Приложение D (справочное). Оценка охвата диагностикой. Национальный стандарт РФ ГОСТ Р ИСО 26262-5-2014 "Дорожные транспортные средства. Функциональная безопасность. Часть 5. Разработка аппаратных средств изделия" (утв. приказом Федерального агентства по техническому регулированию и метрологии России от 17.11.2014 N 1623-ст) (документ утратил силу)

Приложение D

(справочное)

Оценка охвата диагностикой

D.1 Общие положения

Данное приложение предназначено для использования:

a) при оценке охвата диагностикой для получения обоснования:

1) соответствия с метриками одиночного сбоя и скрытого сбоя, определенными в разделе 8;

2) соответствия оценки нарушения цели безопасности из-за случайных отказов аппаратных средств, как это определено в разделе 9;

b) в качестве руководства по выбору соответствующих механизмов безопасности, которые должны быть реализованы в Э/Э архитектуре для обнаружения отказов элементов.

На рисунке D.1 представлена общая структура аппаратных средств встроенной системы. Типичные сбои или отказы элементов аппаратных средств этой системы приведены в таблице D.1, которая также включает рекомендации для охвата диагностикой. Каждый элемент из левой колонки связан с одним или более сбоями, которые рассматриваются в правых от элемента колонках. Перечень не претендует на полноту и может быть дополнен известными сбоями или связанными с конкретным применением.

На дополнительные подробности о механизмах безопасности, связанных с этими сбоями элементов, в каждой строке дается ссылка (на таблицы D.2 - D.14). Эффективность этих типовых механизмов безопасности для данных элементов категоризируется в соответствии с их способностью охвата вышеперечисленных сбоев для достижения низкого (60%), среднего (90%) или высокого (99%) охвата диагностикой этого элемента.

Определение для сбоев и соответствующих им механизмов безопасности уровней охвата диагностикой может отличаться от представленного в таблице D.1 в зависимости от:

c) разнообразия источников вида сбоя, выявляемого диагностикой;

d) эффективности механизма безопасности;

e) конкретной реализации механизма безопасности;

f) выполнения во времени механизма безопасности (периодичности);

g) реализованных в системе технологий аппаратных средств;

h) вероятности видов отказов аппаратных средств системы;

i) результатов более детального анализа сбоев и их классификации на ряд подклассов с различными уровнями охвата диагностикой.

Таким образом, таблица D.1 содержит рекомендации, которые могут быть адаптированы в результате анализа элементов системы.

Эти рекомендации не учитывают конкретные ограничения, которые могут быть указаны в концепции безопасности во избежание нарушения целей безопасности. Эти ограничения, такие как временные аспекты (периодичность диагностики), например, не учитываются при оценке общего типового охвата диагностикой механизмом безопасности. Они будут рассмотрены при оценке конкретного охвата диагностикой механизмом безопасности, используемым в устройстве, чтобы избежать нарушения его целей безопасности.

Пример - Механизм безопасности может обеспечить высокое значение общего типового охвата диагностикой в настоящем приложении, но если используемый интервал диагностических проверок больше, чем интервал диагностических проверок, необходимый для обеспечения соответствующего интервала сбоеустойчивости, то конкретный охват диагностикой по отношению к предотвращению нарушения цели безопасности, будет значительно ниже.

Поэтому таблицы D.1 - D.14 могут быть использованы для начальной оценки охвата диагностикой этими механизмами безопасности с заявленными значениями охвата диагностикой, поддерживаемыми надлежащими обоснованиями. Кроме того, данная информация предназначена, чтобы помочь определить виды сбоев или отказов элемента; однако соответствующие виды отказов в конечном счете зависят от применения, в котором используются эти элементы.

Рисунок D.1 - Общая структура аппаратных средств системы

Таблицы D.2 - D.14 поддерживают информацией таблицу D.1, давая рекомендации по методам диагностических тестов. Методы и средства, представленные в таблицах D.1 - D.14, не являются исчерпывающими. Могут быть использованы и другие методы, если представлены свидетельства, что они поддерживают необходимый охват диагностикой. Если это обосновано, то можно оценить более высокий охват диагностикой, до 100% для простых или сложных элементов.

Таблица D.1 - Виды сбоев и отказов, которые подлежат рассмотрению при определении охвата диагностикой

Элемент		См. таблицы	Анализируемые виды отказов для охвата диагностикой 30%, 90% и 99%
			Низкий (60%)	Средний (90%)	Высокий (99%)
Общие элементы
Э/Э системы		D.2	Нет общей модели сбоя. Необходим детальный анализ	Нет общей модели сбоя. Необходим детальный анализ	Нет общей модели сбоя. Необходим детальный анализ
Электрические элементы
Реле		D.3	Не включение или не отключение.	Не включение или не отключение.	Не включение или не отключение.
			Приваренные контакты	Отдельные приваренные контакты	Отдельные приваренные контакты.
Соединительные жгуты, включая холодную пайку и разъемы			Обрыв цепи. Короткое замыкание на массу	Обрыв цепи.	Обрыв цепи. Короткое замыкание на массу (связь по постоянному току). Короткое замыкание напряжения аккумулятора. Короткое замыкание между соседними контактами. Дрейф сопротивления между контактами
				Короткое замыкание на массу (связь по постоянному току). Короткое замыкание напряжения аккумулятора. Короткое замыкание между соседними контактами
Датчики, включая переключатели сигналов		D.11	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - константные в рабочем диапазоне	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - смещения; - константные в рабочем диапазоне	Нет общей модели сбоя. Необходим детальный анализ. Типичные виды охватываемых отказов: - недопустимые значения; - смещения; - константные в рабочем диапазоне; - колебания
Исполнительные элементы (исполнительный механизм, сигнальные лампы, звуковое устройство, дисплей компьютера)		D.12	Нет общей модели сбоя. Необходим детальный анализ	Нет общей модели сбоя. Необходим детальный анализ	Нет общей модели сбоя. Необходим детальный анализ
Общие полупроводниковые элементы
Источник питания		D.9	Пониженное и повышенное напряжение	Дрейф. Пониженное и повышенное напряжение	Дрейф и колебания. Пониженное и повышенное напряжение. Перепады напряжения
Устройство синхронизации		D.10	Константные отказы(а)	Сбои при постоянном токе(b)	Модель сбоя при постоянном токе(b). Некорректная частота. Периодическая неустойчивость синхронизации
Постоянная память		D.5	Константные отказы(a) в данных и адресах, а также в интерфейсах управления, шинах управления и управляющей логике	Сбои при постоянном токе(b) в данных и адресах (включая адресные шины в том же блоке), а также в интерфейсах управления, шинах управления и управляющей логике	Модель сбоя при постоянном токе(b) в данных и адресах (включая адресные шины в том же блоке), а также в интерфейсах управления, шинах управления и управляющей логике
Память с произвольным доступом		D.6	Константные отказы(a) в данных и адресах, а также в интерфейсах управления, шинах управления и управляющей логике	Сбои при постоянном токе(b) в данных и адресах (включая адресные шины в том же блоке и неспособность записать в ячейку), а также в интерфейсах управления, шинах управления и управляющей логике. Исправимая ошибка(c) одноразрядного регистра	Модель сбоя при постоянном токе(b) в данных и адресах (включая адресные шины в том же блоке и неспособность записать в ячейку), а также в интерфейсах управления, шинах управления и управляющей логике. Исправимая ошибка(c) одноразрядного регистра
Цифровое устройство ввода/вывода		D.7	Константные отказы(a) (включая внешние для микроконтроллера сигнальные линии)	Сбои при постоянном токе(b) (включая внешние для микроконтроллера сигнальные линии)	Модель сбоя при постоянном токе(b) (включая внешние для микроконтроллера сигнальные линии). Дрейф и колебания
Аналоговое устройство ввода/вывода			Константные отказы(a) (включая внешние для микроконтроллера сигнальные линии)	Сбои при постоянном токе(b) (включая внешние для микроконтроллера сигнальные линии). Дрейф и колебания	Сбои при постоянном токе(b) (включая внешние для микроконтроллера сигнальные линии). Дрейф и колебания
Модули обработки	АЛУ - информационные каналы	D.4/D.13	Константные отказы(a)	Константные отказы(a) на уровне логического элемента	Модель сбоя при постоянном токе(b). Исправимая ошибка(c) (для последовательностных схем)
	Регистры (блок регистров общего назначения, регистры DMA), внутреннее ЗУ	D.4	Константные отказы(a)	Константные отказы(a) на уровне логического элемента. Исправимая ошибка(c) (для последовательностных схем)	Модель сбоя при постоянном токе(b), включая отсутствие, неверную или множественную адресацию. Исправимая ошибка(c)
	Вычисление адреса (блок загрузки и хранения, логика адресации DMA, память и шины интерфейсов)	D.4/D.5/D.6	Константные отказы(a)	Константные отказы(a) на уровне логического элемента	Модель сбоя при постоянном токе(b), включая отсутствие, неверную или множественную адресацию. Исправимая ошибка(c) (для последовательностных схем)
	Устройство обработки прерываний	D.4/D.10	Пропуск прерывания или непрерывные прерывания	Пропуск прерывания или непрерывные прерывания. Некорректное выполнение прерывания	Пропуск прерывания или непрерывные прерывания. Некорректное выполнение прерывания. Неверный приоритет. Медленное или подверженное влиянию помех устройство обработки прерываний вызывает пропуски или задержки в обслуживании прерываний
	Управляющая логика (контроллер последовательности, логика кодирования и выполнения, включая управление регистром признаков и стеком)	D.4/D.10	Нет выполнения кода. Выполнение очень медленное. Переполнение стека/потеря значимости	Неправильный код или нет выполнения. Выполнение очень медленное. Переполнение стека/потеря значимости	Неправильный код или нет выполнения. Некорректное выполнение. Выполнение очень быстрое или очень медленное. Переполнение стека/потеря значимости
	Регистры конфигурации	D.4	-	Неправильное значение константного отказа(а)	Искажение данных в регистрах (исправимые ошибки). Модель сбоя при константном отказе(a)
	Другие подэлементы, не принадлежащие предыдущим классам	D.4/D.13	Константные отказы(а)	Константные отказы(а) на уровне логического элемента	Модель сбоя при постоянном токе(b). Модель исправимой ошибки(c) (для последовательностных схем)
Коммуникация	Коммуникация на кристалле, включая управление доступом к шине	D.14	Константные отказы(а) (в сигналах данных, управления, адреса и разрешения конфликтов)	Модель сбоя при постоянном токе(b) (в сигналах данных, управления, адреса и разрешения конфликтов). Блокировки по времени. Арбитраж не выполняется или выполняется непрерывно	Модель сбоя при постоянном токе(b) (в сигналах адреса, управления, адреса и разрешения конфликтов). Блокировки по времени. Арбитраж не выполняется или выполняется непрерывно или неправильно. Исправимые ошибки (для последовательностных схем)
	Передача данных (должна быть проанализирована с приложением D ИСО 26262-6)	D.8	Отказ однорангового коммуникационного узла сети. Повреждение сообщения. Задержка сообщения. Потеря сообщения. Непреднамеренное повторение сообщения	Предыдущие и повторное упорядочивание. Введение сообщения	Предыдущие и нелегальное проникновение
Примечания 1 Более высокое значение охвата диагностикой может быть заявлено на основе анализа. Аналогично, будет получено более низкое значение охвата, если доминирующий вид отказов в списке отсутствует. 2 Кратковременные сбои рассматриваются, когда показано, что это актуально, например в случае использования микроэлектронной технологии. 3 Виды отказов для устройств обработки могут быть сведены к моделям сбоям при переменном токе таким, как сбои переходных процессов (замедленное повышение и уменьшение напряжения в узлах на используемой частоте) и задержки в линиях связи. Сбои такого типа, как ожидается, будут возрастать с уменьшением геометрических размеров, реализуемых используемой технологией. Обычно тесты для этих типов сбоев выполняются при включении или выключении питания, или в обоих случаях, в связи с их интрузивной природой (влияние тестов на режимы работы в процессе тестирования) и их способностью рано выявлять отказы при тестах в пределах рабочего режима. Так как они трудно поддаются количественной оценке, эти виды отказов, как правило, не включают в расчет интенсивности отказов. 4 Если должным образом реализовать, то методы, полученные моделированием константных отказов (на пример, тестирование N-Detect) и выполненные в условиях применения, как известно, являются эффективными для моделей сбоев при постоянном токе, а также для моделей переходных процессов. (а) "Константный" - это вид отказа, который может быть описан всеми нулями ("0") или единицами ("1") на выводах элемента. Это справедливо только для элементов, у которых интерфейсы выводятся на контакты элемента. (b) "Модель сбоев при постоянном токе" включает в себя следующие модели отказов: константные отказы, константные неисправности типа обрыв, обрыв или высокое сопротивление выходов, а также короткие замыкания между сигнальными линиями. В данном случае не предполагается требовать исчерпывающего анализа, например требовать исчерпывающего анализа неисправностей типа короткое замыкание, которые могут влиять на любую теоретическую комбинацию любого сигнала внутри микроконтроллера или в многослойной печатной плате. Анализируются основные сигнальные линии или сильно связанные соединения, выявленные с помощью анализа на уровне топологии. (с) "Модели исправимых ошибок" (например, изменение состояния бита) являются результатом кратковременных сбоев, вызванные альфа-частицами, образовавшимися в результате процесса распада, нейтронами и т.д. Эти кратковременные сбои также включают в себя нарушение в результате единичного сбоя и нарушение в результате единичного кратковременного сбоя.

Таблица D.2 - Системы

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Обнаружение отказов путем мониторинга в режиме он-лайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Компаратор	D.2.1.2	Высокий	Зависит от качества сравнения
Схема голосования по мажоритарному принципу	D.2.1.3	Высокий	Зависит от качества устройства голосования
Принципы динамического управления	D.2.2.1	Средний	Зависит от охвата диагностикой обнаружения отказов
Мониторинг аналогового сигнала предпочтительнее мониторинга цифровых состояний включения - выключения	D.2.2.2	Низкий	-
Программное самотестирование с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самопроверки

Таблица D.3 - Электрические элементы

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Обнаружение отказов путем мониторинга в режиме он-лайн	D.2.1.1	Высокий	Зависит от охвата диагностикой обнаружения отказов
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для электрических элементов. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (они включены в таблицу D.2).

Таблица D.4 - Модули обработки

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Программное самотестирование: предельное количество комбинаций (одноканальное)	D.2.3.1	Средний	Зависит от качества самопроверки
Программное самотестирование с перекрестным обменом между двумя независимыми модулями	D.2.3.3	Средний	Зависит от качества самопроверки
Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)	D.2.3.2	Средний	Зависит от качества самопроверки
Программное обеспечение с разнообразной избыточностью (один канал аппаратных средств)	D.2.3.4	Высокий	Зависит от качества разнообразия. Отказы по общей причине могут уменьшить значение охвата диагностикой
Взаимное сравнение программным обеспечением	D.2.3.5	Высокий	Зависит от качества сравнения
Избыточность аппаратных средств (жесткая двухядерная конфигурация, асимметричная избыточность, запрограммированная обработка)	D.2.3.6	Высокий	Зависит от качества избыточности. Отказы по общей причине могут уменьшить значение охвата диагностикой
Тестирование регистра конфигурации	D.2.3.7	Высокий	Только для регистров конфигурации
Выявление переполнения стека/потери значимости	D.2.3.8	Низкий	Тестирование только границ стека
Интегрированный контроль непротиворечивости аппаратных средств	D.2.3.9	Высокий	Охватывает только недопустимые исключительные состояния аппаратных средств
Примечание - В данной таблице рассматриваются только механизмы безопасности, предназначенные для модулей обработки. Общие методы, такие как метод, основанный на сравнении данных (см. D.2.1.2), также способны обнаруживать отказы электрических элементов, но не включены в данную таблицу (они включены в таблицу D.2).

