安全关键型应用程序和分区共享中任务的 SIL 分配规则

Question

考虑到由多个任务组成的安全关键型应用程序，我有以下问题：

应用程序中是否可以包含不同 SIL 的任务，或者所有任务都具有相同的 SIL？我知道在 HW 中，可能存在某个 SIL 的系统实际上由不同 SIL 的子组件组成。 IEC 61508-2 第 7.4.3 节提出了将不同 SIL 的子系统组合起来形成比组合部件具有更高 SIL 的系统的规则。

如果可以的话，组合的规则是什么？参考资料非常有帮助。 例如，SIL 2 的任务可以作为 SIL 3 任务的输入吗？

谢谢，祝你好运，

Answer 1

是的，这是可能的。我建议阅读最新版本的 IEC 61508 (IEC 61508-3:2010) 附录 F 的第 3 部分，“在单台计算机上实现软件元素之间互不干扰的技术”，它只有 5 页，但信息量很大。它概述了实现具有不同 SIL 级别的软件模块的空间和时间独立性的方法。

正如本链接前面所述，PikeOS 和 Vxworks 等操作系统应该提供这种分区；我确实知道已通过 IEC 61508 认证的 SafeRTOS 确实提供了这种类型的分区作为标准。

Answer 2

您应该查看基于 ARINC 653（和 DO-297）或同等标准的系统。基于分区的操作系统就是为了满足这种需求而设计的。我的意思是 PikeOS、VxWorks、Integrity ...

Answer 3

正如我所说：符合 ARINC 653 的 RTOS（用于飞机）正是针对这一目标。 DO-178B（相当于 IEC 61508 或 ISO 26262 或 Def-Stan 55/56）要求分区之间的空间和时间分段或不同的软件保证级别（对您而言，SIL 级别）。您可能会找到适合您的特定市场的等效系统。
对于链接不同级别，低级别层和通信通道存在固有的困难。您必须在更高级别的安全性/可靠性（意味着最难获得）上证明系统的确定性。因此，通信不能被阻塞，RTOS 必须经过更高级别的认证，...在基于分区的 RTOS 中考虑到了这一点，例如 ARINC 653 等效项。
您还可能在 MILS Linux 或虚拟化系统（= XEN、OKL 内核等虚拟机管理程序）方面取得成功

Answer 4

即使独立安全评估员会深入分析您的代码，您也可以将具有不同 SIL 级别的软件模块组合起来。原则很简单：您必须证明较低的 SIL 模块无法影响较高的 SIL 模块。为了实现这一点，您必须记住，较低的 SIL 函数可以调用较高的 SIL 函数，但必须严格避免相反的情况。
在这种情况下，要在具有不同 SIL 级别的两个模块之间交换数据，您需要第三个模块，其 SIL 级别等于提供给两个 API 来交换数据的较高级别。
例子：
- SIL3 任务 (T1) 实现故障安全应用协议。
- SIL0 任务 (T2) 实现 TCP/IP 堆栈，用作应用协议的传输层。
当然，T1和T2必须双向交换数据。
您需要第三个任务（T3），至少是SIL3，它提供任务间通信API（例如一些队列管理功能）。这样无论T1还是T2都只调用T3（即SIL3）的函数来交换数据。

这种机制的一个典型例子是航空电子应用中使用的所谓“黑板”。