ISO 26262-9:2018的第6章节对系统设计(ISO 26262-4)、硬件设计(ISO 26262-5)和软件架构设计(ISO 26262-6)提出了“要素共存(Coexistence of Elements)”的要求。本文针对该概念进行详细讲述,探讨“要素共存”的内在涵义,以及设计开发中针对其需要注意的地方。
iso26262吧 关注:65贴子:162
- 6回复贴,共1页
要素共存准则
在产品开发过程中(以MCU为例子),其内部包括了多个不同功能和用途的IP(例如CUP、ADC、ROM、RAM、DMA、CAN、CLOCK等),尽管MCU内部要素分配的最高ASIL等级是D,但基于假设开发时某些非安全相关的QM功能也都按照ASIL D开发只会导致开发难度急剧上升、成本上涨。最理想的结果是,上层安全需求是什么ASIL等级,分配到的IP/模块就按各自分配的安全需求最高ASIL等级开发,如下图所示。
但是在开发过程中,由于某一个安全功能可能是由不同的IP组合来实现的,而且一个IP可能也需要承担多个安全功能一部分,这就导致了IP跟IP之间存在了一些耦合的因素,例如IP之间共享内存、IP之间的通信,而且这种现象在开发过程中是几乎无法避免的。例如图2中IP_001和IP_002存在“交互”,在这里暂时先不关心“交互”的方式,先思考一个问题:这种“交互”会带来什么问题?
结合第二节提及的“级联失效(Cascading Failure)”,这里假设IP_002的存在某一个失效模式(开路、短路或卡滞),该失效可能会导致IP_001获取到一个错误的输入,从而违背了某一个安全需求,因此IP_001和IP_002之间存在级联失效。
为了避免出现上述问题,ISO 26262提出了“要素共存(Coexistence of Elements)”的概念,目的就是为了防止较低ASIL等级要素或QM要素的失效,导致较高ASIL等级要素失效,若满足这条原则,我们就叫满足要素共存准则(Criteria for Coexistence of Elements)。
在产品开发过程中(以MCU为例子),其内部包括了多个不同功能和用途的IP(例如CUP、ADC、ROM、RAM、DMA、CAN、CLOCK等),尽管MCU内部要素分配的最高ASIL等级是D,但基于假设开发时某些非安全相关的QM功能也都按照ASIL D开发只会导致开发难度急剧上升、成本上涨。最理想的结果是,上层安全需求是什么ASIL等级,分配到的IP/模块就按各自分配的安全需求最高ASIL等级开发,如下图所示。
但是在开发过程中,由于某一个安全功能可能是由不同的IP组合来实现的,而且一个IP可能也需要承担多个安全功能一部分,这就导致了IP跟IP之间存在了一些耦合的因素,例如IP之间共享内存、IP之间的通信,而且这种现象在开发过程中是几乎无法避免的。例如图2中IP_001和IP_002存在“交互”,在这里暂时先不关心“交互”的方式,先思考一个问题:这种“交互”会带来什么问题?
结合第二节提及的“级联失效(Cascading Failure)”,这里假设IP_002的存在某一个失效模式(开路、短路或卡滞),该失效可能会导致IP_001获取到一个错误的输入,从而违背了某一个安全需求,因此IP_001和IP_002之间存在级联失效。
为了避免出现上述问题,ISO 26262提出了“要素共存(Coexistence of Elements)”的概念,目的就是为了防止较低ASIL等级要素或QM要素的失效,导致较高ASIL等级要素失效,若满足这条原则,我们就叫满足要素共存准则(Criteria for Coexistence of Elements)。
免于干扰
有了第三节的知识背景,理解“免于干扰(Freedom From Interference)”的概念就比较简单了,先看ISO 26262对其的定义:
免于干扰(Freedom From Interference):两个及以上的要素之间不存在导致违背安全需求的级联失效。例如,若经过分析,图2中的IP_002不会导致IP_001产生违背安全需求的失效,则IP_001免于IP_002干扰。
因此,免于干扰(Freedom From Interference)和级联失效(Cascading Failure),其实就是一回事。非要分出个所以然的话,我们可以这样来理解两者之间的关系:免于干扰(Freedom From Interference)表征的是不同要素之间的一种关系属性,而级联失效(Cascading Failure)表征的是一个要素受到另一个要素的影响结果。有时候,针对免于干扰的分析我们也叫FFI(Freedom From Interference的缩写)分析,目的就是为了找出架构设计中的要素之间是否级联失效(Cascading Failure)。
有了第三节的知识背景,理解“免于干扰(Freedom From Interference)”的概念就比较简单了,先看ISO 26262对其的定义:
