引言

AURIXTM 作为英飞凌 32位 汽车级 MCU 家族的产品之一，其第二代产品 AURIXTM TC3x 已经是汽车界公认的功能安全设计优秀的产品，获得了良好的业内口碑。这也是源于英飞凌从 AURIXTM 第一代产品 TC2x 开始，就秉持功能安全的理念按照 ISO 26262 : 2011 设计出第一款支持 ASIL-D 最高安全等级的 MCU 产品。

AURIXTM 功能安全概念经历了 TC2x 到 TC3x 的优化升级，到 AURIXTM 第三代产品 TC4x，芯片的功能安全特性在 TC3x 产品之上又做了进一步的提升，而且完全符合 ISO 26262 : 2018 功能安全标准，增强的功能安全特性可以让用户的系统功能安全设计更加易于实现。同时，英飞凌的电源管理芯片 OPTIREGTM PMIC 从设计之初一直是 AURIXTM 的最佳搭档，从搭配 TC2x/TC3x 的 TLF35584/5，到搭配 TC4x 的TLF4x，二者的配合让汽车安全系统设计更加合理。

1、AURIXTM TC4x 产品的顶层安全需求 TLSR

MCU 产品，ISO26262 规定了它可以先于相关项而按照 SEooC (Safety Element out of Context) 来设计，也就意味着它不是为了某一个相关项设计的，并且先于其存在。它是否满足汽车里的各种应用场景，能否更好地助力汽车系统安全设计，首先就要看该 MCU 的顶层安全需求 TLSR 的定义是否合理。有了这些顶层安全需求 TLSR，MCU 产品的硬件软件设计都将围绕其展开。

AURIXTM TC4x 产品的顶层安全需求 TLSR（Top Level Safety Requirement）可以分成三大类来表征：

1. MCU 安全相关功能的 TLSRs，包含安全运行代码、安全启动、安全输入、安全输出、安全通讯、安全传感器接口，等等。

2. 支持安全状态的 TLSRs，包含故障报警后的响应以对芯片内部或外部电路报告。

3. 免于共因失效的 TLSRs，包含避免电源、时钟、过温等引起的共因失效，监控不同安全等级的软件影响，等等。

2、AURIXTM TC4x 产品的顶层安全需求TLSR 是如何得出的？

简单来说，从汽车中的各种应用需求中抽取而来。

下图中是一个典型的管柱 EPS 电子助力系统，系统中包含了 EPS ECU 控制器、方向盘转向角传感器、方向盘转矩传感器、转向柱助力电机、电机位置传感器等。经过 HARA 分析后，EPS系统具有最高安全完整性等级要求的整车层面危害和安全目标是：

假设 EPS ECU 控制器中分解到 MCU 的目标 FIT 值为 3~4FIT，量化指标要求 ASILD 99% SPFM 和 90% LPFM，安全时间要求 FTTI 50~150ms。按照应用假设，EPS ECU 控制器中需要 MCU 具备的安全功能有：

1. MCU 可以安全运行软件，不同安全等级的软件可以互不影响

2. MCU 需要在运行用户代码之前安全的启动

3. 启动时间要在 200ms 之内

4. MCU 可以冗余的读取电机位置传感器信号如数字信号 SENT 或者模拟信号

5. MCU 可以输出安全的 PWM 控制信号

6. MCU 通讯接口可以同其他 ECU 安全的传输信号

7. 当 MCU 故障发生时，可以输出故障指示信号，通知外围电路，让系统进入安全状态

8. …...

