ISO 26262中的要素共存和免于干扰
iso 26262-9:2018的第6章节对系统设计(iso 26262-4)、硬件设计(iso 26262-5)和软件架构设计(iso 26262-6)提出了“要素共存(coexistence of elements)”的要求。本文针对该概念进行详细讲述,探讨“要素共存”的内在涵义,以及设计开发中针对其需要注意的地方。
级联失效
在讨论“要素共存(coexistence of elements)”之前,先理解“级联失效(cascading failure)”这个概念,iso 26262-1:2018的3.17给出了“级联失效(cascading failure)”的定义如下:
图1:iso 26262中对级联失效的定义
(该截图来源于iso 26262-1:2018)
级联失效(cascading failure):在相关项里的一个要素的内部或外部的一个原因,导致了一个失效,然后该失效又引起了另一个要素(在相同、或不同相关项里)产生了一个失效。简单理解地说:要素a产生了一个故障,该故障导致要素b产生了一个故障,这种情况就是级联失效。
要素共存准则
在产品开发过程中(以mcu为例子),其内部包括了多个不同功能和用途的ip(例如cup、adc、rom、ram、dma、can、clock等),尽管mcu内部要素分配的最高asil等级是d,但基于假设开发时某些非安全相关的qm功能也都按照asil d开发只会导致开发难度急剧上升、成本上涨。最理想的结果是,上层安全需求是什么asil等级,分配到的ip/模块就按各自分配的安全需求最高asil等级开发,如下图所示。
图2:安全需求分配给不同的要素
但是在开发过程中,由于某一个安全功能可能是由不同的ip组合来实现的,而且一个ip可能也需要承担多个安全功能一部分,这就导致了ip跟ip之间存在了一些耦合的因素,例如ip之间共享内存、ip之间的通信,而且这种现象在开发过程中是几乎无法避免的。例如图2中ip_001和ip_002存在“交互”,在这里暂时先不关心“交互”的方式,先思考一个问题:这种“交互”会带来什么问题?
结合第二节提及的“级联失效(cascading failure)”,这里假设ip_002的存在某一个失效模式(开路、短路或卡滞),该失效可能会导致ip_001获取到一个错误的输入,从而违背了某一个安全需求,因此ip_001和ip_002之间存在级联失效。
为了避免出现上述问题,iso 26262提出了“要素共存(coexistence of elements)”的概念,目的就是为了防止较低asil等级要素或qm要素的失效,导致较高asil等级要素失效,若满足这条原则,我们就叫满足要素共存准则(criteria for coexistence of elements)。
免于干扰
有了第三节的知识背景,理解“免于干扰(freedom from interference)”的概念就比较简单了,先看iso 26262对其的定义:
图3:iso 26262中对免于干扰的定义
(该截图来源于iso 26262-1:2018)
免于干扰(freedom from interference):两个及以上的要素之间不存在导致违背安全需求的级联失效。例如,若经过分析,图2中的ip_002不会导致ip_001产生违背安全需求的失效,则ip_001免于ip_002干扰。
因此,免于干扰(freedom from interference)和级联失效(cascading failure),其实就是一回事。非要分出个所以然的话,我们可以这样来理解两者之间的关系:免于干扰(freedom from interference)表征的是不同要素之间的一种关系属性,而级联失效(cascading failure)表征的是一个要素受到另一个要素的影响结果。有时候,针对免于干扰的分析我们也叫ffi(freedom from interference的缩写)分析,目的就是为了找出架构设计中的要素之间是否级联失效(cascading failure)。
ffi
在进行ffi分析时,分析团队应确定以下内容已经完成:
1) 考虑需要分析的安全需求;
2) 考虑需要分析的架构;
3) 已分配安全需求的架构要素及其子要素。
下面基于第3节的例子继续讨论,将不同asil等级的架构要素(ip或模块)按相应等级分类,然后找到ffi的分析路径,如图4所示,图中共显示有三个分析路径,即针对该要素中的子要素(ip_001~ip_003)进行ffi分析时,应考虑以下:
1) 分析路径1:ip_002(asil b)对ip_001(asil d)的干扰;
