C2000 器件是功能强大的 32 位浮点微控制器单元 (MCU)，旨在用于先进的闭环控制应用，例如工业驱动和自动化、工业电源、太阳能和电动汽车应用中的电机控制和电源转换控制。该系列 MCU 除了具有出色的控制性能，还支持大量功能安全特性，可帮助客户设计和认证其功能安全系统。存储器开机自检 (M-POST) 是在器件启动期间测试器件 SRAM 和 ROM 的重要手段。基于客户的一次性可编程 (OTP) 配置，该测试在启动期间借助片上硬件自动执行。测试执行时，会并行测试多个存储器以减少对引导时间的影响。

随着半导体在汽车和工业市场的广泛应用，除了功率、性能、面积等传统因素之外，功能安全正成为半导体设计的一个关键维度。功能安全标准（例如，汽车领域的 ISO26262、工业领域的 IEC61508、白色家电领域的 IEC60730 等）列出了此类系统的设计和部署阶段需要遵守的要求。

功能安全要求避免因安全相关电子和电气系统的错误行为而产生的不合理残余风险。故障包括系统性故障和随机硬件故障。对于随机硬件故障，存储器（尤其是 SRAM）是电子器件和可编程电子器件的软件执行部分中功能安全的最重要元件之一。这是因为就面积和晶体管数量而言，SRAM 通常是整个器件中最大的元件。此外，SRAM 是非常密集的电路，因此容易受到细微缺陷的影响。并且，与正常电路逻辑相比，SRAM 的工作电压范围更低，因此更容易受到干扰。对 SRAM 的特性和错误检测的进一步讨论不在本应用报告的范围内。有关详细信息，请参阅 SRAM 中的错误检测。

在功能安全系统中使用 C2000 器件的客户可能需要特定的存储器诊断覆盖范围 (DC)，以满足各种功能安全标准或要求。单点故障和潜在故障都可能需要特定的诊断覆盖范围。功能安全应用中使用的电子器件和可编程电子器件可能需要能够在启动时或维护周期内定期执行 SRAM 和 ROM 测试。一些其他类别的安全应用则需要在应用执行的同时定期测试存储器。C2000 上的 M-POST 专为满足前一种需求而设计和启用，以便检测潜在故障。M-POST 能够在启动时执行存储器测试，从而帮助客户实现其功能安全要求。

并且，为了检测系统中的随机硬件故障，C2000 器件在存储器上配备了 EDAC，即错误检测和纠正逻辑。此外，F28x7x SafeTI 诊断库 (SDL) 为 RAM March13n 算法提供了软件，该算法专门针对数据、地址和 EDAC 位，用于解决永久性固定故障，以及系统性能下降可能导致的一些最糟糕的路径时序故障。March13n 测试专为强大的存储器系统内测试而设计，可以轻松集成到系统应用中。有关详细信息，请参阅 C2000™ CPU 存储器内置自检。

利用片上存储器的 C2000 MCU 上的处理元件配备了硬件内置自检 (HWBIST)，该自检面向包括 TMU、FPU 和 VCU 在内的 C28x CPU 逻辑，能够实现高达 99% 的 DC。有关更多详细信息，请参阅 C2000™ CPU 存储器内置自检。此外，控制律加速器自检库 (CLA STL) 面向 CLA 实现了 90% 的 DC，并支持在功能安全系统中使用 CLA 进行处理。有关详细信息，请参阅 C2000™ CLA 自检库。

M-POST 在可编程内置自检 (PBIST) 解决方案的帮助下启用，用于器件的制造测试。除了制造测试期间使用的自动化测试设备 (ATE) 接口外，PBIST 还具有用于现场自检的 CPU 可配置接口。

PBIST 架构由一个专门用于高效存储器测试的控制器组成。该控制器设计有一个专用寄存器集和一个专门针对存储器测试的高度专业化的流水线和指令集。此外，PBIST 引擎配备了多个读取和写入存储器端口或总线，使其能够有效地并行测试多个存储器实例。PBIST 控制器也可以访问 PBIST ROM。PBIST ROM 用于存储测试例程，以供 PBIST 引擎提取和执行。这些测试例程由 PBIST 控制器提取，然后在多个片上存储器实例上并行执行。由于专门的架构和测试例程，PBIST 能够以非常有效的方式，在晶体管级别上对已实现的 SRAM 和 ROM 提供非常高的诊断覆盖范围。由于 PBIST 控制器可以直接访问 ROM 和 SRAM，它甚至能够在配备 DCSM（双区域代码安全模块）的器件上测试安全存储器实例。有关在 F28004x 上利用 DCSM 的详细信息，请参阅使用 C2000™ MCU 实现 EV/HEV 安全功能共存。

