Здравствуйте!

Столкнулся с такой проблемой, что для разрабатываемой
противопожарной системы требуется соответствие
стандарту SIL2. Насколько мне объяснили, нужно использовать
2 микроконтроллера для взаимной проверки.
Как это можно реализовать?

На сайте Texas Instruments нашел серию ARM контроллеров
для safety-critical systems (TMS570LS Family). Вот ссылка на сайт:
http://www.ti.com/lsds/ti/microcontroller/...ng_started.page

Это двуядерные микроконтроллеры (dual-CPU lockstep architecture).
Вот, что написано насчет стандартов:
Developed to the requirements of the ISO 26262ASIL D and IEC 61508 SIL-3 safety standards and
qualified to the AEC-Q100 automotive specification this ARM® Cortex™-R4F-based family offers
several options of performance, memory and connectivity.

Можно ли использовать такие микроконтроллеры, не беспокоясь больше
о соответствии стандарту? Программу придется писать одну, а компилятор сам продублирует код
на два ядра и будет выдавать флаги неисправностей? У других производителей микроконтроллеров
тоже есть подобные решения? Сам в основном работаю с MSP430 от Texas Instruments и
Mega, Xmega от ATMEL. В принципе ресурсов Xmega вполне достаточно для реализации
нужного функционала, но все упирается в сертификат, без которого систему
никуда не поставишь.

Какие могут быть дополнительные требования помимо микроконтроллера?
Например, контролю дискретных входов и выходов или использованию
внешних микросхем памяти .... Используются дискретные входы на оптопарах и
дискретные выходы на реле, а также используются аналоговые входы.
Из внешних памятей используются FRAM или microSD card.

С уважением
Дмитрий

Свести все к выбору МК не удастся. Это комплекс мероприятий (что касается лицензирования). Тип МК, ИМХО, любой остальное "понты" - не заморачивайтесь этим, а вникните в суть требований. думаю не прокатит.

Почитайте требования стандартов (EN, IEC), и сретифицирующих оргнизаций (TUV например) к уровням функциональной безопасности по SIL2, SIL3.
Hmm правильно сказал - сетификация продукции по уровням SIL это комплекс мер не только схемотехнических, но и огранизационных на этапе разработки и отладки. Согласно IEC61511 заработчик и конечный пользователь обязаны соблюдать определеный регламент при проектировании, эксплуатации, испытаниях изделий функциональной безопасности.

Сейчас точно не подскажу детали, но уровень SIL2 вроде и не потребует второго ядра, достаточно всего лишь организационных мер.
На моей предыдущей работе сертифицировали одно изделие под уровень SIL4 - вот там очень серьезная подготовка была, в части организационных мер, и разработке большой куче бумаг. Вобщем сущий АД.
Сама схемотехника до этого была сделана под требования РЖД по обрабоке отвественной (безопасной) информации (ОСТ 32.146), поэтому больших проблем в части схемотехники по моему не было.

В рунете по моему были статьи с описанием проблематики, особенностей, и требований стандартов безопасности IEС, EN и возможность их применения взамен отраслевых стандартов РЖД. В целом, там достаочно подробно расписан подход к проектированию изделий класса "Safety" - т.е. соответствующих требованиям стандартам функциональной безопасности. Думаю после прочтения вам будет от чего оттолкнуться.