2) 分析路径2:ip_003(qm)对ip_002(asil b)的干扰;
3) 分析路径3:ip_003(qm)对ip_001(asil d)的干扰。
图4:识别ffi分析路径
针对上述的分析路径1,我们在第3节中已经假设ip_002会引起ip_001级联失效。对此,在产品架构设计时,需要考虑从以下方面进行优化:
1) 源头杜绝。例如,切断ip_001和ip_002之间的传播路径;
2) 持续检查。若上述传播路径是不可避免的,则需要对ip_002或传播路径进行周期性检查,以确保ip_001正常执行安全功能;
3) 事后补救。最差的情况,如果“级联失效(cascading failure)”无法避免,即上面两种情况都不能实现,则应制定针对ip_001失效以后的处理机制,例如检测到ip_001失效后进入安全状态。
针对其他的分析路径,若分析得出存在级联失效(cascading failure)的可能,则同样可按照上述方式进行设计优化。针对上述分析路径1~分析路径3中的“干扰”,将在下期内容《iso 26262中的相关失效分析》进一步讲述,如果得出这些干扰源。
广电计量功能安全服务能力
广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例,能为主机厂、零部件供应商、芯片设计企业提供整机、零部件、半导体、原材料等全面的检测、认证服务,保障产品的可靠性、可用性、可维护性和安全性。
广电计量拥有技术领先的功能安全团队,专注于功能安全(包括工业、轨道、汽车、集成电路等领域)、信息安全和预期功能安全领域的专家,具有丰富的集成电路、零部件和整机功能安全实施经验,可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。
图5:功能安全项目实施流程
光纤配线架和odf配线架的区别
中方坚决反对美方蓄意抹黑和打压华为等中国企业
如何对集成电路进行封装
富士康IPO融资271亿元人民币 将创下自2015年以来中国大陆的最高IPO记录
LTC1067/LTC1067-50应用概述
ISO 26262中的要素共存和免于干扰
小间距、大电流这款弹片微针模组解决BTB连接器性能测试难题
磷酸铁锂电池上市公司有哪些_最新十大磷酸铁锂电池上市公司汇总
Windows 10四大齐迎7月补丁星期二:各获累积更新
强化功能,优化能效丨极海APM32F035电动两轮车电机控制器应用方案
同步和异步buck电路的对比
华为联手长安汽车 意图打造中国领先的智能电动汽车平台
赛米控推出最新MiniSKiiP IGBT功率半导体模块
润和软件成为openEuler黄金捐赠人,加速推进行业落地
基于ARM嵌入式IPCamera的设计与实现
变频器的使用方法及参数调整
雷军:小米已成为印度第三大智能手机厂商
计算机通信与网络v2 实验课程(23)
中国程序员和美国程序员有这五点差距
设计低泄漏飞安电路-组件选择
级联失效
在讨论“要素共存(coexistence of elements)”之前,先理解“级联失效(cascading failure)”这个概念,iso 26262-1:2018的3.17给出了“级联失效(cascading failure)”的定义如下:
图1:iso 26262中对级联失效的定义
(该截图来源于iso 26262-1:2018)
级联失效(cascading failure):在相关项里的一个要素的内部或外部的一个原因,导致了一个失效,然后该失效又引起了另一个要素(在相同、或不同相关项里)产生了一个失效。简单理解地说:要素a产生了一个故障,该故障导致要素b产生了一个故障,这种情况就是级联失效。
要素共存准则
在产品开发过程中(以mcu为例子),其内部包括了多个不同功能和用途的ip(例如cup、adc、rom、ram、dma、can、clock等),尽管mcu内部要素分配的最高asil等级是d,但基于假设开发时某些非安全相关的qm功能也都按照asil d开发只会导致开发难度急剧上升、成本上涨。最理想的结果是,上层安全需求是什么asil等级,分配到的ip/模块就按各自分配的安全需求最高asil等级开发,如下图所示。
图2:安全需求分配给不同的要素
但是在开发过程中,由于某一个安全功能可能是由不同的ip组合来实现的,而且一个ip可能也需要承担多个安全功能一部分,这就导致了ip跟ip之间存在了一些耦合的因素,例如ip之间共享内存、ip之间的通信,而且这种现象在开发过程中是几乎无法避免的。例如图2中ip_001和ip_002存在“交互”,在这里暂时先不关心“交互”的方式,先思考一个问题:这种“交互”会带来什么问题?
