FlexRay總線的功能安全性分析

7 小結(jié)

計算表明，在ber=1×10-7時FlexRay通信的功能安全等級還離要求很遠，另外還有小集團錯、時鐘漂移等問題。此外，由于FlexRay沒有CAN總線那樣簡潔高效的報錯機制，如果沒有主動重發(fā)方案，那么接收節(jié)點間由于局部錯引起的拜占庭錯造成的失效概率增加。由此看來，FlexRay要完全實現(xiàn)其設(shè)計目標(biāo)還有不少工作要做。更長遠來看，需要在用工業(yè)以太網(wǎng)實現(xiàn)100 Mb/s速度的同時解決FlexRay現(xiàn)存的問題。

本文分析討論的方法也適用于其他現(xiàn)場總線或工業(yè)以太網(wǎng)，許多協(xié)議都是基于類似FlexRay的時間觸發(fā)方式，它們的安全性倚賴于高層“安全協(xié)議”。這些基于“黑通道(black channel)”的“安全協(xié)議(safety protocol)”一般按照歐洲標(biāo)準(zhǔn)EN501592添加了一些判錯的措施，如對重復(fù)、丟幀、加插、次序錯、數(shù)據(jù)錯、延遲和假冒錯采用加流水號、時間戳、定時器、標(biāo)識符、地址、附加簽名等方法。另一些安全協(xié)議僅僅考慮了硬件鏈路故障與恢復(fù)，只是通信故障的一種形式。但是這些措施依然是不夠的，沒有覆蓋故障樹的所有分支。對于其他形式，例如出現(xiàn)局部錯后的拜占庭失效、出現(xiàn)饒舌錯后的停止服務(wù)、出現(xiàn)小集團錯后的局部停止服務(wù)等，均未處理。有些錯可以在應(yīng)用中發(fā)現(xiàn)，但受應(yīng)用所在的host的時間特性的限制，可能已錯失時限，無法糾正錯誤。在通信層面，它們嚴重影響到診斷覆蓋率，也直接影響到SIL等級。即使在流程工業(yè)，消息的周期較長，用主動重發(fā)方案可以使出錯結(jié)果減少(現(xiàn)在的一些應(yīng)用恐怕還沒有這樣做)，有些錯(如拜占庭錯)依然是不可承受的，特別是涉及一些邏輯信號的傳送。