以此方法分析汽车中常见的不同应用的控制系统，如发动机控制系统（EMS）、新能源车电池管理系统（BMS）、电源转换系统（OBC/DCDC）、动力牵引系统（Traction Inverter）、电子刹车助动系统、ADAS 辅助自动驾驶系统、雷达处理系统、网关、车身控制系统等等，从各种不同的应用场景中抽取出了对 AURIXTM TC4x 产品的顶层安全需求，后续的产品设计活动将围绕着这些顶层安全需求展开。

3、AURIXTM TC4x 产品的顶层安全需求 TLSR 是如何落实到实际的应用设计中的？

简单来说，通过把 TC4x TLSR 的各个应用案例 Use Case 跟实际应用场景结合后运用到实际应用的设计中。

AURIXTM TC4 的每一个 TLSR 都可以列举出一个以上的应用案例 Use Case，通过这些应用案例 Use Case 就可以把 AURIXTM TC4x 这些顶层安全需求具体化和场景化。用户在设计实际系统时根据需要选择出其中适合的应用案例。

比如，TC4x ASIL-D 安全软件执行 TLSR，在应用中不同的场景可能有：

CPU 访问各自的 NVM 和 RAM 空间

SOTA SWAP 后 CPU 运行代码的访问区间是 PFLASH Bank A 或者 Bank B

CPU 访问其他 CPU 的 NVM 和共享 RAM 空间

CPU 访问DFLASH 中数据或者存储数据至 DFLASH 中

代码存储在片外 FLASH 中

……

比如，TC4x ASIL-D 安全模拟输入TLSR，在应用中可以实现的场景有：

冗余 ADC 通道输入到两个 TC4x ADC 模块中，两个 ADC 模块可以是同一种类型的，比如都是 TMADC 模块，或者都是 DSADC 模块。

比如，TC4x ASIL-B 安全模拟输入TLSR ，在应用中可以实现的场景有：

一个 ADC 通道输入到 TC4x 内部后进入两个 ADC 模块后分别处理。

一个 ADC 通道输入到 TC4x 内部的一个 ADC 模块进行处理。

4、AURIXTM TC4x 产品中设计了怎样的安全机制以助力应用案例达到目标 ASIL？

AURIXTM TC4x 每个顶层安全需求的应用案例中，都有其目标 ASIL 等级，这就意味着有量化指标（SPFM, LFM & PMHF）的要求。每个应用案例中包含了 TC4x 的不同的内部功能模块，这些功能模块都可能会发生故障引发失效从而引入失效率 FIT 值，因此必须对每个模块的各种失效模式加以一定的诊断机制，以降低该模块的失效率，从而使整个应用案例的失效率降低到可以接受的水平，达到目标 ASIL 等级的量化指标要求。

对于芯片内部故障的诊断来自于不同的安全机制：

• 内部硬件安全机制 SM[HW]

• 内部软件安全机制 SM[SW]

• 外部硬件安全机制 ESM[HW]

• 外部软件安全机制 ESM[SW]

AURIXTM TC4x 跟 TC3x 一样，设计了非常多的内部硬件安全机制，比如 CPU Lockstep、NVM ECC、RAM ECC、Power Voltage Monitor、Clock Monitor 等等，但是相比 TC3x，TC4x 中又增加和增强了许多片内硬件安全机制的设计。接下来从几个方面说明一下这些增强点和变化点。

1. TC4x Systematic Fault Avoidance 避免系统失效

在 TC4x 产品硬件设计中增加了 Systematic Fault Avoidance ASIL-D 的顶层安全需求。除 SCR、CSRM 等少数几个模块是 QM 或 ASIL-B 等级，其他模块硬件电路都可以达到 ASIL-D 等级。

2. TC4x Safe Boot 安全启动

固化在 TC4x 内部 ROM 的启动代码 SSW 是按照 ASIL-D 安全等级开发的，其功能是完成 TC4x 芯片的基本功能初始化或者配合上电启动检测，目的是让 TC4x 在开始运行用户代码时有一个安全完整的初始环境。固件启动代码 SSW 中集成的安全机制可以识别启动代码运行过程中硬件模块的故障导致的非预期行为，从而让 TC4x 启动停止。如果 TC4x 没有安全完整的启动过程，用户代码就不会被运行，因而系统也不会存在潜在失效的风险。

