Biztonságkritikus rendszerek Gyakorlat: Architektúrák Rendszertervezés és -integráció dr. Majzik István Budapesti Műszaki és Gazdaságtudományi Egyetem Méréstechnika és Információs Rendszerek Tanszék BME-MIT
Az IEC 61508 architektúra terminológia BME-MIT 2.
IEC 61508 architektúrák 1/2 1oo1 1 out-of 1 o Egy csatorna szükséges a biztonsági funkcióhoz (egyébként hiba) o Diagnosztikai ellenőrzés letiltja a hibás csatornát (hibás funkció elkerülhető) 1oo2 1 out-of 2 o Két csatorna o Egy elegendő a biztonsági funkcióhoz (bármelyik biztosíthatja) o A diagnosztika letiltja a hibás csatornát 1oo3 1 out of 3 o Három csatorna o Egy aktív csatorna elegendő a biztonsági funkcióhoz o A diagnosztika letiltja a hibás csatornát 1oo3 BME-MIT 3.
IEC 61508 architektúrák 2/2 2oo2 2 out-of 2 o Két csatorna o Mindkét csatorna szükséges a biztonsági funkcióhoz (pl. komparálással ellenőrizve) o A diagnosztika letiltja a hibás csatornát 1oo2D o Két csatorna o Alapeset: Mindkét csatorna szükséges a biztonsági funkcióhoz (pl. komparálás) o Ha egy csatorna diagnosztikája jelez: Egyedül a másik csatornára kapcsol (ha annak diagnosztikája nem jelez) o Mindkét csatorna diagnosztika jelez, vagy csak a komparátor jelez: Kimenet nem használható 2oo3 o Három csatorna o Két csatorna egyetértése kell a biztonsági funkcióhoz BME-MIT 4.
IEC 61508 példa architektúra 1/2 Két szenzor: 1oo2 szenzorjel kialakítás Egy beavatkozó: Erre 2oo3 vezérlés BME-MIT 5.
IEC 61508 példa architektúra 2/2 Három szenzor: 2oo3 szenzorjel kialakítás Két beavatkozó: Ezekre 1oo2D vezérlések BME-MIT 6.
Hibrid és dinamikus architektúrák BME-MIT 7.
Célkitűzés Milyen konfigurációt alakítsunk ki, ha hardver és szoftver hibákat is szeretnénk tolerálni? o Adott számú hardver állandósult hiba o Adott (maximális) számú szoftver tervezési hiba Példa: 1 állandósult hardver hiba és 1 szoftver tervezési hiba tolerálandó mik a lehetőségek? o Szoftver: tervezési hiba variánsok o Hardver: véletlen hiba replikáció BME-MIT 8.
RB/1/1 Hibrid architektúrák (áttekintés) o Elfogadhatósági teszt után komparálás o Diagnosztikai ellenőrzés után a hibás lekapcsol RB/2/1 o Elfogadhatósági teszt után szavazás o Ismételten eltérő lekapcsol (RB/1/1 lesz) NVP/1/1 o Variánsok közötti szavazás o Ismételten eltérő lekapcsol (komparálás marad) NVP/2/1 o 4 variáns esetén szavazás Típus / tolerált hardver állandósult hibák / tolerált szoftver tervezési hibák (maximális) száma o Ismételten eltérő lekapcsol, újrakonfigurálás után NVP/1/1 lesz RB: Recovery Block (javító blokkok) NVP: N-version Programming (N-verziós programozás) BME-MIT 9.
Hibrid architektúrák 1. RB/1/1 RB/2/1 V1 V2 D V1 V2 D V1 V1 V1 V2 V2 V2 D D D = RB/1/1 o Elfogadhatósági ellenőrzés után komparálás o Diagnosztikai ellenőrzés által jelzett hiba után a hibás hardver lekapcsol RB/2/1 o Elfogadhatósági ellenőrzés után szavazás o Ismételten eltérő lekapcsol (RB/1/1 marad) BME-MIT 10.
NVP/1/1 Hibrid architektúrák 2. NVP/2/1 V1 V2 V3 V1 V1 V1 D V2 V2 D V2 D D D D D V3 V3 NVP/1/1 o Variánsok közötti szavazás o Ismételten eltérő lekapcsol (komparálás marad, diagnosztikai ellenőrzéssel) NVP/2/1 o 4 variáns esetén szavazás o Ismételten eltérő lekapcsol (NVP/1/1 konfigurálható) BME-MIT 11.
Adaptív redundancia Önkonfiguráló optimista programozás: Self-configuring Optimistic Programming (SCOP) Paraméterek: o o o Hány variáns egyetértése (azonos kimenete) szükséges: a Hány variáns van: n Mennyi idő áll rendelkezésre: t Iteratív végrehajtás 1. Kezdetben a minimális számú (várhatóan egyetértő) variáns végrehajtása: a számú variáns 2. Kimenetek ellenőrzése komparálással: k számú egyezik Ha k=a, akkor kilépés: OK Ha k<a, akkor (optimista módon) a-k újabb variáns végrehajtása az egyetértés eléréséhez, és folytatás a 2. lépéssel Kilépés hibajelzéssel: Ha nincs több végrehajtható variáns, vagy letelt a t idő BME-MIT 12.