TI中文支持网
- PMM包含7对PSCON分别控制7个电源域,当任何一对PSCON lockstep compare mismatch发生的时候,ESM的第38通道都会接收到一个错误诊断信号?
- “PSCON lockstep compare mismatch”预示怎样程度的风险,换句话说,开发者在检测到这项诊断故障后应该采取什么处理办法?(复位?报警?……)
- PSCON Comparator带有错误强制注入(error forcing)机制,应该多久注入一次错误;或者说为了保证安全机制的有效性,强制注入错误的最大周期是多久?可以根据什么去选择适合自己项目的诊断周期?
- 错误注入后,如果没有报错,开发者应该选取多大的timeout时间去判定测试失败?
- 问题同3,PSCON Comparator self-test应该多久执行一次?
- PSCON Comparator self-test error forcing的最大执行周期是多久?注入错误后,如果没有报错,开发者应该选取多大的timeout时间去判定测试失败?
Jay:
Hi Xuecheng,
1.是。
2.Group1的错误严重程序较低,可以通过寄存器配置是否产生中断或ERROR引脚输出。
3. 错误强制注入可以根据项目的SIL等级及实际具体情况选择合适的注入周期。
4. 错误强制注入应该会马上出现报错,理论上最多不会超过2个时间周期,可以根据实际情况进行设定。
5. 运行一次自检需要24个时间周期,在此基础上同3一样,可以根据项目的SIL等级及实际具体情况选择合适的注入周期。
6. 自检错误注入是发生在自检过程中,所以最大执行周期与自检周期相同。timeout可以在此基本上,根据实际情况适当延长。
Regards,
Jay
Xuecheng Liu:
回复 Jay:
Hi Jay,
感谢你的回复!
我仍有一些疑问,希望得到进一步的指点。
原问题2:我实际想问,当PSCON compare mismatch错误产生的时候,是不是说明它所对应的电源域处于非安全状态,进而导致这个电源域内的所有逻辑电路或储存器都处于一种非安全状态,如果其中的任意逻辑电路或存储器与我设计的安全功能相关,我就应该果断停掉我的安全系统,或者隔离这项安全功能。
原问题3:关于自诊断执行周期或故障注入周期的选取可否展开说明一下。例如,对应SIL2等级设计,应该多久自诊断一次,多久注入一次故障;SIL3等级呢?你所说的“实际具体情况”又包含哪些因素,能不能举个例子?有没有什么量化的指导手册或设计原则,看完之后知道该怎么做的那种?
原问题4:看了你的解释,又重新看了技术参考手册。我的理解是error forcing和self-test error forcing都只采用一种test pattern,而且只持续1个时间周期。因此切换到error focing mode后,正常情况会立即检测到故障信号,并不像自诊断要经过24个时间周期。这个理解对吗?
原问题6:我对你的“自检错误注入是发生在自检过程中”说法持相反理解。我的理解是:自诊断和自诊断错误注入是两个独立的过程,后者并非包含在前者中。两者都属于PSCON比较器的一种工作模式,且由同一寄存器的不同key指令来选择。
Jay:
回复 Xuecheng Liu:
Hi Xuecheng,
2. 产生错误后如何处理,一定是和具体的应用是联系在一起的,根据Functional Safety的要求,我们需要做的是产生的错误不会造成不可接受的功能性失效。
3. 和所有诊断一样,错误注入的的周期与具体应用分开来谈是没有意义的。比如,根据ISO26262的要求,自检测只能在上电后进行。不同的标准,不同的应用,一定会有不同的诊断周期,这个没有一个具体参考。
4. 和 6. 你的理解是正确的。error forcing和self-test error forcing都是强制注入错误的一种方法,只是输出错误类型不同。
Regards,
Jay