3. TC4x SMU 升级为 Safety and Security Alarm Management Unit

AURIXTM TC3x 的 SMU 模块包含了 SMU_core 和 SMU_stdby 两个冗余模块，而 TC4x 中 SMU 模块则升级为 SMU_CS、SMU_SAFE0、SMU_SAFE1、SMU_STDBY 四个子模块。

SMU_CS 位于 Core Domain，它负责收集处理跟 Security 相关的片内 Alarm 报警，如密钥使用错误、认证失败、调试口误使能监控等报警，或者如电源监控、总线时钟监控、总线错误等报警，都由 SMU_CS 来处理和响应。

SMU_SAFE0、SMU_SAFE1 位于 Core Domain，它们负责收集处理跟 Safety 相关的片内 Alarm 报警。SMU_SAFE0 和 SMU_SAFE1 设计一样，TC4x 片内所有安全机制的 Alarm 都可以接入两个 SMU_SAFEx 模块中，由用户来决定哪些 Alarm 由哪个 SMU_SAFEx 来处理，SMU_SAFEx 会根据 Alarm 配置来进行相应的响应动作。两个 SMU_SAFEx 模块可以独立使用，分开处理片内不同的 Alarm，分别有各自独立的错误状态输出脚连接至片外其他芯片（如英飞凌 PMIC TLF4x），该双 SMU_SAFEx 模块设计的目的是面向多应用集成于一个 TC4x 的场景下，各个应用有其独立的故障响应路径，进而使系统进入安全状态。

SMU_STDBY 位于 Standby Domain，独立于 Core Domain 中的 SMU_SAFEx 和 SMU_CS 模块，它负责收集片内引起 CCF 共因失效的电压、温度、时钟的安全机制报警，还通过 SMU Alive 信号监控 SMU_SAFEx 和 SMU_CS 的故障。此外，SMU_SAFEx 和 SMU_CS 中处理的片内安全机制 Alarm 信号可以分别集中到一个 Critical Alarm 中送至 SMU_STDBY 中做冗余处理。SMU_STDBY 对这些 Alarm 响应时可以强制将 FSP Error Pin 转为故障状态，通知外围监控芯片做二级安全路径的输出控制。

4. TC4x Safe Computation Platform 安全软件运行

AURIXTM 中跟安全软件运行相关的模块包含 CPU、IR、DMA、NVM、RAM、SRI Bus、FPI Bus，TC3x 中 CPU 有 Lockstep 的安全机制，针对 IR 和 DMA 模块，TC3x 产品则需要用户实现外部软件安全机制来诊断 IR 和 DMA 模块的故障。但是在 TC4x，Lockstep 锁步核安全机制已经从 CPU 扩展到了 IR 和 DMA，过去的 TC3x 中的软件安全机制就不再需要了，这一设计对用户非常友好。 

5. TC4x RAM ECC 可纠正位错误

AURIXTM 片内易失性存储单元 RAM 可纠正位错误在运行中被读取时会被 ECC 机制实时纠正，所以对这类可纠正位错误的硬件故障，应用上由于可以保证读取的 RAM 内容是正确的，不存在引起违反系统安全目标的的风险，片内 RAM 可纠正位错误的故障不需要用户对其做任何响应，因此 TC4x 中取消了 RAM 可纠正位错误的地址缓存设计，不再将其列为安全相关的故障。TC3x 中没有强调这一点，用户很容易在设计中忽视这一点，导致对 RAM 可纠正位错误故障的过度安全响应动作频发。

6. TC4x MBIST 易失性存储单元自检

AURIXTM TC4x 片内易失性存储单元 RAM 的集成测试模块支持对 RAM 做 MBIST （Memory Build-In-Self-Test）自检。TC3x MBIST 只支持 Non-destructive Inversion Test (NDIT)，而 TC4x MBIST 升级到支持 Destructive Test。Destructive Test 有更高的诊断覆盖率，可以达到 ASIL-D 级别。此外，TC4x 支持 Key-On / Key-Off 的 MBIST 测试。在 TC4x SafeTlib 软件中包含了 Key-on / Key-off MBIST 测试。