结合第二节提及的“级联失效(cascading failure)”,这里假设ip_002的存在某一个失效模式(开路、短路或卡滞),该失效可能会导致ip_001获取到一个错误的输入,从而违背了某一个安全需求,因此ip_001和ip_002之间存在级联失效。
为了避免出现上述问题,iso 26262提出了“要素共存(coexistence of elements)”的概念,目的就是为了防止较低asil等级要素或qm要素的失效,导致较高asil等级要素失效,若满足这条原则,我们就叫满足要素共存准则(criteria for coexistence of elements)。
免于干扰
有了第三节的知识背景,理解“免于干扰(freedom from interference)”的概念就比较简单了,先看iso 26262对其的定义:
图3:iso 26262中对免于干扰的定义
(该截图来源于iso 26262-1:2018)
免于干扰(freedom from interference):两个及以上的要素之间不存在导致违背安全需求的级联失效。例如,若经过分析,图2中的ip_002不会导致ip_001产生违背安全需求的失效,则ip_001免于ip_002干扰。
因此,免于干扰(freedom from interference)和级联失效(cascading failure),其实就是一回事。非要分出个所以然的话,我们可以这样来理解两者之间的关系:免于干扰(freedom from interference)表征的是不同要素之间的一种关系属性,而级联失效(cascading failure)表征的是一个要素受到另一个要素的影响结果。有时候,针对免于干扰的分析我们也叫ffi(freedom from interference的缩写)分析,目的就是为了找出架构设计中的要素之间是否级联失效(cascading failure)。
ffi
在进行ffi分析时,分析团队应确定以下内容已经完成:
1) 考虑需要分析的安全需求;
2) 考虑需要分析的架构;
3) 已分配安全需求的架构要素及其子要素。
下面基于第3节的例子继续讨论,将不同asil等级的架构要素(ip或模块)按相应等级分类,然后找到ffi的分析路径,如图4所示,图中共显示有三个分析路径,即针对该要素中的子要素(ip_001~ip_003)进行ffi分析时,应考虑以下:
1) 分析路径1:ip_002(asil b)对ip_001(asil d)的干扰;
2) 分析路径2:ip_003(qm)对ip_002(asil b)的干扰;
3) 分析路径3:ip_003(qm)对ip_001(asil d)的干扰。
图4:识别ffi分析路径
针对上述的分析路径1,我们在第3节中已经假设ip_002会引起ip_001级联失效。对此,在产品架构设计时,需要考虑从以下方面进行优化:
1) 源头杜绝。例如,切断ip_001和ip_002之间的传播路径;
2) 持续检查。若上述传播路径是不可避免的,则需要对ip_002或传播路径进行周期性检查,以确保ip_001正常执行安全功能;
3) 事后补救。最差的情况,如果“级联失效(cascading failure)”无法避免,即上面两种情况都不能实现,则应制定针对ip_001失效以后的处理机制,例如检测到ip_001失效后进入安全状态。
针对其他的分析路径,若分析得出存在级联失效(cascading failure)的可能,则同样可按照上述方式进行设计优化。针对上述分析路径1~分析路径3中的“干扰”,将在下期内容《iso 26262中的相关失效分析》进一步讲述,如果得出这些干扰源。
广电计量功能安全服务能力
广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例,能为主机厂、零部件供应商、芯片设计企业提供整机、零部件、半导体、原材料等全面的检测、认证服务,保障产品的可靠性、可用性、可维护性和安全性。
广电计量拥有技术领先的功能安全团队,专注于功能安全(包括工业、轨道、汽车、集成电路等领域)、信息安全和预期功能安全领域的专家,具有丰富的集成电路、零部件和整机功能安全实施经验,可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。
图5:功能安全项目实施流程
光纤配线架和odf配线架的区别
中方坚决反对美方蓄意抹黑和打压华为等中国企业
如何对集成电路进行封装
富士康IPO融资271亿元人民币 将创下自2015年以来中国大陆的最高IPO记录
LTC1067/LTC1067-50应用概述
ISO 26262中的要素共存和免于干扰
小间距、大电流这款弹片微针模组解决BTB连接器性能测试难题
磷酸铁锂电池上市公司有哪些_最新十大磷酸铁锂电池上市公司汇总
Windows 10四大齐迎7月补丁星期二:各获累积更新
强化功能,优化能效丨极海APM32F035电动两轮车电机控制器应用方案
同步和异步buck电路的对比
华为联手长安汽车 意图打造中国领先的智能电动汽车平台
赛米控推出最新MiniSKiiP IGBT功率半导体模块
润和软件成为openEuler黄金捐赠人,加速推进行业落地
基于ARM嵌入式IPCamera的设计与实现
变频器的使用方法及参数调整
雷军:小米已成为印度第三大智能手机厂商
计算机通信与网络v2 实验课程(23)
中国程序员和美国程序员有这五点差距
设计低泄漏飞安电路-组件选择