Таблица D.5 - Постоянная память

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Бит четности	D.2.5.2	Низкий	-
Контроль памяти, используя коды обнаружения и исправления ошибок (EDC)	D.2.4.1	Высокий	Эффективность зависит от числа избыточных битов. Может быть использован для коррекции ошибок
Модифицируемая контрольная сумма	D.2.4.2	Низкий	Зависит от числа и битовых ошибок в тестируемой области
Сигнатура памяти	D.2.4.3	Высокий	-
Дублирование блоков	D.2.4.4	Высокий	-

Таблица D.6 - Память с произвольным доступом

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Тестирующая комбинация для памяти с произвольным доступом	D.2.5.1	Средний	Высокий охват для константных отказов. Не охватывает связанные отказы. Может подходить для работы при защите прерываний
Тесты "марш" для памяти с произвольным доступом	D.2.5.3	Высокий	Зависит от порядка чтения записи для охвата связанной ячейки. Тест обычно не реализуется во время выполнения
Бит четности	D.2.5.2	Низкий	-
Контроль памяти, используя коды обнаружения и исправления ошибок (EDC)	D.2.4.1	Высокий	Эффективность зависит от числа избыточных битов. Может быть использован для коррекции ошибок
Дублирование блоков	D.2.4.4	Высокий	Отказы по общей причине могут уменьшить значение охвата диагностикой
Выполнение контрольной суммы	D.2.5.4	Высокий	Эффективность сигнатуры зависит полиноминально от длины блока информации, который должен быть защищен. Необходимо внимательно следить, чтобы значения, используемые для определения контрольных сумм, не изменялись во время вычисления контрольной суммы. Вероятность равна единице, деленной на максимальное значение контрольной суммы, если возвращается случайный код

Таблица D.7 - Аналоговые и цифровые устройства ввода/вывода

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Обнаружение отказов путем мониторинга в режиме он-лайн (цифровой ввод/вывод)(а)	D.2.1.1	Средний	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.6.1	Высокий	Зависит от типа комбинации
Кодовая защита для цифрового ввода/вывода	D.2.6.2	Низкий	Зависит от типа кодирования
Многоканальное параллельное выходное устройство	D.2.6.3	Высокий	-
Средство контроля выходов	D.2.6.4	Высокий	Только если поток данных изменяется во время диагностического тестового интервала
Сравнение/голосование на входе (1оо2, 2оо3 или более высокая избыточность)	D.2.6.5	Высокий	Только если поток данных изменяется во время диагностического тестового интервала
(а) Цифровой ввод/вывод может быть периодическим.

Таблица D.8 - Коммуникационные шины (последовательные, параллельные)

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Однобитовая избыточность аппаратных средств	D.2.7.1	Низкий	-
Многобитовая избыточность аппаратных средств	D.2.7.2	Средний	-
Повторное считывание отправленного сообщения	D.2.7.9	Средний	-
Полная избыточность аппаратных средств	D.2.7.3	Высокий	Отказы по общей причине могут уменьшить значение охвата диагностикой
Анализ с использованием тестирующих комбинаций	D.2.7.4	Высокий	-
Избыточность при передаче	D.2.7.5	Средний	Зависит от типа избыточности. Эффективен только для кратковременных сбоев
Информационная избыточность	D.2.7.6	Средний	Зависит от типа избыточности
Счетчик блоков данных	D.2.7.7	Средний	-
Мониторинг получения блоков данных по времени	D.2.7.8	Средний	-
Комбинация информационной избыточности, счетчика блоков данных и мониторинга получения блоков данных по времени	D.2.7.6, D.2.7.7 и D.2.7.8	Высокий	Для систем без аппаратного резервирования или тестирующих комбинаций, высокий охват может требоваться для комбинации этих механизмов безопасности

Таблица D.9 - Источник питания

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Управление напряжением или током (вход)	D.2.8.1	Низкий	-
Управление напряжением или током (выход)	D.2.8.2	Высокий	-

Таблица D.10 - Контроль последовательности выполнения программ/синхронизация

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Контрольный датчик времени с отдельной временной базой без временного окна	D.2.9.1	Низкий	-
Контрольный датчик времени с отдельной временной базой и временным окном	D.2.9.2	Средний	Зависит от временного ограничения для временного окна
Логический контроль последовательности выполнения программ	D.2.9.3	Средний	Эффективен только для отказов синхронизации, если внешние временные события влияют на логический процесс выполнения программы. Обеспечивает охват внутренних отказов технических средств (например, ошибки частоты прерывания), которые могут вызвать нарушение последовательности выполнения программного обеспечения
Комбинация временного и логического контроля последовательности выполнения программ	D.2.9.4	Высокий	-
Зависимая от времени комбинация временного и логического контроля последовательности выполнения программ	D.2.9.5	Высокий	Обеспечивает охват внутренних отказов технических средств, которые могут вызвать нарушение последовательности выполнения программного обеспечения. При реализации асимметричных проектов обеспечивает охват последовательности коммуникаций между основным устройством и устройством контроля. Примечание - Метод должен быть разработан с учетом неустойчивости синхронизации при выполнении прерываний, загрузки ЦП, и т.д.

Таблица D.11 - Датчики

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Обнаружение отказов путем мониторинга в режиме он-лайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.6.1	Высокий	-
Сравнение/голосование на входе (1оо2, 2оо3 или более высокая избыточность)	D.2.6.5	Высокий	Только если поток данных изменяется во время диагностического тестового интервала
Допустимый диапазон датчика	D.2.10.1	Низкий	Обнаруживает короткие замыкания на массу или на линию высокого напряжения и некоторые обрывы цепи
Корреляция датчика	D.2.10.2	Высокий	Обнаруживает отказы в диапазоне работы датчика
Проверка обоснованности датчика	D.2.10.3	Средний	-

Таблица D.12 - Исполнительные элементы

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Обнаружение отказов путем мониторинга в режиме он-лайн	D.2.1.1	Низкий	Зависит от охвата диагностикой обнаружения отказов
Тестирующая комбинация	D.2.6.1	Высокий	-
Мониторинг (т.е. согласованность управления)	D.2.11.1	Высокий	Зависит от охвата диагностикой обнаружения отказов

Таблица D.13 - Комбинаторная и последовательностная логика

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Программное самотестирование:	D.2.3.1	Средний	-
Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)	D.2.3.2	Высокий	Эффективность зависит от типа самопроверки. Наиболее подходящим уровнем для этого теста является уровень логического элемента

Таблица D.14 - Коммуникации на кристалле

Механизмы/меры безопасности	См. обзор методов	Максимально достижимый рассматриваемый охват диагностикой	Примечания
Однобитовая аппаратная избыточность	D.2.7.1	Низкий	-
Многобитовая аппаратная избыточность	D.2.7.2	Средний	Многобитовая избыточность может обеспечить высокий охват надлежащим чередованием данных, адресов и линий управления, и если она объединена с некоторым полным резервированием, например, для схемы разрешения конфликтов
Полная аппаратная избыточность	D.2.7.3	Высокий	Отказы по общей причине могут уменьшить значение охвата диагностикой
Тестирующая комбинация	D.2.6.1	Высокий	Зависит от типа комбинации
Примечание - Данная таблица рассматривает охват для коммуникационных шин внутри микропроцессора.

D.2 Обзор методов для встроенных самодиагностических тестов

D.2.1 Электрические устройства

Главная цель. Управление отказами в электромеханических элементах.

D.2.1.1 Обнаружение отказов путем мониторинга в режиме он-лайн

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2, D.3, D.7, D.11 и D.12.

Цель. Обнаружение отказов путем мониторинга поведения системы во время ее нормальной работы (в режиме он-лайн).

Описание. При определенных условиях, отказы могут быть обнаружены с помощью информации (например) о поведении системы во времени. Например, если коммутатор нормально активизируется и если при этом коммутатор не изменяет состояния за предполагаемое время, то этот отказ может быть обнаружен. Обычными способами невозможно локализовать такой отказ.

Примечание - В общем случае не существует конкретных элементом аппаратных средств для реализации схемы мониторинга в режиме он-лайн. Мониторинг в режиме он-лайн обнаруживает аномальное поведение системы по отношению к определенным условиям ее активизации. Например, если такой параметр инвертируется, когда скорость автомобиля отличается от нуля, то обнаружение несоответствия между этим параметром и скоростью транспортного средства приводит к обнаружению отказа.

D.2.1.2 Компаратор

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Оперативное обнаружение (не одновременное) отказов в независимых программном обеспечении и аппаратных средствах.

Описание. Выходные сигналы независимых аппаратных средств или выходная информация независимого программного обеспечения сравнивают циклически или непрерывно компаратором. Сам компаратор может быть внешне тестируемым или же может использовать самоконтролируемую технологию. Обнаруживаемые различия в поведении формируют информацию для сообщений об отказах. Например, два блока обработки обмениваются данными (включая результаты, промежуточные результаты и тестовые данные) друг с другом. Сравнение данных осуществляется с использованием программного обеспечения в каждом блоке и обнаруживаемые различия приводят к сообщению об отказе.