7. TC4x LBIST 逻辑电路自检

ARUIXTM TC4x LBIST 支持两种操作模式，Key-on LBIST 和 Key-off LBIST。在 TC4 内部把 LBIST 进行了分层设计，分成多个测试域。Key-on LBIST 只测试片内安全相关的数字逻辑电路，可以在 5~6ms 之内完成，可以达到 90% Stuck-at 测试覆盖率。Key-off LBIST 测试芯片内部完整的数字逻辑电路，多层测试域依次完成测试，每层测试域测试在 50ms 之内，可以达到 90% Stuck-at 测试覆盖率。在 TC4x SafeTlib 软件中包含了 Key-on LBIST 测试。

8. TC4x Clock Monitoring 时钟监控

ARUIXTM TC4x 时钟系统中保留了如 TC3x 一样的 OSC watchdog Monitor、PLL loss of lock detection Monitor、Clock alive Monitor 三种硬件安全机制。此外，TC4x 中加入了针对片内产生的各个时钟的 Plausibility 合理性检查的硬件安全机制，这一安全机制在 TC3x 中是需要用户软件来实现的，TC4x 这些增强的硬件安全机制简化了用户对时钟安全的软件设计。

9. TC4x Power Monitoring 电压监控

AURIXTM TC4x 同 TC3x 一样有一级欠压监控和二级欠压过压监控，不同于 TC3x，TC4x 中只有二级欠压过压监控被列入片内电源监控安全机制中，一级欠压监控不再归为安全相关。理由是，当电压在 TC4x 工作电压范围之内到达一级欠压监控电压阈值之前，二级欠压和过压监控即可以报出 Alarm，SMU 可以对该 Alarm 执行合适的安全响应动作。

10. TC4x Over-temperature 过温监控

AURIXTM TC4x 同 TC3x 一样有冗余的温度检测模块 DTS，不同于 TC3x 的 2 个，TC4x 中增加到了 6 个。而且在 TC4x 中只有过温才是安全相关的，因为 MCU 的任何内部故障都不会使其自行降温，故温度过低不是 MCU 故障导致的失效模式，所以只有芯片过温才被纳入安全考虑范围。DTS 会每隔 2ms 持续测温，如芯片过温即报出 Alarm。

11. Safe Digital Actuation 安全数字输出

针对安全数字输出的设计中，通常是对一个 Mission Channel 输出增加一个 Monitoring Channel 输入返回到 AURIXTM 进行监控，通过比较两个信号来确保 AURIXTM 数字输出如预期，以达到 ASIL-D 的安全数字输出。在 TC3x 中，这种比较通常引入了一个 IOM (Input Output Monitor) 硬件模块来完成。在 TC4x 中，这个硬件模块已经去掉，对于 Mission Channel 输出信号和 Monitoring Channel 回读信号的比较，通常由信号发生单元同时也是信号捕获单元的硬件模块如 GTM/eGTM 即可以实现，对用户来说简化了安全数字输出的设计。

12. Safe Digital Acquisition 安全输字输入

针对安全数字输入的安全机制，通常采用冗余输入的方式，一个 Mission Channel 和一个 Monitoring Channel，通过对比校验数字输入的完整性。TC4x 中用独立的 GTM/eGTM 双通道捕获外部双路数字输入进行冗余校验可以实现 ASIL-D 的安全输入方案，外部单路数字输入至芯片内部分成双通道至独立的 GTM/eGTM 双通道进行冗余校验可以实现 ASIL-B 的安全输入方案。比 TC3x 的安全数字输入应用案例更加丰富，便于用户灵活设计。

