引言
在汽车电子控制单元(ECU)中,非易失性存储器(Non-Volatile Memory,NVM)是确保程序代码持久存储、系统配置参数可靠保存、以及关键数据不因断电而丢失的核心模块。英飞凌AURIX TC3xx系列微控制器采用了精心设计的NVM子系统架构,融合了高性能、高可靠性和功能安全特性,成为满足ISO 26262 ASIL-D认证要求的关键支撑。
本文将深入剖析AURIX TC3xx的NVM子系统,从系统架构、存储组织、ECC纠错、用户配置块、安全机制等多个维度进行全面解析,帮助开发者理解这一复杂子系统的设计精髓。
一、NVM子系统整体架构
1.1 架构概述
AURIX TC3xx的NVM子系统是一个多组件协同工作的复杂系统,其核心目标是为CPU提供可靠的代码和数据存储能力,同时满足汽车应用对数据完整性和功能安全的严苛要求。
根据英飞凌官方文档,该子系统主要由以下模块组成:
- 数据存储单元(DMU, Data Memory Unit):负责控制和协调所有Flash存储器的命令序列执行
- 程序Flash接口(PFI, Program Flash Interface):为每个CPU核心提供到其本地PFlash Bank的高速点对点连接
- Flash标准接口(FSI, Flash Standard Interface):执行所有Flash存储器的擦除、编程和验证操作
- 程序Flash读写缓冲(PFRWB, Program Flash Read Write Buffer):执行ECC校正和检测,并向系统提供读取数据
- 数据Flash读写缓冲(DFRWB, Data Flash Read Write Buffer):为DFlash提供读写缓冲功能
图1:AURIX TC3xx NVM子系统官方架构图(来源:Infineon Documentation)
1.2 模块互连关系
NVM子系统的各组件之间通过精心设计的高速接口相连,形成了高效的数据通路。PFlash Bank通过专用的点对点PFI接口连接到对应的CPU核心,这种设计确保了CPU获取指令时的低延迟和高带宽。
图2:NVM子系统模块交互关系图
1.3 设计哲学
AURIX TC3xx的NVM设计体现了几个核心理念:
- 性能优化:通过点对点连接消除总线争用
- 读写并行:不同PFlash Bank之间支持"读-while-写"能力
- 安全隔离:安全相关代码可存储在独立Bank中
二、程序Flash(PFlash)深度解析
2.1 存储容量与分区
AURIX TC3xx系列微控制器的PFlash容量范围从1MB到16MB不等,具体取决于器件型号。以旗舰产品TC39x为例,其配备了高达16MB的嵌入式PFlash,采用镜像Bank设计,支持A/B软件更新功能。
2.2 读取机制详解
CPU对PFlash的读取操作采用内存映射(Memory-Mapped)方式,代码可以直接从Flash地址空间执行,无需先将数据复制到RAM。
Prefetch缓冲机制
PFI模块集成了Prefetch缓冲器,用于存储CPU的预测性取指数据。由于大多数代码具有顺序执行特性,Prefetch机制可以显著减少等待状态。
ECC校验流程
所有从PFlash读取的数据都会经过PFRWB中的ECC模块检查。每个256位数据块配有增强的错误检测码,能够检测最多3位错误,纠正单比特错误。
图3:NVM架构详细设计图
2.3 PFlash ECC深入分析
AURIX TC3xx的PFlash采用BCH编码实现ECC保护,这与SRAM使用的汉明码有本质区别。
- 码字长度:256位(32字节)
- 最小汉明距离:6
- 纠错能力:t位错误的完全纠正
图4:ECC纠错详细流程图
三、数据Flash(DFlash)深度解析
3.1 DFlash架构特点
DFlash的设计目标是提供高耐久性的数据存储能力,主要用于替代传统EEPROM。典型应用包括:
- 标定参数和配置数据
- 故障码(NVM)存储
- 运行日志和历史数据
- EEPROM仿真层的数据
3.2 EEPROM仿真机制
由于Flash本身的物理特性限制,擦除操作只能在较大的扇区级别进行。EEPROM仿真层通过软件算法解决了这一问题,实现逻辑扇区管理和磨损均衡。
3.3 DFlash ECC保护
DFlash同样受到ECC保护,但使用SECDED(单比特纠错双比特检测)方案。
四、用户配置块(UCB)深度解析
4.1 UCB的作用与分类
用户配置块(UCB)是存储在DFlash中的特殊配置区域,用于定义芯片启动和安全相关的关键参数。
图5:UCB配置块结构总览
4.2 启动配置(BOOT)
UCB_BOOT定义了芯片的启动行为,包括启动源选择、启动模式和HSM启动配置。
4.3 密码保护(PWD)与代码读取保护(CRP)
UCB_PWD用于设置芯片访问密码,UCB_CRP提供多级代码读取保护。
五、Flash编程与擦除机制
5.1 编程原理
Flash存储器利用浮栅(Floating Gate)晶体管存储电荷来表示数据状态。编程操作通过隧穿效应或热电子注入将电荷注入浮栅。
图6:Flash编程状态机流程
5.2 擦除原理
擦除操作通过向浮栅施加反向电压,将电荷从浮栅抽出。典型PFlash扇区擦除时间为100-500ms。
5.3 命令序列机制
FSI模块通过预定义的命令序列控制Flash操作,包括PAGE_PROGRAM、SECTOR_ERASE、ERASE_VERIFY等。
六、复位与启动流程
6.1 上电复位时序
AURIX TC3xx的复位系统设计确保芯片在各种电源条件下都能可靠启动。
图7:芯片启动完整流程图
6.2 Boot ROM执行
芯片上电后,BROM中的启动软件(SSW)首先获得控制权,执行硬件初始化、启动模式判断、Flash初始化等步骤。
6.3 Flash初始化过程
Flash初始化是启动过程中的关键步骤,需要按正确顺序配置等待状态、ECC模式、使能Prefetch等。
七、功能安全与数据完整性
7.1 ECC安全机制
AURIX TC3xx的NVM子系统使用ECC提供强大的错误检测和纠正能力。
- 数据完整性保护:存储数据通过ECC校验和确保完整性
- 读取路径保护:PFlash读取路径受到MISR、冗余触发器等监控
- 安全层设计:DMU和PFI模块共同提供读保护、写保护、主设备访问控制
7.2 PFI部分锁步
PFI模块实现了部分锁步机制,用于检测PFI内部路径的永久性故障,是达到ASILD认证的重要支撑。
八、总结
AURIX TC3xx的NVM子系统是专为汽车应用设计的复杂而精密的存储系统。其核心特点包括:
图8:本文核心内容思维导图
- 高性能架构:点对点PFI连接、独立Bank设计、Prefetch缓冲等确保CPU高效访问
- 强大数据保护:BCH编码的DECTED ECC、地址扩展保护、完善的错误处理机制
- 灵活配置能力:多类型UCB支持、安全分层、A/B镜像更新等
- 功能安全达标:符合ISO 26262 ASIL-D要求,多层次安全监控
理解NVM子系统的内部工作机制,对于开发可靠的汽车电子应用至关重要。
参考资料
- Infineon, "AURIX TC3xx User's Manual Part 1", 2021
- Infineon, "AURIX TC3xx User's Manual Part 2", 2021
- Infineon, "Non-Volatile Memory (NVM) Subsystem Documentation", https://documentation.infineon.com/aurixtc3xx/docs/qbu1702561828906
- Infineon, "AN0001 AURIX TC3xx functional safety (FuSa) in a nutshell"
版权声明:本文为作者原创,首发于CSDN,遵循CC BY-SA 4.0协议。