D.2.1.3 Схема голосования по мажоритарному принципу

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружение и парирование отказов, по меньшей мере, в одном из трех аппаратных каналов.

Описание. Модуль голосования, использующий мажоритарный принцип (2 из 3, 3 из 4 или m из n), используется для обнаружения и парирования отказов.

Примечание - В отличие от компаратора, метод голосования по мажоритарному принципу повышает готовность путем обеспечения функциональных возможностей резервного канала даже после потери одного из каналов.

D.2.2 Электрические элементы

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Главная цель. Управление отказами в полупроводниковых элементах.

D.2.2.1 Принципы динамического управления

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Обнаружение статических отказов путем динамической обработки сигналов.

Описание. Принудительное изменение других статических сигналов (генерируемых извне или внутри) помогает обнаруживать статические отказы в элементах. Этот метод часто ассоциируется с электромеханическими элементами.

D.2.2.2 Мониторинг аналогового сигнала предпочтительнее мониторинга цифровых состояний включения - выключения

Примечание - Ссылка на данный механизм/меру приведена в таблице D.2.

Цель. Повышение уверенности в измеряемых сигналах.

Описание. Везде, где есть выбор, используются аналоговые сигналы вместо цифровых состояний включения - выключения. Например, текущие или безопасные состояния представлены уровнями аналогового сигнала, как правило, с контролем уровня допуска сигнала. В случае цифрового сигнала, его можно контролировать при аналоговом входе. Этот метод обеспечивает непрерывность мониторинга и более высокий уровень доверия к устройству передачи, снижая необходимую частоту периодического тестирования, выполняемого для выявления отказов передаваемой функции датчика.

D.2.3 Модули обработки

Главная Цель. Распознавать отказы, которые приводят к неправильным результатам в модулях обработки.

D.2.3.1 Программное самотестирование

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.4 и D.13.

Цель. Выполняемое программным обеспечением оперативное обнаружение отказов в модулях обработки и других подэлементах, состоящих из физических устройств памяти (например, регистры) или функциональных блоков (например, дешифратор команд или шифратор/дешифратор устройства обнаружения и коррекции ошибок) или обоих типов устройств.

Описание: Обнаружение отказа полностью реализуется программным обеспечением, которое выполняет самотестирование, используя комбинацию данных или набор комбинаций данных для проверки физической памяти (например, регистров данных и адреса) или функциональных блоков (например, дешифратор команд) или обоих.

Примеры

1 Модуль обработки данных проверяется на корректность функционирования посредством использования, по меньшей мере, одного шаблона на инструкцию. Если инструкция не выполняется в связанных с безопасностью программах, то он может быть исключена из тестирования, но может быть ограничен охват, поскольку не все логические элементы процессора будут проверены. В общем, возможно, что не все выделенные и специальные регистры, основные таймеры и исключения могут быть охвачены. Охват зависимостей в последовательности команд, такой как реализуется при конвейерной обработке или вызывающей виды сбоев, связанные с синхронизацией, может быть ограничен. Определение фактического охвата тестируемых логических элементов (в отличие от охваченных инструкций) обычно требует серьезного моделирования сбоев. Данный тест дает очень ограниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

2 В случае подэлементов, таких как шифратор/дешифратор EDC, программное обеспечение может прочитать предварительно написанные специально поврежденные слова для тестирования поведения логики EDC. Поврежденные слова могут быть написаны с помощью самого программного теста, если EDC и интерфейс памяти имеют аппаратный переключатель для доступа как к данным, так и к битам кода. Охват зависит от количества и "богатства" шаблонов. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.2 Самотестирование, обеспечиваемое аппаратными средствами (одноканальное)

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.4 и D.13.

Цель. Оперативное обнаружение отказов в процессоре и других подэлементах с использованием специальных аппаратных средств, которые увеличивают скорость и расширяют область обнаружения отказов.

Описание. Дополнительные специальные аппаратные средства обеспечивают функции самотестирования для обнаружения отказов в процессоре и других подэлементах (например, шифратор/дешифратор EDC) на уровне логических элементов. Данный тест может обеспечить высокий охват. Обычно он запускается в процессе инициализации или отключения процессора вследствие его интрузивной природы (средства тестирования влияют на режим работы процессора). Обычно используется для обнаружения множественных сбоев.

Пример - В случае подэлементов, таких как шифратор/дешифратор EDC, специальный механизм аппаратных средств, такой как встроенное самотестирование логики, может быть добавлен для генерации входных комбинаций для шифратора/дешифратора и проверки ожидаемых результатов. Обычно входные данные создаются генератором случайных чисел. Охват данного метода зависит от количества и "богатства" комбинаций - но обычно охват достаточно высок в связи с автоматической генерацией комбинаций. Данный тест не обеспечивает охват исправимых ошибок.

D.2.3.3 Программное самотестирование с перекрестным обменом между двумя независимыми модулями

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.2 и D.4.

Цель. Выполняемое программным обеспечением оперативное обнаружение отказов в модулях обработки, состоящих из физических устройств памяти (например, регистры) и функциональных блоков (например, дешифратор команд).

Описание: Обнаружение отказа осуществляется только с помощью двух или более модулей обработки, программное обеспечение каждого из которых выполняет дополнительные функции, которые реализуют самотестирование (например, используя комбинацию блуждающих битов) для проверки физической памяти (регистры данных и адреса) и функциональных блоков (например дешифратор команд). Затем модули обработки обмениваются результатами. Данный тест дает очень ограниченные (или не дает вовсе) возможности оценки охвата исправимых ошибок.

D.2.3.4 Программное обеспечение с разнообразной избыточностью (в одном канале аппаратных средств)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в модулях обработки динамическим сравнением программного обеспечения.

Описание. Проект состоит из двух избыточных различных реализаций программного обеспечения в одном канале аппаратных средств. В некоторых случаях использование различных ресурсов аппаратных средств (например, RAM и ROM памяти различного размера) может увеличить охват диагностикой.

Одна из реализаций, называется основной путь, отвечает за расчеты, которые, если вычислены с ошибкой, могут привести к опасности. Вторая реализация, называется резервный путь, несет ответственность за проверку расчетов по основному пути и принимать меры, если обнаружен сбой. Часто резервный путь реализуется с использованием других алгоритмических конструкций и другого кода для обеспечения разнообразия программного обеспечения. После завершения вычисления по обоим путям осуществляется сравнение выходных данных двух избыточных программных реализаций. Обнаруженные различия приводят к сообщению об отказе (см. рисунок D.2). Проект включает в себя методы для координации двух путей и повторной синхронизации путей для исправимых ошибок.

Вообще сравнение включает в себя некоторый тип гистерезиса и фильтрации, что допускает незначительные различия, связанные с различными путями реализации программного обеспечения. Примером разнообразия алгоритмов являются: А + В = С вместо С - В = А и при этом один путь использует обычные расчеты, а другой путь - математику дополнительного двоичного кода. Результат резервного пути может быть столь же простым, как проверка величины или ограничения скорости в расчетах по основному пути.

Примечание - В связи с возможными отказами по общей причине между основным и резервным путями для проверки работы основного контроллера с помощью диагностических запросов и ответов (см. [21]) может быть использован дополнительный сторожевой процессор.

Другим вариантом этого механизма защиты является реализация резервного пути, как точной копии основного пути (или реализовать основной путь дважды). Такая версия без избыточного программного обеспечения обеспечивает только охват исправимых ошибок. Средний охват может быть достигнут, если код выполняется в третий разе известными входами, генерирующими выходы, которые должны быть проверены сравнением с набором ожидаемых результатов. Результаты этого метода имеет очень легкий критерий прошел/не прошел (предполагается, что сравниваемые результаты точно совпадут) и легкую реализацию (резервный канал не разрабатывается), но данный подход включает в себя необходимость сохранения истории параметров (например, динамических состояний, интеграторов, ограничений скорости и т.д.).

Рисунок D.2 - Сравнение избыточного программного обеспечения в одном модуле обработки

D.2.3.5 Взаимное сравнение программным обеспечением в отдельных модулях обработки

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в модуле обработки динамическим сравнением программного обеспечения.

