ZHCU887D September   2020  – January 2022 TMS320F280040-Q1 , TMS320F280040C-Q1 , TMS320F280041 , TMS320F280041-Q1 , TMS320F280041C , TMS320F280041C-Q1 , TMS320F280045 , TMS320F280048-Q1 , TMS320F280048C-Q1 , TMS320F280049 , TMS320F280049-Q1 , TMS320F280049C , TMS320F280049C-Q1

 

  1.   TMS320F28004x 安全手册
  2.   商标
  3. 1引言
  4. 2TMS320F28004x 产品安全能力和约束
  5. 3TI 针对系统故障管理的开发流程
    1. 3.1 TI 新产品开发流程
    2. 3.2 TI 功能安全开发流程
  6. 4TMS320F28004x 产品概述
    1. 4.1 C2000 架构和产品概述
      1. 4.1.1 TMS320F28004x MCU
    2. 4.2 功能安全概念
      1. 4.2.1 应用于 TMS320F28004x MCU 的 VDA E-GAS 监测概念
      2. 4.2.2 容错时间间隔 (FTTI)
      3. 4.2.3 TMS320F28004x MCU 安全状态
      4. 4.2.4 运行状态
      5. 4.2.5 故障管理
      6. 4.2.6 关于改善防止干扰特性的建议
      7. 4.2.7 关于解决共因失效问题的建议
    3. 4.3 C2000 安全诊断库
      1. 4.3.1 使用假设 - F28004x 自检库
      2. 4.3.2 运行详细信息 - F28004x 自检库
        1. 4.3.2.1 运行详细信息 – C28x 自检库
        2. 4.3.2.2 运行详细信息 – CLA 自检库
        3. 4.3.2.3 运行详细信息 – SDL
      3. 4.3.3 C2000 安全 STL 软件开发流程
      4. 4.3.4 STL 的软件交付表 (SDF)
    4. 4.4 TMS320F28004x MCU 安全实现
      1. 4.4.1 假设的安全要求
      2. 4.4.2 TMS320F28004x MCU 上的示例性安全概念实现选项
        1. 4.4.2.1 安全概念实现:选项 1
        2. 4.4.2.2 安全概念实现:选项 2
  7. 5安全要素简述
    1. 5.1 TMS320F28004x MCU 基础设施组件
      1. 5.1.1 电源
      2. 5.1.2 时钟
      3. 5.1.3 复位
      4. 5.1.4 系统控制模块和配置寄存器
      5. 5.1.5 电子保险丝静态配置
      6. 5.1.6 JTAG 调试、跟踪、校准和测试访问
    2. 5.2 处理元件
      1. 5.2.1 C28x 中央处理单元 (CPU)
      2. 5.2.2 控制律加速器
    3. 5.3 存储器(闪存、SRAM 和 ROM)
      1. 5.3.1 嵌入式闪存
      2. 5.3.2 嵌入式 SRAM
      3. 5.3.3 嵌入式 ROM
    4. 5.4 包括总线仲裁在内的片上通信
      1. 5.4.1 器件互连
      2. 5.4.2 直接存储器访问 (DMA)
      3. 5.4.3 增强型外设中断扩展器 (ePIE) 模块
      4. 5.4.4 双区域代码安全模块 (DCSM)
      5. 5.4.5 交叉开关 (X-BAR)
      6. 5.4.6 计时器
    5. 5.5 数字 I/O
      1. 5.5.1 通用输入/输出 (GPIO) 和引脚多路复用
      2. 5.5.2 增强型脉宽调制器 (ePWM)
      3. 5.5.3 高分辨率 PWM (HRPWM)
      4. 5.5.4 增强型捕捉 (eCAP)
      5. 5.5.5 高分辨率捕捉 (HRCAP)
      6. 5.5.6 增强型正交编码器脉冲 (eQEP)
      7. 5.5.7 Σ-Δ 滤波器模块 (SDFM)
      8. 5.5.8 外部中断 (XINT)
    6. 5.6 模拟 I/O
      1. 5.6.1 模数转换器 (ADC)
      2. 5.6.2 缓冲数模转换器 (DAC)
      3. 5.6.3 比较器子系统 (CMPSS)
      4. 5.6.4 可编程增益放大器 (PGA)
    7. 5.7 数据传输
      1. 5.7.1 控制器局域网 (DCAN)
      2. 5.7.2 串行外设接口 (SPI)
      3. 5.7.3 串行通信接口 (SCI)
      4. 5.7.4 内部集成电路 (I2C)
      5. 5.7.5 快速串行接口 (FSI)
      6. 5.7.6 本地互连网络 (LIN)
      7. 5.7.7 电源管理总线模块 (PMBus)
  8. 6诊断简述
    1. 6.1 TMS320F28004x MCU 基础设施组件
      1. 6.1.1  使用 CPU 计时器进行时钟完整性检查
      2. 6.1.2  使用 HRPWM 执行时钟完整性检查
      3. 6.1.3  关键寄存器的 EALLOW 和 MEALLOW 保护功能
      4. 6.1.4  电子保险丝自动负载自检
      5. 6.1.5  电子保险丝 ECC
      6. 6.1.6  电子保险丝 ECC 逻辑自检
      7. 6.1.7  通过 XCLKOUT 对时钟进行外部监测
      8. 6.1.8  热复位的外部监测 (XRSn)
      9. 6.1.9  外部电压监控器
      10. 6.1.10 外部看门狗
      11. 6.1.11 复位引脚上的干扰滤波
      12. 6.1.12 JTAG 端口的硬件禁用
      13. 6.1.13 内部看门狗 (WD)
      14. 6.1.14 针对控制寄存器的锁定机制
      15. 6.1.15 时钟丢失检测 (MCD)
      16. 6.1.16 NMIWD 复位功能
      17. 6.1.17 NMIWD 影子寄存器
      18. 6.1.18 控制寄存器的多位使能键
      19. 6.1.19 在线监测温度
      20. 6.1.20 静态配置寄存器的定期软件读回
      21. 6.1.21 外设时钟门控 (PCLKCR)
      22. 6.1.22 外设软复位 (SOFTPRES)
      23. 6.1.23 使用片上计时器进行 PLL 锁定性能评测
      24. 6.1.24 复位原因信息
      25. 6.1.25 写入配置的软件读回
      26. 6.1.26 ERRORSTS 功能的软件测试
      27. 6.1.27 时钟丢失检测功能的软件测试
      28. 6.1.28 复位的软件测试
      29. 6.1.29 看门狗 (WD) 操作的软件测试
      30. 6.1.30 欠压复位 (BOR)
      31. 6.1.31 双路时钟比较器 (DCC) - 0 类
      32. 6.1.32 外设访问保护 - 0 类
    2. 6.2 处理元件
      1. 6.2.1  CLA 对于非法操作和非法结果的处理
      2. 6.2.2  使用 CPU 进行 CLA 活跃度检查
      3. 6.2.3  CPU 对于非法操作、非法结果和指令陷入的处理
      4. 6.2.4  软件互惠式比较
      5. 6.2.5  CLA 的软件测试
      6. 6.2.6  CPU 的软件测试
      7. 6.2.7  栈溢出检测
      8. 6.2.8  静态存储器内容的 VCU CRC 检查
      9. 6.2.9  VCU CRC 自动覆盖
      10. 6.2.10 禁用未使用的 CLA 触发源
      11. 6.2.11 嵌入式实时分析和诊断 (ERAD) - 0 类
    3. 6.3 存储器(闪存、SRAM 和 ROM)
      1. 6.3.1  闪存阵列中的位多路复用
      2. 6.3.2  SRAM 存储器阵列中的位多路复用
      3. 6.3.3  清理数据以检测/校正存储器错误
      4. 6.3.4  闪存 ECC
      5. 6.3.5  闪存程序验证和擦除验证检查
      6. 6.3.6  ECC 逻辑的软件测试
      7. 6.3.7  闪存预取、数据缓存和等待状态的软件测试
      8. 6.3.8  存储器访问保护机制
      9. 6.3.9  SRAM ECC
      10. 6.3.10 SRAM 奇偶校验
      11. 6.3.11 奇偶校验逻辑的软件测试
      12. 6.3.12 SRAM 的软件测试
      13. 6.3.13 CLA-PROM 的背景 CRC (CLAPROMCRC)
      14. 6.3.14 存储器开机自检 (MPOST)
    4. 6.4 包括总线仲裁在内的片上通信
      1. 6.4.1  使用次级自由运行计数器进行 1oo2 软件表决
      2. 6.4.2  DMA 溢出中断
      3. 6.4.3  为未使用的中断维护中断处理程序
      4. 6.4.4  上电预运行安全检查
      5. 6.4.5  链路指针的多数表决和错误检测
      6. 6.4.6  PIE 双 SRAM 硬件比较
      7. 6.4.7  PIE 双 SRAM 比较检查