13. Safe Analog Acquisition 安全模拟输入

针对安全模拟输入的安全机制，通常采用冗余输入的方式，一个 Mission Channel 和一个 Monitoring Channel，通过对比进行校验模拟输入的完整性。TC4x 中针对安全模拟输入，同类 ADC 模块的双路输入冗余校验（如 TMADC + TMADC 或者 DSADC + DSADC）即可以实现 ASIL-D 的安全模拟输入方案；外部单路模拟输入至芯片内部后分成双通道（TMADC + TMADC, TMADC + DSADC, TMADC + FCC）进行冗余校验，或者外部单输入通道送至内部单 ADC 模块处理，都可以实现 ASIL-B 的安全输入方案。这比 TC3x 的安全应用案例更加丰富，帮助用户设计所需 ASIL 等级的安全模拟输入方案。

除了上面这些安全特性的增强或者变化，TC4x 中还增加了一些新的 IP 模块，比如 PPU (Parallel Processing Unit)、LLI (Low Latency Interconnect)、PCIe、DRE (Data Routing Engine)、xSPI、AUDIO 等，对它们也都有顶层安全需求和应用案例，相应地增加了所需的安全机制。

5、OPTIREGTM TLF4x 助力 AURIXTM TC4x 实现 ASIL D 的应用设计

英飞凌的 TLF3x和 TLF4x 两代电源管理芯片，都具备了为 AURIXTM 量身定制的安全监控功能，提供 AURIXTM 所需的外部安全措施：

1. 供电电压监控

2. 时钟监控（看门狗）

3. SMU（安全管理单元）告警监控

此外，PMIC 还为系统提供独立于 MCU 的第二条关断路径，与 MCU 两者搭配，组成最小的功能安全核心单元，支持系统实现ASIL-D 的功能安全要求。

TLF4x 系列的电源管理芯片，相较于 TLF35584/5，在功能安全结构上做了更进一步的优化和增强：

1. 自带安全关断控制（Safety Switch）

PMIC 的一级同步 DCDC (Pre-buck) 实现了从高压域（12V/24V）到低压域（<6V）的转换，其功率 MOSFET 半桥中的上管是连接高压域和低压域的器件。这个 MOSFET 的 D-S 短路失效模式，是整个系统供电单元的单点失效，为系统的功能安全达到ASIL-D 带来了挑战，当这个同步 Pre-Buck 为 MOSFET 外置的结构时，其影响尤为显著。

TLF4x 系列的 PMIC 全部集成了安全关断控制单元，能够检测到 Pre-Buck 的功率 MOSFET 上发生的严重故障（包括上管的D-S 短路故障），继而触发关断路径，为这部分单点失效提供了诊断覆盖，使系统电源设计轻松达到 ASIL-D 的功能安全要求。

2. 支持多合一系统的独立安全监控/关断策略

TLF4D985 新增加的“REDUCED OPERATION MODE”能够支持两套独立的“时钟监控”和“SMU告警监控”，同时，提供两套独立的“中断告警（INTx）”和“安全关断路径（SSOx）”，以配合 TC4x 的 Hypervisor 功能实现在多合一系统中，多个应用在功能和功能安全设计上的独立性。

6、AURIXTM TC4x SafeTlib 安全软件库

TC4x SafeTlib 安全软件库是由英飞凌开发的可以集成到 AUTOSAR 环境中的商用软件包，ASIL-D 安全等级，支持单核或多核环境。

TC4x 内置 BIST 电路如 LBIST、MBIST、MONBIST 可以提供覆盖到片内数字电路、RAM 存储单元、电压监控电路的潜伏故障的检测，但是这些 BIST 电路有些是需要软件进行触发并检验测试结果的。此外，TC4x 片内有一些硬件安全机制需要额外的测试，还有一些硬件安全机制的报警通路需要测试，以降低潜伏故障的风险，这些都可以由 TC4x SafeTlib 软件来完成。此外，配合 TC4x 的 PMIC TLF4x 的复杂驱动包和 TLF4x 内置安全Watchdog即作为 TC4x外部安全Watchdog 的驱动包也都包含在 TC4x SafeTlib 中。另外，TC4x SafeTlib 不再包含 Runtime Tests，TC4x 安全应用案例中提到的运行中的软件安全机制需要用户自行实现。

