[参考译文] TMS470MF03107：适用于 SIL3级别和 PLD 级别的 Hercules MCU

您好传真：

首先、让我指出、参考的器件型号是安全功能有限的非锁步器件。 它是 QM (质量管理)设备、未经认证。 尽管系统级注意事项可能起作用、但该器件通常不适用于您已将其作为目标的安全级别。 它是一款汽车级器件、因此可用于不要求严格的 ASIL 要求的汽车应用。

有鉴于此、我将回答您有关我们具有 锁步内核的更标准 Hercules 系列安全 MCU 的问题。 这包括低端上的 TMS570LS0x32系列、到高端上的 TMS570LC4357相对于特性内容和性能。

Hercules 安全概念：

首先要明确的是、这些器件具有2个 CPU/内核、但它们以锁步方式运行、无法断开连接。 这些内核异相运行以实现时间多样性(即始终运行2个时钟不同步)。 它们在输出端同步、并通过比较器逻辑比较输出、这样、如果它们的运行存在任何差异、就会通知故障。 在这种情况下、系统中只有1个内核真正处于活动状态、而第二个内核仅作为第一个内核的诊断、以确保一致和准确的操作。

除此之外、还有其他几种基于硬件的安全机制、例如内核的逻辑内置自检(LBIST)、RAM 的内置自检(BIST)、闪存和 RAM 上的 ECC 等。。。。。。 最终结果是围绕代码执行构建一个安全的硬件岛、以确保代码执行安全。 然后、允许使用基于软件的测试来为器件上的其余外设和其他 IP 提供安全性。

现在、我们已经对这一概念有了基本的了解、我将解答您的具体问题：

.[报价用户="传真"]1. 如果每个驱动器仅使用一个 Hercules MCU 就足以满足我们的 SIL3目标(例如最大 SIL 和 PL、直流诊断覆盖范围、冗余...)。 我已经了解到 Hercules 架构是1oo1D (安全系统不是冗余的)、这意味着 MCU 的 DC>99%？[/QUERP]

是的、Hercules 器件基于1oo1D 架构。 Hercules 系列安全 MCU 中的每个锁步器件都已通过 IEC61608：2010 SIL3 SEooC 认证。 我们有效地证明了在组件级别达到 IEC61508标准要求的 DC-99%合规性的能力。 这并不一定意味着可以在系统或积分器级别实现 SIL3级别。 这取决于许多应用特定的要求以及您尝试与之保持一致并遵守的单个标准的要求。

[报价用户="传真"]2. Hercules MCU 系列中的哪些版本经过全面认证并随用户文档提供？

有关经 IEC61508或 IEC61508和 ISO26262认证的器件的完整列表、 请参阅 www.ti.com/safeti 页面了解详细信息。 TI 公开提供我们认证器件的大部分文档、无需签订 NDA。 但是、我们的安全分析报告和 FMEDA 工具需要 NDA。 NDA 材料在 SafeTI 私人论坛中提供 、您可以通过以下链接 www.ti.com/safetyanalysis 填写表格并提交 SafeTI NDA 来加入该论坛。 此论坛还可用于讨论我们 SafeTI 产品的任何与保密协议相关的主题、因为私人社区的所有成员都受其相关保密协议的约束。 我们确实要求保密协议主题不在(本)公共论坛上。

[报价用户="传真"]3. 我知道 TI 提供了验证工具、但我们需要哪些工具进行评估。 您是否有一些更详细的信息或实际示例？

我们提供多种工具来帮助开发安全项目并使用我们的 Hercules 器件。

首先、我们提供了几种免费的软件包、可帮助您进行特定于器件的软件开发、因此您可以专注于自己的应用。

这从我们的 HalCoGen 工具开始。 顾名思义、它是 HAL 代码生成工具。 它具有一个 GUI、允许对器件上的每个外设/IP 进行图形配置、包括时钟设置、中断管理等系统 IP。配置完所有元素后、该工具将 自动为每个已配置 IP 生成启动代码和驱动程序。

