AURIX TC3xx Safety Mannaul

概要

AURIX TC387芯片基于SEOOC开发，最高支持ASILD。安全手册会对相关模块用于对应安全等级需要Tire1使用者满足哪些AoU。
安全手册中主要包含以下信息：
• 芯片安全架构的介绍，芯片的简要功能介绍和对应安全机制的描述
• 对应使用场景应当满足的AoU
芯片需要实现的安全配置和安全响应

安全手册文档说明

安全手册中的内容格式：
• SM[SW/HW]：芯片自身软硬件的安全机制
• ESM[SW/HW]：Tire1使用者需要实现的外部软硬件安全机制
• SMC[SW]:软件在初始化阶段需要实现的对安全机智的配置或者使能

芯片产品架构

TC387包含四个Core,其中Core0和Core1是锁步核。如果选用Core1锁步核实现功能安全，所以不需要考虑非锁步核相关的安全机制。
芯片的实现中CPU及内存 外设及之间的接口都考虑安全机制来覆盖失效模式。

System层级的AoU

对于芯片外部需要满足几个AoU来满足安全要求

基于SEOOC开发的芯片在系统中使用至少包含Sensor Controller Actustor三个部分，如下：
芯片中的DEBUG TRACE OVERLAY几个属于开发使用的功能不考虑满足功能安全要求，这些功能不应用于实际产品功能。
芯片的几种复位状态:
• COLD POWER-ON RESET：断开供电以后重新上电的复位状态，重新初始化RAM
• WARM POWER-ON RESET：由PORST外部复位引脚触发的复位，重新初始化调试口
• SYSTEM RESET:由ESR SMU 内部Wdg SW_Reset触发，重新初始化Flash
• APPLICATION RESET:由SMU SW_Reset触发，重新初始化CPU 外设 SCU pin脚和RAM的Cache2

芯片的启动主要过程：
• Analog power-up:外部供电大于2.4V,内部电路激活检查100MHz时钟，如果稳定自动执行SM[HW]PMS:PBIST自检。自检成功并且VDD VDD3 VEXT大于复位阈值时，POSRT复位引脚会被释放
• Boot Firmware: FW会在该阶段启动，检查SM[SW]:FW:MCU_STARTUP_PREOS_SSW
• SM[HW]:MCU:LBIST也可以配置SMC[SW]:MCU:LBIST_CFG在这个阶段执行。
• Application SW Startup:
a) 执行SM[HW]:MCU:LBIST（如果没有配置在FW中执行）
b) 评估LBIST执行结果ESM[SW]:MCU:LBIST_RESULT
c) 执行SM[HW]PMS:MONBIST避免二级电压监控和SMU_Stdby的故障潜伏
d) 确认FW的执行情况ESM[SW]:SYS:MCU_FW_CHECK
e) 确认FW的配置情况ESM[SW]:SYS:MCU_STARTUP
f) 检查SMU的功能ESM[SW]:SMU:ALIVE_ALARM_TEST
g) 执行SMU的其他功能ESM[SW]:SMU:REG_MONITOR_TEST
h) 检查内存检测功能SM[HW]:VMT:MBIST，确认执行结果ESM[SW]:VMT:MBIST和配置SMC[SW]:VMT:MBIST
i) 使能所有的Alarm,ALM8[0]和ALM8[3]在晶振和PLL配置后再Enable

Waitting for next…