AURIXTM 作為英飛凌 32位 汽車級 MCU 家族的產(chǎn)品之一，其第二代產(chǎn)品 AURIXTM TC3x 已經(jīng)是汽車界公認的功能安全設(shè)計優(yōu)秀的產(chǎn)品，獲得了良好的業(yè)內(nèi)口碑。這也是源于英飛凌從 AURIXTM 第一代產(chǎn)品 TC2x 開始，就秉持功能安全的理念按照 ISO 26262 : 2011 設(shè)計出第一款支持 ASIL-D 最高安全等級的 MCU 產(chǎn)品。

AURIXTM 功能安全概念經(jīng)歷了 TC2x 到 TC3x 的優(yōu)化升級，到 AURIXTM 第三代產(chǎn)品 TC4x，芯片的功能安全特性在 TC3x 產(chǎn)品之上又做了進一步的提升，而且完全符合 ISO 26262 : 2018 功能安全標準，增強的功能安全特性可以讓用戶的系統(tǒng)功能安全設(shè)計更加易于實現(xiàn)。同時，英飛凌的電源管理芯片 OPTIREGTM PMIC 從設(shè)計之初一直是 AURIXTM 的最佳搭檔，從搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合讓汽車安全系統(tǒng)設(shè)計更加合理。

1

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR

MCU 產(chǎn)品，ISO26262 規(guī)定了它可以先于相關(guān)項而按照 SEooC (Safety Element out of Context) 來設(shè)計，也就意味著它不是為了某一個相關(guān)項設(shè)計的，并且先于其存在。它是否滿足汽車里的各種應(yīng)用場景，（找元器件現(xiàn)貨上唯樣商城）能否更好地助力汽車系統(tǒng)安全設(shè)計，首先就要看該 MCU 的頂層安全需求 TLSR 的定義是否合理。有了這些頂層安全需求 TLSR，MCU 產(chǎn)品的硬件軟件設(shè)計都將圍繞其展開。

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR（Top Level Safety Requirement）可以分成三大類來表征：

MCU 安全相關(guān)功能的 TLSRs，包含安全運行代碼、安全啟動、安全輸入、安全輸出、安全通訊、安全傳感器接口，等等。

支持安全狀態(tài)的 TLSRs，包含故障報警后的響應(yīng)以對芯片內(nèi)部或外部電路報告。

免于共因失效的 TLSRs，包含避免電源、時鐘、過溫等引起的共因失效，監(jiān)控不同安全等級的軟件影響，等等。

2

AURIXTM TC4x 產(chǎn)品的頂層安全需求

TLSR 是如何得出的？

簡單來說，從汽車中的各種應(yīng)用需求中抽取而來。

下圖中是一個典型的管柱 EPS 電子助力系統(tǒng)，系統(tǒng)中包含了 EPS ECU 控制器、方向盤轉(zhuǎn)向角傳感器、方向盤轉(zhuǎn)矩傳感器、轉(zhuǎn)向柱助力電機、電機位置傳感器等。經(jīng)過 HARA 分析后，EPS系統(tǒng)具有最高安全完整性等級要求的整車層面危害和安全目標是：

假設(shè) EPS ECU 控制器中分解到 MCU 的目標 FIT 值為 3~4FIT，量化指標要求 ASILD 99% SPFM 和 90% LPFM，安全時間要求 FTTI 50~150ms。按照應(yīng)用假設(shè)，EPS ECU 控制器中需要 MCU 具備的安全功能有：

MCU 可以安全運行軟件，不同安全等級的軟件可以互不影響

MCU 需要在運行用戶代碼之前安全的啟動

啟動時間要在 200ms 之內(nèi)

MCU 可以冗余的讀取電機位置傳感器信號如數(shù)字信號 SENT 或者模擬信號

MCU 可以輸出安全的 PWM 控制信號

MCU 通訊接口可以同其他 ECU 安全的傳輸信號

當 MCU 故障發(fā)生時，可以輸出故障指示信號，通知外圍電路，讓系統(tǒng)進入安全狀態(tài)

…...