Описание. Два модуля обработки взаимно обмениваются данными (включая результаты, промежуточные результаты и тестовые данные). Сравнение данных осуществляется программным обеспечением каждого модуля и обнаруженные различия приводят к сообщению об отказе (см. рисунок D.3). Такой подход обеспечивает разнообразие аппаратных средств и программного обеспечения, если используются различные типы процессоров, а также отдельные алгоритмы, коды и компиляторы. Такой проект включает в себя методы, предотвращающие ложные обнаружения ошибок из-за различий между процессорами (например, неустойчивость цикла синхронизации, коммуникационные задержки, инициализация процессора).

Пути могут быть реализованы на отдельных ядрах двухъядерного процессора. В этом случае метод включает в себя анализ, позволяющий понять виды отказов по общей причине, связанные с общим кристаллом и корпусом этих двух ядер.

Рисунок D.3 - Сравнение избыточного программного обеспечения на различных модулях обработки

D.2.3.6 Избыточность аппаратных средств (жесткая двухядерная конфигурация, асимметричная избыточность, запрограммированная обработка)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в модулях обработки последовательным сравнением внутренних или внешних результатов или тех и других, полученных из двух модулей обработки, работающих в жесткой конфигурации (на одном кристалле многопроцессорной системы).

Описание. В одной из версий этого типа диагностического метода - жесткая двухядерная конфигурация - два симметричных процессора находятся на одном кристалле (см. [22]). Модули обработки выполняют дублирующие операции в жесткой конфигурации (или с задержкой с установленным периодом) и результаты сравниваются. Любое несоответствие результатов приводит к состоянию ошибки и затем обычно выполняется сброс этого состояния. Этот механизм очень эффективен для кратковременных ошибок и отказов в арифметико-логическом устройстве. В зависимости от уровня избыточности, охват может быть распространен на адресные шины памяти и регистры конфигурации. Преимущество данного метода в том, что для параллельных путей не требуются отдельные коды, а недостаток в том, что имеющиеся два модуля обработки обеспечивают выполнение только одного модуля обработки. В хороших проектах выявляются и устраняются отказы по общей причине (например, отказы из-за общей синхронизации). Такой подход, сам по себе, не обеспечивает охват диагностикой систематические ошибки.

Возможны другие виды избыточности аппаратных средств, например, асимметричная избыточность. В таких архитектурах (например, см. [25]), отличающийся и специализированный блок обработки тесно связан с главными модулями обработки посредством интерфейса, позволяющего пошаговое сравнение внутренних и внешних результатов. Такой вид избыточности очень эффективен для сбоев при постоянном токе и для исправимых ошибок. Кроме того, интерфейс уменьшает сложность и сокращает задержку обнаружения ошибок, например, на для сбоев, влияющих на блок регистров модуля обработки. Для параллельного пути и специализированного блока обработки, который может быть меньше основного, не требуется отдельный код. Разнообразие аппаратных средств обеспечивает эффективный охват отказов по общей причине и систематических отказов. Недостатком данного подхода является необходимость детального анализа для доказательства охвата диагностикой.

Возможна также запрограммированная обработка: модули обработки могут быть разработаны со специальными методами распознавания отказов или схемами коррекции отказов. Эти подходы могут гарантировать высокий охват для очень маленьких процессоров с ограниченными функциональными возможностями или они могут быть пригодны для подмодуля процессора, такого как арифметико-логическое устройство [26]. Аппаратные средства и программное обеспечение с запрограммированной обработкой можно совместить с использованием подходов, таких как Vital Coded Processor [27]. Может быть необходим детальный анализ для доказательства охвата диагностикой.

D.2.3.7 Тестирование регистра конфигурации

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение отказов в регистрах конфигурации модуля обработки. Отказы могут быть связаны с аппаратными средствами (константные значения или ошибки, вызванные сменой состояний устройства) или с программным обеспечением (неправильно сохраненное значение или повреждение значения регистра в результате ошибки программного обеспечения).

Описание. Установки регистра конфигурации считываются и сравниваются с закодированными ожидаемыми параметрами (например, маски). Если установки не совпадают, в регистры перезагружают их целевые значения. Если ошибка сохраняется на протяжении заранее определенного числа проверок, то формируется сообщение об ошибке.

D.2.3.8 Выявление переполнения стека/потери значимости

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение переполнения стека/потери значимости.

Описание. Границы стека в энергозависимой памяти загружаются с предопределенными значениями. Периодически значения проверяются, и если они изменились, то обнаруживаются потоки записей до или после границы. Тест не нужен, если записи вне границ стека управляются блоком управления памятью.

D.2.3.9 Интегрированный контроль непротиворечивости аппаратных средств

Примечание - Ссылка на данный механизм/меру приведена в таблице D.4.

Цель. Оперативное обнаружение недопустимых условий в модуле обработки.

Описание. Большинство процессоров снабжены механизмами, которые возбуждают исключительные состояния аппаратных средств при обнаружении ошибок (например, деление на ноль, неправильные коды операций).

Чтобы захватить такие условия и изолировать систему от подобных ошибок, может быть использована обработка прерываний по этим ошибкам. Как правило, для обнаружения систематических отказов используется контроль аппаратных средств, но он также может быть использован для обнаружения определенных видов случайных сбоев аппаратных средств. Данный метод обеспечивает низкий охват для некоторых ошибок кодирования и считается "хорошей практикой" при проектировании.

D.2.4 Постоянная память

Главная Цель. Выявить модификации информации в постоянной памяти.

Примечание - В зависимости от типа реализации памяти одиночный сбой может повлиять на несколько ячеек памяти. Например, обрыв шины выборки строки ячеек памяти не позволит прочитать всю строку ячеек памяти. Этот тип отказа может быть легче обнаружить, если тестируется несколько ячеек памяти.

D.2.4.1 Контроль памяти, используя коды обнаружения и исправления ошибок (EDC)

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5 и D.6.

Цель. Обнаружить каждый однобитовый отказ, каждый двухбитовый отказ, некоторые трехбитовые отказы и некоторые многобитовые отказы в слове (как правило, 32, 64 или 128 бит).

Описание. Каждое слово в памяти расширяется несколькими избыточными битами для выработки модифицированного кода Хэмминга с расстоянием Хэмминга, равным, по меньшей мере, 4. При каждом считывании слова проверка избыточных битов может указывать, произошло ли искажение. При обнаружении различий выдается сообщение об отказе.

Данная процедура может быть также использована для обнаружения отказов адресации при вычислении избыточных битов при объединении слова данных с его адресом. С другой стороны, для отказов адресации вероятность обнаружения зависит от количества битов EDC для случайных возвращаемых данных (например, разрыв адресной шины или короткое замыкание одной адресной шины на другую так, что возвращается среднее значение двух ячеек). Охват равен 0%, если ошибка адресации приводит к совершенно другой выбранной ячейке.

Для отказа разрешения записи ячейки в памяти с произвольным доступом EDC может обеспечить высокий охват, если ячейка не может быть инициализирована. Охват равен 0%, если отказ разрешения записи ячейки влияет на всю ячейку после ее инициализации.

Примечание - Данную технологию часто называют ЕСС (Error Correcting Code - Код коррекции ошибок).

D.2.4.2 Модифицируемая контрольная сумма

Примечание - Ссылка на данный механизм/меру приведена в таблицах D.5.

Цель. Обнаружить каждый однобитовый отказ.

Описание. Контрольная сумма блока памяти образуется соответствующим алгоритмом, который обрабатывает все слова в блоке памяти. Эта контрольная сумма может храниться как дополнительное слово в постоянной памяти, либо может быть добавлена как дополнительное слово в блок памяти для того, чтобы алгоритм контрольной суммы выработал заранее заданное значение. При последующем тестировании памяти контрольная сумма создается снова с использованием того же алгоритма, и результат сравнивается с запомненным или заданным значением. При обнаружении различий вырабатывается сообщение об ошибке [20]. Вероятность пропущенного обнаружения составляет 1/, если возвращается случайный результат. Если конкретные нарушения данных являются более вероятными, то некоторые контрольные суммы могут обеспечить лучшую выявляемость, чем для случайных результатов.

D.2.4.3 Сигнатура памяти

Примечание - Ссылка на данный механизм/меру приведена в таблице D.5.

Цель. Обнаружить каждый однобитовый отказ и большинство многобитовых отказов.

Описание. Содержимое блока памяти "сжимается" (с использованием аппаратных или программных средств) в один или более байтов с использованием алгоритма контроля с помощью избыточного циклического кода (CRC). Типичный алгоритм CRC рассматривает все содержимое блока памяти как побайтовый или побитовый последовательный поток данных, в котором выполняется непрерывное полиномиальное деление с использованием полиномиального генератора. Остаток от деления сохраняется и представляет собой сжатое содержимое памяти - "сигнатуру" памяти. Сигнатура вычисляется каждый раз при последующем тестировании и сравнивается с уже запомненным значением. При обнаружении различий выдается сообщение об ошибке.

