Infineon AURIX TC3xx 功能安全工程化 — TriCore 1.6P / 3-Lockstep / SMU+FCCU / OPTIREG 配对 / ASIL D 整链

下表横切对比 4 颗(2026 主流 derivative),按 core 数 + Lockstep 对升序,TC397 是主流锚点(中国 EV Tier-1 默认),TC375 是省 BOM 的入门版,TC399 是为 L3+ 中央域控加大 RAM 的极限版:

Ethernet 配置:TC375 / TC387 是 1 × GbE,TC397 / TC399 升 2 × GbE(支持 TSN + 车内 backbone)。

关键认知:TC397 是 2024-2026 中国 EV Tier-1 出货量第 1 的 ASIL D MCU(占 EV 主驱 / 制动 / 转向应用 ~90 %),原因是 3 Lockstep 对 + 16 MB Flash + 12 路 CAN-FD 是 ASIL D EV 主驱的"刚好够用"配置 — TC375 跑不动 L2+,TC399 RAM 浪费且 BOM 高 30 %。

ASIL D 任务数 = Lockstep 对数(每对核可独立跑 1 个 ASIL D task),QM/B 任务由不带 Checker 的剩余核承担:

Tier-1 实操:EV 主驱 + 制动 + 转向都各需 1 ASIL D 主控律 + 1 监视任务,所以 TC397 (3 对) 通常用 2 对做 ASIL D, 留 1 对做 ASIL B(2nd-layer monitor)。如果 ASIL B 任务可以降到 QM, 第 3 对核可解锁跑双 QM 线程(详见 §2.3)。

4 颗共有的核心结构(选哪颗都有,不必再 verify):

• TriCore 1.6P (300 MHz) / TC1.6E (200 MHz, 低功耗) — Performance vs Efficiency 双 mode
• SMU + FCCU + 4 stage reaction(Interrupt / NMI / Reset / Safe-Out)
• 全片内存 ECC(SECDED, DSPR/PSPR/LMU/Cache)+ 启动 MBIST + 运行 Scrubber, DC ≥ 99 %
• HSM(Hardware Security Module)+ DMU 总线 + DAM 总线 master 隔离 + Endinit register lock
• iLLD(Infineon Low-Level Driver)BSP — SEooC 认证 ASIL D, Tier-1 免费用

TC397 上 6 个 TriCore CPU 中 CPU0/CPU1/CPU2 各带 1 个 Checker Core(共 4 个 Checker — 含 1 spare 备用),CPU3/CPU4/CPU5 不带 Checker:

同一 TriCore 1.6 架构,P 和 E 是 die 内不同实现:

Tier-1 实操:TC397 上 CPU0/CPU1/CPU2 默认 P 核(ASIL D 高算力),CPU3/CPU4/CPU5 默认 E 核(QM 任务省功耗)。die 总功耗能省 25-30 %, 这是 TC397 能在主驱小封装散热下稳定跑的关键。

TC3xx Lockstep 可配置 enable / disable,这是它和 MPC5744P / TMS570 最大的差(后两者 Lockstep 硬件强制不可解锁)。典型 Tier-1 用法:

关键陷阱:Lockstep 解锁后想切回 ASIL D, 不是简单设个寄存器就行 — 需要 module reset + Boot Mode Header bit 重置 + Checker 同步序列。这个序列要 50-100 μs, 而 ASIL D 切换通常在 task slot 边界做。忘了走这个序列, Checker 没同步, SPFM 跌到 0, FMEDA 整章作废(§5 陷阱 3)。

把 TC3xx 放到 ASIL D MCU 演进史看,与 2014 年 first wave 代表 MPC5744P 横向比,差异集中在 Lockstep 数 / 算力 / 是否可解锁 / safety 中枢集成度 4 个维度上:

架构演进:MPC5744P 是 "做对 ASIL D" 的 first wave (2014); TC3xx 是 "ASIL D + 高算力多任务 + 域控融合" 的 second wave (2018)。两代差 4 年, BOM 高 ~3 倍, 但能装的应用复杂度也高 ~10 倍。

SMU 接收的典型 alarm 通道(可配置 routing):

注:实际通道 > 30, 部分应用相关(如温度多个 threshold)。

每个 alarm 独立配置 4 stage reaction, stage 越高 reaction 越严重:

Stage 4 的关键性:Safe-Out 是硬件 pin(SMU.PORT[FSP] 直接驱动),不经 CPU 软件路径,latency < 1 μs 。FTTI 100 ms 的预算里 SMU 用 < 0.01 %, 几乎可忽略 — 这是集中硬件 reaction 的核心优势, 是 TC3xx 选用的硬理由之一。

Stage 3 Reset 是分 5 级的(scope 递增):

Tier-1 配置策略:RAM ECC DBE → Application Reset(只清 app 状态, OS 重 schedule, 单 CPU 半秒恢复),Watchdog timeout → System Reset(全 CPU 复位),3 次 Reset 仍失败 → 自动 escalate 到 Warm-PO,再 fail → 锁住 Cold-PO 等 Vbat power-cycle。这是 ISO 26262 "fail-silent vs fail-operational" 决策的硬件层落地。

默认配置原则是 "宁严勿松": 关键 alarm 直接 Stage 4 / 3,只对"误报频繁但低危"的类(温度 derating / PLL 偶发抖动)放宽到 Stage 1 / 2。下表列 Tier-1 SoP 配置参考:

