搜索

[单片机资料] CAN应用系统者的责任

[复制链接]
47|3
 楼主 | 2020-9-15 10:53 | 显示全部楼层 |阅读模式
CAN应用系统者的责任
                            杨福宇  yfy812@163.com
                            2020-9-15
安全不安全现在已经有了国际标准,一般工业上采用的是ISO61508,介绍见[exida,IEC61508 Overview Report, Version 2.0, January 2, 2006]。汽车电子方面采用的是ISO26262,[Qi Van Eikema Hommes,ASSESSMENT OF THE ISO 26262 STANDARD, “ROAD VEHICLES –FUNCTIONAL SAFETY”,SAE 2012 Government/ Industry Meeting,January 25, 2012]分析了二者的异同,实际上ISO26262是在ISO61508基础上发展出来的,反映了功能安全方面的更新的研究成果。
这二个标准基本上是一致的,它们的非常突出点是把功能安全看作产品生命周期内的事,从规划到执行、到验证都要求严格的文档管理,明确的管理人员资质。安全不但是设计出来的,也是管理出来的。所以要说你的CAN应用系统是安全的,其论证与举证的责任者首先是你,然后是你的协议的设计者(图)。CAN协议采用者在明知存在安全隐患时要能论证其采取的措施足以满足产品的功能安全要求。一旦发现功能安全有了问题,这些人是首先要站出来的。如果你没有可采取的措施(例如非冗余系统中的CAN错帧漏检),你就有责任要求你的芯片供应商改进。
625405f602b5a7bee2.png
ISO61508规定供应者要提供相应安全等级达到了证明文件的责任
ISO61508的实施中有一种使用实证可靠性的说法(“Proven in use” argument)。实际上积累的数据太少,而很难有说服力。在汽车上出现的重大安全召回事件中CAN是有可能起作用,但是既未被追究也未被排除。为了证明CAN的安全性,应该由责任者来排除这种可能性。
丰田突然加速召回近1千万辆车是汽车界的大事,各方众说纷纭,最终也没最后的结论,最近的报道有丰田在Oklahoma案中败诉的报道,那次是技术证人阅读源代码后指出了程序上的问题。NASA曾卷入了调查。
由于CAN的离线失效,使得错误的数据不能更新,长时间的干扰使CAN的失效有可能被记录下来。实际上存在这样的记录(图)[ Keeping Secrets aboutNASA's "Toyota Study" of Unintended Acceleration)]:投诉的2010Corolla突然加速事件中唯一的故障记录是CAN失效。
241805f602ba170074.png
正是这个2010 Corolla记录了CAN的失效
这些都表明CAN并不是传说那样可靠,Provenin use已经是provennot safe in use。只是由于按国际标准应该负责功能安全分析的人没有负起责任

使用特权

评论回复
| 2020-9-15 11:26 | 显示全部楼层
哪有100%可靠的东西呢

使用特权

评论回复
| 2020-9-17 14:17 | 显示全部楼层
看起来CAN也不像想象中那样完全的万无一失

使用特权

评论回复
| 2020-9-17 22:16 | 显示全部楼层
这 61508 的要求还是比较高的,  CAN 系统本身的 CRC 漏检也是有一点几率的

使用特权

评论回复
扫描二维码,随时随地手机跟帖
您需要登录后才可以回帖 登录 | 注册

本版积分规则

我要发帖 投诉建议 创建版块 申请版主

快速回复

您需要登录后才可以回帖
登录 | 注册
高级模式

论坛热帖

关闭

热门推荐上一条 /5 下一条

在线客服 快速回复 返回顶部 返回列表