問題タブ [safety-critical]

セーフティ クリティカルなシステム開発技術/方法論、特にハードウェアとソフトウェアの両方をカバーする優れたリソース (書籍またはその他) を探しています。私は C/C++ について十分な知識を持っているので、たとえそれが SourceForge などの単なるコードであっても、ブラウズするためのリンクをいただければ幸いです。

ありがとう。

次の質問に答えてくれるリソースを探しています。

1. SC ERTS アーキテクチャのディスプレイ システムは、正確にはどこに適合しますか。
2. SCディスプレイシステムと通常のディスプレイシステムの違いは何ですか?
3. ハードウェアとソフトウェアはディスプレイ システムでどのような役割を果たしますか?

コースの課題として、ディスプレイ システムの詳細な調査を準備する必要がありました。実際の回答ではなく、参照、ソースなどを求めていることに注意してください。

手足の提案やコメントもお待ちしております。

私がすでに見つけた便利なもの：DO 178B標準、SCADEディスプレイシステム。

私は自動取引システムに取り組んでいます。どのような安全対策を講じるべきですか?

私が持っている主なアイデアは、複数のピースを互いにチェックすることです。

同じ取引口座に接続し、ネット ポジションの合計が特定の制限を超えないようにする、またはたとえば 10 分間に N 個を超える注文がないことを確認するなど、簡単なことを監視する 2 つ目の独立した小さなプロセスを用意します。 、または M を超えるポジションが同時にオープンします。また、実際のオープン ポジションが、ストラテジー プロセスが実際に保持していると考えているものに対応していることを確認することもできます。おまけとして、このチェッカー プロセスを別のマシン/ネットワーク プロバイダーで実行できます。

主な戦略のチェックに加えて、これにより、奇妙なバグが発生しても、本当に悪いことは何も起こらないことが保証されます.

他に監視して注意すべきことはありますか?

これはおそらく少し漠然としていますが、SO のすべての人々の中に、以前にこの種の問題に遭遇したことがある人がいることを願っています。

背景
私たちのアプリケーションは、列車の順序を制御する C# / .NET サービスです。LINQ-to-SQL を使用して、鉄道網の状態と列車の注文を SQL Server 2005 データベースに格納します。
COTS ソフトウェア自体は「信頼」できないという安全要件があります。

要件したがって、リスクは「SQL サーバーまたはオペレーティング システムが静的データまたは動的データを変更する」
として捉えられます。 私たちの義務: 「データベースに保存されたデータは、最後のコミット以降に変更されていないことをデータ アクセス コードによって確認できるように、読み取り時に検証する必要があります。」

この要件を満たす「自動魔法の」方法を見つけ
たいと思います。
それに失敗すると、計算されたハッシュを格納するためにデータベースのすべてのテーブルに列を作成する必要なしに条件を満たす方法 (読み取り時に検証する必要があります)。

いくつかのタスクで構成されるセーフティクリティカルなアプリケーションを考えると、次の質問があります。

アプリケーションに異なるSILのタスクを含めることは可能ですか、それともすべてのタスクを同じSILにすることはできますか？HWでは、特定のSILのシステムを、実際には異なるSILのサブコンポーネントで構成することが可能であることを私は知っています。IEC 61508-2、セクション7.4.3は、異なるSILのサブシステムを組み合わせて、構成部品よりも大きいSILのシステムを形成するための規則を示しています。

可能であれば、組み合わせるルールは何ですか？参照は非常に役立ちます。たとえば、SIL2のタスクをSIL3のタスクの入力にすることはできますか？

おかげで、幸運、

QtとQtCreatorの最近のバージョンを分析する研究/学術/ジャーナル論文/記事を見つけようとしています。

具体的には、リアルタイムのセーフティクリティカルな観点からQtを評価しようとしているので、どんな情報でも役に立ちます。

PS私は典型的な検索アプローチを試しました：Google scholar、IEEE Explore、ACM Digital Librayなど。正しい検索用語を使用していない可能性がありますが、次を検索しても何も役に立ちません。「ソフトウェアの安全性Qt GUI」またはその任意の順列。

有益な洞察をありがとうございました。

Cppcheck では独自のルール ファイルを作成できますが、cppcheck の機能がどの程度公開されているかはわかりません。

JSFまたはMISRAルールを適用するセットに取り組んでいる人はいますか?

私は安全性が重要なアプリケーション開発に携わっています。最近、コード レビュー担当者として、以下に示すコーディング スタイルに不満を述べましたが、強く主張することはできませんでした。そのような変数の冗長性/重複に対する良い議論は何でしょうか.コーディングスタイルだけでなく、これが問題につながる可能性のあるケースや失敗する可能性のあるテストケースを探しています.

シナリオ

CANバスに接続されたLinux搭載デバイスがあります。デバイスは定期的に CAN メッセージを送信します。このメッセージによって運ばれるデータの性質は、コマンドではなく測定に似ています。つまり、実際には最新のものだけが有効であり、いくつかのメッセージが失われても、最新のものを正常に受信している限り問題にはなりません。

次に、問題のデバイスは、後続のメッセージ送信間の間隔よりもはるかに長い時間、CAN バスから切断されます。デバイス ロジックは引き続きメッセージを送信しようとしていますが、バスが切断されているため、CAN コントローラーはメッセージを送信できず、メッセージは TX キューに蓄積されています。

しばらくすると、CAN バス接続が復元され、蓄積されたすべてのメッセージがバス上で 1 つずつキックされます。

問題

1. CAN バス接続が復元されると、未定義の量の古いメッセージが TX キューから送信されます。
2. CAN バス接続がまだ利用できないが、TX キューが既にいっぱいである間、いくつかの最新のメッセージ (つまり、唯一の有効なメッセージ) の送信は破棄されます。
3. CAN バス接続が復元されると、TX キューがフラッシュされている間、短期間のトラフィック バーストが発生します。これにより、タイム トリガー バス スケジューリングが使用されている場合に変更される可能性があります (私の場合です)。

質問

私のアプリケーションは SocketCAN ドライバーを使用しているため、基本的には SocketCAN に適用する必要がありますが、他のオプションがあればそれも考慮されます。

考えられる解決策は 2 つあります。メッセージ送信タイムアウトを定義する (事前に定義された時間内にメッセージが送信されなかった場合、メッセージは自動的に破棄されます)、または古いメッセージの送信を手動で中止します (ただし、ソケットではまったく可能ではないかと思います)。 API)。

最初のオプションが私にとって最も現実的であるように思われるので、質問は次のとおりです。

1. Linux で CAN インターフェイスの TX タイムアウトを定義するにはどうすればよいですか?
2. TX タイムアウト以外に、上記の問題を解決するための他のオプションはありますか?