《嵌入式软件的时间分析》读书活动：11 第十一章读书笔记-功能安全，ISO 26262

hehung

《嵌入式软件的时间分析》读书活动：11 第十一章读书笔记-功能安全，ISO 26262 [复制链接]

ISO26262是汽车行业的功能安全标准，本章节简要说明了嵌入式系统的安全。

目录如下：

第11章 功能安全，ISO 26262 235
11.1 基础知识 235
- 11.1.1 风险 235
- 11.1.2 SIL——安全完整性等级 235
- 11.1.3 脱离上下文、在上下文中、经使用验证 236
11.2 安全标准、时间及时间验证 237
11.3 时间安全所需工具 238
11.4 法律方面的考量 239
11.5 总结 240

1. 基础知识

风险：风险 = （发生概率 x 损害程度） / 可控性。

SIL-安全完整性等级：嵌入式系统的每一个组成部分(包括硬件和软件)，在经过相应的风险分析后，都会被指定一个特定的安全完整性等级。

脱离上下文、在上下文中、经使用验证：大多数情况下，嵌入式系统由多个供应商提供软件，如何保护第三方组件，有三种可能：

• 在上下文中(Icontext)：供应商提供的组件的认证方式与自主开发的代码相同。但是需要供应商提供源代码，一般情况不可能，对于未提供源代码时，这种方式难以实现。
• 脱离上下文(Outofcontext)：组件的认证独立于特定项目或应用程序。供应商组件单独认证，但是还必须确保在其项目中考虑产品和组件认证过程中创建的安全手册。安全手册(SafetyManual)可被视为一种促进安全使用组件的用户手册。因此，用户必须证明他们已经为组件的安全运行建立了所有必要的边界条件，并且已经考虑到组件施加的限制。
• 经运行验证：在验证过程中可能会遇到这样的情况：一个组件已经被使用很多次，并习使用了很长时间，期间并没有出现任何问题。在这种情况下，必须要证明该组件对在当前项目中的边界条件与已经在运行中的项目相比并无不同。

2. 安全标准、时间及时间验证

安全标准一般对时间的考虑并不深入。根据安全完整性等级，标准还可能建议使用静态分析方法。最终使用的分析方法必须针对每个项目分别确定。与认证机构专家进行的早期讨论非常有帮助，它确保了所需的保证水平既足够又均衡，因此不会造成不必要的高昂成本。

可以通过静态代码分析来确定函数的 WCET，然后将结果以及很多其他函数的 WCET 用作静态调度分析的输入。利用调度模拟，可以模拟数据交换期间的同步；最后，与之前更偏向于理论的步骤相比，追踪将确保真实系统的行为符合预期。

3. 时间安全所需工具

专全标推并没有规定使用特定产品，但是要求评估用于验证的各种工具的可靠性。工具的评估需要估计故障发生的可能性并分析该故障可能带来的影啊，结果为工具置信度(TCL)。

4. 总结

本章节做了功能安全相关简单的说明，并简单说明了时间分析在功能安全相关项目中的应用。本章主要做了了解。