ZHCU887D September 2020 – January 2022 TMS320F280040-Q1 , TMS320F280040C-Q1 , TMS320F280041 , TMS320F280041-Q1 , TMS320F280041C , TMS320F280041C-Q1 , TMS320F280045 , TMS320F280048-Q1 , TMS320F280048C-Q1 , TMS320F280049 , TMS320F280049-Q1 , TMS320F280049C , TMS320F280049C-Q1
德国 VDA 工作组“E-GAS-Arbeitskreis”提出的发动机管理系统的标准化 E-GAS 监测概念 [6] 是一个值得信赖的安全架构示例,该架构可用于发动机管理系统以外的应用,前提是它符合新应用在诊断可行性、环境约束、时间约束、稳健性等方面的目标 [7]。如需了解更多信息,请参阅图 4-3。
MCU 器件系列支持异构非对称架构,其功能安全特性有助于在系统级实现 E-GAS 概念,如图 4-4 所示。在第一级(1 级),计算系统任务所需的功能。第二级(2 级)根据选定的一组参数检查第一级中的形成是否正确。第三级(3 级)实现一个额外的外部监测要素,用于在第一级正确执行任务和/或在第二级进行监测。确切的功能安全实现和用于实现 1 级和 2 级的模块以及实现 3 级的外部监测器件交由系统设计人员负责。
由于器件架构固有的多功能性,可以使用几种基于软件表决的功能安全配置。表 A-1 中解释了 TMS320F28004x 具有的可能有助于提高诊断覆盖率的一些功能安全配置。在实现这些配置时,系统集成商需要考虑并以适当方式解决潜在的共模失效问题。这可以根据处理单元的可用性进行适当修改,以适应 TMS320F28004x 要求。(如前所述,该器件不要求硬件容错(例如,未要求 HFT > 0),如 IEC 61508:2010 中所定义)。
TMS320F28004x 的主要安全特性如图 4-5 中所示。