng)動作。兩個 SMU_SAFEx 模塊可以獨立使用，分開處理片內(nèi)不同的 Alarm，分別有各自獨立的錯誤狀態(tài)輸出腳連接至片外其他芯片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模塊設(shè)計的目的是面向多應(yīng)用集成于一個 TC4x 的場景下，各個應(yīng)用有其獨立的故障響應(yīng)路徑，進(jìn)而使系統(tǒng)進(jìn)入安全狀態(tài)。

SMU_STDBY 位于 Standby Domain，獨立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模塊，它負(fù)責(zé)收集片內(nèi)引起 CCF 共因失效的電壓、溫度、時鐘的安全機制報警，還通過 SMU Alive 信號監(jiān)控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內(nèi)安全機制 Alarm 信號可以分別集中到一個 Critical Alarm 中送至 SMU_STDBY 中做冗余處理。SMU_STDBY 對這些 Alarm 響應(yīng)時可以強制將 FSP Error Pin 轉(zhuǎn)為故障狀態(tài)，通知外圍監(jiān)控芯片做二級安全路徑的輸出控制。

4. TC4x Safe Computation Platform 安全軟件運行

AURIX ^TM中跟安全軟件運行相關(guān)的模塊包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機制，針對 IR 和 DMA 模塊，TC3x 產(chǎn)品則需要用戶實現(xiàn)外部軟件安全機制來診斷 IR 和 DMA 模塊的故障。但是在 TC4x，Lockstep 鎖步核安全機制已經(jīng)從 CPU 擴展到了 IR 和 DMA，過去的 TC3x 中的軟件安全機制就不再需要了，這一設(shè)計對用戶非常友好。

5. TC4x RAM ECC 可糾正位錯誤

AURIX ^TM片內(nèi)易失性存儲單元 RAM 可糾正位錯誤在運行中被讀取時會被 ECC 機制實時糾正，所以對這類可糾正位錯誤的硬件故障，應(yīng)用上由于可以保證讀取的 RAM 內(nèi)容是正確的，不存在引起違反系統(tǒng)安全目標(biāo)的的風(fēng)險，片內(nèi) RAM 可糾正位錯誤的故障不需要用戶對其做任何響應(yīng)，因此 TC4x 中取消了 RAM 可糾正位錯誤的地址緩存設(shè)計，不再將其列為安全相關(guān)的故障。TC3x 中沒有強調(diào)這一點，用戶很容易在設(shè)計中忽視這一點，導(dǎo)致對 RAM 可糾正位錯誤故障的過度安全響應(yīng)動作頻發(fā)。

6. TC4x MBIST 易失性存儲單元自檢

AURIX ^TMTC4x 片內(nèi)易失性存儲單元 RAM 的集成測試模塊支持對 RAM 做 MBIST （Memory Build-In-Self-Test）自檢。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升級到支持 Destructive Test。Destructive Test 有更高的診斷覆蓋率，可以達(dá)到 ASIL-D 級別。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 測試。在 TC4x SafeTlib 軟件中包含了 Key-on / Key-off MBIST 測試。

7. TC4x LBIST 邏輯電路自檢

ARUIX ^TMTC4x LBIST 支持兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內(nèi)部把 LBIST 進(jìn)行了分層設(shè)計，分成多個測試域。Key-on LBIST 只測試片內(nèi)安全相關(guān)的數(shù)字邏輯電路，可以在 5~6ms 之內(nèi)完成，可以達(dá)到 90% Stuck-at 測試覆蓋率。Key-off LBIST 測試芯片內(nèi)部完整的數(shù)字邏輯電路，多層測試域依次完成測試，每層測試域測試在 50ms 之內(nèi)，可以達(dá)到 90% Stuck-at 測試覆蓋率。在 TC4x SafeTlib 軟件中包含了 Key-on LBIST 測試。

8. TC4x Clock Monitoring 時鐘監(jiān)控

ARUIX ^TMTC4x 時鐘系統(tǒng)中保留了如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬件安全機制。此外，TC4x 中加入了針對片內(nèi)產(chǎn)生的各個時鐘的 Plausibility 合理性檢查的硬件安全機制，這一安全機制在 TC3x 中是需要用戶軟件來實現(xiàn)的，TC4x 這些增強的硬件安全機制簡化了用戶對時鐘安全的軟件設(shè)計。

9. TC4x Power Monitoring 電壓監(jiān)控

AURIX ^TMTC4x 同 TC3x 一樣有一級欠壓監(jiān)控和二級欠壓過壓監(jiān)控，不同于 TC3x，TC4x 中只有二級欠壓過壓監(jiān)控被列入片內(nèi)電源監(jiān)控安全機制中，一級欠壓監(jiān)控不再歸為安全相關(guān)。理由是，當(dāng)電壓在 TC4x 工作電壓范圍之內(nèi)到達(dá)一級欠壓監(jiān)控電壓閾值之前，二級欠壓和過壓監(jiān)控即可以報出 Alarm，SMU 可以對該 Alarm 執(zhí)行合適的安全響應(yīng)動作。

10. TC4x Over-temperature 過溫監(jiān)控

AURIX ^TMTC4x 同 TC3x 一樣有冗余的溫度檢測模塊 DTS，不同于 TC3x 的 2 個，TC4x 中增加到了 6 個。而且在 TC4x 中只有過溫才是安全相關(guān)的，因為 MCU 的任何內(nèi)部故障都不會使其自行降溫，故溫度過低不是 MCU 故障導(dǎo)致的失效模式，所以只有芯片過溫才被納入安全考慮范圍。DTS 會每隔 2ms 持續(xù)測溫，如芯片過溫即報出 Alarm。

11. Safe Digital Actuation 安全數(shù)字輸出

針對安全數(shù)字輸出的設(shè)計中，通常是對一個 Mission Channel 輸出增加一個 Monitoring Channel 輸入返回到 AURIX ^TM進(jìn)行監(jiān)控，通過比較兩個信號來確保 AURIX ^TM數(shù)字輸出如預(yù)期，以達(dá)到 ASIL-D 的安全數(shù)字輸出。在 TC3x 中，這種比較通常引入了一個 IOM (Input Output Monitor) 硬件模塊來完成。在 TC4x 中，這個硬件模塊已經(jīng)去掉，對于 Mission Channel 輸出信號和 Monitoring Channel 回讀信號的比較，通常由信號發(fā)生單元同時也是信號捕獲單元的硬件模塊如 GTM/eGTM 即可以實現(xiàn)，對用戶來說簡化了安全數(shù)字輸出的設(shè)計。

12. Safe Digital Acquisition 安全輸字輸入

針對安全數(shù)字輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比校驗數(shù)字輸入的完整性。TC4x 中用獨立的 GTM/eGTM 雙通道捕獲外部雙路數(shù)字輸入進(jìn)行冗余校驗可以實現(xiàn) ASIL-D 的安全輸入方案，外部單路數(shù)字輸入至芯片內(nèi)部分成雙通道至獨立的 GTM/eGTM 雙通道進(jìn)行冗余校驗可以實現(xiàn) ASIL-B 的安全輸入方案。比 TC3x 的安全數(shù)字輸入應(yīng)用案例更加豐富，便于用戶靈活設(shè)計。

13. Safe Analog Acquisition 安全模擬輸入

針對安全模擬輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比進(jìn)行校驗?zāi)M輸入的完整性。TC4x 中針對安全模擬輸入，同類 ADC 模塊的雙路輸入冗余校驗（如 TMADC + TMADC 或者 DSADC + DSADC）即可以實現(xiàn) ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至芯片內(nèi)部后分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進(jìn)行冗余校驗，或者外部單輸入通道送至內(nèi)部單 ADC 模塊處理，都可以實現(xiàn) ASIL-B 的安全輸入方案。這比 TC3x 的安全應(yīng)用案例更加豐富，幫助用戶設(shè)計所需 ASIL 等級的安全模擬輸入方案。

除了上面這些安全特性的增強或者變化，TC4x 中還增加了一些新的 IP 模塊，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，對它們也都有頂層安全需求和應(yīng)用案例，相應(yīng)地增加了所需的安全機制。

OPTIREG ^TMTLF4x 助力 AURIX ^TMTC4x

實現(xiàn) ASIL D 的應(yīng)用設(shè)計

英飛凌的 TLF3x和 TLF4x 兩代電源管理芯片，都具備了為 AURIX ^TM量身定制的安全監(jiān)控功能，提供 AURIX ^TM所需的外部安全措施：

供電電壓監(jiān)控
時鐘監(jiān)控（看門狗）
SMU（安全管理單元）告警監(jiān)控

此外，PMIC 還為系統(tǒng)提供獨立于 MCU 的第二條關(guān)斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支持系統(tǒng)實現(xiàn)ASIL-D 的功能安全要求。

TLF4x 系列的電源管理芯片，相較于 TLF35584/5，在功能安全結(jié)構(gòu)上做了更進(jìn)一步的優(yōu)化和增強：

1. 自帶安全關(guān)斷控制（Safety Switch）

PMIC 的一級同步 DCDC (Pre-buck) 實現(xiàn)了從高壓域（12V/24V）到低壓域（<6V）的轉(zhuǎn)換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的器件。這個 MOSFET 的 D-S 短路失效模式，是整個系統(tǒng)供電單元的單點失效，為系統(tǒng)的功能安全達(dá)到ASIL-D 帶來了挑戰(zhàn)，當(dāng)這個同步 Pre-Buck 為 MOSFET 外置的結(jié)構(gòu)時，其影響尤為顯著。

TLF4x 系列的 PMIC 全部集成了安全關(guān)斷控制單元，能夠檢測到 Pre-Buck 的功率 MOSFET 上發(fā)生的嚴(yán)重故障（包括上管的D-S 短路故障），繼而觸發(fā)關(guān)斷路徑，為這部分單點失效提供了診斷覆蓋，使系統(tǒng)電源設(shè)計輕松達(dá)到 ASIL-D 的功能安全要求。

2. 支持多合一系統(tǒng)的獨立安全監(jiān)控/關(guān)斷策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能夠支持兩套獨立的“時鐘監(jiān)控”和“SMU告警監(jiān)控”，同時，提供兩套獨立的“中斷告警（INTx）”和“安全關(guān)斷路徑（SSOx）”，以配合 TC4x 的 Hypervisor 功能實現(xiàn)在多合一系統(tǒng)中，多個應(yīng)用在功能和功能安全設(shè)計上的獨立性。

AURIX ^TMTC4x SafeTlib 安全軟件庫

TC4x SafeTlib 安全軟件庫是由英飛凌開發(fā)的可以集成到 AUTOSAR 環(huán)境中的商用軟件包，ASIL-D 安全等級，支持單核或多核環(huán)境。

TC4x 內(nèi)置 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內(nèi)數(shù)字電路、RAM 存儲單元、電壓監(jiān)控電路的潛伏故障的檢測，但是這些 BIST 電路有些是需要軟件進(jìn)行觸發(fā)并檢驗測試結(jié)果的。此外，TC4x 片內(nèi)有一些硬件安全機制需要額外的測試，還有一些硬件安全機制的報警通路需要測試，以降低潛伏故障的風(fēng)險，這些都可以由 TC4x SafeTlib 軟件來完成。此外，配合 TC4x 的 PMIC TLF4x 的復(fù)雜驅(qū)動包和 TLF4x 內(nèi)置安全Watchdog即作為 TC4x外部安全Watchdog 的驅(qū)動包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應(yīng)用案例中提到的運行中的軟件安全機制需要用戶自行實現(xiàn)。

AURIX ^TMTC4x AUTOSAR MCAL 軟件

TC4x MCAL 軟件是由英飛凌開發(fā)的 AUTOSAR底層商用軟件包。其安全目標(biāo)，一是從功能角度避免系統(tǒng)性失效可達(dá)到 ASIL-D 或者 ASIL-B 級別（不同 MCAL 軟件模塊的應(yīng)用需求決定其 ASIL 等級不同），二是避免內(nèi)存干擾系統(tǒng)中其他軟件可達(dá)到 ASIL-D 級別。幫助用戶在系統(tǒng)設(shè)計中有 ASIL-D 軟件功能安全需求時可以有相應(yīng)的 ASIL-D 的 MCU 底層軟件來支撐，同時保證集成到 ASIL-D系統(tǒng)軟件中時 TC4x MCAL 軟件不會對任何非MCAL 軟件造成任何干擾。

結(jié)束語

綜上所述，AURIX ^TMTC4x 和 OPTIREG ? PMIC TLF4x 在支持 ASIL-D 功能安全需求的設(shè)計上更上一層樓，不僅增加了符合未來汽車電子產(chǎn)品的新功能需求，而且設(shè)計上的優(yōu)化也幫助客戶設(shè)計系統(tǒng)功能安全時的選擇更靈活且更便捷。AURIX ^TMTC4x 和 OPTIREG? PMIC TLF4x產(chǎn)品在英飛凌創(chuàng)新峰會（IACE）上已強勢發(fā)布，更多關(guān)于 TC4x 和 TLF4x 產(chǎn)品的功能安全特性可以聯(lián)系英飛凌獲取 TC4x和TLF4x 功能安全相關(guān)文檔。