7、AURIXTM TC4x AUTOSAR MCAL 软件

TC4x MCAL 软件是由英飞凌开发的 AUTOSAR底层商用软件包。其安全目标，一是从功能角度避免系统性失效可达到 ASIL-D 或者 ASIL-B 级别（不同 MCAL 软件模块的应用需求决定其 ASIL 等级不同），二是避免内存干扰系统中其他软件可达到 ASIL-D 级别。帮助用户在系统设计中有 ASIL-D 软件功能安全需求时可以有相应的 ASIL-D 的 MCU 底层软件来支撑，同时保证集成到 ASIL-D系统软件中时 TC4x MCAL 软件不会对任何非MCAL 软件造成任何干扰。

结束语

综上所述，AURIXTM TC4x 和 OPTIREG™ PMIC TLF4x 在支持 ASIL-D 功能安全需求的设计上更上一层楼，不仅增加了符合未来汽车电子产品的新功能需求，而且设计上的优化也帮助客户设计系统功能安全时的选择更灵活且更便捷。AURIXTM TC4x 和 OPTIREG™ PMIC TLF4x产品在英飞凌创新峰会（IACE）上已强势发布，更多关于 TC4x 和 TLF4x 产品的功能安全特性可以联系英飞凌获取 TC4x和TLF4x 功能安全相关文档。

并行处理单元（PPU）是集成在英飞凌AURIX™ TC4x微控制器系列中的协处理器。PPU旨在卸载主CPU的信号处理、滤波和其他数学运算，从而为要求严格的应用程序（例如实时控制、传感器信号处理和轨迹规划等）提供高计算能力和缩短执行时间，并且能支持实现简单的神经网络算法。

 本文将简要介绍PPU的内部结构、功能和应用领域。

1. PPU内部结构

图1.  TC4x微控制器示意框图 

图1是TC4x 微控制器示意框图，图中右上角是PPU的简化结构，由标量核（scalar core），向量核（vector core/SIMD core），一级缓存，及其它系统资源组成。

01）标量核（Scalar Core）：标量核用于执行大量的标量运算，以及任务调度。标量核支持多种算术运算和逻辑运算，还支持硬件浮点运算，从而实现更高的计算效率。另外，标量核提供丰富的硬件功能安全机制，可以辅助实现高功能安全等级的任务。

02）向量核（Vector core/SIMD Core）：向量核是 PPU 的另一个重要功能模块，专门用于执行向量运算。向量核支持多种向量算术运算、逻辑运算和专用信号处理，支持整型数和浮点运算，从而实现更高的计算效率。向量核还支持多级流水线和 SIMD（single instruction multiple data，单指令多数据）指令，对不同数据同时执行同样的操作，通过并行执行多个向量运算来提高效率。

03）一级缓存：一级缓存是PPU用于保存计算输入和输出数据的存储空间。由于结构上和运算核紧密耦合，该缓存可以在PPU 的执行过程中对状态进行快速读写，并且有EDC/ECC保护，从而实现更高的执行效率和更高的可靠性。

04）其它系统资源：包括用于快速数据搬运的DMA，共享内存区等等。

2. SIMD 和VLIW指令 

2.1 SIMD（Single Instruction Multiple Data）指令

SIMD（Single Instruction Multiple Data）指令是一种并行指令，可以同时对多个不同数据进行相同的操作。这种指令可以大幅提高计算效率，特别是在执行向量运算时效果更为明显。

PPU 的 SIMD 指令集包括多种运算指令，如数学运算、逻辑运算等。这些指令都是并行指令，可以同时对多个数据进行操作，从而大幅提高计算效率。例如，PPU 的 SIMD 加法指令可以一次性对多个数据进行加法运算，从而实现更高的计算速度。

下面是一个示例，假设有两个向量 A 和 B，每个向量包含 16 个 16 位整数 ，要计算 A 和 B 的和。如果使用不支持SIMD指令的标量核，代码示例如下，需要进行16次循环运算，将不同的A[i]、B[i] 数据依次顺序进行加法操作，相当费时。

