• 状态 Resolved
  • 已锁定 已锁定
  • 回复 8 回复
  • 订户 0 订户
  • 视图 498 视图
  • 用户 0 会员在此处
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] AM2634:IEC61508-2:使用单处理器封装创建一个 HFT=1的1oo2架构

admin
Guru**** 2536410 points
Other Parts Discussed in Thread: AM2634, AM2632

请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/microcontrollers/arm-based-microcontrollers-group/arm-based-microcontrollers/f/arm-based-microcontrollers-forum/1450563/am2634-iec61508-2-functional-safety-creation-a-1oo2-architecture-with-hft-1-using-a-single-processor-package

器件型号:AM2634
主题中讨论的其他器件: AM2632

工具与软件:

您好!

我想使用 AM2632或 AM2634的单个封装来简化我的功能安全项目。 目标为 SIL3。 双通道所谓的1oo2系统是首选的硬件架构、其硬件容错能力为1。 架构需要两个独立的处理链。 每条链中有一个微控制器执行相同的代码、有一个微控制器比较两个通道的结果。 如果任何通道检测到内部故障、另一个通道仍可以处理该任务。

简单直接的解决方案是使用两个独立的微控制器(两种封装)、并以这种方式构建两个通道。  但是、AM2632和 AM2634具有2个或4个 CPU 内核。 此外、两个内核可以在锁步模式下运行、从而提高可靠性。 CPU 本身已通过 IEC61508-2认证、它们似乎是理想的备选器件。

问题:是否可以/接受仅使用上述器件之一的一个封装来创建双通道系统? 任何解决方案在此处都是可以接受的。 我的意思是、使用两个内核版本的两个内核来构建两个通道、或使用四个内核版本在锁步模式下配置的两个内核对来实现相同的目的。 主要目标是仅使用一个封装而不是两个封装。

我目前还不是专家、但根据我对 IEC61508-2标准的理解、 附录 E 讨论了一个与此类似的系统、即片上冗余。 我在 CPU 系列的安全相关文档中未找到任何信息、前提是它已通过 IEC61508附录 E 认证。是吗?

谢谢!

Tamas

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Tamas:

    为了满足您的要求、最好使用 AM2634、它已通过 IEC61508认证。

    此致、

    Sahana

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Sahana:

    是的、我知道 AM2632和 AM2634都通过了 IEC61508认证。 问题是该认证是否也适用于 IEC61508附录 E。这并不明显。

    谢谢!

    Tamas

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Tamas:  

    下面问题的答案是否定的  

    问题:是否可以/接受仅使用上述器件之一的一个封装来创建双通道系统? 任何解决方案在此处都是可以接受的。 我的意思是、使用两个内核版本的两个内核来构建两个通道、或使用四个内核版本在锁步模式下配置的两个内核对来实现相同的目的。 主要目标是仅使用一个封装而不是两个封装。


    每个封装/器件(AM2632或 AM2634)有一个错误输出引脚(SAFETY_ERRORn)。 而您可以创建2个锁步配置。 使用 AM2634的链、HFT 仍为0、因为任何链中的故障都会导致元件/MCU 显示错误(检测为1)、而可用性(故障检测后)为0、因为元件将处于安全状态。  

    两个 AM2632/AM2634封装是在系统级实现 HFT=1的理想选择。

    希望这对您有所帮助。

    此致、
    Nilkanth

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Nilkanth:

    感谢您提供的信息。

    我所述的系统中是否有可使用的 TI 产品系列中的任何微控制器? 我是说在系统级别使用单个封装形成 HFT=1?

    谢谢!

    Tamas

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Tamas:

    在您的第一篇博文中、您提到系统安全目标为"SIL 3"。 为此、您可以使用单个 SIL 3认证 MCU、例如单个 HFT=0的 AM2634器件。

    您的"偏好"是使用1oo2 (HFT=1)系统配置来实现。 然而、对于 SIL 3而言、使用 HFT=1并非必需的。 只要满足硬件指标、您就可以通过单个通道实现 SIL 3目标、例如使用符合上述标准的 TI 器件。 可以在同一 MCU 上实施两个逻辑通道以实现 SIL 3 (用于满足硬件指标)。 然而、HFT=1的说法是不可能的。

    HFT=1支持"可用性"、在您的系统中添加"安全完整性级别"。

    如果 HFT=1是必备目标、则可以使用系统中的两个组件(不一定是两个 MCU)来实现所需的硬件独立性。

    我希望这对您有所帮助。

    此致、

    --阿什什什·范贾里

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Ashish:

    功能安全系统(除了安全完整性等级)的另一个指标是 PST、即过程安全时间。 所有安全功能都必须在指定的 PST 范围内做出反应/运行/评估。 在我们的应用中、我们需要指定几毫秒范围(1-5ms)内的 PST。 关于安全功能、我们可以使用 AM263x CPU 轻松实现这一点。 导致问题的可能原因是我们必须在后台连续执行的自检例程。

    在 HFT=0系统中、所有自检例程都必须在指定的 PST 范围内完全完成。

    在 HFT=1系统中、相同的测试只能在24小时内完成。 (在实际操作中、只需几个小时。) 这就是为什么我们决定采用 HFT=1 , 1oo2方式。

    我们不确定所有必要的自检例程(所有安全可靠性存储器、外设和 I/O 测试)是否可以在几毫秒内执行、即使使用 AM263x 具有如此高的处理能力的 CPU 也是如此。

    我们仍在评估必须使用 AM263x 执行哪些自检例程。 在这个主题的任何帮助也是非常感谢。

    谢谢!

    Tamas

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Tamas:

    我现在了解选择1oo2系统架构背后的原因。  

    整个 MCU 很大、但我想 SIF 会使用其中的一部分。 PST 内的定期自检只需要覆盖整个 MCU 的子集。 是这样吗?

    通过 PST 内的测试、需要演示哪些 DC (诊断覆盖范围)?

    我们可能需要检查 PBIST (对于 SRAM)、LBIST 与 STC (对于 CPU 内核逻辑)和/或基于软件的自检组合是否足以满足此应用的要求。 如果我们可以在电子邮件中进一步讨论该主题、请告诉我。

    此致、

    ——阿什什

  • 0
    TI__Guru**** 2536410 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    尊敬的 Ashish:

    SIL3和 DC=3是必需的。

    感谢您的支持!

    可以、我们可以在电子邮件中讨论该主题。

    此致、

    Tamas