以此方法分析汽車中常見的不同應(yīng)用的控制系統(tǒng)，如發(fā)動機控制系統(tǒng)（EMS）、新能源車電池管理系統(tǒng)（BMS）、電源轉(zhuǎn)換系統(tǒng)（OBC/DCDC）、動力牽引系統(tǒng)（Traction Inverter）、電子剎車助動系統(tǒng)、ADAS 輔助自動駕駛系統(tǒng)、雷達處理系統(tǒng)、網(wǎng)關(guān)、車身控制系統(tǒng)等等，從各種不同的應(yīng)用場景中抽取出了對 AURIXTM TC4x 產(chǎn)品的頂層安全需求，后續(xù)的產(chǎn)品設(shè)計活動將圍繞著這些頂層安全需求展開等。

3

AURIXTM TC4x 產(chǎn)品的頂層安全需求 TLSR 是如何落實到實際的應(yīng)用設(shè)計中的？

簡單來說，通過把 TC4x TLSR 的各個應(yīng)用案例 Use Case 跟實際應(yīng)用場景結(jié)合后運用到實際應(yīng)用的設(shè)計中。

AURIXTM TC4 的每一個 TLSR 都可以列舉出一個以上的應(yīng)用案例 Use Case，通過這些應(yīng)用案例 Use Case 就可以把 AURIXTM TC4x 這些頂層安全需求具體化和場景化。用戶在設(shè)計實際系統(tǒng)時根據(jù)需要選擇出其中適合的應(yīng)用案例。

比如，TC4x ASIL-D 安全軟件執(zhí)行 TLSR，在應(yīng)用中不同的場景可能有：

CPU 訪問各自的 NVM 和 RAM 空間

SOTA SWAP 后 CPU 運行代碼的訪問區(qū)間是 PFLASH Bank A 或者 Bank B

CPU 訪問其他 CPU 的 NVM 和共享 RAM 空間

CPU 訪問DFLASH 中數(shù)據(jù)或者存儲數(shù)據(jù)至 DFLASH 中

代碼存儲在片外 FLASH 中

……

比如，TC4x ASIL-D 安全模擬輸入TLSR，在應(yīng)用中可以實現(xiàn)的場景有：

冗余 ADC 通道輸入到兩個 TC4x ADC 模塊中，兩個 ADC 模塊可以是同一種類型的，比如都是 TMADC 模塊，或者都是 DSADC 模塊。

比如，TC4x ASIL-B 安全模擬輸入TLSR ，在應(yīng)用中可以實現(xiàn)的場景有：

一個 ADC 通道輸入到 TC4x 內(nèi)部后進入兩個 ADC 模塊后分別處理。

一個 ADC 通道輸入到 TC4x 內(nèi)部的一個 ADC 模塊進行處理。

4

AURIXTM TC4x 產(chǎn)品中設(shè)計了怎樣的安全機制以助力應(yīng)用案例達到目標 ASIL？

AURIXTM TC4x 每個頂層安全需求的應(yīng)用案例中，都有其目標 ASIL 等級，這就意味著有量化指標（SPFM, LFM & PMHF）的要求。每個應(yīng)用案例中包含了 TC4x 的不同的內(nèi)部功能模塊，這些功能模塊都可能會發(fā)生故障引發(fā)失效從而引入失效率 FIT 值，因此必須對每個模塊的各種失效模式加以一定的診斷機制，以降低該模塊的失效率，從而使整個應(yīng)用案例的失效率降低到可以接受的水平，達到目標 ASIL 等級的量化指標要求。

對于芯片內(nèi)部故障的診斷來自于不同的安全機制：

內(nèi)部硬件安全機制 SM[HW]

內(nèi)部軟件安全機制 SM[SW]

外部硬件安全機制 ESM[HW]

外部軟件安全機制 ESM[SW]

AURIXTM TC4x 跟 TC3x 一樣，設(shè)計了非常多的內(nèi)部硬件安全機制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增強了許多片內(nèi)硬件安全機制的設(shè)計。接下來從幾個方面說明一下這些增強點和變化點。