而如果使用支持SIMD指令的 PPU进行运算，则可以一次完成，假设PPU位宽是256bit（=16*16bit）:

由此可见，支持SIMD指令的PPU在进行向量运算时，通过降低同样运算的处理次数，从而有效节省运算时间，提高处理效率。

2.2 VLIW（Very Long Instruction Word）指令

VLIW（Very Long Instruction Word）是一种处理器的并行架构，允许在单个时钟周期内，由处理器的不同部件同时执行多个操作。

例如，如果要执行两个复向量A和B的乘法 ，结果存储在向量C中。

C语言实现如下：

如果在标量核上运算，会顺序执行下列代码，并循环多次：

PPU内的向量核有三个处理单元，包括两个浮点运算器，和一个读取/存储部件用于将RAM中的数据搬运到核内寄存器。这三个部件可以同时运行，形成指令层面的并行机制，从而实现VLIW指令。

上列代码由PPU处理，可以将第4和第5行的乘法运算分别分配给两个浮点运算器同时处理，如下红框所示。而在下个指令周期内，第7，8，9行的指令可以分配给三个部件同时处理，如下蓝框所示。从而将原先需要12条指令周期运行的代码缩短到9条（12-1-2=9）指令周期，提高执行效率。

3.  应用场景

PPU适用于不同应用场景，图2 列出了三种较常见的算法。第一种是将时域信号转变为频域信号，以提取频率信息的快速傅里叶变换（FFT）。FFT 在数字信号处理中得到了广泛的应用，如音频信号处理、毫米波雷达信号处理等。

图2. PPU实现的算法

第二种是多层感知算法，它是一种基于人工神经网络的机器学习算法，可以用于分类、回归和模式识别等应用。MLP 由多个神经元组成，每个神经元都包含多个输入和一个输出。MLP 通过学习输入和输出之间的映射关系，从而实现对新数据的预测和分类。MLP 在机器学习和数据挖掘中得到了广泛的应用。除此之外，MLP 还可以用于控制和优化问题。例如，MLP 可以用于控制系统和过程控制，如传感器信号处理分类、辅助驾驶、自动驾驶等。

第三种是卡尔曼滤波，该算法是一种基于状态空间模型的滤波器，可以用于估计未知变量的状态和参数。卡尔曼滤波通过利用系统的动态模型和传感器的观测值，递归地对状态进行估计和预测，从而实现对系统的状态进行优化和控制。卡尔曼滤波在自动控制和信号处理中得到了广泛的应用，例如，卡尔曼滤波可以用于目标跟踪、路径规划算法等。

4. 开发工具

新思科技（Synopsys）为PPU提供了丰富的开发工具资源【1】，包括Metaware编译器及软件组件，下列表格列出了相关工具组件：

表1. 新思科技提供的PPU工具组件

上述PPU开发工具链，除了新思科技可提供外，Hightec 在提供TC4x TriCore™ CPU编译器的同时，也集成了Metaware编译工具，及相关软件组件【2】，形成完整的TC4x开发环境工具链。该工具链符合ISO26262 ASIL D，能帮助客户实现快速、可靠、高功能安全等级的基于TC4x微处理器的汽车软件开发。

此外，Tasking也开发了PPU的编译器，并集成在新的SmartCode开发环境中。

5. 总结

总的来说，PPU是一个性能强大的处理器，内部包含标量核、向量核、一级缓存和其它系统资源 等，可以实现高速数字滤波、向量矩阵运算、浮点运算、简单的神经网络等，为要求严格的实时计算应用提供了显着的性能优势。PPU为Tricore 主核卸载了复杂的信号处理和数学运算，使得执行时间更快，而其高可配置性和专用硬件资源使其非常适用于各种应用程序。使用户有更多选择余地，使用不同核构架实施不同性质的运算。

参考文献：

`Synopsys ARC MetaWare Toolkit for Infineon AURIX TC4x’

英飞凌AURIX™发展历程