CRC являются особенно эффективным для обнаружения пакетных ошибок. Эффективность сигнатуры зависит от отношения значения многочлена к длине блока защищаемой информации. Вероятность пропущенного обнаружения равна единице, деленной на удвоенное значение контрольной суммы, если возвращается случайный результат [20].

Примечание - 8-битовая сигнатура CRC обычно не используется для современной памяти размером более 4K.

D.2.4.4 Дублирование блоков (например, двойная память с аппаратным или программным сравнением)

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.5 и D.6.

Цель. Обнаружить каждый битовый отказ.

Описание. Адресное пространство дублируется в двух областях памяти. Первая область памяти функционирует в нормальном режиме. Вторая область памяти содержит ту же самую информацию и имеет параллельный доступ к первой. Их выходы сравниваются, и при обнаружении различий выдается сообщение об ошибке. В зависимости от проекта подсистемы памяти хранение инвертированных данных в одной из двух областей может повысить охват диагностикой. Охват может быть снижен, если существуют виды отказов (например, общие шины адреса, отсутствие запрета на запись), которые являются общими для обоих блоков, или если в результате физического размещения ячеек памяти логически не связанные ячейки расположены близко друг к другу.

D.2.5 Память с произвольным доступом

Главная Цель. Обнаружить отказы во время адресации, записи, запоминания и считывания.

Примечание - В зависимости от типа реализации памяти одиночный сбой может повлиять на несколько ячеек памяти. Например, обрыв шины выборки строки ячеек памяти не позволит прочитать всю строку ячеек памяти. Этот тип отказа может быть легче обнаружить, если тестируется несколько ячеек памяти.

D.2.5.1 Тестирующая комбинация для памяти с произвольным доступом

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить преимущественно статические битовые отказы.

Описание. Комбинация битов, за которой следует дополнение этой комбинации битов, записывается в ячейки памяти.

Ячейки ОЗУ обычно тестируются индивидуально. Содержимое ячейки сохраняется, а затем в ячейку записываются все "0". Содержимое ячейки затем проверяется считыванием нулевых значений. Процедура повторяется, но в ячейку записываются все "1" и выполняется считывание их содержимого обратно. Если вызывает озабоченность вид отказов при переходе от "1" к "0", то могут быть выполнены дополнительные запись и чтение всех "0". Затем восстанавливается первоначальное содержимое ячейки (см. [20], раздел 4.2.1). Тест эффективен при обнаружении константных отказов и кратковременных отказов, но не может выявить большинство исправимых ошибок, сбоев адреса и сбоев связанных ячеек.

Примечания

1 Тест часто реализуется в фоновом режиме с блокировкой прерываний во время испытания каждой отдельной ячейки.

2 Поскольку реализация теста включает в себя считывание только что записанное значение, то оптимизирующие компиляторы имеют тенденцию оптимизировать тест. Если используется оптимизирующий компилятор, то хорошей практикой является проверка тестового кода на уровне ассемблера.

3 В некоторых ОЗУ возможен сбой, связанный с тем, что последняя операция доступа к памяти выполняется как чтение. Если это возможный вид отказа, то диагностика может проверить две ячейки вместе, сначала записав "0" вместо "1" и "1" в следующую ячейку, а затем проверить, считывается "0" из первой ячейки.

D.2.5.2 Бит четности

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить отказы из-за единственного поврежденного бита или нечетного числа поврежденных битов в одном слове (обычно 8 бит, 16 бит, 32 бита, 65 бита или 128 бит).

Описание. Каждое слово в памяти расширяется на один бит (бит четности), который дополняет каждое слово до четного или нечетного числа логических единиц. Четность слова данных проверяется при каждом чтении. При обнаружении ложного числа единиц выдается сообщение об отказе. Выбор четности или нечетности должен осуществляться так, чтобы всякий раз в случае отказа не выдавалось ничего, кроме нулевого (0) или единичного (1) слова, вырабатывалось уведомление о том, что это слово неправильно закодировано.

Данная процедура также может быть использована для обнаружения отказов адресации, если четность определяется для объединения слова данных с его адресом. С другой стороны, для отказов адресации существует 50%-ная вероятность обнаружения случайных возвращаемых данных (например, разрыв адресной шины или короткое замыкание одной адресной шины на другую так, что возвращается среднее значения двух ячеек). Охват равен 0%, если ошибка адресации приводит к совершенно другой выбранной ячейке.

При отказах разрешения записи в ячейку памяти с произвольным доступом данный метод может обнаружить 50% отказов, если ячейка не может быть инициализирована. Охват равен 0%, если отказ разрешения записи в ячейку влияет на всю ячейку после ее инициализации.

D.2.5.3 Тесты "марш" для памяти с произвольным доступом

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить преимущественно устойчивые битовые отказы, отказы от переходных процессов в битах, отказы адресации и отказы связанных ячеек.

Описание. Комбинация из "0" и "1" записывается в ячейки памяти по определенной схеме и в определенном порядке проверяется.

"Маршевый" тест состоит из конечной последовательности "маршевых" элементов, а "маршевый" элемент является конечной последовательностью операций, применяемых последовательно к каждой ячейке в матрице памяти. Так, например, операция может состоять из записи "0" в ячейку, записи "1" в ячейку, чтение ожидаемого "0" из ячейки, и чтение ожидаемой "1" из ячейки. Если ожидаемая "1" не считывается, то обнаруживается отказ. Уровень охвата для связанных ячеек зависит от порядка записи/чтения.

В главе 4 [20] описан ряд различных "маршевых" тестов, предназначенных для обнаружения различных видов отказов памяти с произвольным доступом: константных сбоев, кратковременных сбоев (неспособность перейти от единичного состояния к нулевому состоянию или от нулевого состояния к единичному состоянию, но не для обоих переходов), сбоев адресации и сбоев связанных ячеек. Тесты такого типа не являются эффективными для обнаружения исправимых ошибок.

Примечание - Эти тесты, как правило, запускаются только при инициализации или отключении.

D.2.5.4 Выполнение контрольной суммы/контроля циклическим избыточным кодом (CRC)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.6.

Цель. Обнаружить однобитовые и несколько многобитовых отказов в памяти с произвольным доступом

Описание. Контрольная сумма/CRC создается подходящим алгоритмом, который использует каждое слово в блоке памяти. Контрольная сумма сохраняется в качестве дополнительного слова в памяти с произвольным доступом. Так как блок памяти обновляется, то контрольная сумма памяти с произвольным доступом/CRC также обновляется, удаляя старое значение данных и добавляя новое значение данных, которое будет храниться в памяти. Периодически контрольная сумма/CRC вычисляются для блока данных и сравниваются с сохраненной контрольной суммой/CRC. Если будет обнаружено различие, то формируется сообщение об отказе. Вероятность пропущенного обнаружения равна единицы, деленной на размер контрольной суммы/CRC, если возвращается случайный результат. Охват диагностикой может уменьшаться при увеличении объема памяти.

D.2.6 Устройства ввода/вывода и интерфейсы

Главная Цель. Обнаружение отказов в устройствах ввода/вывода (цифровых и аналоговых) и предотвращение дальнейшей передачи недопустимых выходных данных.

D.2.6.1 Тестирующая комбинация

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.7, D.11, D.12 и D.14.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Этот метод реализует независимое от потока данных циклическое тестирование входных и выходных элементов. В нем используются определенные тестирующие комбинации для сравнения с соответствующими этим тестирующим комбинациям предполагаемыми значениями. Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. В хорошем проекте тестирующие комбинации не должны неблагоприятно влиять на функциональное поведение системы.

D.2.6.2 Кодовая защита

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Обнаружить случайные отказы аппаратных средств и систематические отказы в потоке данных ввода/вывода.

