英飞凌 AURIX 2G Safety Management Unit (SMU).pdf

英飞凌AURIX系列单片机的SMU安全管理单元是其核心安全功能组件之一，它在故障管理、错误检测和故障反应方面提供了一系列安全机制。 故障管理系统的概念（SMU：概念）对于理解AURIX的SMU安全管理单元至关重要。故障管理系统是实现微控制器安全性的关键机制，主要负责故障检测和故障反应。故障管理系统确保在发生故障的情况下，微控制器能够及时进入安全状态，并采取必要的恢复措施。SMU支持故障容忍时间间隔（FTTI），其值至少为10毫秒，这意味着微控制器能够在指定的容错时间窗口内响应故障。故障检测时间的最坏情况是软件诊断时间间隔（这取决于应用），但AURIX硬件安全机制提供了非常快的故障检测时间，绝大多数情况下在100MHz下低于1微秒。 SMU安全特性（SMU安全特性：更新）涉及到了SMU的安全机制更新。SMU集成了软件重置、系统控制单元、软硬件报警接口、中央处理单元（CPU）、错误记录、故障信号协议、内部和硬件报警、报警组合以及恢复定时器等要素。这些机制在运行时提供了软件和硬件安全措施，包括周期性的错误检测和故障响应。软件安全机制涉及基于软件的运行时安全功能，而硬件安全机制则涉及基于硬件的运行时安全功能。报警机制可进一步分为不同的报警组（Alarm Groups），每个报警组负责对一组特定的错误进行处理。 故障反应概念（AURIX故障反应概念）强调错误管理在安全管理单元中的集中式处理。安全管理单元通过软件重置和系统控制单元（SMU）来实现错误的检测与反应。在发生错误时，SMU负责初始化错误响应流程，如清除重置定时器、分析并记录错误、触发重置CPU，并根据错误的性质选择不同的错误恢复和处理策略。 在具体的故障反应示例（故障反应示例）中，英飞凌AURIX2G SMU提供了多种故障处理策略，包括： - 非屏蔽中断（NMI）加上内部重置机制，在发生错误时进行错误分析、记录，并触发CPU重置； - 恢复定时器超时，如果CPU无法清除恢复定时器，则触发重置； - NMI加上故障信号处理器（FSP）和安全状态控制器（SSC）延迟反应，提供给系统尝试故障恢复动作的时间。 AURIX2G SMU具备在硬件层面上检测故障的能力，并在软件层面上进行故障处理。所有这些机制共同工作，确保了AURIX系列单片机在工业、汽车等要求高度安全的应用中，能够可靠地执行其任务，并在检测到故障时采取适当的措施以确保系统安全。英飞凌的这些技术文档详细介绍了该安全管理单元的内部工作原理、其安全特性以及如何在发生故障时进行有效的反应，为实现高性能的安全关键应用提供了技术支持。