1. TC4x Systematic Fault Avoidance 避免系統(tǒng)失效

在 TC4x 產(chǎn)品硬件設(shè)計中增加了 Systematic Fault Avoidance ASIL-D 的頂層安全需求。除 SCR、CSRM 等少數(shù)幾個模塊是 QM 或 ASIL-B 等級，其他模塊硬件電路都可以達到 ASIL-D 等級。

2. TC4x Safe Boot 安全啟動

固化在 TC4x 內(nèi)部 ROM 的啟動代碼 SSW 是按照 ASIL-D 安全等級開發(fā)的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上電啟動檢測，目的是讓 TC4x 在開始運行用戶代碼時有一個安全完整的初始環(huán)境。固件啟動代碼 SSW 中集成的安全機制可以識別啟動代碼運行過程中硬件模塊的故障導(dǎo)致的非預(yù)期行為，從而讓 TC4x 啟動停止。如果 TC4x 沒有安全完整的啟動過程，用戶代碼就不會被運行，因而系統(tǒng)也不會存在潛在失效的風險。

3. TC4x SMU 升級為 Safety and Security Alarm Management Unit

AURIXTM TC3x 的 SMU 模塊包含了 SMU_core 和 SMU_stdby 兩個冗余模塊，而 TC4x 中 SMU 模塊則升級為 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四個子模塊。

SMU_CS 位于 Core Domain，它負責收集處理跟 Security 相關(guān)的片內(nèi) Alarm 報警，如密鑰使用錯誤、認證失敗、調(diào)試口誤使能監(jiān)控等報警，或者如電源監(jiān)控、總線時鐘監(jiān)控、總線錯誤等報警，都由 SMU_CS 來處理和響應(yīng)。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它們負責收集處理跟 Safety 相關(guān)的片內(nèi) Alarm 報警。SMU_SAFE0 和 SMU_SAFE1 設(shè)計一樣，TC4x 片內(nèi)所有安全機制的 Alarm 都可以接入兩個 SMU_SAFEx 模塊中，由用戶來決定哪些 Alarm 由哪個 SMU_SAFEx 來處理，SMU_SAFEx 會根據(jù) Alarm 配置來進行相應(yīng)的響應(yīng)動作。兩個 SMU_SAFEx 模塊可以獨立使用，分開處理片內(nèi)不同的 Alarm，分別有各自獨立的錯誤狀態(tài)輸出腳連接至片外其他芯片（如英飛凌 PMIC TLF4x），該雙 SMU_SAFEx 模塊設(shè)計的目的是面向多應(yīng)用集成于一個 TC4x 的場景下，各個應(yīng)用有其獨立的故障響應(yīng)路徑，進而使系統(tǒng)進入安全狀態(tài)。

SMU_STDBY 位于 Standby Domain，獨立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模塊，它負責收集片內(nèi)引起 CCF 共因失效的電壓、溫度、時鐘的安全機制報警，還通過 SMU Alive 信號監(jiān)控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中處理的片內(nèi)安全機制 Alarm 信號可以分別集中到一個 Critical Alarm 中送至 SMU_STDBY 中做冗余處理。SMU_STDBY 對這些 Alarm 響應(yīng)時可以強制將 FSP Error Pin 轉(zhuǎn)為故障狀態(tài)，通知外圍監(jiān)控芯片做二級安全路徑的輸出控制

4. TC4x Safe Computation Platform 安全軟件運行

AURIXTM 中跟安全軟件運行相關(guān)的模塊包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全機制，針對 IR 和 DMA 模塊，TC3x 產(chǎn)品則需要用戶實現(xiàn)外部軟件安全機制來診斷 IR 和 DMA 模塊的故障。但是在 TC4x，Lockstep 鎖步核安全機制已經(jīng)從 CPU 擴展到了 IR 和 DMA，過去的 TC3x 中的軟件安全機制就不再需要了，這一設(shè)計對用戶非常友好。

