Skip to content
Inovasense
← Späť na slovník Standards

SIL / ASIL (Úrovne Bezpečnostnej Integrity)

SIL (Safety Integrity Level) a ASIL (Automotive SIL) sú prísne formálne, kvantifikované schémy klasifikácie rizík, ktoré sa používajú na definovanie požadovanej bezpečnosti a spoľahlivosti elektronických systémov, ktorých zlyhanie by mohlo spôsobiť vážne zranenie alebo smrť.

Ak bežnému spotrebiteľovi zlyhajú inteligentné hodinky a vymažú mu denné počítadlo krokov, ide o drobnú nepríjemnosť. Ak však v dôsledku softvérovej chyby zlyhá nemocničná infúzna pumpa a do žily pacienta podá smrteľnú dávku lieku, alebo ak pri vysokej rýchlosti na diaľnici v aute nečakane zlyhá elektronický brzdový systém (ABS), ide o absolútnu katastrofu s fatálnymi následkami.

Aby inžiniersky svet dokázal preklenúť tento priepastný rozdiel v miere rizika rôznych zariadení, spolieha sa na mimoriadne prísne a formálne definované bezpečnostné štandardy. Tými absolútne najvýznamnejšími sú SIL (Safety Integrity Level), ktorý je odvodený zo všeobecnej normy pre funkčnú bezpečnosť IEC 61508, a k nemu ekvivalentný ASIL (Automotive Safety Integrity Level), ktorý priamo vyplýva z tvrdej špecifickej automobilovej normy ISO 26262.

Schopnosť plne pochopiť, algoritmicky navrhnúť a fyzicky vyrobiť hardvérový produkt tak, aby spoľahlivo spĺňal tieto bezpečnostné úrovne, predstavuje v súčasnom svete hardvérového inžinierstva jednu z vôbec najviac intelektuálne náročných (a pochopiteľne aj najdrahších) disciplín.

Čo presne znamenajú skratky SIL a ASIL?

Je kriticky dôležité pochopiť, že SIL a ASIL nepredstavujú nejaké fyzické a hmatateľné certifikáty pre samotný hardvér; sú to presné klasifikácie procesov určených na znižovanie rizika. Tieto úrovne inžinierom analyticky odpovedajú na krízovú otázku: “Ak v prístroji zlyhá tento jeden konkrétny hardvérový komponent alebo úsek softvéru, aká je presná matematická pravdepodobnosť, že na následky tohto zlyhania niekto zomrie? Z toho vyplýva, aké obrovské a drahé množstvo matematickej a vývojovej prísnosti musíme do návrhu vložiť, aby sme s istotou garantovali, že k danému zlyhaniu jednoducho nikdy nedôjde?”

Klasikačná matica ASIL (Od stupňa A po stupeň D)

V štandarde pre automobilový priemysel (uznanej norme ISO 26262) sa miera rizika vyhodnocuje vždy na základe kombinácie troch samostatných faktorov:

  1. Závažnosť (Severity - S): Ak dôjde k zlyhaniu súčiastky a následnej nehode stroja, aké ťažké budú utŕžené zranenia?
  2. Expozícia (Exposure - E): Ako často, respektíve s akou pravdepodobnosťou sa vôbec vozidlo dostáva do prevádzkovej situácie, v ktorej by k danému zlyhaniu a následnej nehode mohlo technicky dôjsť?
  3. Kontrolovateľnosť (Controllability - C): Dokáže ľudský vodič priamym vlastným zásahom do riadenia vôbec rozumne zabrániť blížiacemu sa nárazu vo chvíli, keď tento systém zlyhá?

Matematickým a tabuľkovým kombinovaním týchto troch premenných vzniká prísna matica, ktorá každej funkcii priraďuje konkrétnu úroveň ASIL:

  • QM (Quality Management): Zlyhanie nenesie žiadne bezpečnostné riziko pre zdravie (napríklad: za jazdy sa pokazí prehrávač autorádia). Pre túto úroveň postačujú štandardné bežné inžinierske a komerčné postupy kontroly kvality.
  • ASIL A: Existuje tu len veľmi nízke riziko ohrozenia (napríklad: na vozidle prestanú nečakane svietiť zadné obrysové svetlá).
  • ASIL B / C: Predstavujú už stredné až pomerne vysoké bezpečnostné riziko (napríklad: kompletne a trvalo zamrzne displej digitálneho prístrojového panelu pred vodičom, alebo zlyhajú pokročilé asistenčné systémy ADAS pre udržiavanie v pruhu).
  • ASIL D: Toto je stupeň pre extrémne a priamo život ohrozujúce riziko so skóre na hrane smrti (napríklad: za jazdy na diaľnici sa elektronický posilňovač riadenia zablokuje, alebo úplne a kriticky zlyhajú zložité brzdy ABS).

Zatiaľ čo automobilky používajú takúto písmenkovú škálu, všeobecný tvrdý priemyselný štandard (IEC 61508 pre ťažký priemysel) na to isté používa číselné označenie od SIL 1 až po SIL 4, pričom SIL 4 je v technike úplne ten najprísnejší a najťažšie dosiahnuteľný stupeň (komerčne sa bežne využíva pri vlakovej zabezpečovacej signalizácii na železniciach, alebo pri riadiacich blokoch systémov jadrových elektrární).

Inžiniersky proces pri navrhovaní pre extrémne ASIL-D / SIL 3 a SIL 4

Ak architekt pracujúci v spoločnosti Inovasense z analýzy určí, že vyvíjaná riadiaca doska musí pre ochranu životov nevyhnutne spĺňať prísnu triedu ASIL-D, celý štandardný inžiniersky vývojový proces založený na princípoch metodiky V-Model sa drasticky a brutálne zmení a navýši a už vôbec sa nedá porovnať s lacným a benevolentným vývojom hocijakej bežnej spotrebnej elektroniky.

  1. Redundancia a DCLS (Dual-Core Lockstep Processing): Úroveň ASIL-D v žiadnom prípade technikov nepustí spoliehať as inžiniersky len na prítomnosť iba jedného klasického jadra MCU. V Inovasense na tieto účely typicky predpisujeme nasadenie enormne drahých a špeciálnych mikrokontrolérov s technológiou Dual-Core Lockstep (DCLS) (ide napríklad o veľmi známu a exkluzívnu sériu NXP S32 alebo rodinu TI Hercules). Tieto veľmi špeciálne navrhnuté bezpečnostné čipy vo svojom vlastnom kremíkovom obale chránia a fyzicky disponujú dvoma absolútne identickými CPU jadrami. Obe tieto jadrá bez prestávky natvrdo vykonávajú jeden a úplne ten istý napísaný kód paralelne, pričom ich vykonávanie je úmyselne voči sebe synchrónne posunuté presne o jeden ubehnutý hodinový cyklus na zbernici. Vo vnútri procesora je natvrdo navrhnutý centralizovaný veľmi malý vyhradený hardvérový zlučovač a komparátor (porovnávač). Tento komparátor v reálnom nanosekundovom čase neustále a nepretržite fyzicky na kontakt porovnáva prichádzajúci elektronický výstup súčasne z oboch jadier. V prípade, ak mimoriadne raritná fyzikálna anomália (ako napríklad zablúdené kozmické žiarenie alebo zblúdený alfa lúč prítomný v kozme) prenikne do kremíka a natvrdo nechcene fyzikálne preklopí jediný jeden binárny bit pamäte v ktoromkoľvek jadre procesora spôsobom, že sa následne obratom hardvérové výstupy jadier prestanú matematicky lícovať a po prvýkrát sa na komparátore o jeden bajt odchýlia a rozídu (tzv. divergencia a pád Lockstepu), špeciálny poistný hardvér čipu zistenú chybovú neznámu nezrovnalosť okamžite vyhodnotí na kritickú a tvrdo technicky dokáže v milisekundách zraziť systém do okamžitého spustenia bezpečného poistného odstavenia (tzv. fail-safe shutdown) (napríklad natvrdo bez akejkoľvek inej logickej programovej rutiny z vôle hardvéru zopne relé a nútene a neodvratne okamžite odbrzdí zaklinenú elektronickú zablokovanú parkovaciu brzdu skôr, ako poškodený riadiaci softvér s chybou dokáže zlyhať a páchne niečo horšie - pošle signál poškodene poškodí na náprave chybne brzdené príkazy za rýchlej plnej jazdy vozidla na diaľnici).
  2. Striktná podmienka prítomnosti ECC pamätí (Error-Correcting Code): Každý jeden absolútny bajt uložený a načítavaný na systéme akokoľvek buď v operačnej dočasnej pamäti RAM, alebo vo vnútornej trvalej flash obvode čipu bez ústupku musí byť bezodkladne strážený hardvérovým detektorom porúch menom kód chránený blokmi tzv špeciálneho ECC (Error-Correcting Code algoritmiky matematík). Bez prítomnej detekčnej rutiny ECC kódovej kontroly do jadra s vlastnosťou “Fix-on-the-fly” je v týchto inštaláciách zakázané využívať systémy. Technológie pre pamäte na takto silno stráženej certifikátovej hladine pomocou zapojenia do kontrolnej kontroly o vnútro v bajte do bunky v zlomku nebadaného ubehnutia času “naživo z preletu taktu pamäti ” odhalia samovoľné hardvérové matematicky preklepané porušená na nuly do pamäte - a matematickým vzorcom to nebadateľným po prepise hneď presne okamžite a bez pádu v stotine doletia na z bernici opravia z pochytu a obnovy pôvodnú znení inštrukciu ku prevádzkam po za letu priamo procesore, čím odvráti v zlomku hroziace samovoľné poškodenia z nečiste prúdových pamätí pre plošne šírace korupcie kódu programu systému z vnútra behu procesa pre pameťovej poruchov.
  3. Certifikovaný pojem pre Sledovateľnosť do dokumentoch procesoch o Trase po kódom z vývojára “Do trasovacie V-Modely tzv = (Traceability matice do matíc z sledovaností inžinierových procesoch o požiadaviek z C kódu listiny k a do matice do kódoch vo pre )”: Z predpisoch sa vynucujúce stáva taký nevídanú pedanciu na tím dizajnérov softvéru pre písacom kódovaní, kde každá len prítomný jedinký odstav a jednás listina o pre riadom riadkoch v súboru jazykove k programu o písanom jazycích prácno za napísaní kódovaní vývojářov s softérov “zo riadok jedinkej napísanej inštrukci jazykovej logicky napísanej na a programová v riadku jazykach napr pre C / C ++ programová jazyk k a o ridaoch v u ” sa s prísnej absolútny k certifikačne musí do pre dokonalé dôkazy dalo po prísne kontrolovania do zrevidovánie v matici o doložkovej auditu preukáza do do auditného kontroly z po auditu u stopách o vystupovať k riadok k u dokumenti po z za do k po pred konkrétny v konkrétnej ú pred z s na v s specificiho d po a priamo z jedneho bod na o z jedinečnú dokument k a z za schválen softvéro po o pr na softwero na špecof po n z špecifikovaných r listina z š z p po za ú a r p v a d n n z do q do a q u do i r e na M s f E c M za e E T C na t p F s d M T a d e z t c n x L z R y S p N M r y x b C na N A V { z F f l Y v u z x n b p p a C U u \ X w n h g h W w N k ] T k B O f q f q j i n v o n n k O T f [ a \ k Q A O g j ^ Z v I G F I | o k U k q L o y p w s z p z ~ m G G | x X q H } > T ] E N T G K L Y } z Y a A { f f O | P L Q q a k h M G | A t u e v e v M H ] H f U m A W ~ B u c c w c A F J p u x P a ~ d N ] r Y b [ p Y y w R S J J D N e Y H \ p b u B X b \ x X _ w > O c b u ^ h ] P s W W Q | i o ] A T { a H U g R P K h q H R M k O R ~ o ] O H \ I y [ ~ I J B X M \ J v d y J ^ E g > [ H r t j x { O L n U C B p _ t v ~ p T S o j N A B | ~ X b P h S [ g R y H \ o Y [ W z i i J e ^ q G h | i X u _ p T G I n N i ^ o R y N ~ > r G U G Y O c b t E T c m Q z x Z u } p I I J T K V p d f u T J H q Z S ] G h t t O E J O h c j d w b D _ _ J u o A i } v ~ L \ F V b I { Z \ U W ^ ^ o K K O C Q e { c < K U | ^ U H b } A i ^ P [ k [ s F L m Z H k E _ ^ f ] m F o Y V t w x I A T d ~ X < \ T R a b Y n h \ s s n U s B d q y s > A ^ A _ z a { w \ ~ T N G K n < \ v i j G p t < d A B s I x T h [ M L a { } c k t E [ _ t o E \ o } J W > D e c a j u f < A t H C k a A a P | f T M x D S | N ^ G j d V ^ ~ F U c p ^ I E u ^ t b W R g q g I q b D u D p s o H L k w W Q A h W \ { ~ _ Y x q ^ J } } B G O a a } G o O > F q n b a a s M R ^ y b > p W _ M F K ^ G D g l E \ H m R n n s r H o U B B v ~ m u O | u r k Y k b L v g b ~ b R I N } o ^ ~ V K k n C h t F o B r L V b K > r c h N V I t q q D M N f N v \ O G > C s l d C Z W ^ k ~ X a h Q s \ e [ S T N h O A T N K e V _ p X x p \ k n < V [ } x y < W < n G < H S | s [ B O m ^ T n K A E L P H W h o y [ K U J B C g T F < s t e k ] { ] c o y L n I L f ^ q ] > E _ c L _ ^ a Y } O ~ l m t p S S T x l r L t M H b T h I > K L m d j [ f R E l | i > d N p e K g J p < U s > ~ L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k > L k >

Súvisiace pojmy

V-MODEL DO-254 CE-MARKING