哪位坛友使用过SIL3认证的操作系统，怎么购买呢？

tim4146

项目需要开发一款产品需要过SIL3认证，默认用裸机开发，但是功能复杂，怕是做不好，还是想用操作系统，网上搜了一下 ucos2 中国自动oneos之类的都是有sil3的，请问默认的版本就可以用吗？还是说付费了才能买到专用的认证版本的呢？
有谁接触过这类项目吗？

wychao

进口的qnx，vxworks，pike os
国产的也有

tim4146

wychao 发表于 2022-11-8 12:28
进口的qnx，vxworks，pike os
国产的也有
(引用自2楼)

我就是普通的mcu，大概stm32f407这种性能，用vxworks太麻烦了

redroof

tim4146 发表于 2022-11-8 12:59
我就是普通的mcu，大概stm32f407这种性能，用vxworks太麻烦了
(引用自3楼)

要过认证，难道不是在选型的时候就先选好一个合适的平台？
哪有选定了平台再自己花钱配系统的？
你实际上只能选人家已过了认证的若干个平台之一。花钱在你自己的平台上移植系统是要重新过认证的，天价，几乎没有可行性。。。

tang_qianfeng

threadx吧

redroof

安全认证这件事本身就是个非常狠的技术壁垒。
标准只规定你要达到什么要求，没规定你怎么做。原则上你拿很多个普通cpu做很多校验什么的也能达标。但实际上这样没有可行性。
正确的做法是去找个专门设计的这种单片机，加上专门为它配好的系统。然后你只要管你自己的程序就好

tim4146

redroof 发表于 2022-11-8 13:15
要过认证，难道不是在选型的时候就先选好一个合适的平台？
哪有选定了平台再自己花钱配系统的？
你实际上 ...
(引用自4楼)

感谢大神讲解，也就是操作系统并不是单独达到sil3而是和具体的mcu一起，或者整个产品一起过认证对吧
这样的话确实不好去选择，或者说比较麻烦一些。真要做的话，需要操作系统提供安全库，然后做各种诊断才行

1a2b3c

航空的187软件要求也是对SIL进行几个档次，所有的软件都需要进行相关的SIL评定，他们都是各种各样的MCU在运行，现在的话更多的是很多FPGA在运行，我自己理解的这个和是什么操作系统毫无关系，以及运行在什么硬件平台上；
但是，，，但是的确单指软件的话，usos2好像就是他们所谓认证平台上面默认符合规定的一种软件写法，这个是很容易忽悠过去的一种方式；
本质上来说的话，并不需要非得什么系统什么平台上面运行，因为别人用汇编也是一样的过的 ，只是说在我们这种从来心思不在这个上面的环境来说，为了去拿到认证也是巨大的成功了，可以考虑找一些所谓有资质的代理机构，他们有相关工具，以及人、物资质，可能容易些。

所以，楼主如果搞定了不忘来分享分享。

redroof

tim4146 发表于 2022-11-8 14:46
感谢大神讲解，也就是操作系统并不是单独达到sil3而是和具体的mcu一起，或者整个产品一起过认证对吧
这样 ...
(引用自7楼)

你还没明白本质。最狠的根本不是软件，而是从cpu起就得是特殊的lock step的cpu，它里面实际上是两个cpu运行相同的程序并且互相校验！
用普通cpu你得自己搞定双cpu或者3个cpu互相校验的这个流程，然后证明给认证人员看（这远远比买个专门设计的成品解决方案要贵的多）

redroof

1a2b3c 发表于 2022-11-8 15:31
航空的187软件要求也是对SIL进行几个档次，所有的软件都需要进行相关的SIL评定，他们都是各种各样的MCU在运 ...
(引用自8楼)

网上说空客A380的飞控计算机用了9冗余，有3种不同厂家的cpu结构，每种cpu又有3个。而且3个不同cpu厂家他们的系统库和编译器都是不同的。确保就算系统库或者编译器哪里有错都能防住，反正三个cpu厂家的三套软件完全没任何关系，不可能在同一个地方岀错。
你认为楼主花得起这个成本吗？哈哈

mathworks

SIL3认证估计得100W起步吧。

flamma

redroof 发表于 2022-11-8 16:35
你还没明白本质。最狠的根本不是软件，而是从cpu起就得是特殊的lock step的cpu，它里面实际上是两个cpu运 ...
(引用自9楼)

