功能安全SBC与MCU之间的失效模式及安全机制（第一期）

baoshijie

一、为什么功能安全领域要采用SBC+MCU的方案实现功能安全目标为ASILC及ASILD的等级的开发需求？

ISO26262-4系统产品开发章节中提出，模块化系统设计属性要求对于ASILC及ASILD的等级的功能安全目标需要采用分层的设计，行业内成熟的标准架构E-GAS三层架构，是由奥迪、BMW、戴姆勒等国际顶尖公司联合起草制定的，其概念已经得到世界各大OEM和Tier1认可和广泛应用，能够满足设计要求。具体可以参照文章

《Standardized E-Gas Monitoring Concept for Gasoline and Diesel EngineControl Units》。



进行功能安全产品的开发时，可以采用分层的设计对ASIL等级进行分解，可将其分解为基本功能（第一层）与安全功能（第二、三层）。对基本功能的开发执行QM等级标准，而对安全功能的开发执行ASIL等级标准，即ASIL（C）= ASIL（QM）+

ASIL（C）、ASIL（D） = ASIL（QM）+ASIL（D）。第一层是功能层、第二层是功能监控层、第三层是硬件功能监控层。针对ASILC和ASILD等级的安全目标，需要通过多个处理器进行ASIL分解，但是这样成本会比较高，实现功能安全目标要求的硬件技术要求难度也比较大，因此，芯片供应商根据市场开发了带锁步核的功能安全级别芯片，例如类似TC275的芯片应市场而生。而第三层硬件监控层，需要通过交互的方式实现对第二层的监控，因此，需要有独立的处理器进行处理，并具有独立的关断路径，因此，类似TLF35584芯片的芯片应市场而生。



二、介绍SBC芯片TLF35584及安全机制

SBC：TLF35584

TLF35584是英飞凌的高性能电源管理芯片，其支持升压和降压预调节（PerRegulators），可以满足3-40V的宽电压输入。

TLF35584可以提供后向的不同电压输出（Post Regulators），包括5V/200mA的通信电源（LDO_Com）；

根据不同型号的芯片，提供5V/600mA（TLF35584xxVS1）或者3.3V/600mA（TLF35584xxVS2）的MCU供电电压

（LDO_uC）；150mA用于ADC的参考电压（Volt_Ref）；

两个150mA传感器供电电源（Tracker1和Tracker2）；以及可选的用于uC的外部供电。

此外，还有独立于上述两个模块的Standby Regulator （LDO_Stby），5.0 V/10 mA （TLF35584xxVS1）或者 3.3 V/10

mA（TF35584xxVS2）。

还有诸如监控（过压、欠压、过流、过温、过载）等功能；



安全状态控制；

16位SPI通信；

• 
  看门狗电路（windowwatchdog和functional watchdog）。35584有两种看门狗，一个是windowwatchdog，另一个是functional watchdog。WWD可通过PIN WDI触发，或者通过SPI控制WWD SCMD寄存器触发两种看门狗可以独立运行，有各自的定时和计数器。
  

TLF35584拥有多个状态包括初始化状态，正常状态，唤醒状态，睡眠状态，故障状态，待机状态，状态之间的跳转通过ENA、WAK管脚的电平变化以及SPI通讯进行控制状态的跳转。各芯片管脚的电平随着各状态的跳转而变化。





三、介绍TC275芯片及安全机制

MCU：AURIX TC275

TriCore?体系结构结合了三个强大的概念：其中两个TriCore 1.6P核(一个带锁步核)和一个TriCore1.6E 核(带锁步核)，三核主频200Mhz，编程FLASH 4MB，内嵌HSM，芯片功能安全可以达到ASIL-D；主要功能如下：



在功能安全方面，针对Core的Lockstep、针对RAM/Flash的ECC、针对电源的监控、针对时钟的监控(QA Watchdog)、针对ADC的自测试，以及针对安全机制或寄存器的BIST等。主要的失效模式及安全机制如下：

计算功能相关主要元器件

与控制芯片计算功能相关的主要元器件包括中央处理器 CPU，片上存储器（包括 SRAM，PFlash，DFlash 等），电源模块（如 LDO，DC/DC），时钟模块，内部总线等。