5. TC4x RAM ECC 可糾正位錯誤

AURIXTM 片內(nèi)易失性存儲單元 RAM 可糾正位錯誤在運行中被讀取時會被 ECC 機制實時糾正，所以對這類可糾正位錯誤的硬件故障，應(yīng)用上由于可以保證讀取的 RAM 內(nèi)容是正確的，不存在引起違反系統(tǒng)安全目標的的風險，片內(nèi) RAM 可糾正位錯誤的故障不需要用戶對其做任何響應(yīng)，因此 TC4x 中取消了 RAM 可糾正位錯誤的地址緩存設(shè)計，不再將其列為安全相關(guān)的故障。TC3x 中沒有強調(diào)這一點，用戶很容易在設(shè)計中忽視這一點，導(dǎo)致對 RAM 可糾正位錯誤故障的過度安全響應(yīng)動作頻發(fā)。

6. TC4x MBIST 易失性存儲單元自檢

AURIXTM TC4x 片內(nèi)易失性存儲單元 RAM 的集成測試模塊支持對 RAM 做 MBIST （Memory Build-In-Self-Test）自檢。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升級到支持 Destructive Test。Destructive Test 有更高的診斷覆蓋率，可以達到 ASIL-D 級別。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 測試。在 TC4x SafeTlib 軟件中包含了 Key-on / Key-off MBIST 測試。

7. TC4x LBIST 邏輯電路自檢

ARUIXTM TC4x LBIST 支持兩種操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 內(nèi)部把 LBIST 進行了分層設(shè)計，分成多個測試域。Key-on LBIST 只測試片內(nèi)安全相關(guān)的數(shù)字邏輯電路，可以在 5~6ms 之內(nèi)完成，可以達到 90% Stuck-at 測試覆蓋率。Key-off LBIST 測試芯片內(nèi)部完整的數(shù)字邏輯電路，多層測試域依次完成測試，每層測試域測試在 50ms 之內(nèi)，可以達到 90% Stuck-at 測試覆蓋率。在 TC4x SafeTlib 軟件中包含了 Key-on LBIST 測試。

8. TC4x Clock Monitoring 時鐘監(jiān)控

ARUIXTM TC4x 時鐘系統(tǒng)中保留了如 TC3x 一樣的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三種硬件安全機制。此外，TC4x 中加入了針對片內(nèi)產(chǎn)生的各個時鐘的 Plausibility 合理性檢查的硬件安全機制，這一安全機制在 TC3x 中是需要用戶軟件來實現(xiàn)的，TC4x 這些增強的硬件安全機制簡化了用戶對時鐘安全的軟件設(shè)計。

9. TC4x Power Monitoring 電壓監(jiān)控

AURIXTM TC4x 同 TC3x 一樣有一級欠壓監(jiān)控和二級欠壓過壓監(jiān)控，不同于 TC3x，TC4x 中只有二級欠壓過壓監(jiān)控被列入片內(nèi)電源監(jiān)控安全機制中，一級欠壓監(jiān)控不再歸為安全相關(guān)。理由是，當電壓在 TC4x 工作電壓范圍之內(nèi)到達一級欠壓監(jiān)控電壓閾值之前，二級欠壓和過壓監(jiān)控即可以報出 Alarm，SMU 可以對該 Alarm 執(zhí)行合適的安全響應(yīng)動作。

10. TC4x Over-temperature 過溫監(jiān)控

AURIXTM TC4x 同 TC3x 一樣有冗余的溫度檢測模塊 DTS，不同于 TC3x 的 2 個，TC4x 中增加到了 6 個。而且在 TC4x 中只有過溫才是安全相關(guān)的，因為 MCU 的任何內(nèi)部故障都不會使其自行降溫，故溫度過低不是 MCU 故障導(dǎo)致的失效模式，所以只有芯片過溫才被納入安全考慮范圍。DTS 會每隔 2ms 持續(xù)測溫，如芯片過溫即報出 Alarm。