Описание. Процедура, реализующая кодовую защиту, защищает вводимую и выводимую информацию от систематических и случайных отказов аппаратных средств. Кодовая защита обеспечивает зависимое от потока данных обнаружение отказов входных и выходных модулей, основываясь на избыточности информации и/или временной избыточности. Обычно избыточная информация налагается на входные и/или выходные данные; тем самым обеспечиваются средства для мониторинга правильности операций входных и выходных схем. Возможно применение многих методов - например, сигнал несущей частоты может налагаться на выходной сигнал датчика. После этого логический модуль может проверить наличие несущей частоты, либо на выходе канала могут быть добавлены избыточные кодовые биты для контроля достоверности прохождения сигнала между логическим модулем и оконечным исполнительным механизмом.

D.2.6.3 Многоканальное параллельное выходное устройство

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Обнаружить случайные отказы аппаратных средств (константные отказы), отказы, обусловленные внешними воздействиями, временные отказы, отказы адресации, постепенные отказы и кратковременные отказы.

Описание. Это зависимое от потока данных многоканальное параллельное выходное устройство с независимыми выходами для обнаружения случайных аппаратных отказов. Обнаружение отказов осуществляется с помощью внешних компараторов. При появлении отказа система может быть непосредственно выключена. Это устройство эффективно только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.6.4 Средство контроля выходов

Примечание - Ссылка на данный механизм/меру приведена в таблице D.7.

Цель. Обнаружить отдельные отказы, отказы, обусловленных внешними воздействиями, временные отказы, отказы адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Это устройство, зависимое от потока данных, сравнивает выходные данные с независимыми входными данными для обеспечения совместимости с областью их допустимых значений (время, диапазон). Обнаруженный отказ не всегда относится к неправильному выходному сигналу. Это устройство эффективно только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.6.5 Сравнение/голосование входных данных

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.7 и D.11.

Цель. Обнаружить отдельные отказы, отказы, обусловленных внешними воздействиями, временные отказы, отказов адресации, постепенные отказы (для аналоговых сигналов) и кратковременные отказы.

Описание. Это устройство, зависимое от потока данных, сравнивает независимые входные данные для обеспечения совместимости с областью их допустимых значений (время, диапазон). Реализуемая избыточность может быть 1 из 2, 2 из 3 или более лучшая. Это устройство эффективно только в том случае, если поток данных изменяется в интервале диагностических проверок.

D.2.7 Коммуникационные шины

Главная Цель. Обнаружить отказы, обусловленные искажениями при передаче информации.

D.2.7.1 Однобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.8 и D.14.

Цель. Обнаружить каждый отказ нечетного бита, то есть 50% всех возможных битовых отказов в потоке данных.

Описание. Коммуникационная шина расширяется на одну линию (бит) и эта дополнительная линия (бит) используется для обнаружения отказов путем проверки на четность.

D.2.7.2 Многобитовая избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.8 и D.14.

Цель. Обнаружить отказы в процессе передачи по шине и в последовательных каналах связи.

Описание. Шина расширяется на две или более линий (битов) и эти дополнительные линии (биты) используются для обнаружения отказов методом кода Хэмминга.

D.2.7.3 Полная избыточность аппаратных средств

Примечание - Ссылки на данный механизм/меру приведены в таблицах D.8 и D.14.

Цель. Обнаружить отказы в процессе передачи данных путем сравнения сигналов двух шин.

Описание. Шина дублируется и дополнительные линии (биты) используются для обнаружения отказов.

Пример - Двойной канал реализации FlexRay: шина дублирована, и дополнительные линии (биты) используются, чтобы обнаружить отказы.

D.2.7.4 Анализ с использованием тестирующих комбинаций

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружить статические отказы (константные отказы) и перекрестные помехи.

Описание. Осуществляется независимое от потока данных циклическое тестирование маршрутов данных. Используется определенная тестирующая комбинация для сравнения наблюдаемых значений с соответствующими предполагаемыми значениями.

Охват теста зависит от степени независимости между информацией тестирующей комбинации, восприятием и оценкой тестирующей комбинации. В качественном проекте тестирующие комбинации не должны неблагоприятно влиять на функциональное поведение системы.

D.2.7.5 Избыточность при передаче

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружить кратковременные отказы при обмене по шине.

Описание. Информация передается последовательно несколько раз. Данный метод эффективен только для обнаружения кратковременных отказов.

D.2.7.6 Информационная избыточность

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружение отказов при обмене по шине.

Описание. Данные передаются блоками вместе с вычисленными контрольной суммой или CRC (см. [28] и [29]) для каждого блока. После этого приемник повторно вычисляет контрольную сумму полученных данных. Результат сравнивается с полученной контрольной суммой. Для CRC охват зависит от длины охватываемых данных, размера CRC (количество бит) и полинома. CRC может быть ориентирован на более вероятные виды коммуникационных отказов базовых технических средств (например ошибки в линии передачи пакетов данных).

Идентификатор сообщения может быть включен в вычисление контрольной суммы/CRC, чтобы обеспечить охват искажений в этой части сообщения (подмену).

a) Низкий охват диагностикой: расстояние Хэмминга 2 или меньше.

Пример - Значение CRC для информации сообщения содержится в сообщении. Размер CRC 5 бит и полином 0x12 обеспечивает расстояние Хэмминга 2 для данных длиной менее 2048 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

b) Средний охват диагностикой: расстояние Хэмминга 3 или более.

Примеры

1 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 8 бит и полином 0x97 обеспечивает расстояние Хэмминга 4 для данных длиной менее 119 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (обычно используется в шинах локальных сетей).

2 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 10 бит и полином 0x319 обеспечивает расстояние Хэмминга 4 для данных длиной менее 501 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC.

3 Значение CRC для информации сообщения и идентификатор сообщения содержатся в сообщении. Размер CRC 15 бит и полином 0x4599 обеспечивает расстояние Хэмминга 5 для данных длиной менее 127 бит. Кроме того, могут быть обнаружены пакеты до 15 ошибок. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется в локальной сети контроллеров (CAN)).

4 Значение CRC для информации сообщения содержится в сообщении. Размер CRC 24 бита и полином 0x5D6DCB обеспечивает расстояние Хэмминга CRC, равное 6, для данных длиной менее или равной 248 байт, и расстояние Хэмминга CRC, равное 4, для данных длиной больше 248 байт. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для фрейма CRC).

5 Значение CRC для заголовка сообщения, включая идентификатор сообщения содержатся в сообщении. Размер CRC 11 бит и полином 0x385 обеспечивает расстояние Хэмминга 6 для данных длиной менее или равной 20 бит. Передающее устройство включает в себя упомянутое значение CRC, а приемное устройство подтверждает данные после вычисления и сравнения значения CRC (как используется во FlexRay для заголовка CRC).

Примечания

1 Высокий охват может быть достигнут для искажений данных и идентификатора, однако, общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора с сигнатурой, независимо от эффективности сигнатуры. В частности, сигнатура не охватывает потерю сообщения или непреднамеренное повторение сообщения.

2 Если алгоритм контрольной суммы имеет расстояние Хэмминга менее 3, то высокий охват при искажениях данных и идентификатора все еще может быть востребован, если существует надлежащее обоснование.

D.2.7.7 Счетчик блоков данных

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружить потери блоков данных. Блоком данных является связный набор данных, передаваемый от одного контроллера на другой контроллер(ы). Каждый уникальный блок данных имеет идентификатор сообщения.

Описание: Каждый отдельный связанный с безопасностью блок данных включает в себя счетчик как часть сообщения, который передается по шине. Счетчик увеличивается в результате создания каждого последующего передаваемого блока. Приемное устройство в состоянии обнаруживать любую потерю блока данных или его не обновление, если в результате проверки выяснилось, что значение счетчика увеличилось на единицу.

Специальная версия счетчика блоков данных должна включать отдельные сигнальные счетчики, которые связаны с обновлением данных, связанных с безопасностью. В этой ситуации, если блок данных содержит несколько частей связанных с безопасностью данных, то для каждой части связанных с безопасностью данных обеспечивается свой счетчик.

D.2.7.8 Мониторинг получения блоков данных во времени

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружить потерю данных между передающим узлом и принимающим узлом.

Описание. Приемное устройство отслеживает каждый предполагаемый идентификатор связанного с безопасностью сообщения по времени между получением достоверных блоков данных с этим идентификатором сообщения. Отказ может означать слишком длительное время между сообщениями. Данный метод предназначен для обнаружения потери непрерывности работы канала связи или потери непрерывности передачи одного конкретного сообщения (не получены блоки данных, связанные с конкретным идентификатором сообщения).

D.2.7.9 Повторное считывание отправленного сообщения

Примечание - Ссылка на данный механизм/меру приведена в таблице D.8.