免于干扰(Freedom From Interference):两个及以上的要素之间不存在导致违背安全需求的级联失效。例如,若经过分析,图2中的IP_002不会导致IP_001产生违背安全需求的失效,则IP_001免于IP_002干扰。
因此,免于干扰(Freedom From Interference)和级联失效(Cascading Failure),其实就是一回事。非要分出个所以然的话,我们可以这样来理解两者之间的关系:免于干扰(Freedom From Interference)表征的是不同要素之间的一种关系属性,而级联失效(Cascading Failure)表征的是一个要素受到另一个要素的影响结果。有时候,针对免于干扰的分析我们也叫FFI(Freedom From Interference的缩写)分析,目的就是为了找出架构设计中的要素之间是否级联失效(Cascading Failure)。
FFI
在进行FFI分析时,分析团队应确定以下内容已经完成:
1) 考虑需要分析的安全需求;
2) 考虑需要分析的架构;
3) 已分配安全需求的架构要素及其子要素。
下面基于第3节的例子继续讨论,将不同ASIL等级的架构要素(IP或模块)按相应等级分类,然后找到FFI的分析路径,如图4所示,图中共显示有三个分析路径,即针对该要素中的子要素(IP_001~IP_003)进行FFI分析时,应考虑以下:
1) 分析路径1:IP_002(ASIL B)对IP_001(ASIL D)的干扰;
2) 分析路径2:IP_003(QM)对IP_002(ASIL B)的干扰;
3) 分析路径3:IP_003(QM)对IP_001(ASIL D)的干扰。
针对上述的分析路径1,我们在第3节中已经假设IP_002会引起IP_001级联失效。对此,在产品架构设计时,需要考虑从以下方面进行优化:
1) 源头杜绝。例如,切断IP_001和IP_002之间的传播路径;
2) 持续检查。若上述传播路径是不可避免的,则需要对IP_002或传播路径进行周期性检查,以确保IP_001正常执行安全功能;
3) 事后补救。最差的情况,如果“级联失效(Cascading Failure)”无法避免,即上面两种情况都不能实现,则应制定针对IP_001失效以后的处理机制,例如检测到IP_001失效后进入安全状态。
针对其他的分析路径,若分析得出存在级联失效(Cascading Failure)的可能,则同样可按照上述方式进行设计优化。针对上述分析路径1~分析路径3中的“干扰”,将在下期内容《ISO 26262中的相关失效分析》进一步讲述,如果得出这些干扰源。
在进行FFI分析时,分析团队应确定以下内容已经完成:
1) 考虑需要分析的安全需求;
2) 考虑需要分析的架构;
3) 已分配安全需求的架构要素及其子要素。
下面基于第3节的例子继续讨论,将不同ASIL等级的架构要素(IP或模块)按相应等级分类,然后找到FFI的分析路径,如图4所示,图中共显示有三个分析路径,即针对该要素中的子要素(IP_001~IP_003)进行FFI分析时,应考虑以下:
1) 分析路径1:IP_002(ASIL B)对IP_001(ASIL D)的干扰;
2) 分析路径2:IP_003(QM)对IP_002(ASIL B)的干扰;
3) 分析路径3:IP_003(QM)对IP_001(ASIL D)的干扰。
针对上述的分析路径1,我们在第3节中已经假设IP_002会引起IP_001级联失效。对此,在产品架构设计时,需要考虑从以下方面进行优化:
1) 源头杜绝。例如,切断IP_001和IP_002之间的传播路径;
2) 持续检查。若上述传播路径是不可避免的,则需要对IP_002或传播路径进行周期性检查,以确保IP_001正常执行安全功能;
3) 事后补救。最差的情况,如果“级联失效(Cascading Failure)”无法避免,即上面两种情况都不能实现,则应制定针对IP_001失效以后的处理机制,例如检测到IP_001失效后进入安全状态。
针对其他的分析路径,若分析得出存在级联失效(Cascading Failure)的可能,则同样可按照上述方式进行设计优化。针对上述分析路径1~分析路径3中的“干扰”,将在下期内容《ISO 26262中的相关失效分析》进一步讲述,如果得出这些干扰源。
扫二维码下载贴吧客户端
下载贴吧APP
看高清直播、视频!
看高清直播、视频!
贴吧热议榜
- 1王祖贤在贴吧官宣创业2814750
- 2表白收到摩斯密码怎么破2620237
- 3分享我和妹妹难以启齿的故事1868944
- 4南师大博士女友出轨已婚导师1773252
- 5崩坏3.2遐蝶技能强度爆炸1734252
- 6未来的农村宅基地还值钱吗1676350
- 7EDG再战T1胜算有多大1636152
- 8理想高管暗讽华为把供应链当自研1521542
- 9莫雷加德被逼退成樊振东2.01194182
- 10俄方停战条件谁敢同意999852
