AP Autosar平台设计 17 安全
目录
17安全
17.1功能安全架构
17.2信息交换的保护(E2E保护)
17.3平台健康管理PHM
17安全
17.1功能安全架构
AUTOSAR为自适应平台提供了安全概述和安全要求,以支持在安全项目中集成AP。对于本版本,安全概述以解释性文件(AUTOSAR_EXP_SafetyOverview)的形式呈现,安全要求以需求文件(RS_safety)的形式呈现。
这些文件应帮助功能安全工程师确定AUTOSAR自适应平台内的功能安全相关主题。下面的列表提供了如何将在RS_Safety和AUTOSAR_EXP_SafetyOverview中的内容映射映射到ISO 26262中的内容:结构:
•AUTOSAR AP假设、目标、场景和用例(AUTOSAR_EXP_SafetyOverview)
•系统定义、系统上下文和故障注意事项
(AUTOSAR_EXP_SafetyOverview)
•危险分析(AUTOSAR_EXP_SafetyOverview)
•安全目标(AUTOSAR_EXP_SafetyOverview)
•功能安全概念和功能安全要求(RS_Safety)
•技术安全要求(RS_Safety)
安全概述文档(AUTOSAR_EXP_SafetyOverview)的目的是说明顶级安全目标和假定的用例或场景。解释性文件包含假设、示例性项目(例如参考模型)和对示例性技术解决方案、装置、过程或软件的引用。本文件中包含的任何此类假设或示例项目仅用于说明目的。这些假设不属于AUTOSAR标准的一部分。
需求规范(RS_Safety)阐述了以RS_Main编写的高级安全需求。它利用EXP_PlatformDesign文档中描述的预期功能。功能安全要求源自EXP_SafetyOverview中提到的安全目标和危险。AUTOSAR功能集群和安全相关应用的技术安全要求源自功能安全要求。
计划在以后的版本中提供以下内容:
•技术安全概念和技术安全要求
•安全要求、安全分析和示例性用例的验证
最后,使用AUTOSAR自适应平台并不意味着符合ISO26262。仍然可以使用AUTOSAR自适应平台安全措施和机制构建不安全的系统。在最佳情况下,AUTOSAR自适应平台的体系结构只能被视为脱离背景的安全元素(SEooC)。
17.2信息交换的保护(E2E保护)
将支持AUTOSAR内的E2E配置文件,以允许AUTOSAR AP和CP实例的所有组合之间的安全通信,无论它们位于相同或不同的ECU中。在有用的情况下,将提供机制,以允许在自适应平台内使用更多面向服务的方法的功能进行安全通信。所提供的功能允许验证从发布者发送并由订阅者接收的信息在传输过程中没有改变。根据AUTOSAR CP中的E2E机制,E2E背景中不提供传输确认和传输安全性。
当在发布服务器和订户之间的通信中使用E2E保护时,在发布服务器的过程中同步调用E2E保护。在用户端,在用户进程内接收数据时调用E2E检查。
对于此版本,E2E支持:
•轮询模式下的定期和混合定期事件
•Methods (for limitation see AP SWS Communication Management)
定期事件的E2E保护原则是事件发布者序列化事件数据并添加E2E头。当接收到事件时,订户将运行E2ECheck,它将返回一个结果,显示在传输过程中是否发生了任何可检测的故障(由E2E配置文件定义)。此检查之后,可以反序列化消息。
以下内容尚不受支持:
•调出模式下的事件
•非定期事件
•Methods (without constraints)
可用于E2E保护的配置文件在AutoSar基金会(AutoSalpPrsSe2E-协议)中描述。
17.3平台健康管理PHM
平台健康管理监督软件的执行。它提供以下监控功能(所有监控功能均可独立调用):
•现场监督
•最后期限监督
•逻辑监督
•健康频道监督
活动监督检查受监督实体是否运行得太频繁,也不是太少。
Deadline监督检查受监督实体中的步骤是否在配置的最小和最大限制内执行。
逻辑监督检查执行期间的控制流是否与设计的控制流匹配。
根据应用程序/非平台服务或功能集群通过API ReportCheckpoint报告检查点,执行活动、截止日期和逻辑监控。
健康通道监督提供了将外部监督结果(如RAM测试、电压监测等)与平台健康管理挂钩的可能性。
健康频道监督基于通过API ReportHealthStatus报告健康状态来执行。
如果在受监管实体中检测到故障,平台健康管理将通知SM。
如果检测到执行管理或状态管理失败,平台健康管理可触发看门狗重置。
此版本的已知限制:
- 尚未定义对诊断管理器的依赖关系
在基础文件中描述了CP和AP共享的功能,并命名为“健康监测”( RS_HealthMonitoring and ASWS_HealthMonitoring)。AP文件中描述了仅适用于AP的其他规范,并命名为“平台健康管理”( RS_PlatformHealthManagement, SWS_PlatformHealthManagement)。
请注意, EM、SM和PHM高度安全相关;安全执行管理和安全健康监控(safe execution management and safe health monitoring)是自适应应用程序安全运行的基础。EM、PHM和SM相互依存,并协调它们的活动,以确保AUTOSAR自适应平台内的功能安全。