FlexRay總線(xiàn)的功能安全性分析

7 小結

計算表明，在ber=1×10-7時(shí)FlexRay通信的功能安全等級還離要求很遠，另外還有小集團錯、時(shí)鐘漂移等問(wèn)題。此外，由于FlexRay沒(méi)有CAN總線(xiàn)那樣簡(jiǎn)潔高效的報錯機制，如果沒(méi)有主動(dòng)重發(fā)方案，那么接收節點(diǎn)間由于局部錯引起的拜占庭錯造成的失效概率增加。由此看來(lái)，FlexRay要完全實(shí)現其設計目標還有不少工作要做。更長(cháng)遠來(lái)看，需要在用工業(yè)以太網(wǎng)實(shí)現100 Mb/s速度的同時(shí)解決FlexRay現存的問(wèn)題。

本文分析討論的方法也適用于其他現場(chǎng)總線(xiàn)或工業(yè)以太網(wǎng)，許多協(xié)議都是基于類(lèi)似FlexRay的時(shí)間觸發(fā)方式，它們的安全性倚賴(lài)于高層“安全協(xié)議”。這些基于“黑通道(black channel)”的“安全協(xié)議(safety protocol)”一般按照歐洲標準EN501592添加了一些判錯的措施，如對重復、丟幀、加插、次序錯、數據錯、延遲和假冒錯采用加流水號、時(shí)間戳、定時(shí)器、標識符、地址、附加簽名等方法。另一些安全協(xié)議僅僅考慮了硬件鏈路故障與恢復，只是通信故障的一種形式。但是這些措施依然是不夠的，沒(méi)有覆蓋故障樹(shù)的所有分支。對于其他形式，例如出現局部錯后的拜占庭失效、出現饒舌錯后的停止服務(wù)、出現小集團錯后的局部停止服務(wù)等，均未處理。有些錯可以在應用中發(fā)現，但受應用所在的host的時(shí)間特性的限制，可能已錯失時(shí)限，無(wú)法糾正錯誤。在通信層面，它們嚴重影響到診斷覆蓋率，也直接影響到SIL等級。即使在流程工業(yè)，消息的周期較長(cháng)，用主動(dòng)重發(fā)方案可以使出錯結果減少(現在的一些應用恐怕還沒(méi)有這樣做)，有些錯(如拜占庭錯)依然是不可承受的，特別是涉及一些邏輯信號的傳送。