考虑到由多个任务组成的安全关键应用程序,我有以下问题:
是否可以在一个应用程序中拥有不同 SIL 的任务,或者所有任务都具有相同的 SIL?我知道在硬件中,有可能有一个特定 SIL 的系统实际上由不同 SIL 的子组件组成。 IEC 61508-2,第 7.4.3 节提出了将不同 SIL 的子系统组合起来形成比组成部分更高 SIL 的系统的规则。
如果可以,结合的规则是什么?参考资料非常有帮助。 例如,SIL 2 的任务可以作为 SIL 3 任务的输入吗?
谢谢,祝你好运,
【问题讨论】:
标签: safety-critical
您应该查看基于 ARINC 653(和 DO-297)或同等标准的系统。基于分区的操作系统旨在满足这种需求。我的意思是 PikeOS、VxWorks、Integrity ...
【讨论】:
正如我所说:符合 ARINC 653 的 RTOS(用于飞机)正是针对这一目标的。 DO-178B(相当于 IEC 61508 或 ISO 26262 或 Def-Stan 55/56)要求分区或不同软件保证级别(对您而言,SIL 级别)之间的空间和时间分段。您可能会为您的特定市场找到等效系统。 对于连接不同的层次,存在来自低层次和通信渠道的固有困难。您必须在更高级别的安全性/安全性/可靠性(意味着最难获得)上证明您的系统的确定性。因此,通信不能被阻塞,RTOS 必须经过更高级别的认证,......这在基于分区的 RTOS 中被考虑在内,如 ARINC 653 等效。 您也可能在 MILS Linux 或虚拟化系统(= XEN、OKL 内核等虚拟机管理程序)方面取得成功
【讨论】:
您可以组合具有不同 SIL 级别的软件模块,即使独立安全评估员会深入分析您的代码。原理很简单:您必须证明较低的 SIL 模块不能影响较高的 SIL 模块。要实现这一点,您必须记住,较低 SIL 的函数可以调用较高 SIL 的函数,但必须严格避免相反的情况。 在这种情况下,要在具有不同 SIL 级别的两个模块之间交换数据,您需要第三个模块,其 SIL 级别等于提供给两个 API 以交换数据的更高级别的模块。 例子: - SIL3 任务 (T1) 实施故障安全应用协议。 - 一个 SIL0 任务 (T2) 实现 TCP/IP 堆栈,用作应用协议的传输层。 当然,T1 和 T2 必须双向交换数据。 您需要第三个任务 (T3),至少 SIL3,它提供任务间通信 API(例如,一些队列管理功能)。这样无论是 T1 还是 T2 都只调用 T3(即 SIL3)的函数来交换数据。
这种机制的一个典型例子是所谓的“黑板”,用于航空电子应用。
【讨论】: