FlexRay總線的功能安全性分析
7 小結(jié)
計(jì)算表明,在ber=1×10-7時(shí)FlexRay通信的功能安全等級(jí)還離要求很遠(yuǎn),另外還有小集團(tuán)錯(cuò)、時(shí)鐘漂移等問題。此外,由于FlexRay沒有CAN總線那樣簡(jiǎn)潔高效的報(bào)錯(cuò)機(jī)制,如果沒有主動(dòng)重發(fā)方案,那么接收節(jié)點(diǎn)間由于局部錯(cuò)引起的拜占庭錯(cuò)造成的失效概率增加。由此看來,FlexRay要完全實(shí)現(xiàn)其設(shè)計(jì)目標(biāo)還有不少工作要做。更長(zhǎng)遠(yuǎn)來看,需要在用工業(yè)以太網(wǎng)實(shí)現(xiàn)100 Mb/s速度的同時(shí)解決FlexRay現(xiàn)存的問題。
本文分析討論的方法也適用于其他現(xiàn)場(chǎng)總線或工業(yè)以太網(wǎng),許多協(xié)議都是基于類似FlexRay的時(shí)間觸發(fā)方式,它們的安全性倚賴于高層“安全協(xié)議”。這些基于“黑通道(black channel)”的“安全協(xié)議(safety protocol)”一般按照歐洲標(biāo)準(zhǔn)EN501592添加了一些判錯(cuò)的措施,如對(duì)重復(fù)、丟幀、加插、次序錯(cuò)、數(shù)據(jù)錯(cuò)、延遲和假冒錯(cuò)采用加流水號(hào)、時(shí)間戳、定時(shí)器、標(biāo)識(shí)符、地址、附加簽名等方法。另一些安全協(xié)議僅僅考慮了硬件鏈路故障與恢復(fù),只是通信故障的一種形式。但是這些措施依然是不夠的,沒有覆蓋故障樹的所有分支。對(duì)于其他形式,例如出現(xiàn)局部錯(cuò)后的拜占庭失效、出現(xiàn)饒舌錯(cuò)后的停止服務(wù)、出現(xiàn)小集團(tuán)錯(cuò)后的局部停止服務(wù)等,均未處理。有些錯(cuò)可以在應(yīng)用中發(fā)現(xiàn),但受應(yīng)用所在的host的時(shí)間特性的限制,可能已錯(cuò)失時(shí)限,無法糾正錯(cuò)誤。在通信層面,它們嚴(yán)重影響到診斷覆蓋率,也直接影響到SIL等級(jí)。即使在流程工業(yè),消息的周期較長(zhǎng),用主動(dòng)重發(fā)方案可以使出錯(cuò)結(jié)果減少(現(xiàn)在的一些應(yīng)用恐怕還沒有這樣做),有些錯(cuò)(如拜占庭錯(cuò))依然是不可承受的,特別是涉及一些邏輯信號(hào)的傳送。
評(píng)論