[参考译文] AM2634：IEC61508-2：使用单处理器封装创建一个 HFT=1的1oo2架构

尊敬的 Sahana：

是的、我知道 AM2632和 AM2634都通过了 IEC61508认证。 问题是该认证是否也适用于 IEC61508附录 E。这并不明显。

谢谢！

Tamas

尊敬的 Tamas：  

下面问题的答案是否定的  

问题：是否可以/接受仅使用上述器件之一的一个封装来创建双通道系统？ 任何解决方案在此处都是可以接受的。 我的意思是、使用两个内核版本的两个内核来构建两个通道、或使用四个内核版本在锁步模式下配置的两个内核对来实现相同的目的。 主要目标是仅使用一个封装而不是两个封装。

每个封装/器件(AM2632或 AM2634)有一个错误输出引脚(SAFETY_ERRORn)。 而您可以创建2个锁步配置。 使用 AM2634的链、HFT 仍为0、因为任何链中的故障都会导致元件/MCU 显示错误(检测为1)、而可用性(故障检测后)为0、因为元件将处于安全状态。  

两个 AM2632/AM2634封装是在系统级实现 HFT=1的理想选择。

希望这对您有所帮助。

此致、
Nilkanth

尊敬的 Nilkanth：

感谢您提供的信息。

我所述的系统中是否有可使用的 TI 产品系列中的任何微控制器？ 我是说在系统级别使用单个封装形成 HFT=1？

谢谢！

Tamas

尊敬的 Ashish：

功能安全系统(除了安全完整性等级)的另一个指标是 PST、即过程安全时间。 所有安全功能都必须在指定的 PST 范围内做出反应/运行/评估。 在我们的应用中、我们需要指定几毫秒范围(1-5ms)内的 PST。 关于安全功能、我们可以使用 AM263x CPU 轻松实现这一点。 导致问题的可能原因是我们必须在后台连续执行的自检例程。

在 HFT=0系统中、所有自检例程都必须在指定的 PST 范围内完全完成。

在 HFT=1系统中、相同的测试只能在24小时内完成。 (在实际操作中、只需几个小时。) 这就是为什么我们决定采用 HFT=1 , 1oo2方式。

我们不确定所有必要的自检例程(所有安全可靠性存储器、外设和 I/O 测试)是否可以在几毫秒内执行、即使使用 AM263x 具有如此高的处理能力的 CPU 也是如此。

我们仍在评估必须使用 AM263x 执行哪些自检例程。 在这个主题的任何帮助也是非常感谢。

谢谢！

Tamas

尊敬的 Tamas：

我现在了解选择1oo2系统架构背后的原因。  

整个 MCU 很大、但我想 SIF 会使用其中的一部分。 PST 内的定期自检只需要覆盖整个 MCU 的子集。 是这样吗？

通过 PST 内的测试、需要演示哪些 DC (诊断覆盖范围)？

我们可能需要检查 PBIST (对于 SRAM)、LBIST 与 STC (对于 CPU 内核逻辑)和/或基于软件的自检组合是否足以满足此应用的要求。 如果我们可以在电子邮件中进一步讨论该主题、请告诉我。

此致、

——阿什什

尊敬的 Ashish：

SIL3和 DC=3是必需的。

感谢您的支持！

可以、我们可以在电子邮件中讨论该主题。

此致、

Tamas