资料下载|Aurix TC3xx功能安全应用规范

**第一章 AURIX™ TC3xx功能安全概述**
**1.1 关于本文档**
本文档旨在为不熟悉AURIX™ TC3xx微控制器单元（MCU）在功能安全领域应用的用户提供一套初步指南，涵盖汽车、工业等领域的功能安全标准需求。
**1.2 目标受众**
目标受众包括评估AURIX™ TC3xx MCU的功能安全工程师和应用工程师，特别是那些对功能安全（FUSA）应用感兴趣或需要了解硬件支持如何实现功能安全的新手。
**1.3 文档结构**
文档分为四个主要部分：AURIX™ TC3xx平台、功能安全介绍、FUSA应用介绍、AURIX™ TC3xx MCU与FUSA的详细讨论、安全软件启用与AURIX™ TC3xx的集成。

**第二章 主要安全概念介绍**
**2.1 功能安全**
功能安全关注减少系统对人类造成伤害的风险至可接受水平，涉及设备控制、控制系统及其他风险降低措施。
**2.2 系统性和随机性故障**
系统性故障源于设计或制造缺陷，随机性故障则源于硬件元素的概率性分布，需通过预防措施和检测缓解机制来管理。
**2.3 ISO 26262和IEC 61508标准视角**
ISO 26262针对汽车领域，IEC 61508针对工业领域，两者在安全性分类、文档要求等方面存在差异。
**2.4 汽车领域的安全元素上下文（SEooC）**
AURIX™ TC3xx作为SEooC硬件组件，需系统集成商根据系统级属性和要求进行集成。
**2.5 故障安全系统**
故障安全系统设计为在系统任何元素故障时防止对人类造成伤害，通过进入安全状态实现。
**2.6 故障率**
故障率是系统或组件失效的频率，以每小时失效次数表示，用于评估系统可靠性。
**2.7 故障相关时间**
包括故障检测时间和故障反应时间，是功能安全系统关键指标，影响系统达到安全状态的速度。
**2.8 保护措施**
保护措施包括单一设备固有故障安全、带定期自检和监控的单一设备、两个独立通道比较等，旨在防止危害发生。

**第三章 AURIX™ TC3xx产品平台和可扩展性**
**3.1 产品平台概述**
AURIX™ TC3xx家族概念提供可扩展的功能集和引脚配置，满足ASIL-D和SIL 3分类要求，用户可根据具体应用选择最合适的产品。

**第四章 FUSA应用介绍**
**4.1 应用假设和安全功能实现**
应用假设包括安全目标、故障容忍时间间隔等，安全功能实现需考虑功能安全标准和等级。
**4.2 功能安全标准**
功能安全标准因应用领域而异，IEC 61508被视为所有功能安全标准的根源。
**4.3 功能安全等级**
功能安全等级根据应用领域分为不同级别，如汽车领域的ASIL A至D，工业领域的SIL 1至4。

**第五章 AURIX™ TC3xx MCU与FUSA**
**5.1 MCU基础设施块的安全性**
包括电源管理系统、时钟系统、系统控制单元等，通过硬件机制检测故障，确保MCU基础设施的正确配置和监控。
**5.2 处理块的安全性**
CPU采用锁步机制保护，非锁步CPU需软件自检，SRAM和PFlash采用ECC技术检测并纠正错误。
**5.3 MCU功能——ADAS**
支持雷达接口和信号处理单元，通过硬件安全机制监控正确行为，确保ADAS应用的高安全性。
**5.4 调试和测试功能**
调试和测试模块受硬件安全机制保护，提供无干扰性，确保在运行时不会干扰安全功能。
**5.5 SRI和FPI总线**
SRI和FPI总线通过内置硬件机制保护读写操作免受故障影响，确保数据完整性和系统可靠性。
**5.6 MCU通信功能**
DMA和中断处理通过硬件机制确保数据移动和中断服务的正确性，防止故障传播。
**5.7 应用相关块的安全性**
应用相关块如GTM和ADC通过冗余和比较实现安全功能，需避免相邻引脚使用以防止共因故障。
**5.8 MCU反应计划——SMU**
SMU收集硬件监控器的警报，触发适当反应，确保MCU在故障检测时进入安全状态。
**5.9 系统级硬件要求**
包括过电压监控、外部看门狗、外部错误信号等，需外部安全措施覆盖系统级安全方面。
**5.10 对引脚和封装的共因故障考虑**
通过非相邻引脚和封装球分配避免共因故障，确保冗余通道独立性。
**5.11 AURIX™ TC3xx客户安全包**
提供功能安全文档库，包括安全案例报告、安全手册等，支持客户达到项目目标安全等级。

**第六章 ISO 26262——电动助力转向**
**6.1 初始假设**
假设机械转向仍然存在，EPS系统需确保在检测到错误时切断电机电流，使车辆可手动控制。
**6.2 保护需求**
EPS系统需防止“意外转向”等安全危害，通过切断电机电流实现系统安全状态。
**6.3 硬件组件**
包括安全系统供电、桥式驱动器、角度传感器、扭矩传感器等，均需符合ISO 26262标准，确保高安全性。

**第七章 ISO 26262——XEV牵引逆变器**
**7.1 初始假设**
未具体说明，但通常涉及逆变器在电动汽车中的安全应用，需确保在故障时保护车辆和乘客。
**7.2 保护需求**
保护需求包括防止短路、过温、过流等，确保逆变器在故障时不会造成危害。
**7.3 硬件组件**
包括AURIX™ TC3xx MCU、门驱动器、电流传感器等，需符合ISO 26262标准，实现高安全性。

**第八章 安全软件启用与AURIX™ TC3xx**
**8.1 MCU操作模式**
AURIX™ TC3xx支持多种操作模式，包括启动、运行、复位等，需根据安全需求配置。
**8.2 重置类型**
包括冷复位、热复位等，需根据故障类型选择适当的重置方式。
**8.3 启动和引导程序**
启动过程分为模拟上电和数字启动两阶段，确保MCU正确初始化。
**8.4 运行时单点故障测试**
通过软件检查确保关键硬件功能在运行时无单点故障。
**8.5 错误处理**
错误处理机制包括中断请求、非屏蔽中断、CPU复位请求等，确保MCU在检测到错误时采取适当措施。
**8.6 多核方面**
多核MCU需考虑核间通信和同步，确保安全功能在多核环境中正确实现。
**8.7 无干扰性（FFI）**
通过硬件和软件机制确保调试和测试功能不会干扰安全功能的正常运行。

**第九章 参考文献**
**第十章 术语表**
**第十一章 修订历史**
**第十二章 免责声明**

以上AI阅读文档后生成,具体内容请自行下载学习.