ZHCU887D September 2020 – January 2022 TMS320F280040-Q1 , TMS320F280040C-Q1 , TMS320F280041 , TMS320F280041-Q1 , TMS320F280041C , TMS320F280041C-Q1 , TMS320F280045 , TMS320F280048-Q1 , TMS320F280048C-Q1 , TMS320F280049 , TMS320F280049-Q1 , TMS320F280049C , TMS320F280049C-Q1
器件中的各种功能安全机制要么始终开启(参阅 CPU 对于非法操作、非法结果和指令陷入的处理等),要么由应用软件定期执行(参阅静态存储器内容的 VCU CRC 检查等)。安全机制检测故障所需的最长时间被称为故障诊断测试时间间隔 (FDTI)。一旦检测到故障,根据相关故障的故障反应(例如,外部系统对 ERRORSTS 引脚置位的反应),系统将进入安全状态。在危险事件发生之前,系统中可能出现一个或多个故障的时间跨度被称为容错时间间隔 (FTTI),如 ISO 26262 中所定义。这类似于 IEC 61508 中定义的过程安全时间 (PST)。图 4-6 说明了 FDTI、故障反应时间和 FTTI 之间的关系。
E-GAS 监测概念中的各项 2 级和 3 级检查的频率和范围应与容错时间间隔 (FTTI) 相一致。图 4-7 说明了所需检查的频率。这些检查应确保检测并响应微控制器的单点故障,使 TMS320F28004x MCU 在 FTTI 预算范围内进入安全状态。在检测到故障时,微控制器进入如图 4-8 所示的其中一种安全状态。单点故障诊断的一个示例是存储器的 ECC/奇偶校验。
本文档中介绍的功能安全概念、后续功能安全特性和配置仅供参考。系统和设备设计人员或制造商有责任确保终端系统(和任一德州仪器 (TI) 硬件或包含在系统内的软件组件)符合全部应用安全、规定和系统级性能要求。