您好!歡迎訪(fǎng)問(wèn)廣電計量檢測集團股份有限公司網(wǎng)站!
全國服務(wù)咨詢(xún)熱線(xiàn):
15360494010
15360494010
ISO 26262-9:2018的第6章節對系統設計(ISO 26262-4)、硬件設計(ISO 26262-5)和軟件架構設計(ISO 26262-6)提出了“要素共存(Coexistence of Elements)"的要求。本文針對該概念進(jìn)行詳細講述,探討“要素共存"的內在涵義,以及設計開(kāi)發(fā)中針對其需要注意的地方。
級聯(lián)失效在討論“要素共存(Coexistence of Elements)"之前,先理解“級聯(lián)失效(Cascading Failure)"這個(gè)概念,ISO 26262-1:2018的3.17給出了“級聯(lián)失效(Cascading Failure)"的定義如下:
圖1:ISO 26262中對級聯(lián)失效的定義
(該截圖來(lái)源于ISO 26262-1:2018)
級聯(lián)失效(Cascading Failure):在相關(guān)項里的一個(gè)要素的內部或外部的一個(gè)原因,導致了一個(gè)失效,然后該失效又引起了另一個(gè)要素(在相同、或不同相關(guān)項里)產(chǎn)生了一個(gè)失效。簡(jiǎn)單理解地說(shuō):要素A產(chǎn)生了一個(gè)故障,該故障導致要素B產(chǎn)生了一個(gè)故障,這種情況就是級聯(lián)失效。
在產(chǎn)品開(kāi)發(fā)過(guò)程中(以MCU為例子),其內部包括了多個(gè)不同功能和用途的IP(例如CUP、ADC、ROM、RAM、DMA、CAN、CLOCK等),盡管MCU內部要素分配的最高ASIL等級是D,但基于假設開(kāi)發(fā)時(shí)某些非安全相關(guān)的QM功能也都按照ASIL D開(kāi)發(fā)只會(huì )導致開(kāi)發(fā)難度急劇上升、成本上漲。理想的結果是,上層安全需求是什么ASIL等級,分配到的IP/模塊就按各自分配的安全需求最高ASIL等級開(kāi)發(fā),如下圖所示。
圖2:安全需求分配給不同的要素
但是在開(kāi)發(fā)過(guò)程中,由于某一個(gè)安全功能可能是由不同的IP組合來(lái)實(shí)現的,而且一個(gè)IP可能也需要承擔多個(gè)安全功能一部分,這就導致了IP跟IP之間存在了一些耦合的因素,例如IP之間共享內存、IP之間的通信,而且這種現象在開(kāi)發(fā)過(guò)程中是幾乎無(wú)法避免的。例如圖2中IP_001和IP_002存在“交互",在這里暫時(shí)先不關(guān)心“交互"的方式,先思考一個(gè)問(wèn)題:這種“交互"會(huì )帶來(lái)什么問(wèn)題?