      8. 6.4.8  X-BAR 标志的软件检查
      9. 6.4.9  包括错误测试在内的 ePIE 运行软件测试
      10. 6.4.10 禁用未使用的 DMA 触发源
    5. 6.5 数字 I/O
      1. 6.5.1  eCAP 应用级安全机制
      2. 6.5.2  ePWM 应用级安全机制
      3. 6.5.3  使用 X-BAR 进行 ePWM 故障检测
      4. 6.5.4  ePWM 同步检查
      5. 6.5.5  eQEP 应用级安全机制
      6. 6.5.6  eQEP 正交看门狗
      7. 6.5.7  正交看门狗功能的 eQEP 软件测试
      8. 6.5.8  硬件冗余
      9. 6.5.9  HRPWM 内置自检和诊断功能
      10. 6.5.10 信息冗余技术
      11. 6.5.11 eCAP 对 ePWM 的监测
      12. 6.5.12 ADC 对 ePWM 的监测
      13. 6.5.13 在线监测周期性中断和事件
      14. 6.5.14 用于在线监测的 SDFM 比较器滤波器 - 0 类
      15. 6.5.15 SD 调制器时钟故障检测机制
      16. 6.5.16 包括错误测试在内的功能软件测试
      17. 6.5.17 HRCAP 对 HRPWM 的监测
      18. 6.5.18 HRCAP 校准逻辑测试特性
      19. 6.5.19 QMA 错误检测逻辑
    6. 6.6 模拟 I/O
      1. 6.6.1  ADC 信息冗余技术
      2. 6.6.2  ADC 输入信号完整性检查
      3. 6.6.3  通过改变采集窗口来检查 ADC 信号质量
      4. 6.6.4  CMPSS 斜坡发生器功能检查
      5. 6.6.5  DAC 至 ADC 环回检查
      6. 6.6.6  DAC 至比较器环回检查
      7. 6.6.7  PGA 至 ADC 环回测试
      8. 6.6.8  ADC 的开路/短路检测电路
      9. 6.6.9  通过 ADC 进行 VDAC 转换
      10. 6.6.10 禁用 ADC 未使用的 SOC 输入源
    7. 6.7 数据传输
      1. 6.7.1  包括端到端安全状态恢复的信息冗余技术
      2. 6.7.2  位错误检测
      3. 6.7.3  消息中的 CRC
      4. 6.7.4  DCAN 确认错误检测
      5. 6.7.5  DCAN 格式错误检测
      6. 6.7.6  DCAN 填充错误检测
      7. 6.7.7  使用片上计时器进行 I2C 访问延迟性能评测
      8. 6.7.8  I2C 数据确认检查
      9. 6.7.9  消息中的奇偶校验
      10. 6.7.10 SCI 中断错误检测
      11. 6.7.11 帧错误检测
      12. 6.7.12 超限错误检测
      13. 6.7.13 使用 I/O 环回的功能软件测试
      14. 6.7.14 SPI 数据超限检测
      15. 6.7.15 传输冗余
      16. 6.7.16 FSI 数据超限/欠载检测
      17. 6.7.17 FSI 帧超限检测
      18. 6.7.18 FSI CRC 成帧检查
      19. 6.7.19 FSI ECC 成帧检查
      20. 6.7.20 FSI 帧看门狗
      21. 6.7.21 FSI RX Ping 看门狗
      22. 6.7.22 FSI 标签监控器
      23. 6.7.23 FSI 帧类型错误检测
      24. 6.7.24 FSI 帧结束错误检测
      25. 6.7.25 FSI 寄存器保护机制
      26. 6.7.26 LIN 物理总线错误检测
      27. 6.7.27 LIN 无响应错误检测
      28. 6.7.28 LIN 校验和错误检测
      29. 6.7.29 数据奇偶校验错误检测
      30. 6.7.30 LIN ID 奇偶校验错误检测
      31. 6.7.31 消息中的 PMBus 协议 CRC
      32. 6.7.32 时钟超时
      33. 6.7.33 使用片上计时器进行通信访问延迟性能评测
  9. 7参考文献
  10.   A 安全架构配置
  11.   B 分布式开发
    1.     B.1 功能安全生命周期如何应用于功能安全合规型产品
    2.     B.2 德州仪器 (TI) 执行的活动
    3.     B.3 提供的信息
  12.   C 术语和定义
  13.   D 安全特性和诊断汇总
  14.   E 术语表
  15.   修订历史记录

