• 状态 Resolved
  • 已锁定 已锁定
  • 回复 1 回复
  • 订户 0 订户
  • 视图 5 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] TMS570LS3137:TI 安全手册 SPNU511D:INC7 传输冗余

admin
Guru**** 2430620 points
Other Parts Discussed in Thread: TMS570LS3137

请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1542348/tms570ls3137-ti-safety-manual-spnu511d-inc7-transmission-redundancy

器件型号:TMS570LS3137


工具/软件:

您好:

我们的 FMEDA 分析表明我们需要执行 INC7 传输冗余测试、但我不确定该怎么办。

我知道这些 L2/L3 互连通常是在 SPNU499C 手册(第 2.1.1 章和下面所示)中绘制的、但希望有更具体的指示。

关于 SPNU511D 所要求的测试,我考虑了 PCR 总线,并交叉检查相关的配置寄存器(例如:PMPROT0/PMPROT1...)   

对于 INC4(静态配置寄存器的定期软件回读)和 INC6(写入配置的软件回读)。 如果这是正确的或不会也欢迎任何建议?

下一个是 INCA7(传输冗余),这项测试听起来不那么明显应该做什么,...

我假设检查两次接收到的数据或传输到互连 L2/L3 外设、以便进行 PCR (ADC、SPI、…… 例如)?  

感谢您的反馈

此致、

Marc

  • 0
    TI__Guru**** 2430620 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好:Marc、

    您对 INC4 和 INC6 的理解和方法 原则上是正确的。

    “传输冗余“是指确保数据在系统的不同部分之间移动时的完整性、无论是在芯片内部还是在外部。 您假设“检查接收到的数据两倍或传输到互连 L2/L3 外设“是一个很好的起点。

    以下是 INC7 对 TMS570LS3137 通常需要做的更具体细分:

    1. 内部总线完整性(L2/L3 互连):

      • TMS570LS3137 具有稳健的内部总线架构 (L2/L3)、并具有内置的错误检测机制(通常包括在内)  奇偶校验或 ECC(错误校正码)  在总线本身和关键存储器区域 (RAM、闪存、外设 RAM) 上。
      • 如何测试:  检查此“传输冗余“的主要方法是监控  错误信令模块 (ESM) 。 ESM 从各种模块(CPU,内存,总线,外设)收集错误标志。 如果在通过 L2/L3 互连的数据传输 (“传输“)期间发生总线奇偶校验错误或 ECC 错误、ESM 通常会对其进行标记。
      • 操作:  您的软件应定期检查 ESM 状态寄存器是否存在与总线传输相关的任何报告错误。 虽然不能直接“检查“总线自身传输、但硬件的内置冗余(奇偶校验/ECC)提供了“冗余“、监视错误标志则是“测试“。

    2. 外设数据路径完整性:

      • ADC (MibADC):
        • MibADC 是一款多缓冲 ADC。 对于安全关键型模拟输入、您可以实现基于软件的传输冗余。
        • 测试:  配置两个不同的 ADC 通道或转换组、以对 相同的物理模拟输入进行采样。 执行转换、然后比较两个数字结果。 较大的偏差表示 ADC 路径(模拟前端,转换逻辑或 CPU 的数据路径)出现故障。 这是模数转换过程的“传输冗余“形式。
      • 通信外设 (SPI、SCI、CAN、LIN):
        • 这些外设通常具有内置的数据完整性硬件机制、例如  CRC(循环冗余校验)、奇偶校验位或校验和  灵活性。
        • 测试:  监控这些外设的错误状态寄存器。 例如:
          • DCAN:  即、检查 CRC 错误、位错误、格式错误、填充错误、确认错误、 或总线关闭状态。 这表示通过 CAN 总线“传输“或“接收“的数据存在问题。 DCAN 的消息 RAM 还具有奇偶校验保护功能、该保护连接回内部总线完整性 (ESM)。
          • MibSPI/SCI:  检查奇偶校验错误、成帧错误、超限错误或 CRC 错误(如果协议使用)。
        • 软件冗余(如果需要):  对于通过这些接口传输的非常关键的数据、  即使硬件协议有自己的检查、您也可以实施应用级校验和、或者将数据发送两次并在接收器处进行比较。 这增加了另一层“传输冗余“。

    3. DMA(直接存储器存取)传输:

      • DMA 可在存储器位置之间或在存储器与外设之间移动数据块、而无需 CPU 干预。
      • 测试:  如果通过 DMA 传输安全关键型数据:
        • 依赖底层  存储器 ECC/奇偶校验  (如果源/目标存储器有)和  总线奇偶校验/ECC  (ESM 监控)。
        • 实现  软件校验和  在 DMA 传输前后的数据块上。 计算源数据的校验和、启动 DMA、然后计算目标数据的校验和。 比较两个校验和。 这可以通过 DMA 验证“传输“的完整性。

    4. CPU 到外设寄存器的写入/读取:

      • 当 CPU 向外设寄存器写入数据或从中读取数据时、这是通过 L2/L3 总线的“发送“。
      • 测试:  这主要在中进行介绍  内部总线完整性检查 (ESM) 。 如果总线本身具有奇偶校验/ECC、则“传输冗余“由硬件处理、并监视 ESM 是否有错误。 对于关键写入、INC6(读回验证)还可用作特定“传输“的完整性检查形式。

    --
    此致、
    Jagadish。