11. Safe Digital Actuation 安全數(shù)字輸出

針對安全數(shù)字輸出的設(shè)計中，通常是對一個 Mission Channel 輸出增加一個 Monitoring Channel 輸入返回到 AURIXTM 進行監(jiān)控，通過比較兩個信號來確保 AURIXTM 數(shù)字輸出如預(yù)期，以達到 ASIL-D 的安全數(shù)字輸出。在 TC3x 中，這種比較通常引入了一個 IOM (Input Output Monitor) 硬件模塊來完成。在 TC4x 中，這個硬件模塊已經(jīng)去掉，對于 Mission Channel 輸出信號和 Monitoring Channel 回讀信號的比較，通常由信號發(fā)生單元同時也是信號捕獲單元的硬件模塊如 GTM/eGTM 即可以實現(xiàn)，對用戶來說簡化了安全數(shù)字輸出的設(shè)計。

12. Safe Digital Acquisition 安全輸字輸入

針對安全數(shù)字輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比校驗數(shù)字輸入的完整性。TC4x 中用獨立的 GTM/eGTM 雙通道捕獲外部雙路數(shù)字輸入進行冗余校驗可以實現(xiàn) ASIL-D 的安全輸入方案，外部單路數(shù)字輸入至芯片內(nèi)部分成雙通道至獨立的 GTM/eGTM 雙通道進行冗余校驗可以實現(xiàn) ASIL-B 的安全輸入方案。比 TC3x 的安全數(shù)字輸入應(yīng)用案例更加豐富，便于用戶靈活設(shè)計。

13. Safe Analog Acquisition 安全模擬輸入

針對安全模擬輸入的安全機制，通常采用冗余輸入的方式，一個 Mission Channel 和一個 Monitoring Channel，通過對比進行校驗?zāi)M輸入的完整性。TC4x 中針對安全模擬輸入，同類 ADC 模塊的雙路輸入冗余校驗（如 TMADC + TMADC 或者 DSADC + DSADC）即可以實現(xiàn) ASIL-D 的安全模擬輸入方案；外部單路模擬輸入至芯片內(nèi)部后分成雙通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）進行冗余校驗，或者外部單輸入通道送至內(nèi)部單 ADC 模塊處理，都可以實現(xiàn) ASIL-B 的安全輸入方案。這比 TC3x 的安全應(yīng)用案例更加豐富，幫助用戶設(shè)計所需 ASIL 等級的安全模擬輸入方案。

除了上面這些安全特性的增強或者變化，TC4x 中還增加了一些新的 IP 模塊，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，對它們也都有頂層安全需求和應(yīng)用案例，相應(yīng)地增加了所需的安全機制。

5

OPTIREGTM TLF4x 助力 AURIXTM TC4x

實現(xiàn) ASIL D 的應(yīng)用設(shè)計

英飛凌的 TLF3x和 TLF4x 兩代電源管理芯片，都具備了為 AURIXTM 量身定制的安全監(jiān)控功能，提供 AURIXTM 所需的外部安全措施：

供電電壓監(jiān)控

時鐘監(jiān)控（看門狗）

SMU（安全管理單元）告警監(jiān)控

此外，PMIC 還為系統(tǒng)提供獨立于 MCU 的第二條關(guān)斷路徑，與 MCU 兩者搭配，組成最小的功能安全核心單元，支持系統(tǒng)實現(xiàn)ASIL-D 的功能安全要求。

TLF4x 系列的電源管理芯片，相較于 TLF35584/5，在功能安全結(jié)構(gòu)上做了更進一步的優(yōu)化和增強：

1. 自帶安全關(guān)斷控制（Safety Switch）

PMIC 的一級同步 DCDC (Pre-buck) 實現(xiàn)了從高壓域（12V/24V）到低壓域（<6V）的轉(zhuǎn)換，其功率 MOSFET 半橋中的上管是連接高壓域和低壓域的器件。這個 MOSFET 的 D-S 短路失效模式，是整個系統(tǒng)供電單元的單點失效，為系統(tǒng)的功能安全達到ASIL-D 帶來了挑戰(zhàn)，當這個同步 Pre-Buck 為 MOSFET 外置的結(jié)構(gòu)時，其影響尤為顯著。

