[参考译文] 如何确定用于 SILx 的 Hercules 控制器内的安全测试措施...

您好、Andreas、

感谢您关注 Hercules 安全 MCU 系列。  

首先、我将解决您对应用的40us 环路时序的担忧、一些安全机制被定义为定期检查。 在这些情况下、您需要根据系统级安全要求、特别是系统故障检测时序和容错时间要求、在系统级定义诊断运行的频率。 在许多情况下、检测时序将明显小于最小循环时间、这将允许以对应用影响最小的方式调度诊断测试。

接下来、介绍所用安全诊断的选择。 同样、应根据您的应用/系统级安全要求执行此操作。 同样、在许多情况下、可以选择一组最小的诊断、以实现所需的诊断覆盖率和估算的时基故障率。 TI 提供了一种用于此目的的工具。 SafeTI 私人论坛中提供了有关该工具及其访问权限的更多信息、作为 NDA 覆盖安全分析报告(SAR)的一部分。  

对于您在帖子中提到的特定测试(CPU、SRAM PBIST 测试和 SRAM ECC)、TI 的安全岛概念和架构涵盖了这些测试、因此它们只能在启动时运行。 例如、CPU LBIST 在启动时与 CCM 诊断一同运行、以证明 CPU 锁步架构的有效性。 一旦 CPU 和 CCM 被证明是有效/安全的、锁步架构在应用期间提供运行时诊断(无开销)。 使用 SRAM PBIST 和 SRAM ECC 可以实现类似的方法。 PBIST 和 ECC 在启动时通过自检和错误路径等测试进行检查、一旦被证明是良好/安全的 PBIST 被用来验证 SRAM 安全性、并且从此处开始 ECC 是用于保护器件中 SRAM 内容的运行时诊断。

最后、您作为系统集成商、需要决定何时使用和使用什么诊断以及您可以接受的估算时基故障率。 我们可以在 SafeTI 私人论坛上更详细地讨论此主题(可以通过此链接申请访问权限：  一旦签订了 SafeTI NDA、就会授予访问权限。

[引用用户="Andreas Rickert"]

附录 B.3中说明“MCU 安全要求的定义”由 TI 执行。

因此、我的问题是、如何执行此定义？

[/报价]

正如文件中还提到的、TI 的评估是基于一种"系统外环境"的方法。 在这方面，已经作出一些假设，以便推动认证进程。 这些假设的详细信息包含在通过私人论坛/NDA 提供的 SAR 文档中。 如果对特区文件有具体问题，只能在私人论坛上回答。

[引用用户="Andreas Rickert"]

您需要我们提供哪些信息？

或者、您能告诉我们、为了实现 SIL3、必须执行哪些最低测试？

或者是否有任何其他文档？ (我们的客户与您签订了 NDA ...)

[/报价]

遗憾的是、TI 无法提供有关您的应用需要哪些诊断的具体信息、因为这与您的系统级要求更密切相关。 肯定的是、您可以使用 TI 提供的工具来衡量对估算 FIT 率和其他安全指标(如 PFH 或 MTTF)的影响、从而确定哪种诊断会增加价值或不增加价值。 同样、该工具仅可通过需要 NDA 的私人论坛获取。

请注意、您的直接公司和 TI 之间需要签订 NDA 才能访问私人论坛。 客户与第三方开发者的关系不够充分、因为论坛中的成员资格不会过期或链接到客户的 NDA。 如果您通过提供的链接提交访问请求、则提供访问权限的过程相对简单快捷、前提是您及时完成并返回由贵公司授权代理签署的 SafeTI NDA。

再次感谢您关注 Hercules 安全 MCU、我期待与您合作、在我们可以共享更多详细信息的私人论坛中提供更详细的信息。