4.3 C2000 安全诊断库

为 F28004x 系列器件设计的诊断库包含三个库,即 CLA_STL、C28x_STL 和 SDL。这些库旨在帮助 TI 客户使用 F28004x 开发可满足汽车 (ISO 26262)、工业 (IEC 61508) 和电器 (IEC 60730) 市场终端产品的广泛标准且功能安全的系统。CLA_STL 和 C28x_STL 实现 CLA2 - CLA 的软件测试CPU3 - CPU 的软件测试安全机制,而 SDL 提供了功能安全手册中描述的几种安全机制的示例。

表 4-1 针对 F28004x 诊断库的 DC 和 SCC
永久性故障诊断覆盖 系统能力合规性 说明
CLA_STL ≥ 60% ASIL D/SIL 3 该 STL 实现 CLA2 - CLA 的软件测试
C28x_STL ≥ 60% ASIL D/SIL 3 该 STL 实现 CPU3 - CPU 的软件测试
SDL 仅示例 不适用 SDL 提供了安全手册中描述的几种安全机制的示例

CLA_STL 和 C28x_STL 经独立评估,发现其分别适合集成到高达 ASIL D (ISO 26262:2018) 和 SIL 3 (IEC 61508:2010) 等级的安全相关系统中。CLA_STL 表示一种能够检测控制律加速器 (CLA) 永久性故障的安全机制。C28x_STL 表示一种能够检测 C28x CPU 永久性故障的安全机制。有关适用于各 STL 产品的确切 DC 要求,请参阅随 CSP 提供的 SPS。

SDL 通常被称为软件诊断库,是 TI 提供的整体安全相关配套资料的组成部分。它包括几种安全机制的一般示例实现。SDL 示例是使用基线质量软件开发流程开发的,不需要遵循任何特定的标准。因此,SDL 未经 TÜV SÜD 认证。用户应研究提供的示例并将其应用到安全相关应用中,并且负责相关产品级第三方认证。

为帮助客户获得相关产品级认证,TI 开发了 F28004x 合规性支持包 (CSP)。CSP 提供文档、源代码、静态分析结果、MISRA C 合规性结果、单元测试报告、动态分析结果、功能测试和集成示例。STL(C28x_STL 和 CLA_STL)库和 CSP 中发布的相应源代码展示了符合 ISO 26262 ASIL D 系统功能的软件开发流程的产品。

警告: 为了保持诊断覆盖率,C28x_STL 和 CLA_STL 的源代码必须按照 TI 提供的方式使用,并且在将库集成到客户应用时不得修改该源代码。任何修改必会导致最终产品的安全目标受损,从而导致终端用户的工作环境不安全。请参阅软件交付表 (SDF),以查找与 STL 对应的每个文件的参考 MD5 校验和。SDF 文件作为 CSP 的一部分提供。

表 4-2 显示了用于开发 F28004x 库的工具。

表 4-2 集成 F28004x STL 所需的工具
软件/硬件/工具 版本 依赖项
Code Composer Studio 9.2.0.00013 集成开发环境
CGT 20.2.1.LTS 代码生成工具链(编译器、汇编器、链接器)
C2000Ware V3.01.00.00 F28004x 头文件
TMDSCNCD280049C 修订版 A F280049 controlCARD 信息指南

系统集成商必须查阅 C28x_STL 和 CLA_STL 用户指南,了解与安装和开发相关的所有详细信息。

在 F28004x controlCARD 上对 STL 进行了测试。