评估员 check 点:Tier-1 调试期为方便会把所有 alarm 降到 Stage 1, SoP 前必须改回默认严配置, 否则评估员一查 Safety Manual 引用 vs 实际配置就砍(§5 陷阱 1)。

TC3xx 所有 SRAM 都带 SECDED(Single Error Correction, Double Error Detection):

Scrubber 作用:硬件后台周期遍历 RAM, 检测 + 校正 idle 位置的 ECC single-bit error(防 single-bit 累积成 double-bit;被访问的位置由 SECDED 在 read 时即时纠正,与 Scrubber 是两套机制)。Scrubber 默认是 enable 的, 但周期可配 — idle single-bit 的最坏驻留时间 ≈ 扫描周期,故要在 FTTI 内保证纠正,扫描周期必须 ≤ FTTI:100 ms FTTI 下需把安全相关区配成 ≤ 100 ms 扫完(若配 1 秒遍 4 MB,则该 1 秒不能挂在 100 ms FTTI 预算里)。

每个 TriCore CPU 内置 MPU, 6 region set × 8-16 region 表,task 启动时 OS 加载, 违规 → Trap → 进 SMU alarm。

MPU 覆盖维度:

• 读 / 写 / 执行权限(每 region 独立)
• User-0 / User-1 / Supervisor 三级 privilege
• code section / data section 分离
• 每核独立 region set, 跨核访问需 OS API

Tier-1 典型配置:ASIL D task 的 data region 对 QM task 标记 read-only(QM 可读但不可写),任何 QM 误写都触发 trap。这是 freedom from interference 的"内存"维度落地。

MPU 只覆盖 CPU 访问, 但 DMA / HSM / Ethernet 也是总线 master, 可绕开 CPU 直接写 slave — 没 DAM 这层, 一个 DMA 配置 bug 能污染 ASIL D 区。

DAM 是 SRI 高速总线的 master/slave 矩阵 access control:

• 每个 master(CPU0-5 / DMA / HSM / Ethernet)× 每个 slave(各内存 / 各外设)一份 ACL
• ACL 含 TAG ID + 权限 bit
• 违规访问 → DAM trap → SMU alarm

ISO 26262-6:2018 Annex D FFI 维度映射(标准 3 类:内存 / 时间执行 / 信息交换;本页将信息交换拆为通信 + 资源两行):

TC3xx 关键寄存器(SMU 配置 / WD config / PLL config / MPU config 等)受 Endinit / Safety Endinit 两层保护:

• Endinit: 上电后 short window 可写, 之后写需要解锁序列(密码 + 写 enable + 立即写 + 关 enable)
• Safety Endinit: 同 Endinit 但用独立 password + 独立 timer, 保护 safety 关键寄存器(SMU alarm config / Safety WD)

意义:防 software 跑飞误写关键寄存器, 防 SEU 翻 bit 致 SMU 失能。Tier-1 代码必须严格只在 init 阶段开 Endinit window, 之后只读不写。

TLF35584 是 OPTIREG PMIC 的通用旗舰,定位"给 MCU 旁路供电 + WD 监督",不直驱 actuator,主驱 / 制动 / 转向 / 域控 ECU 都可用:

TLE9243QK 是 AS-PMIC(应用专用 PMIC for Transmission),除常规 MCU 供电外集成 3 颗 HS-Driver 直驱外部 N-FET 做 secondary switch-off,省一颗独立 driver IC:

详见 Infineon OPTIREG SBC deep。

两颗芯片间的连线分 4 条:1 路 SPI 做双向命令 + Q&A WD,3 路硬线做 fail-safe + reset + NMI 路径,缺 1 路 ASIL D 链路就断:

关键路径:SMU.Safe-Out → FS01 是硬线直连(不经 SPI), 这条硬件路径是 ASIL D 必须 — SPI 路径有 latency + 单点故障(SPI 死了 fault 传不过去),硬线直连保证 fault 传输不丢。

NXP FS65 + S32K3 走 SafeAssure 整套 case, Infineon AURIX + OPTIREG 不叫 SafeAssure, 但提供等价的 "Safety Manual + Safety Analysis Summary Report (SASR)"。两家文档结构相似,差别在命名 + 是否打包成单一 brand。下表是 Infineon 这套文档清单:

Tier-1 集成工时:AURIX + OPTIREG 套 6-10 月(Safety Plan + iLLD 集成 + Safety OS + FMEDA + safety case),NXP S32K3 + FS6500 类似 6-8 月,从头做单核 MCU ASIL D 通常 18 月 — 用集成方案省 70 %。

三家在 ASIL D 都达成,但架构哲学 + 强弱场景完全不同 — AURIX 追算力多任务,Hercules 追简洁单任务 + ARM 生态,RH850 追日系 OEM 生态锁定 + GTM timer 强项:

Tier-1 决策口诀:

• 中国 EV 主驱 / 制动 / 转向 / L2+ → TC397 (90 % 默认)
• EPS / Brake 简洁单任务 → Hercules TMS570 (省 BOM + ARM 迁移成本低)
• 日系 OEM ICE/HEV ECU → RH850 (生态锁定)

3 家是 cohort 关系而非纯竞品 — 通常 OEM 选型偏好 + ecosystem 已绑定决定 MCU 选择,且 MCU 厂决定 PMIC 选择(AURIX → OPTIREG / TLE9243QK,Hercules → TPS6538x,RH850 → RAA271005)。