TLF4x 系列的 PMIC 全部集成了安全關(guān)斷控制單元，能夠檢測到 Pre-Buck 的功率 MOSFET 上發(fā)生的嚴重故障（包括上管的D-S 短路故障），繼而觸發(fā)關(guān)斷路徑，為這部分單點失效提供了診斷覆蓋，使系統(tǒng)電源設(shè)計輕松達到 ASIL-D 的功能安全要求。

2.支持多合一系統(tǒng)的獨立安全監(jiān)控/關(guān)斷策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能夠支持兩套獨立的“時鐘監(jiān)控”和“SMU告警監(jiān)控”，同時，提供兩套獨立的“中斷告警（INTx）”和“安全關(guān)斷路徑（SSOx）”，以配合 TC4x 的 Hypervisor 功能實現(xiàn)在多合一系統(tǒng)中，多個應(yīng)用在功能和功能安全設(shè)計上的獨立性。

6

AURIXTM TC4x SafeTlib 安全軟件庫

TC4x SafeTlib 安全軟件庫是由英飛凌開發(fā)的可以集成到 AUTOSAR 環(huán)境中的商用軟件包，ASIL-D 安全等級，支持單核或多核環(huán)境。

TC4x 內(nèi)置 BIST 電路如 LBIST、MBIST、MONBIST 可以提供覆蓋到片內(nèi)數(shù)字電路、RAM 存儲單元、電壓監(jiān)控電路的潛伏故障的檢測，但是這些 BIST 電路有些是需要軟件進行觸發(fā)并檢驗測試結(jié)果的。此外，TC4x 片內(nèi)有一些硬件安全機制需要額外的測試，還有一些硬件安全機制的報警通路需要測試，以降低潛伏故障的風險，這些都可以由 TC4x SafeTlib 軟件來完成。此外，配合 TC4x 的 PMIC TLF4x 的復(fù)雜驅(qū)動包和 TLF4x 內(nèi)置安全Watchdog即作為 TC4x外部安全Watchdog 的驅(qū)動包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全應(yīng)用案例中提到的運行中的軟件安全機制需要用戶自行實現(xiàn)

7

AURIXTM TC4x AUTOSAR MCAL 軟件

TC4x MCAL 軟件是由英飛凌開發(fā)的 AUTOSAR底層商用軟件包。其安全目標，一是從功能角度避免系統(tǒng)性失效可達到 ASIL-D 或者 ASIL-B 級別（不同 MCAL 軟件模塊的應(yīng)用需求決定其 ASIL 等級不同），二是避免內(nèi)存干擾系統(tǒng)中其他軟件可達到 ASIL-D 級別。幫助用戶在系統(tǒng)設(shè)計中有 ASIL-D 軟件功能安全需求時可以有相應(yīng)的 ASIL-D 的 MCU 底層軟件來支撐，同時保證集成到 ASIL-D系統(tǒng)軟件中時 TC4x MCAL 軟件不會對任何非MCAL 軟件造成任何干擾。

結(jié)束語

綜上所述，AURIXTM TC4x 和 OPTIREG? PMIC TLF4x 在支持 ASIL-D 功能安全需求的設(shè)計上更上一層樓，不僅增加了符合未來汽車電子產(chǎn)品的新功能需求，而且設(shè)計上的優(yōu)化也幫助客戶設(shè)計系統(tǒng)功能安全時的選擇更靈活且更便捷。AURIXTM TC4x 和 OPTIREG? PMIC TLF4x產(chǎn)品在英飛凌創(chuàng)新峰會（IACE）上已強勢發(fā)布，更多關(guān)于 TC4x 和 TLF4x 產(chǎn)品的功能安全特性可以聯(lián)系英飛凌獲取 TC4x和TLF4x 功能安全相關(guān)文檔。

審核編輯 黃宇