电源模块的失效模式（如LDO，DC/DC），主要包括过压、欠压、尖峰、启动时间不正确、输出振荡、静态电流超阈值；

中央处理器CPU：给定指令流未执行（完全遗漏）；非预期指令流被执行（误起动）；指令流执行时间错误（过早/过晚）；指令流结果不正确

SM：Lockstep

SM：SBC

SRAM/PFlash/DFlash：卡滞；软错误模型（例如单比特位翻转，多比特位翻转等）；其他故障模型（例如卡滞开路故障、寻址故障、寻址延迟故障、转换故障、邻域模式敏感故障、感应晶体管缺陷）

SM：ECC

时钟模块：输出卡滞（高或低）；输出浮空（开路）；不正确的输出信号摆幅（即超出预期范围）；不正确的输出信号的频率（超出预期范围，适用时包括谐波，例如 EMC 辐射）；不正确的输出信号的占空比（即，超出预期范围）；输出频率漂移；输出信号抖动过大

• 
  SM：时钟监控 detects and mitigates clock distribute，PLLmonitor；
  SM：内部辅助时钟由内部 RC 振荡器提供
  

输入功能相关主要元器件

与控制芯片输入功能相关的主要元器件包括模数转换器 ADC，数字 I/O 输入（如GPIO），传感器接口（如 SENT），与外部通信接口（如CAN）等。

数模转换器ADC：一路或多路输出卡滞（即高或低）；一路或多路输出浮空（即开路）；精度误差（即误差超过 LSB）；偏移误差（不包括输出上的卡滞或浮空，低分辨率）；无单调转换特性（即给定两个输入模拟电压 V1> V2，相应的数字值为 D1 <D2）；满量程误差（不包括输出上的卡滞或浮空，低分辨率）；单调转换曲线的线性误差（不包括输出上的卡滞或浮空，低分辨率）；不正确的建立时间（即，超出预期范围）

SM：诊断+冗余设计

数字 I/O 输入（如 GPIO）：卡滞；输入开路；信号线间短路；漂移和震荡

SM：诊断+冗余设计

传感器接口（如 SENT）：通信节点丢失；消息损坏；消息不可接受的延时；消息丢失；非预期的消息重复；消息顺序错误；消息插入；消息伪装；消息寻址错误

SM：CRC 校验

与外部通信接口（如 CAN）：通信节点丢失；消息损坏；消息不可接受的延时；消息丢失；非预期的消息重复；消息顺序错误；消息插入；消息伪装；消息寻址错误

SM：RC/CRC/Timeout/DataID

输出功能相关主要元器件

与控制芯片输出功能相关的主要元器件包括数模转换器 DAC，数字 I/O 输出（如GPIO），安全状态支持模块，与外部通信接口（如 CAN）等。

数模转换器 DAC：输出卡滞（高或低）；输出浮空（开路）；偏移误差（不包括输出上的卡滞或浮空，低分辨率）；单调转换的线性误差（不包括输出上的卡滞或浮空，低分辨率）；满量程增益误差（不包括输出上的卡滞或浮空，低分辨率）；非单调转换；不正确的建立时间（即超出预期范围）；输出信号的振荡（包括漂移）

SM:诊断+冗余设计

数字 I/O 输出（如 GPIO）：卡滞；输入开路；信号线间短路；漂移和震荡

SM：诊断+冗余设计

四、简单介绍SBC端芯片TLF35584与MCU端芯片TC275的功能交互

主MCU芯片和 SBC（系统基础芯片）芯片组合配对，实现了主从架构的功能。其中主芯片的锁步核和 SMU（故障收集控制单元），SBC 芯片中的 运行状态机，其中，MCU芯片完成输入信号的采集检查、输出信号的控制、数据存储器的访问等功能，SBC对电源状态的监控、功能运行状态的实时监控、关断路径的诊断与控制等功能。两个互相监控，独立的关断路径，MCU能够通过控制器的输出、SBC通过SS1及SS2，均能触发整个系统的复位并关断输出级，实现功能安全。

SBC端芯片TLF35584与MCU端芯片TC275功能运行简图：