上一篇內(nèi)容,我們討論了系統(tǒng)層面的不同的自檢技術(shù)來檢測我們的潛伏失效。本篇將討論故障度量和安全機制ASIL等級。

01

概念介紹

1- 單點故障(SPF):一個要素中的硬件故障,直接導(dǎo)致安全目標的違反,并且該元件中的任何故障都不被任何安全機制所覆蓋。

舉個栗子:電阻器開路可能導(dǎo)致違反安全目標。電阻器本身沒有安全機制或者根本不受控。

2- 殘余故障(RF):隨機硬件故障的一部分,其本身導(dǎo)致在硬件元件中發(fā)生的違反安全目標的情況,其中該部分隨機硬件失效不受安全機制控制。

舉個栗子:對于通過奇偶校驗檢查的寄存器,導(dǎo)致奇偶校驗檢測未檢測到的偶數(shù)個錯誤位的故障,可能導(dǎo)致違反安全目標。也就是說,安全機制不能覆蓋所有的故障而是部分覆蓋,這就是殘余。

3- 雙點故障:只有與第二個獨立故障相結(jié)合才有可能違反安全目標的故障。舉個栗子: ECC 用例:

潛伏(雙點)故障:用于通過ECC檢查的內(nèi)存。ECC用于從內(nèi)核到系統(tǒng)存儲的E2E保護以及外圍RAM的單獨保護。那么單個的bit是如何隨機損壞的呢?

散亂的阿爾法粒子可能會導(dǎo)致RAM中的某一個bit改變其存儲值。如果ECC機制使用不當,這些稀少的錯誤可能會隨著時間的推移而累積,并導(dǎo)致數(shù)據(jù)損壞,甚至是系統(tǒng)故障。這些事件的本質(zhì)是隨機的,在某個地址上發(fā)生錯誤并不表示下一次錯誤可能在何時或者何處發(fā)生:

一個已經(jīng)糾正但未發(fā)出信號的單bit故障,如果ECC糾正失敗,則可能違反安全目標;

使ECC失效且初始化啟動無法檢測到的故障。

那這里的潛伏故障是如何證明的呢?假設(shè)!

第一個獨立故障:由于阿爾法粒子導(dǎo)致RAM的兩個bit隨機翻轉(zhuǎn)(兩個bit自動檢測而沒有被糾正);

第二個獨立故障:在查表中的錯誤,它表示一個錯誤或一個中斷邏輯中的錯誤,通知驅(qū)動程序,如上圖所示。

如果有兩個bit翻轉(zhuǎn),只要ECC會向FCCU等另一個模塊標記一個標志位來處理故障,就沒什么問題。由于通知程序也被損壞,因此在這里發(fā)生了潛伏的故障,從而導(dǎo)致安全目標的違反。

02

安全機制規(guī)范

也就是說,在規(guī)定的時間間隔內(nèi)沒有檢測到雙點失效,則將其歸類為潛伏故障。當我們決定編寫對所需模塊進行自檢的安全機制時(根據(jù)系統(tǒng)架構(gòu)),這些安全機制至少應(yīng)符合:

ASIL-B for TSRs assigned ASILD

ASIL-A for TSRs assigned ASILB or ASILC

QM for TSRs assigned ASILA

為什么這么說呢?

因為我們的目的就是減少雙點故障。也就是說,兩個ASIL-B點不能違反安全目標。這意味著我們保護我們的系統(tǒng)直到ASIL-D (B+B=D)的TSR。

該TSR可以是一種安全機制,而不是由FSR展開得出的,如下圖示:

我們有一個單片機,它配備了內(nèi)存模塊的奇偶校驗。該奇偶校驗機制的等級為ASIL-B。該能力在以下安全機制中得到證明:

REQ_01:MCU XYZ shall implement a parity for the SRAM and Flash memoery - ASIL B

要求:制定一個安全要求,以測試奇偶校驗檢測和信號、記錄內(nèi)存故障的能力。

答案:自檢,如下→

REQ_02:MCU XYZ shall implement a self-test routine that tests the capability of the parity to detect and signal SRAM and Flash memory - ASIL A
現(xiàn)在,單片機中有硬件內(nèi)置自測模塊。現(xiàn)代的單片機都配備了硬線的安全機制,節(jié)省我們使用軟件實現(xiàn)它們的時間。如下圖,實際上,他們的性能優(yōu)于軟件測試庫(SW-Test-Libraries)。當我們采購汽車級的安全芯片的時候,供應(yīng)商會提供給我們安全手冊。根據(jù)所需要的ASIL等級來使用MCU的安全要求(AoU)。等到完成架構(gòu)系統(tǒng)和相應(yīng)的TSR的安全分析后,我們可以把AoU的需求整理好發(fā)給軟硬件團隊來實現(xiàn)這些需求(通常此部分體現(xiàn)在SSI中)。

除了ECC外,還有一個FCCU,它可以收集故障并通知其他例程、模塊來注冊故障或采取復(fù)位(單片機級別的安全狀態(tài),而不是整個系統(tǒng)的安全狀態(tài))。

系統(tǒng)失效有幾種類型?→通常是7種:

Fail-dangerous: 故障發(fā)生時可能導(dǎo)致危險;

Fail-inconsistent: 如果發(fā)生失效,提供的結(jié)果將明顯不一致;

Fail-stop: 如果失效的話,完全停止;

Fail-safe: 如果失效,返回或保持安全狀態(tài);

Fail-operational: 發(fā)生故障時,繼續(xù)保持正常工作;

Fail-silent: 發(fā)生故障時,不會打擾任何人;

Fail-indicate: 向其周圍顯示它失效了;

請注意:前兩種失效的情況是不理想的,在實施安全機制和TSR后,他們將被轉(zhuǎn)換為后5種故障安全類型的任意組合。也就是說,我們可以將安全狀態(tài)指定為可操作狀態(tài)并指示或停止或靜音。

以上,就是本期的全部內(nèi)容,我們下期再見啦!

參考資料:外文文獻資料免責(zé)聲明:本文章中內(nèi)容是由小編翻譯自外文文獻資料,免費傳播知識。