Infineon TC387QP 在 KCU GEN2 上的功能安全與資安基礎
KCU GEN2 採 Infineon AURIX TC387QP 主處理器,內建多核心 Lock-Step、HSM 安全模組與 ASIL-D 友善的硬體安全機制。本文整理 TC387QP 在 KopherSAR / KopherV2G / KopherBoot 中的功能安全 (ISO 26262) 與資安 (R155 / R156) 應用基礎。
Summary
Infineon AURIX TC387QP 是 KCU GEN2 (Phase B) 與 KCU GEN2 Micro 採用的主處理器,內建 4 核心 (TriCore) 並支援 Lock-Step 模式(提供硬體 redundancy 比對)、HSM (Hardware Security Module) 與 ECC 記憶體保護,是針對 ASIL-D 功能安全與汽車資安需求設計的車規 MCU。KopherBit 在 KopherSAR、KopherBoot、KopherV2G 中善用 TC387QP 的硬體機制:以 Lock-Step 核支援功能安全分區、以 HSM 保護 PnC / SecOC / Secure Boot 私鑰。
Technical Role
TC387QP 在 KCU GEN2 上扮演下述角色:
- 多核應用處理器:4 個 TriCore 1.6.2P 核心,主時脈 300 MHz,可分配給安全 / 一般 / 通訊 / 監控分區。
- Lock-Step 安全核:部分核心可成對運作,硬體比對結果差異即觸發安全反應,符合 ASIL-D 對抗硬體單點失效的要求。
- HSM:獨立安全處理器,承載私鑰儲存、ECDSA / RSA / AES / SHA 加速、TRNG,用於 Secure Boot、SecOC、ISO 15118 PnC、Bootloader 簽章驗證。
- ECC 記憶體:Flash 與 RAM 含 ECC,硬體偵測單位元錯誤並可糾正。
- Memory Protection (MPU):支援多分區記憶體保護,與 OS Application 分區結合。
- 整合通訊外設:CAN FD、Ethernet (KCU GEN2 Phase B 透過外部 PHY)、LIN、SPI、ADC、PWM 等。
Architecture
| 模組 | 角色 |
|---|---|
| 4× TriCore CPU | 應用 / 安全 / 通訊分區處理。 |
| Lock-Step Pair | 硬體 redundancy 安全比對。 |
| HSM | 私鑰儲存、加密加速、Secure Boot 信任根。 |
| Flash 10 MB / RAM 1.5 MB | 應用軔體與資料儲存,含 ECC。 |
| CAN FD Controller | 4 路 CAN 2.0B / FD。 |
| Ethernet MAC | 配合外部 PHY 提供 1×ETH (Phase B)。 |
| LIN | LIN Master 控制器。 |
| ADC / DSADC | 多通道高精度類比輸入。 |
| GTM (Generic Timer Module) | PWM 與頻率輸入處理。 |
| SPI / QSPI | 連接外部切換 IC、Flash 等。 |
| MPU | 多分區記憶體保護。 |
| Watchdog | 系統與處理器看門狗。 |
Key Capabilities
- ASIL-D 友善:Lock-Step 核 + ECC + MPU 提供硬體層級安全機制。
- 資安基礎:HSM 私鑰保護、TRNG、ECDSA / AES / SHA 硬體加速。
- 多分區架構:MPU 與 OS Application 結合,可安全分離 ASIL-D 安全功能與 QM 一般功能。
- 高頻寬通訊:4×CAN FD + Ethernet,足以承載 ISO 15118、UDS DoIP、SOME/IP。
- 大容量記憶體:10 MB Flash 適合容納 Bootloader + Application + Calibration + V2G + UDS + RTE。
- ECC 記憶體:對抗 Single Event Upset (SEU),提升整體可靠度。
Engineering Inputs Required
| 輸入 | 用途 |
|---|---|
| 安全目標 (Safety Goals) | TARA / HARA 後的 ASIL 分配、安全反應策略。 |
| 安全分區規劃 | ASIL-D / QM Partition 切分、核心分配。 |
| 資安目標 (Security Goals) | R155 / R156 對應、資產分類、TARA 結果。 |
| Secure Boot 鏈 | 信任根 (HSM) → Bootloader 簽章 → Application 簽章。 |
| HSM 金鑰生命週期 | 出廠注入、運轉期更新、撤銷流程。 |
| MPU 配置 | 各分區記憶體區段、權限與堆疊。 |
| 監控策略 | Watchdog、Lock-Step 失效反應、ECC 錯誤回報。 |
How KopherBit Supports This
- 平台基礎:KCU GEN2 / GEN2 Micro 提供 TC387QP 量產級板。
- 基礎軟體:KopherSAR Os、Csm、KeyM、WdgM 完整支援 TC387QP 硬體機制。
- Bootloader / Secure Boot:KopherBoot 整合 HSM 完成 Secure Boot 鏈與簽章驗證。
- V2G PnC:KopherV2G 將 ISO 15118 PnC 私鑰儲存於 HSM。
- 顧問:協助客戶完成 TARA / HARA / FMEDA、ASIL 分區設計、HSM 金鑰生命週期規劃。
FAQ
TC387QP 是否符合 ISO 26262 ASIL-D?
