Regeln für SIL Zuordnung für Aufgaben in sicherheitskritischen Anwendungen und Partition

Question

Unter Berücksichtigung eine sicherheitskritischen Anwendung, die aus mehreren Aufgaben zu teilen, habe ich die folgende Frage:

Ist es möglich, Aufgaben verschiedenen SILs in einem haben Anwendung, oder haben alle Aufgaben die gleiche SIL? Ich weiß, dass es in HW möglich ist, dass ein System mit einem bestimmten SIL tatsächlich aus Teilkomponenten verschiedener SIL besteht. IEC 61508-2, Sec. 7.4.3 stellt die Regeln vor, um Subsysteme verschiedener SILs zu kombinieren, um ein System mit einem höheren SIL als die zusammengesetzten Teile zu bilden.

Wenn es möglich ist, was sind die Regeln zu kombinieren? Referenzen sind sehr hilfreich. Kann zum Beispiel eine Aufgabe von SIL 2 die Eingabe für eine Aufgabe von SIL 3 sein?

Danke und viel Glück,

Answer 1

Sie bei Systemen auf Basis von ARINC 653 (und DO-297) oder gleichwertig aussehen sollte. Partitionsbasierte Betriebssysteme wurden entwickelt, um diese Art von Bedarf zu erfüllen. Ich meine PikeOS, VxWorks, Integrität ...

Answer 2

Wie gesagt: ARINC 653-konformes RTOS (für Flugzeuge) ist genau auf dieses Ziel ausgerichtet. DO-178B (das Äquivalent zu IEC 61508 oder ISO 26262 oder Def-Stan 55/56) erfordert eine Segmentierung in Raum und Zeit zwischen Partitionen oder unterschiedlicher Software-Sicherheitsstufe (für Sie, SIL-Ebene). Sie finden möglicherweise gleichwertige Systeme für Ihren spezifischen Markt. Zum Verknüpfen verschiedener Ebenen gibt es inhärente Schwierigkeiten von den Ebenen und dem Kommunikationskanal auf niedriger Ebene. Sie müssen den Determinismus Ihres Systems auf der höheren Ebene der Sicherheit/Zuverlässigkeit (dh der am schwierigsten zu erlangenden) nachweisen. Somit kann die Kommunikation nicht blockiert werden, RTOS müssen auf der höheren Ebene zertifiziert sein, ... Dies wird in einem partitionsbasierten RTOS berücksichtigt, wie ARINC 653-Äquivalent. Sie können auch Erfolg mit MILS Linux oder virtualisierten Systemen haben (= Hypervisors wie XEN, OKL Kernel)

Answer 3

Sie können SW Module mit verschiedenen SIL Levels kombinieren, auch wenn der Indirekte Sicherheitsassessor Ihren Code tief analysieren wird. Das Prinzip ist einfach: Sie müssen nachweisen, dass ein unteres SIL-Modul keinen Einfluss auf ein größeres SIL-Modul haben kann. Um dies zu erreichen, müssen Sie beachten, dass eine niedrigere SIL-Funktion eine größere SIL-Funktion aufrufen kann, das Gegenteil jedoch unbedingt vermieden werden muss. In diesem Szenario benötigen Sie zum Austausch von Daten zwischen zwei Modulen mit unterschiedlicher SIL-Ebene ein drittes Modul mit einer SIL-Stufe, die der höheren entspricht, die beide API für den Datenaustausch zur Verfügung stellt. Beispiel: - Eine SIL3-Task (T1) implementiert ein fehlersicheres Anwendungsprotokoll. - Eine SIL0-Task (T2) implementiert den TCP/IP-Stack, der als Transportschicht des Anwendungsprotokolls verwendet wird. Natürlich müssen T1 und T2 Daten in beiden Richtungen austauschen. Sie benötigen eine dritte Task (T3), mindestens SIL3, die die Inter-Task-Kommunikations-API bereitstellt (z. B. einige Warteschlangenverwaltungsfunktionen). Auf diese Weise rufen entweder T1 als T2 nur die Funktionen von T3 (das ist SIL3) auf, um Daten auszutauschen.

Ein typisches Beispiel für diese Art von Mechanismus ist die so genannte "Blackboard", in der Avionik-Anwendung verwendet.

Answer 4

Ja, es ist möglich. Ich empfehle, Teil 3 der neuesten Version von IEC 61508 (IEC 61508-3: 2010) Anhang F, "Techniken zum Erzielen von Nicht-Interferenz zwischen Software-Elementen auf einem einzelnen Computer" zu lesen, es ist nur 5 Seiten, aber sehr informativ. Es beschreibt Methoden zur räumlichen und zeitlichen Unabhängigkeit von Softwaremodulen mit unterschiedlichen SIL-Stufen.

Wie bereits in diesem Link erwähnt, sollten Betriebssysteme wie PikeOS und Vxworks diese Partitionierung bereitstellen; Ich weiß, SafeRTOS, die nach IEC 61508 zertifiziert wurde, bietet diese Art der Partitionierung als Standard.