5. TC4x RAM ECC 可修正位元錯誤
AURIXTM 片內易失性儲存單元RAM 可糾正位元錯誤在運作中被讀取時會被ECC 機制即時糾正,所以對這類可修正位元錯誤的硬體故障,應用上由於可以保證讀取的RAM 內容是正確的,不存在引起違反系統安全目標的的風險,片內 RAM 可糾正位元錯誤的故障不需要用戶對其做任何響應,因此TC4x 中取消了RAM 可糾正位元錯誤的位址緩存設計,不再將其列為安全相關的故障。 TC3x 中沒有強調這一點,使用者很容易在設計中忽略這一點,導致對 RAM 可糾正位元錯誤故障的過度安全回應動作頻傳。
6. TC4x MBIST 揮發性存儲單元自我檢測
AURIXTM TC4x 片內易失性儲存單元 RAM 的集成測試模組支援對 RAM 做 MBIST (Memory Build-In-Self-Test)自檢。 TC3x MBIST 只支援 Non-destructive Inversion Test (NDIT),而 TC4x MBIST 升級到支援 Destructive Test。 Destructive Test 有更高的診斷覆蓋率,可以達到 ASIL-D 等級。此外,TC4x 支援 Key-On / Key-Off 的 MBIST 測試。在 TC4x SafeTlib 軟體中包含了 Key-on / Key-off MBIST 測試。
7. TC4x LBIST 邏輯電路自檢
ARUIXTM TC4x LBIST 支援兩種操作模式,Key-on LBIST 和 Key-off LBIST。在 TC4 內部把 LBIST 進行了分層設計,分成多個測試域。 Key-on LBIST 只測試片內安全相關的數字邏輯電路,可在 5~6ms 之內完成,可達到 90% Stuck-at 測試覆蓋率。 Key-off LBIST 測試晶片內部完整的數字邏輯電路,多層測試域依序完成測試,每層測試域測試在 50ms 之內,可達 90% Stuck-at 測試覆蓋率。在 TC4x SafeTlib 軟體中包含了 Key-on LBIST 測試。
8. TC4x Clock Monitoring 時鐘監控
ARUIXTM TC4x 時鐘系統中保留如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬體安全機制。此外,TC4x 中加入了針對片內產生的各個時鐘的Plausibility 合理性檢查的硬體安全機制,這一安全機制在TC3x 中是需要用戶軟體來實現的,TC4x 這些增強的硬體安全機制簡化了用戶對時鐘安全的軟體設計。
9. TC4x Power Monitoring 電壓監控
AURIXTM TC4x 同TC3x 一樣有一級欠壓監控和二級欠壓過壓監控,不同於TC3x,TC4x 中只有二級欠壓過壓監控被列入片內電源監控安全機制中,一級欠壓監控不再歸為安全相關。理由是,當電壓在 TC4x 工作電壓範圍之內到達一級欠壓監控電壓閾值之前,二級欠壓和過壓監控即可以報出 Alarm,SMU 可以對該 Alarm 執行合適的安全響應動作。
10. TC4x Over-temperature 過溫監控
AURIXTM TC4x 同 TC3x 一樣有冗餘的溫度偵測模組 DTS,不同於 TC3x 的 2 個,TC4x 中增加到了 6 個。而且在TC4x 中只有過溫才是安全相關的,因為MCU 的任何內部故障都不會使其自行降溫,故溫度過低不是MCU 故障導致的失效模式,所以只有晶片過溫才被納入安全考慮範圍。 DTS 會每隔 2ms 持續測溫,如晶片過溫即報出 Alarm。
11. Safe Digital Actuation 安全數字輸出
在針對安全數位輸出的設計中,通常是對一個 Mission Channel 輸出增加一個 Monitoring Channel 輸入返回到 AURIXTM 進行監控,通過比較兩個訊號來確保 AURIXTM 數位輸出如預期,以達到 ASIL-D 的安全數字輸出。在 TC3x 中,這種比較通常引入了一個 IOM (Input Output Monitor) 硬體模組來完成。在TC4x 中,這個硬體模組已經被去掉,對於Mission Channel 輸出訊號和Monitoring Channel 回讀訊號的比較,通常由訊號發生單元同時也是訊號擷取單元的硬體模組如GTM/eGTM 即可以實現,對使用者來說簡化了安全字位輸出的設計。