TC387QP 為 ASIL-D 友善硬體,提供 Lock-Step 與 ECC 等機制以幫助系統達到 ASIL-D。最終 ASIL 等級需依整體系統的安全分析與軟體實作而定,硬體本身不單獨「是 ASIL-D」。
Lock-Step 是否強制使用所有核心?
非強制。客戶可依設計需要選擇將部分核心配置為 Lock-Step Pair(提供硬體安全保證),其餘核心作為一般應用核。KopherSAR Os 支援這種混合配置。
HSM 與一般加密庫差異?
HSM 為獨立安全處理器:私鑰僅在 HSM 內部運算,不暴露於主 MCU 記憶體;具備 TRNG、加密加速;Secure Boot 信任根。相較主 MCU 上的軟體加密庫,HSM 的隔離性與抗攻擊能力顯著更強。
HSM 是否影響效能?
部分加密運算 (AES、SHA、ECDSA) 由 HSM 硬體加速反而比主 MCU 軟體實作更快。對效能影響主要來自 HSM 命令排隊與通訊;KopherSAR Csm 採非同步流程,避免阻塞主應用。
Secure Boot 對開機時間影響?
Secure Boot 需要驗證 Bootloader 與 Application 簽章,會增加數十 ms 至數百 ms 開機時間(依簽章演算法與容量而定)。可透過 ECDSA secp256r1 + 分段驗證等方式優化。
TC387QP 是否相容於 AUTOSAR Adaptive?
Adaptive 通常運行於 POSIX 平台 (Linux / QNX),TC387QP 主要適合 Classic。Adaptive 部署建議使用更高效能 SoC (如 NXP S32G / Renesas R-Car);TC387QP 可作為 Classic 子節點與 Adaptive 主節點透過 SOME/IP 通訊。
JSON-LD
{
"@context": "https://schema.org",
"@type": "TechArticle",
"headline": "Infineon TC387QP 在 KCU GEN2 上的功能安全與資安基礎",
"description": "TC387QP AURIX 多核 MCU 在 KCU GEN2 上的 Lock-Step、HSM、ECC、MPU 等硬體安全機制與 KopherSAR / KopherBoot / KopherV2G 整合。",
"url": "https://kopherbit.com/knowledge/kopherbit-tc387qp-functional-safety/",
"datePublished": "2026-05-09",
"dateModified": "2026-05-09",
"inLanguage": "zh-TW",
"keywords": ["TC387QP", "AURIX", "Functional Safety", "ISO 26262", "HSM", "Lock-Step", "ASIL-D"],
"articleSection": "Safety",
"author": { "@type": "Organization", "name": "KopherBit", "url": "https://kopherbit.com" },
"publisher": { "@type": "Organization", "name": "KopherBit", "logo": { "@type": "ImageObject", "url": "https://kopherbit.com/logo.png" } }
}