Цель. Обнаружить отказы в коммуникационной шине.

Описание. Передатчик повторно считывает из коммуникационной шины отправленное им сообщение и сравнивает его с исходным сообщением.

Примечания

1 Данный механизм защиты используется в CAN-протоколе.

2 Высокий охват может быть достигнут при повреждении данных и идентификатора, однако, общий высокий уровень охвата не может быть достигнут только путем проверки согласованности данных и идентификатора. Другие виды отказов, такие как непреднамеренное повторение сообщения, не всегда охватываются настоящим механизмом безопасности.

D.2.8 Источник питания

Главная цель. Обнаружить отказы, вызванные дефектами в источнике питания.

D.2.8.1 Управление напряжением или током (вход)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Оперативное обнаружение неправильного поведения входных значений тока или напряжения.

Описание. Контроль входного напряжения или тока.

D.2.8.2 Управление напряжением или током (на выходе)

Примечание - Ссылка на данный механизм/меру приведена в таблице D.9.

Цель. Оперативное обнаружение неправильного поведения выходных значений тока или напряжения.

Описание. Контроль выходного напряжения или тока.

D.2.9 Временной и логический контроль последовательности выполнения программ

Примечание - Ссылки на данную группу механизмов/мер приведены в таблице D.10.

Главная Цель. Обнаружить искаженную последовательность программы. Искаженная программная последовательность появляется в том случае, если отдельные элементы программы (например, программные модули, подпрограммы или команды) обрабатываются в неправильной последовательности, или в несоответствующий период времени, или если сбилась тактовая частота процессора.

D.2.9.1 Контрольный датчик времени с отдельной временной базой без временного окна

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контроля поведения компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были правильно установлены в программе. Контрольный датчик времени не переключается с некоторым фиксированным периодом, однако задается его максимальный интервал.

D.2.9.2 Контрольный датчик времени с отдельной временной базой и временным окном

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Контролировать поведение и последовательность выполнения программ.

Описание. Внешние средства определения времени с отдельной базой времени (например, контрольный датчик времени) периодически переключаются для контроля поведения компьютера и последовательности выполнения программ. Важно, чтобы точки запуска были правильно установлены в программе (например, не во время выполнения процедуры обработки прерывания). Для контрольного датчика времени задаются нижняя и верхняя границы. Если программная последовательность выполняются больше или меньше ожидаемого времени, то выполняется некоторое действие

D.2.9.3 Логический контроль последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Контролировать правильную последовательность выполнения отдельных частей программы.

Описание. Правильная последовательность выполнения отдельных частей программы контролируется программным обеспечением (процедура подсчета, ключевая процедура) или внешними средствами контроля (см. [23] и [24]). Важно, чтобы точки проверки располагались в программе так, чтобы контролировались пути, которые могут привести к опасной ситуации, если из-за одиночного или множественного сбоя эти пути не смогут завершиться или последовательность их выполнения будет неправильной. Последовательности могут обновляться между каждой функцией вызова или более тесно связаны с выполнением программы.

D.2.9.4 Комбинация временного и логического контроля последовательности выполнения программ

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Контролировать поведение и корректность последовательности выполнения отдельных частей программы.

Описание. Средство контроля времени (например, контрольный датчик времени), контролирующее программную последовательность, вновь запускается только в случае, если последовательность модулей программы выполняется правильно. Данный метод является комбинацией методов D.2.9.3 и D.2.9.1 или D.2.9.2.

D.2.9.5 Комбинация временного и логического контроля последовательности выполнения программ с временной зависимостью

Примечание - Ссылка на данный механизм/меру приведена в таблице D.10.

Цель. Контролировать поведение, корректность последовательности и время выполнения отдельных разделов программы.

Описание. Реализуется стратегия контроля выполнения программы, где точки обновления программного обеспечения, как ожидается, находятся внутри относительного временного окна. Результат последовательности контроля выполнения программы и вычисление времени контролируется внешними средствами мониторинга.

D.2.10 Датчики

Главная Цель. Управлять отказами датчиков системы.

D.2.10.1 Допустимый диапазон датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.11.

Цель. Обнаружить короткие замыкания датчика на массу или шину питания и некоторые разрывы электрических цепей.

Описание: Область допустимых значений находится в средней части диапазона электрических датчиков (см. рисунок D.4). Если показания датчика находится в области недопустимых значений, то это указывает на электрические проблемы датчика, например, короткое замыкание датчика на массу или шину питания. Обычно информацию с датчиков считывает электронный блок управления, используя АЦП.

Рисунок D.4 - Датчик с границами области допустимого диапазона его значений

D.2.10.2 Корреляция датчика

Примечание - Ссылка на данный механизм/меру приведена в таблице D.11.

Цель. Обнаружить дрейфы датчика в его рабочем диапазоне, смещения или другие ошибки, используя избыточный датчик.

Описание. Сравнение двух идентичных или аналогичных датчиков для обнаружения отказов в их рабочем диапазоне, таких как дрейфы, смещения или константные отказы. На рисунке D.5 представлен пример двух одинаковых датчиков, но с противоположным наклоном измеряемой характеристики. Заметим, что значения границ допустимого диапазона для датчиков различны. Обычно информацию с датчиков считывает электронный блок управления, используя АЦП.

В примере, показанном на рисунке D.5, значения датчиков будут преобразованы к одинаковому наклону измеряемой характеристики, а также будет выполнено сравнение значений датчиков с целью их согласованности в пределах пороговых значений. Пороговые значения выбирается с учетом допуска АЦП и разновидностей электрических элементов. Оба датчика опрашиваются ЭБУ в одно и то же время, насколько это возможно, чтобы избежать ложных отказов из-за динамически изменяющихся показаний датчика.

Методы диагностики, основанные на равенстве углов наклона характеристик измерения датчиков, не обнаруживают ситуации, когда два датчика вместе закорочены, давая коррелированные показания в точке пересечения, или при отказах по общей причине, когда один компонент, например АЦП, одинаково повреждает значения обоих датчиков. Альтернативный подход, основанный на одном полном и одном половинном углах наклона характеристик измерения датчиков, приведен на рисунке D.6.

Рисунок D.5 - Датчики страницами областей допустимых значений, у которых равны, но имеют противоположный наклон характеристики измерения

D.2.10.3 Проверка датчика

Примечание - Ссылка на данный механизм/меру приведена в таблицей.11.

Цель. Обнаружить дрейфы датчика в диапазоне, уходы нуля или другие ошибки, используя несколько различных датчиков.

Описание. Сравнение двух (или более) датчиков, измеряющих различные свойства, для обнаружения отказов в областях их допустимых значений таких, как дрейфы, уходы нуля или константные отказы. Измерения датчиков преобразуются в эквивалентные значения с использованием модели, обеспечивающей сравнение.

Рисунок D.6 - Датчики с границами областей допустимых значений, у которых углы наклона характеристик измерения различаются в два раза

Пример - Сравнение датчиков позиции дроссельной заслонки бензинового двигателя, давления во всасывающем коллекторе и массы воздушного потока выполняется после преобразования значения каждого из них в значение расхода воздуха. Использование разнообразных датчиков уменьшает проблему систематических ошибок.

D.2.11 Исполнительные элементы

Главная Цель. Управлять отказами в исполнительных элементах системы.

D.2.11.1 Мониторинг

Примечание - Ссылка на данный механизм/меру приведена в таблице D.12.

Цель. Обнаружить неверную работу исполнительного элемента.

Описание. Работа исполнительного элемента контролируется.

Примечание - Мониторинг исполнительного элемента может производиться на уровне физических измерений параметров (который может иметь высокий охват), а также на уровне системы, рассматривая влияние отказа исполнительного элемента.

Примеры

1 Для вентилятора охлаждающего радиатор, процедура мониторинга на уровне системы использует датчик температуры для обнаружения отказа вентилятора охлаждающего радиатор. При мониторинге физических параметров измеряется напряжение или ток или оба вместе на входах вентилятора охлаждения радиатора.

2 Для перемещения дроссельной заслонки в желаемое положение используется управление с обратной связью. Фактическое положение измеряется и сравнивается с ожидаемым положением дроссельной заслонки, определяемым из положения дроссельной заслонки, которое задается командой водителя, и модели желаемой характеристики работы двигателя. Если эти два значения различаются друг от друга с учетом гистерезиса, то может быть сформировано сообщение об ошибке.