AURIX TC3xx — Infineon ASIL D MCU 案例(对照 MPC5744P)

TC3xx 的核心创新是 6 核 + 3 Lockstep 对:每对 1 个 Performance Core(TC1.6P,300 MHz)或 Efficient Core(TC1.6E,200 MHz)+ 1 个 Checker Core。Checker 不对外可见,只做硬件 cycle-by-cycle 比较。

典型用法:

• CPU 0 + Checker — ASIL D 主控律(电机 FOC 或 Torque Safety),Lockstep 全开
• CPU 1 + Checker — ASIL D 监视任务(2nd layer monitor),Lockstep 全开
• CPU 2 + Checker — QM/ASIL B 通信任务(CAN-FD / SPI / LIN),Lockstep 可选关

注意 TC3xx Lockstep 是可解锁的——这是它和 MPC5744P 最大的差别:CPU 2 在 QM 任务期间可以解锁 Lockstep 跑 2 个独立线程提升性能,切到 ASIL D 任务前重新进入 Lockstep。MPC5744P 的 Lockstep 是硬件强制不可解锁。

memory 层全片 ECC + 启动 MBIST + 运行 Scrubber,SRAM 4 MB / PFlash 16 MB / DFlash 1 MB 都达到 DC ≥ 99 %。SRI 高速总线是 master/slave 矩阵,各 master(CPU / DMA / HSM / Ethernet)通过 DAM 受控访问 slave。

TC3xx 把所有 safety mechanism alarm 汇集到 SMU——一个硬件状态机模块,集中做 reaction 决策。

SMU 收集的典型 alarm:

• Core Lockstep mismatch(硬件比较器)
• RAM DBE / ECC fail(SECDED 双 bit)
• Flash ECC error(读出失败)
• Bus / SRI parity(奇偶错)
• Timer / Watchdog(CWD / TWD timeout)
• Clock / Voltage monitor(PLL / OV / UV)
• MPU / DAM violation(访问越界)
• Temperature alarm(片上温度传感器)

每个 alarm 可配置 4 阶段 reaction:

Reaction 配置策略:

• 默认所有 alarm 直接到 Stage 4(最严)
• SoP 前调:某些"误报易发" alarm(NMI 偶发)降为 Stage 1
• 关键 alarm(Core Lockstep mismatch、Flash ECC fail)必须保持 Stage 3/4 不可降

SMU 反应延迟:Alarm → Safe-Out pin 翻转 < 1 μs(硬件状态机路径)。FTTI 100 ms 的预算里,SMU 用掉 < 0.01 %,几乎可忽略——这是 "集中硬件 reaction" 设计的核心优势。

TC3xx 的 freedom from interference 由两层组成:

• MPU(Memory Protection Unit) — 每核内,8-16 region 表,task 启动时由 OS 加载;违规 → Trap;覆盖 CPU 读 / 写 / 执行越界
• DAM(Distributed Access Manager) — 总线 master 级,覆盖 DMA / HSM / Ethernet 等非 CPU master 的 slave 访问;每 master × 每 slave 一份 ACL

为什么需要两层?MPU 只覆盖 CPU 访问;但 DMA 也是 master,可以越过 CPU 直接写 slave——若没有 DAM,DMA bug 能污染 ASIL D 区域。DAM 把 master 一侧也卡住,实现真正的 freedom from interference。

ISO 26262 Annex E 列了 4 个 Freedom from Interference 维度:

两者同为车规 ASIL D 主流,但架构哲学不同——TC3xx 走"高算力 + 大内存 + 集中安全管理",MPC5744P 走"简洁 + 成熟 + EPS 类应用"。

选型口诀:

• 算力需求 > 1000 DMIPS / 内存 > 1 MB → TC3xx
• 算力需求 < 600 DMIPS / 简洁优先 → MPC5744P
• Infineon ecosystem(EiceDRIVER + 6EDL7141 + TLF35584)→ TC3xx
• NXP ecosystem(GD3160 + MC33907 + S32K344)→ MPC5744P 或新 S32 系列

TC3xx 通常和 Infineon 的 TLF35584 SBC 搭配,共同实现 ASIL D 系统级安全。TLF35584 提供:

TC3xx ↔ TLF35584 接口:

• SPI 周期 Q&A(Watchdog Refresh)— 软件每 5 ms 答题
• SMU Safe-Out → TLF FS1b(硬件直连)— SMU 检故障 < 1 μs 通知 SBC
• TLF reset → TC3xx 复位(双向)
• TLF voltage monitor → TC3xx NMI(SBC 检电源异常)

这套 "TC3xx + TLF35584" 组合在 Infineon iLLD 和 Vector MICROSAR Safety 都有现成 driver,Tier-1 通常 4-6 个月做完集成而非 12 个月。

TC3xx 项目通常用:

• iLLD(Infineon Low-Level Driver) — 免费 BSP,iLLD 已 SEooC 认证 ASIL D
• AURIX Studio(Eclipse + tasking compiler) — 调试 + flash
• Vector MICROSAR Safety — AUTOSAR Classic + Safety OS / Memory Protection
• TASKING TriCore VX 或 HighTec — qualified compiler
• Lauterbach TRACE32 — debugger

Safety 认证物料(Infineon 提供):

• Safety Manual(>500 页)— 列每个 mechanism 的 DC + 使用条件 + 配置寄存器
• FMEDA workbook — 客户基础,客户填补 PCB / 软件部分
• Safety Application Note — 每个常见误用陷阱
• Fault Injection report — 强证据(参见 topic-diagnostic-coverage-categories)

Tier-1 的工程预算:Safety Plan + iLLD 集成 + Safety OS 配置 + FMEDA 完成 ≈ 6 月人(2 工程师),比从头做单核 MCU ASIL D 的 18 月人省 70 %。

TC3xx 上手最容易踩的坑都源于"对 SMU / DAM / MPU 配置不熟"——这些都是 hardware-driven safety,默认配置不对就完全失效。下面 5 条是评估员最常发现的。

• SMU alarm 全降到 Stage 1。新工程师怕 reset 影响调试,把所有 reaction 降到 Stage 1(只 interrupt)。SoP 前必须改回 Stage 3/4,否则 SMU 失去意义。
• DAM 配置忘了 DMA。MPU 配好了 CPU 越界,但 DAM 默认开放 DMA 访问全部 slave;一个 DMA bug 就能写到 ASIL D 区。SoP 前 DAM ACL 必须收紧。
• Lockstep 解锁后忘了重锁。CPU 2 解锁跑 QM 任务,切回 ASIL D 前必须显式重新进入 Lockstep,否则该核 SPFM 降到 0。
• STL 扫描周期没设。iLLD 提供 STL 库,但默认不调度——客户必须配置 OS 任务定期跑;不跑就只有 Lockstep 的 99 % DC,缺 STL 的 aging 死角。
• Safety Manual 引用错代条件。每个 mechanism 的 DC 都有"使用前提"(温度 / 电压 / 配置寄存器值);客户照搬 DC 但没维持前提,评估员一定砍。

• component · component_aurix_tc3xx — Infineon AURIX TC3xx MCU
• diagnostic · diagnostic_clock_monitor — Clock Loss / Frequency Monitor
• diagnostic · diagnostic_lockstep_compare — Lockstep Core Comparison
• diagnostic · diagnostic_memory_bist — RAM / ROM / Flash BIST
• mechanism · mechanism_lockstep_mcu — Lockstep MCU(双核硬件锁步)