0

いくつかのタスクで構成されるセーフティクリティカルなアプリケーションを考えると、次の質問があります。

アプリケーションに異なるSILのタスクを含めることは可能ですか、それともすべてのタスクを同じSILにすることはできますか?HWでは、特定のSILのシステムを、実際には異なるSILのサブコンポーネントで構成することが可能であることを私は知っています。IEC 61508-2、セクション7.4.3は、異なるSILのサブシステムを組み合わせて、構成部品よりも大きいSILのシステムを形成するための規則を示しています。

可能であれば、組み合わせるルールは何ですか?参照は非常に役立ちます。たとえば、SIL2のタスクをSIL3のタスクの入力にすることはできますか?

おかげで、幸運、

4

4 に答える 4

1

私が言ったように: ARINC 653 準拠の RTOS (航空機用) はまさにこの目標を目指しています。DO-178B (IEC 61508 または ISO 26262 または Def-Stan 55/56 に相当) では、パーティション間または異なるソフトウェア保証レベル (SIL レベル) 間の空間と時間のセグメンテーションが必要です。特定の市場向けの同等のシステムが見つかる場合があります。異なるレベルをリンクするには、低レベルのレイヤーと通信チャネルに固有の問題があります。より高いレベルのセキュリティ/安全性/信頼性 (取得するのが最も難しいことを意味します) で、システムの決定論を証明する必要があります。したがって、通信をブロックすることはできません。RTOS はより高いレベルで認定する必要があります。これは、ARINC 653 と同等のパーティション ベースの RTOS で考慮されます。MILS Linux または仮想化システム (= XEN などのハイパーバイザー、

于 2011-06-14T03:18:03.113 に答える
1

ARINC 653 (および DO-297) または同等のものに基づくシステムを検討する必要があります。パーティションベースの OS は、この種のニーズに応えるように設計されています。つまり、PikeOS、VxWorks、Integrity ...

于 2011-03-10T01:13:32.740 に答える
0

Indipendent Safety Assessorがコードを詳細に分析する場合でも、異なるSILレベルのSWモジュールを組み合わせることができます。原則は単純です。低いSILモジュールが大きなSILモジュールに影響を与えないことを実証する必要があります。これを実現するには、SILの低い関数がSILの大きい関数を呼び出すことができることを覚えておく必要がありますが、その逆は厳密に回避する必要があります。このシナリオでは、SILレベルが異なる2つのモジュール間でデータを交換するには、データを交換するために両方のAPIに提供するSILレベルが高い3番目のモジュールが必要です。例:-SIL3タスク(T1)は、フェイルセーフアプリケーションプロトコルを実装します。-SIL0タスク(T2)は、アプリケーションプロトコルのトランスポート層として使用されるTCP/IPスタックを実装します。もちろん、T1とT2は両方向でデータを交換する必要があります。3番目のタスク(T3)、少なくともSIL3が必要です。タスク間通信API(一部のキュー管理機能など​​)を提供します。このようにして、T2よりもT1のいずれかが、データを交換するためにT3の関数(つまりSIL3)のみを呼び出します。

この種のメカニズムの典型的な例は、アビオニクスアプリケーションで使用されるいわゆる「黒板」です。

于 2011-10-05T21:55:35.523 に答える