机构名称:
¥ 3.0
在过去的几十年中,嵌入式系统在交通运输和工业控制系统等许多应用领域的功能性、可靠性和性能方面取得了巨大的进步。在这些领域,嵌入式系统通常在保证系统的整体安全方面发挥着至关重要的作用。这些系统被称为安全关键系统,因为它们的故障可能导致灾难性后果,例如生命损失或严重的环境破坏 [1](例如,汽车巡航控制 [2]、铁路信号 [3]、风力涡轮机完整性保护 [4]、心脏起搏器 [5])。为了降低造成此类死亡的风险,安全关键系统必须遵循根据特定领域的安全标准进行的严格认证流程。这个过程通常涉及大量的开发工作和成本。一般而言,安全完整性等级越高,安全认证成本越高 [6, 7]。此外,随着数字化趋势的不断增强,越来越多的功能由软件实现,嵌入式系统通常包含具有不同安全关键性的功能,这些功能还必须与非关键软件共存,从而符合混合关键性系统的要求。过去,混合关键性架构通常遵循联合架构方法,其中每个主要功能都部署在专用计算节点上。对附加功能的需求不断增长,导致计算节点、电线和连接器的数量增加。因此,这导致总体成本、复杂性、尺寸、重量和功率 (SWaP) 增加,在某些情况下限制了这种方法未来的可扩展性 [7, 4, 6, 8, 9, 10]。例如,在汽车领域,高档汽车在约 100 个计算节点上部署了超过 2000 万行代码 [11, 8],电子元件的附加值范围为传统汽车的 40% 至电动汽车的 75% [12]。当前的汽车发展目标是开发智能高级驾驶辅助系统 (ADAS) 和自动驾驶解决方案,这将进一步增加要集成的功能数量 [8]。一种可能的解决方案是转向集成架构方法 [7, 4, 6, 8, 9, 10],其中不同安全关键性的功能集成在数量减少的集中式计算节点和处理设备中。在这种方法中,安全认证成为一个挑战,因为混合关键性功能的集成需要证明实现的足够独立性和功能之间依赖性故障的足够低概率 [13, 14, 6, 7, 15]。此外,这种方法需要提高设备的整体计算性能,这可能通过多核设备和具有更高频率的单核设备来实现。由于对电磁干扰 (EMI) 的敏感性增加 [16]、散热风扇的可靠性低 [8, 4] 以及冷却系统的体积和重量 [17],使用具有更高频率的单核设备在多个领域被认为不具竞争力。另一方面,商用现货 (COTS) 多核设备在硅片制造商路线图中占据主导地位 [18, 19, 20, 12, 21, 22, 10],并提供跨领域潜在解决方案,例如汽车 [23, 15, 2]、航空电子 [24, 10]、铁路 [3, 25]、工业控制 [6, 26]、医疗应用 [5]。在这种情况下,基于多核设备的混合关键性系统的安全关键系统开发人员需要遵守两个有时相互冲突和矛盾的约束。一方面,基于过去几十年最佳安全工业实践的保守功能安全标准,没有或很少考虑多核设备(见
用于安全关键系统的多核设备:调查
主要关键词
相关文件推荐
