上一篇內容,我們討論了系統層面的不同的自檢技術來檢測我們的潛伏失效。本篇將討論故障度量和安全機制ASIL等級。

01

概念介紹

1- 單點故障(SPF):一個要素中的硬件故障,直接導致安全目標的違反,并且該元件中的任何故障都不被任何安全機制所覆蓋。

舉個栗子:電阻器開路可能導致違反安全目標。電阻器本身沒有安全機制或者根本不受控。

2- 殘余故障(RF):隨機硬件故障的一部分,其本身導致在硬件元件中發生的違反安全目標的情況,其中該部分隨機硬件失效不受安全機制控制。

舉個栗子:對于通過奇偶校驗檢查的寄存器,導致奇偶校驗檢測未檢測到的偶數個錯誤位的故障,可能導致違反安全目標。也就是說,安全機制不能覆蓋所有的故障而是部分覆蓋,這就是殘余。

3- 雙點故障:只有與第二個獨立故障相結合才有可能違反安全目標的故障。舉個栗子: ECC 用例:

潛伏(雙點)故障:用于通過ECC檢查的內存。ECC用于從內核到系統存儲的E2E保護以及外圍RAM的單獨保護。那么單個的bit是如何隨機損壞的呢?

散亂的阿爾法粒子可能會導致RAM中的某一個bit改變其存儲值。如果ECC機制使用不當,這些稀少的錯誤可能會隨著時間的推移而累積,并導致數據損壞,甚至是系統故障。這些事件的本質是隨機的,在某個地址上發生錯誤并不表示下一次錯誤可能在何時或者何處發生:

一個已經糾正但未發出信號的單bit故障,如果ECC糾正失敗,則可能違反安全目標;

使ECC失效且初始化啟動無法檢測到的故障。

那這里的潛伏故障是如何證明的呢?假設!

第一個獨立故障:由于阿爾法粒子導致RAM的兩個bit隨機翻轉(兩個bit自動檢測而沒有被糾正);

第二個獨立故障:在查表中的錯誤,它表示一個錯誤或一個中斷邏輯中的錯誤,通知驅動程序,如上圖所示。

如果有兩個bit翻轉,只要ECC會向FCCU等另一個模塊標記一個標志位來處理故障,就沒什么問題。由于通知程序也被損壞,因此在這里發生了潛伏的故障,從而導致安全目標的違反。

02

安全機制規范

也就是說,在規定的時間間隔內沒有檢測到雙點失效,則將其歸類為潛伏故障。當我們決定編寫對所需模塊進行自檢的安全機制時(根據系統架構),這些安全機制至少應符合:

ASIL-B for TSRs assigned ASILD

ASIL-A for TSRs assigned ASILB or ASILC

QM for TSRs assigned ASILA

為什么這么說呢?

因為我們的目的就是減少雙點故障。也就是說,兩個ASIL-B點不能違反安全目標。這意味著我們保護我們的系統直到ASIL-D (B+B=D)的TSR。

該TSR可以是一種安全機制,而不是由FSR展開得出的,如下圖示:

我們有一個單片機,它配備了內存模塊的奇偶校驗。該奇偶校驗機制的等級為ASIL-B。該能力在以下安全機制中得到證明:

REQ_01:MCU XYZ shall implement a parity for the SRAM and Flash memoery - ASIL B

要求:制定一個安全要求,以測試奇偶校驗檢測和信號、記錄內存故障的能力。

答案:自檢,如下→

REQ_02:MCU XYZ shall implement a self-test routine that tests the capability of the parity to detect and signal SRAM and Flash memory - ASIL A
現在,單片機中有硬件內置自測模塊。現代的單片機都配備了硬線的安全機制,節省我們使用軟件實現它們的時間。如下圖,實際上,他們的性能優于軟件測試庫(SW-Test-Libraries)。當我們采購汽車級的安全芯片的時候,供應商會提供給我們安全手冊。根據所需要的ASIL等級來使用MCU的安全要求(AoU)。等到完成架構系統和相應的TSR的安全分析后,我們可以把AoU的需求整理好發給軟硬件團隊來實現這些需求(通常此部分體現在SSI中)。

除了ECC外,還有一個FCCU,它可以收集故障并通知其他例程、模塊來注冊故障或采取復位(單片機級別的安全狀態,而不是整個系統的安全狀態)。

系統失效有幾種類型?→通常是7種:

Fail-dangerous: 故障發生時可能導致危險;

Fail-inconsistent: 如果發生失效,提供的結果將明顯不一致;

Fail-stop: 如果失效的話,完全停止;

Fail-safe: 如果失效,返回或保持安全狀態;

Fail-operational: 發生故障時,繼續保持正常工作;

Fail-silent: 發生故障時,不會打擾任何人;

Fail-indicate: 向其周圍顯示它失效了;

請注意:前兩種失效的情況是不理想的,在實施安全機制和TSR后,他們將被轉換為后5種故障安全類型的任意組合。也就是說,我們可以將安全狀態指定為可操作狀態并指示或停止或靜音。

以上,就是本期的全部內容,我們下期再見啦!

參考資料:外文文獻資料免責聲明:本文章中內容是由小編翻譯自外文文獻資料,免費傳播知識。