登录
注册
开源
企业版
高校版
搜索
帮助中心
使用条款
关于我们
开源
企业版
高校版
私有云
模力方舟
登录
注册
代码拉取完成,页面将自动刷新
捐赠
捐赠前请先登录
取消
前往登录
扫描微信二维码支付
取消
支付完成
支付提示
将跳转至支付宝完成支付
确定
取消
Watch
不关注
关注所有动态
仅关注版本发行动态
关注但不提醒动态
1
Star
0
Fork
0
同济大学计算机开放实验室
/
QuarkTS-cpp
代码
Issues
6
Pull Requests
0
Wiki
统计
流水线
服务
质量分析
Jenkins for Gitee
腾讯云托管
腾讯云 Serverless
悬镜安全
阿里云 SAE
Codeblitz
SBOM
我知道了,不再自动展开
更新失败,请稍后重试!
移除标识
内容风险标识
本任务被
标识为内容中包含有代码安全 Bug 、隐私泄露等敏感信息,仓库外成员不可访问
quasi-static scheduler 功能安全分析
待办的
#ICUF55
XilongPei
拥有者
创建于
2025-08-24 20:31
下面给出一份面向 **IEC 61508** 的 **quasi-static scheduler(准静态调度器)** 功能安全分析要点,兼顾理论依据、工程约束与可提交的认证证据。可直接用于方案评审或论文“方法/安全分析”章节。 # 1. 定义与位置 * **Quasi-static 调度**:在**离线**阶段生成周期/相对偏移/优先级/抢占点等主要决策;**运行时**只做轻量级派发与少量条件分支(如模式切换、可选任务启停),不进行复杂在线优化。 * 与 **静态时触发(TT)** 相比:灵活度更高(支持多模式与稀疏事件)。与 **完全动态(EDF/CFS)** 相比:可预测性强、可出具离线证明。 * 目标:在确保确定性的前提下,兼顾多工况/多模式(启动、标定、额定、退化)。 # 2. 危害分析(HARA)视角的主要失效模式 * **时间违约**:任务错过截止期、累积抖动、模式切换瞬态过长。 * **资源争用**:共享总线/缓存/锁导致的阻塞上界失配。 * **模式一致性**:多任务在模式切换边界的相位不一致、造成控制瞬断。 * **过载与级联**:单任务过时导致保护链误触或安全功能迟滞。 * **时钟/计时器失配**:漂移、晚醒、OS 抖动超标(尤其在通用 OS 上)。 # 3. 设计约束与安全机制(设计为证据) **时间与结构** * 离线计算:周期 $T_i$、相对偏移 $O_i$、WCET $C_i$、截止期 $D_i$、允许抖动 $J_i$、最大阻塞 $B_i$,并形成**模式化**调度表(Normal/Degraded/Safe-halt)。 * **阶段化模式切换**:定义 Mode-Entry/Exit 窗口与**无冲突相位**,保证切换期间所有安全功能仍受控(overlap 或双执行)。 * **限定抢占点**:约束可抢占位置,给出栈/抖动上界;必要时使用非抢占区间限长证明。 * **时间防火墙**(Temporal Firewall):预算执行 + 周期释放守卫,避免过时/延迟外溢到下游。 * **资源协议**:优先级天花板/继承,或基于离线窗口化访问(总线、I/O)。 **平台与隔离** * **空间隔离**(MMU/MPU)+ **时间隔离**(分区/分核/时间片整形);混合关键度时采用“高→低单向影响”策略。 * **时钟治理**:固定频率 governor、抑制深 C-states;必要时“提前唤醒 + 自旋”收敛抖动。 **监测与处置** * **Deadline/执行时长监控**:在线测量 $C_i$ 与到期未完成;越界→进入 Degraded 或 Safe-halt。 * **看门狗与心跳**:对安全功能链路设置独立看门狗;心跳丢失即切安全。 * **健康管理**:周期性自检,异常自动降级(禁可选任务、延长采样周期、切直通控制)。 # 4. 形式化与可计算证明要点 * **可调度性证明**:为每一模式给出 RTA/响应时间上界或基于离线表的窗口占用证明;包含阻塞上界与抢占开销。 * **抖动与相位**:给出输出端口最大抖动 $J_i^{out}$ 和跨链路的相位误差累积上界;控制回路保证相位裕量。 * **模式切换安全性**:形式化不变量(例如“任意时刻至少一条安全功能通路处于激活且满足周期约束”)。 * **资源占用上界**:总线/缓存/临界区停留时间的保守上界与合规边界(对 Worst-alignment 场景给证)。 # 5. AADL 建模与证据链 * **System 层**:安全功能分配、模式集合、时钟假设(漂移/抖动上界)、故障响应通道。 * **Scheduler 组件**:以 **quasi-static** 属性刻画(固定 $O_i,T_i$ + 受控可抢占点 + 模式表);附 **Spin-Ahead/Sleep-Late** 参数(若在通用 OS 上实现)。 * **Task 层**:$C_i,D_i,J_i,B_i$、调度优先级、共享资源协议、端到端路径时序合同。 * **验证工艺**:Cheddar/MAST/自研 RTA → 生成模式-特定报告;将离线证明 + 在线监测日志纳入 61508 “验证与确认”工包。 # 6. 认证可交付物(面向 IEC 61508) * **需求与分解**:安全功能时间约束(SRS)→ 任务与调度合同(含模式)。 * **设计与实现**:离线调度表、模式切换策略、资源协议、隔离配置(分区/核/内存)。 * **分析与测试**:RTA/窗口占用报告、最坏延迟与抖动的试验数据(含温度/负载角落工况)。 * **运行时监控**:Deadline-monitor、看门狗策略、降级与安全停机流程记录。 * **变更与证据追溯**:参数回填(实测 WCET/抖动→模型),每次变更重新出具模式可调度性。 # 7. 与其他策略的取舍 * **对比静态 TT**:更灵活、证据略复杂;适用于“多数周期 + 少量条件任务”的场景。 * **对比完全动态**:可预测性与证明成本更优;代价是需要前期离线建模与模式管理。 --- ## 一段可直接放论文的总结 > 本文采用 quasi-static 调度策略:在离线阶段固化任务周期、偏移与可抢占点,并按运行工况定义有限模式(Normal/Degraded/Safe-halt);运行时仅执行轻量派发与模式切换。我们在 AADL 中为系统、调度器与任务分别建立时间合同,给出每一模式下的可调度性与端到端抖动上界证明,并结合在线 Deadline 监控与分级降级机制构成闭环证据。实验与形式化分析显示,该方案在满足 IEC 61508 对时间确定性的要求前提下,兼顾了多工况适配与工程可实施性。
下面给出一份面向 **IEC 61508** 的 **quasi-static scheduler(准静态调度器)** 功能安全分析要点,兼顾理论依据、工程约束与可提交的认证证据。可直接用于方案评审或论文“方法/安全分析”章节。 # 1. 定义与位置 * **Quasi-static 调度**:在**离线**阶段生成周期/相对偏移/优先级/抢占点等主要决策;**运行时**只做轻量级派发与少量条件分支(如模式切换、可选任务启停),不进行复杂在线优化。 * 与 **静态时触发(TT)** 相比:灵活度更高(支持多模式与稀疏事件)。与 **完全动态(EDF/CFS)** 相比:可预测性强、可出具离线证明。 * 目标:在确保确定性的前提下,兼顾多工况/多模式(启动、标定、额定、退化)。 # 2. 危害分析(HARA)视角的主要失效模式 * **时间违约**:任务错过截止期、累积抖动、模式切换瞬态过长。 * **资源争用**:共享总线/缓存/锁导致的阻塞上界失配。 * **模式一致性**:多任务在模式切换边界的相位不一致、造成控制瞬断。 * **过载与级联**:单任务过时导致保护链误触或安全功能迟滞。 * **时钟/计时器失配**:漂移、晚醒、OS 抖动超标(尤其在通用 OS 上)。 # 3. 设计约束与安全机制(设计为证据) **时间与结构** * 离线计算:周期 $T_i$、相对偏移 $O_i$、WCET $C_i$、截止期 $D_i$、允许抖动 $J_i$、最大阻塞 $B_i$,并形成**模式化**调度表(Normal/Degraded/Safe-halt)。 * **阶段化模式切换**:定义 Mode-Entry/Exit 窗口与**无冲突相位**,保证切换期间所有安全功能仍受控(overlap 或双执行)。 * **限定抢占点**:约束可抢占位置,给出栈/抖动上界;必要时使用非抢占区间限长证明。 * **时间防火墙**(Temporal Firewall):预算执行 + 周期释放守卫,避免过时/延迟外溢到下游。 * **资源协议**:优先级天花板/继承,或基于离线窗口化访问(总线、I/O)。 **平台与隔离** * **空间隔离**(MMU/MPU)+ **时间隔离**(分区/分核/时间片整形);混合关键度时采用“高→低单向影响”策略。 * **时钟治理**:固定频率 governor、抑制深 C-states;必要时“提前唤醒 + 自旋”收敛抖动。 **监测与处置** * **Deadline/执行时长监控**:在线测量 $C_i$ 与到期未完成;越界→进入 Degraded 或 Safe-halt。 * **看门狗与心跳**:对安全功能链路设置独立看门狗;心跳丢失即切安全。 * **健康管理**:周期性自检,异常自动降级(禁可选任务、延长采样周期、切直通控制)。 # 4. 形式化与可计算证明要点 * **可调度性证明**:为每一模式给出 RTA/响应时间上界或基于离线表的窗口占用证明;包含阻塞上界与抢占开销。 * **抖动与相位**:给出输出端口最大抖动 $J_i^{out}$ 和跨链路的相位误差累积上界;控制回路保证相位裕量。 * **模式切换安全性**:形式化不变量(例如“任意时刻至少一条安全功能通路处于激活且满足周期约束”)。 * **资源占用上界**:总线/缓存/临界区停留时间的保守上界与合规边界(对 Worst-alignment 场景给证)。 # 5. AADL 建模与证据链 * **System 层**:安全功能分配、模式集合、时钟假设(漂移/抖动上界)、故障响应通道。 * **Scheduler 组件**:以 **quasi-static** 属性刻画(固定 $O_i,T_i$ + 受控可抢占点 + 模式表);附 **Spin-Ahead/Sleep-Late** 参数(若在通用 OS 上实现)。 * **Task 层**:$C_i,D_i,J_i,B_i$、调度优先级、共享资源协议、端到端路径时序合同。 * **验证工艺**:Cheddar/MAST/自研 RTA → 生成模式-特定报告;将离线证明 + 在线监测日志纳入 61508 “验证与确认”工包。 # 6. 认证可交付物(面向 IEC 61508) * **需求与分解**:安全功能时间约束(SRS)→ 任务与调度合同(含模式)。 * **设计与实现**:离线调度表、模式切换策略、资源协议、隔离配置(分区/核/内存)。 * **分析与测试**:RTA/窗口占用报告、最坏延迟与抖动的试验数据(含温度/负载角落工况)。 * **运行时监控**:Deadline-monitor、看门狗策略、降级与安全停机流程记录。 * **变更与证据追溯**:参数回填(实测 WCET/抖动→模型),每次变更重新出具模式可调度性。 # 7. 与其他策略的取舍 * **对比静态 TT**:更灵活、证据略复杂;适用于“多数周期 + 少量条件任务”的场景。 * **对比完全动态**:可预测性与证明成本更优;代价是需要前期离线建模与模式管理。 --- ## 一段可直接放论文的总结 > 本文采用 quasi-static 调度策略:在离线阶段固化任务周期、偏移与可抢占点,并按运行工况定义有限模式(Normal/Degraded/Safe-halt);运行时仅执行轻量派发与模式切换。我们在 AADL 中为系统、调度器与任务分别建立时间合同,给出每一模式下的可调度性与端到端抖动上界证明,并结合在线 Deadline 监控与分级降级机制构成闭环证据。实验与形式化分析显示,该方案在满足 IEC 61508 对时间确定性的要求前提下,兼顾了多工况适配与工程可实施性。
评论 (
0
)
登录
后才可以发表评论
状态
待办的
待办的
进行中
已完成
已关闭
负责人
未设置
标签
未设置
标签管理
里程碑
未关联里程碑
未关联里程碑
Pull Requests
未关联
未关联
关联的 Pull Requests 被合并后可能会关闭此 issue
分支
未关联
分支 (3)
标签 (3)
main
dev
gh-pages
1.7.5
1.7.4
1.6.4
开始日期 - 截止日期
-
置顶选项
不置顶
置顶等级:高
置顶等级:中
置顶等级:低
优先级
不指定
严重
主要
次要
不重要
参与者(1)
C++
1
https://gitee.com/tjopenlab/QuarkTS-cpp.git
git@gitee.com:tjopenlab/QuarkTS-cpp.git
tjopenlab
QuarkTS-cpp
QuarkTS-cpp
点此查找更多帮助
搜索帮助
Git 命令在线学习
如何在 Gitee 导入 GitHub 仓库
Git 仓库基础操作
企业版和社区版功能对比
SSH 公钥设置
如何处理代码冲突
仓库体积过大,如何减小?
如何找回被删除的仓库数据
Gitee 产品配额说明
GitHub仓库快速导入Gitee及同步更新
什么是 Release(发行版)
将 PHP 项目自动发布到 packagist.org
评论
仓库举报
回到顶部
登录提示
该操作需登录 Gitee 帐号,请先登录后再操作。
立即登录
没有帐号,去注册
