尊敬的 TI 团队:
可以从外部监控 nERROR、将其作为微控制器中故障条件的指示器。 监控 nERROR 引脚的外部电路必须采取适当措施来确保这一点
系统处于安全状态。
目前、我们未使用/未连接 TMS570LS1224 Micro 的 nERROR 引脚。 请提供一些使用 nERROR 引脚的参考硬件设计。
它有助于我们修改硬件设计并提高产品安全性。
我们真的需要监控 nERROR 引脚吗? (因为我们在 Halcogen ESM 配置中将 ESM 配置为中断、而不是 nERROR 引脚)。
请向我们详细推荐 nERROR 引脚。
您好、Mallela、
理想情况下、您将判断系统中 nERROR 引脚的需求和实现情况。 在我们的认证过程中、我们预计 nERROR 引脚将受到外部监控、这样外部器件就可以将 MCU 置于安全状态。 下面是我们的安全手册中的一个内容、其中定义了 Hercules 器件的工作模式、包括 MCU 的安全状态。
但是、可以在较高的系统级别评估和考虑如何实现系统安全状态。 这应被视为您的技术安全概念的一部分、您如何在系统中使用 MCU 取决于您的总体安全目标和概念。 当然、当我们对器件进行认证时、有一些条件我们认为需要外部复位(热复位或硬复位)才能从这些条件中恢复。 例如、如果存在 CPU 故障、除了外部交互、如何恢复该故障? 本质上、如果存在 CPU 故障、则对代码执行不信任、并且在最高级别上 MCU 运行应该被视为不可预测。 此时系统的指示是 nERROR 引脚。 对于安全手册中讨论的安全岛概念的红色块中的许多元件、也可以进行同样的考虑、如下图所示。
需要考虑的另一点是、如果不使用 nERROR 引脚向外部系统指示 MCU 处于故障模式、外部系统如何知道何时将系统置于安全状态? 如果您依赖于通信协议、则您会假设该协议是不可保证的、并且 MCU 上运行的代码绝不会错误地解释协议或通过协议错误地传达协议的状态。 即、您依赖于系统上运行的软件、该软件可能出现故障或运行不正确。 最后一句、如上所述、总体方案由您决定。 如果您不想达到我们所设定的相同安全级别(SIL3/ASIL D)、并且在一天结束时、可能会有针对奇异问题的解决方案、而解决方案可能会有所不同、 您必须向评估员展示您的解决方案、并证明您的概念以及您如何保护您的安全目标。
