为支持功能安全,AUTOSAR标准结合ISO 26262功能安全标准,在基础软件层从安全执行、安全通信以及安全内建测试三个方面做出了规范,并规范了使用方法[1]。 安全执行 安全执行包括三个方面,任务的运行时监控,SWC的安全相关的流程控制以及内存保护和安全的上下文切换。
-
运行时监控:运行时监控确保任务的执行有足够的计算时间,包括生命监测功能和截止时间监测两种机制。提供支持的主要模块为看门狗管理器模块(WdgM),看门狗接口层(WdgIf)以及看门狗驱动层(WdgDriver)等[2]。 -
程序流监控:安全相关的SWC的正确执行可以通过看门狗管理器模块(WdgM),看门狗接口层(WdgIf)以及看门狗驱动层(WdgDriver)等来提供,同时涉及到软件组件中的检查点的使用。 -
内存保护和安全的上下文切换[3]:SmartSAR OS的选项安全上下文,按照ASIL D来开发,通过合适的微处理器(比如MPU)确保ECU安全相关的应用的内存保护。安全上下文这个选项对于SmartSAR OS的SC3/SC4可用,并被用来在任务切换和中断期间隔离不同的应用组件。安全上下文可以阻止一个不可信的软件组件对内存的写操作,确保这个写操作不会破坏另外一个软件组件的数据。 安全通信 安全通信包括两个方面,ECU内部通信和ECU之间的通信。对于在安全相关的应用之间的数据交换,必须检查它们传输的正确性。通过校验和可以保护数据内容,而数据顺序的正确性则可以通过一个消息计数器来