第二个软件包是我们 的 SafeTI Diagnositic 库  、它通过编码的许多安全机制可以更轻松地集成到您的应用中。

上述每种工具都具有可购买的相关 CSP。 我将在下 一个问题的背景下更详细地讨论 CSP。

当然、开发的关键工具是 IDE。我们的 IDE 是一款基于 Eclipse 的工具、称为 Code Composer Studio、它包含编辑器、编译器、编程器和调试环境、 除了对可执行代码有直接影响的编译器外、这些组件中的每一个都不被视为安全关键型组件。 因此、我们在编译器资质审核套件(CQK)中提供了几个编译器资质审核选项。 可以在私人论坛顶部的常设员额上阅读有关这些问题的更多信息。 以下是一个链接： https://e2e.ti.com/support/microcontrollers/hercules/f/312/t/616290。 还有一个基于用户的付费使用模式的产品页面、您的团队可在其中对您的特定设置和编译器用例执行测试。 它位于以下位置： http://www.ti.com/tool/SAFETI_CQKIT

最后、TI 提供了一种工具(FMEDA)、可用于根据应用特定的任务配置文件、功能使用、引脚使用、安全机制使用等来定制器件与我们应用相关的安全指标 然后、可在整体系统计算中使用得出的 FIT 率指标、以提供证据 给客户的系统级评估员。

[报价用户="传真"]4. 关于应用程序级别(我们编写的代码)、是否使用 TI 提供的工具对其进行了验证、或者我们是否需要一些外部单元测试(如 Polyspace、Cantata、LDRA、ECC)？[/quot]

TI 提供合规性支持包(CSP)、在大多数情况下、该支持包包含测试自动化单元(TAU 工具)以及一组同时包含静态和动态测试报告的配套资料。 τ 工具允许客户根据测试报告重新创建测试、以防对提供的安全相关代码进行任何更改或对应用程序的代码进行自定义。 Tau 工具是基于 LDRA 的有限许可证工具。 它只能用于 TI 提供的作为适用封装一部分的代码。 我认为、始终有选项可以与 LDRA 协商扩展许可证、以便该工具可以在需要时涵盖更广泛的应用级代码、但这由终端客户/集成商自行决定。 我们对 CSP 的意图是提供所有必要的信息、使集成商能够验证 TI 提供的软件组件是否符合在其安全系统中使用的条件。 这意味着所提供的代码尚未经过 TI 外部的认证或评估、无法符合任何给定标准。 如需更多信息和可下载的演示、请访问： http://www.ti.com/tool/safeti-hercules-diag-lib-csp 和 http://www.ti.com/tool/safeti-halcogen-csp

[报价用户="传真"]5. 如果有人 仅使用一个 Hercules MCU 成功实施了符合 IEC61508/SIL3的产品、您是否有经验？

是的。 我们有许多客户已经过 SIL3系统认证、只有1个 Hercules 器件、但需要考虑系统级要求和特定标准要求。 例如、对于 ISO13849、 我们与第三方评估人员合作、审查了一个概念、即将1个 Hercules 器件与 TPS65381A-Q1 PMIC 一起用作测试设备、以满足 Cat3 PLD 等级要求、我们的客户在其认证系统中也使用了这一类似的概念。 可以在保密协议 安全环境中讨论有关此问题的更多详细信息。  但是、要注意的一点是、满足安全目标的适用性和能力始终取决于正在实施的安全功能。 为了真正了解这一要求以及我们通过单个 MCU +PMIC 满足这一要求的能力、我们需要了解预期操作和将强制执行的适用安全状态。 遗憾的是、没有一种尺寸适合所有器件。

[报价用户="传真"]6. 我们尝试了用于编译器资质审核的演示套件、但看到了 Hercules SafeTI 编译器资质审核套件(免费)。 哪些差异会影响认证流程？

我认为这是在工具问题下解决的、其他信息指向 Hercules 公共 E2E 顶部的便签帖子。 如果在查看所提供的信息后仍有问题、请告知我。