如果这样，单核的芯片比如极海的APM32F103VB这种是怎么过SIL3认证的呢？

1a2b3c

redroof 发表于 2022-11-8 16:35
你还没明白本质。最狠的根本不是软件，而是从cpu起就得是特殊的lock step的cpu，它里面实际上是两个cpu运 ...
(引用自9楼)

你说的可能有点夸张了一点，真的是和cpu没啥关系，或者说和硬件平台没关系。至少我了解到的这个领域基本上是这样吧，其它的的确也没有机会研究学习。
我上个月才专门看了至少两款较新的机载设备，一个是2020年左右拿到适航认证的，一个是13年（有点老了），新的一套主要核心器件是2个fpga和一个stm32f030的mcu，核心器件都是普通的再普通不过了；另外一款老的是一个ti的5401dsp和一个x的fpga，相对都比较老。但是他们的整机用途和级别完全是一摸一样的。
不过不知道我们国内是怎么走SIL认证这条路的，我也正准备走一下，

1a2b3c

我记得论坛里面有一位在国外做Garmin航电的网友，他应该是参与过一些完整设备的过程，不知道他能不能分享一点这方面的知识，不记得是哪一位了，看不到以前的私信了，

redroof

flamma 发表于 2022-11-8 17:51
如果这样，单核的芯片比如极海的APM32F103VB这种是怎么过SIL3认证的呢？
(引用自12楼)

自己用纯软件做的冗余？
或者作假？

tim4146

flamma 发表于 2022-11-8 17:51
如果这样，单核的芯片比如极海的APM32F103VB这种是怎么过SIL3认证的呢？
(引用自12楼)

他们的sil3有点水，我们研究过，其实单mcu是sil2，用两片才能做出sil3

redroof

tim4146 发表于 2022-11-8 19:58
他们的sil3有点水，我们研究过，其实单mcu是sil2，用两片才能做出sil3
(引用自16楼)

也就是自己用软件做冗余呗。

tim4146

redroof 发表于 2022-11-8 16:41
网上说空客A380的飞控计算机用了9冗余，有3种不同厂家的cpu结构，每种cpu又有3个。而且3个不同cpu厂家他 ...
(引用自10楼)

能不能花的起这个成本取决于我们产品后续的利润，目前来看，我们的产品也算是非常复杂的了
9冗余没见过，听说核电是sil4，四冗余，2oo4
之类的

redroof

1a2b3c 发表于 2022-11-8 18:01
你说的可能有点夸张了一点，真的是和cpu没啥关系，或者说和硬件平台没关系。至少我了解到的这个领域基本 ...
(引用自13楼)

反正标准在那里放着，谁都能看。标准里就是那么写的，你证明你达到了所有要求就行。
几十年前没有单芯片的专门解决方案的年代，人类也造岀了飞机啊，连卫星火箭都有。至于那些系统花了多少钱做岀来的，就另算了。。。

redroof

tim4146 发表于 2022-11-8 20:05
能不能花的起这个成本取决于我们产品后续的利润，目前来看，我们的产品也算是非常复杂的了
9冗余没见过， ...
(引用自18楼)

你看看英飞凌的AURIX，或者是TI的tms570，看看它们的介绍就知道了。
不用这些成品解决方案，非要自己搭，我认为你或者做不成，或者要自己付岀非常高的代价。因为说白了它们内置的那一大堆高级功能都是标准规定了你要做的，芯片厂家不做那就用户自己在外面做呗。。。看哪样更便宜。。。

tim4146

redroof 发表于 2022-11-8 20:21
你看看英飞凌的AURIX，或者是TI的tms570，看看它们的介绍就知道了。
不用这些成品解决方案，非要自己搭， ...
(引用自20楼)

全部自己搭肯定不现实，能加快开发肯定选诊断覆盖率高的，目前来看很多国产的车规级的mcu陆续出来了，诊断覆盖率都是比较全面的，我们也选用了一家

redroof

tim4146 发表于 2022-11-8 21:51
全部自己搭肯定不现实，能加快开发肯定选诊断覆盖率高的，目前来看很多国产的车规级的mcu陆续出来了，诊 ...
(引用自21楼)

那就是了呗。照理说厂家有芯片也会有对应配好的系统，全套一起给你，这样好过认证。人家规定啥你就用啥，没有自己配这一说。

机器人天空

redroof说的比较中肯，感觉跟汽车功能安全很像，主控芯片本身需要通过安全等级认证自带锁步核、ecc校验等。软件很多都是三层安全架构、内核检查、程序流检查，内存分区等等