图 2-1 PBIST 架构

图 2-2 描述了执行存储器自检所涉及的步骤。

图 2-2 M-POST 执行流程

1. 如果通过配置客户 OTP 启用，M-POST 就会在每个上电复位序列期间执行。测试仅在上电复位期间执行，不会在其他复位（XRSn、WDRSn、调试器复位等）期间执行。
2. 用于测试存储器的代码位于引导 ROM 中，所以无法使用 PBIST 测试引导 ROM。因此，在 PBIST 之前，将进行单独的引导 ROM 校验和测试。如果引导 ROM 校验和测试失败，将不执行 PBIST 测试的其余部分。测试状态将被复制到 SRAM。
3. 在使用 PBIST 执行任何测试之前，会执行一个始终失败测试用例。这是为了验证 PBIST 控制器的正常运行及其指示故障的能力。测试状态位在测试完成时注册。如果测试失败（即始终失败测试通过），系统将绕过整个测试序列，并将测试状态返回给应用程序代码。如果测试通过，则在下一阶段测试整个器件存储器集（引导 ROM 除外）。
4. 所有 SRAM 都将使用 March13n 进行测试，除了引导 ROM 之外的所有 ROM 都将使用 ROM 签名计算算法进行测试。
5. 一旦测试完成，所有的 CPU RAM 都会被初始化。
6. 系统会在每个测试序列期间实施超时功能，以识别测试是在规定时间内完成还是由于故障而延迟。
7. PBIST 测试的状态（包括由于校验和测试失败而未执行的测试、始终失败测试的状态、存储器自检状态和超时错误）将被传达给应用。
8. 如果存储器测试失败，该器件将不适合运行任何功能安全应用程序。引导 ROM 将让应用程序代码决定未来的进程。应用程序可能会触发 NMI（在用软件）并使用 ERROR_STS 引脚让外部器件得知发生了故障。
9. 如果启动存储器测试失败，应用程序将没有足够的信息来识别故障存储器。应用程序可能必须为此运行诊断。诊断序列可以对各个存储器实例执行测试并识别故障存储器。

器件 SRAM 使用 March13n 算法进行测试。该算法将确保：

• 位单元可写入和读取为 1 和 0
• 可检测出相邻位单元之间的桥接缺陷
• 对于行和列解码，目标位（并且仅限目标位）会在写入时受到影响
• 对于行和列解码，进行指定读取操作时，仅将目标位呈现到存储器的边界

下表显示了 SRAM 测试期间包含的操作序列。

ROM 测试算法将读取 ROM 的内容并计算一个 32 位/64 位签名，然后将这个签名与正确签名进行比较。

C2000 PBIST 为客户提供了另一种诊断安全机制，可用于进一步启用功能安全系统。它可作为一种有效手段，在启动时检测 C2000 器件的 ROM 和 SRAM 中的潜在故障。

• 德州仪器 (TI)：SRAM 中的错误检测
• 德州仪器 (TI)：C2000™ CPU 存储器内置自检
• 德州仪器 (TI)：C2000™ CLA 自检库
• 德州仪器 (TI)：使用 C2000™ MCU 实现 EV/HEV 安全功能共存
• 德州仪器 (TI)：TMS320F28004x Piccolo™ 微控制器数据手册
• 德州仪器 (TI)：TMS320F28004x Piccolo 微控制器技术参考手册
• 德州仪器 (TI)：C2000™ 硬件内置自检
• Testing semiconductor memories : theory and practice, A.J. van de Goor

存储器开机自检可以通过配置“Z1-OTP-BOOT-GPREG2”寄存器来启用，如表 5-1 中所示。在配置这些 USER OTP 位时，需要遵守 TRM 的 ROM 代码和外设引导 部分中提到的所有要求。