結合第二節提及的“級聯(lián)失效(Cascading Failure)",這里假設IP_002的存在某一個(gè)失效模式(開(kāi)路、短路或卡滯),該失效可能會(huì )導致IP_001獲取到一個(gè)錯誤的輸入,從而違背了某一個(gè)安全需求,因此IP_001和IP_002之間存在級聯(lián)失效。
為了避免出現上述問(wèn)題,ISO 26262提出了“要素共存(Coexistence of Elements)"的概念,目的就是為了防止較低ASIL等級要素或QM要素的失效,導致較高ASIL等級要素失效,若滿(mǎn)足這條原則,我們就叫滿(mǎn)足要素共存準則(Criteria for Coexistence of Elements)。
有了第三節的知識背景,理解“免于干擾(Freedom From Interference)"的概念就比較簡(jiǎn)單了,先看ISO 26262對其的定義:
圖3:ISO 26262中對免于干擾的定義
(該截圖來(lái)源于ISO 26262-1:2018)
免于干擾(Freedom From Interference):兩個(gè)及以上的要素之間不存在導致違背安全需求的級聯(lián)失效。例如,若經(jīng)過(guò)分析,圖2中的IP_002不會(huì )導致IP_001產(chǎn)生違背安全需求的失效,則IP_001免于IP_002干擾。
因此,免于干擾(Freedom From Interference)和級聯(lián)失效(Cascading Failure),其實(shí)就是一回事。非要分出個(gè)所以然的話(huà),我們可以這樣來(lái)理解兩者之間的關(guān)系:免于干擾(Freedom From Interference)表征的是不同要素之間的一種關(guān)系屬性,而級聯(lián)失效(Cascading Failure)表征的是一個(gè)要素受到另一個(gè)要素的影響結果。有時(shí)候,針對免于干擾的分析我們也叫FFI(Freedom From Interference的縮寫(xiě))分析,目的就是為了找出架構設計中的要素之間是否級聯(lián)失效(Cascading Failure)。
在進(jìn)行FFI分析時(shí),分析團隊應確定以下內容已經(jīng)完成:
1) 考慮需要分析的安全需求;
2) 考慮需要分析的架構;
3) 已分配安全需求的架構要素及其子要素。
下面基于第3節的例子繼續討論,將不同ASIL等級的架構要素(IP或模塊)按相應等級分類(lèi),然后找到FFI的分析路徑,如圖4所示,圖中共顯示有三個(gè)分析路徑,即針對該要素中的子要素(IP_001~IP_003)進(jìn)行FFI分析時(shí),應考慮以下:
1) 分析路徑1:IP_002(ASIL B)對IP_001(ASIL D)的干擾;
2) 分析路徑2:IP_003(QM)對IP_002(ASIL B)的干擾;
3) 分析路徑3:IP_003(QM)對IP_001(ASIL D)的干擾。
圖4:識別FFI分析路徑
針對上述的分析路徑1,我們在第3節中已經(jīng)假設IP_002會(huì )引起IP_001級聯(lián)失效。對此,在產(chǎn)品架構設計時(shí),需要考慮從以下方面進(jìn)行優(yōu)化:
1) 源頭杜絕。例如,切斷IP_001和IP_002之間的傳播路徑;
2) 持續檢查。若上述傳播路徑是不可避免的,則需要對IP_002或傳播路徑進(jìn)行周期性檢查,以確保IP_001正常執行安全功能;
3) 事后補救。最差的情況,如果“級聯(lián)失效(Cascading Failure)"無(wú)法避免,即上面兩種情況都不能實(shí)現,則應制定針對IP_001失效以后的處理機制,例如檢測到IP_001失效后進(jìn)入安全狀態(tài)。
針對其他的分析路徑,若分析得出存在級聯(lián)失效(Cascading Failure)的可能,則同樣可按照上述方式進(jìn)行設計優(yōu)化。針對上述分析路徑1~分析路徑3中的“干擾",將在下期內容《ISO 26262中的相關(guān)失效分析》進(jìn)一步講述,如果得出這些干擾源。
廣電計量在汽車(chē)、鐵路系統產(chǎn)品檢測方面擁有豐富的技術(shù)經(jīng)驗和成功案例,能為主機廠(chǎng)、零部件供應商、芯片設計企業(yè)提供整機、零部件、半導體、原材料等全面的檢測、認證服務(wù),保障產(chǎn)品的可靠性、可用性、可維護性和安全性。
廣電計量擁有技術(shù)先進(jìn)的功能安全團隊,專(zhuān)注于功能安全(包括工業(yè)、軌道、汽車(chē)、集成電路等領(lǐng)域)、信息安全和預期功能安全領(lǐng)域的專(zhuān)家,具有豐富的集成電路、零部件和整機功能安全實(shí)施經(jīng)驗,可根據相應行業(yè)的安全標準為不同行業(yè)的客戶(hù)提供培訓、檢測、審核和認證一站式服務(wù)。
圖5:功能安全項目實(shí)施流程
掃一掃,關(guān)注微信電話(huà)
微信掃一掃
當前位置: