为支持功能安全,AUTOSAR标准结合ISO 26262功能安全标准,在基础软件层从安全执行、安全通信以及安全内建测试三个方面做出了规范,并规范了使用方法,本文主要介绍其安全执行部分。
1 安全执行组成部分
安全执行包括三部分内容,安全分区,安全上下文和安全监控。
1.1 安全分区
对软件划分的支持主要依赖AUTOSAR OS Application模块。在AUTOSAR OS中每个Application由一个或者多个任务/操作系统中断,零个或多个定时器、调度表、时钟或者资源以及零个或一个启动、错误和关闭钩子程序构成。通过软件划分可以防止位于非可信分区的应用程序对位于可信分区的应用的破坏。
1.2 安全上下文
对安全上下文的支持依赖于AUTOSAR OS的存储保护模块。存储保护只在提供硬件(如MPU)支持的处理器上才有可能,也有可能通过软件的方式实现。通过安全上下文可以确保ECU上安全相关的应用对存储保护的需求,防止一个软件组件对另一个软件组件的数据的破坏。
1.3 安全监控
对安全监控的支持依赖于AUTOSAR 看门狗服务栈。AUTOSAR看门狗管理服务栈如图1所示,包括系统服务层的看门狗管理器模块(WdgM),抽象层的看门狗接口层(WdgIf)以及微控制器驱动层看门狗驱动层(WdgDriver)。
图 1 AUTOSAR看门狗管理服务栈
在WdgM模块中,支持三种检测,生命监测、截止时间监测以及程序控制流监测。