17.Adaptive AUTOSAR 架构-功能安全SAFETY

17.1 安全概述

AUTOSAR提供了Adaptive平台的安全概述来支持在安全项目中Adaptive 平台的集成。这个概述发布在一个解释文档中（AUTOSAR_EXP_SafetyOverview）。

这个文档帮助功能安全工程师在标识在AUTOSAR Adaptive平台中功能安全相关的话题。本文件的内容目前分为以下几个章节，可以根据ISO 26262在内容和结构上进行映射:

* AUTOSAR Adaptive平台目标，用例和使用场景

* 系统定义，系统上下文和假设

* 危害分析

* 安全目标

* 功能安全概念和功能安全需求

这个功能概述的目标是从顶级安全目标和假设的用例或场景中推导出安全需求并将它们分配给项目的架构元素，或者分配给外部度量。使用AUTOSAR Adaptive平台并不意味着遵从ISO 26262。使用AUTOSAR Adaptive平台的安全措施和机制是有可能构建不安全的系统的 。在最好的情况下，AUTOSAR Adaptive平台的架构只能被认为是SEooC。

这个解释文档包含假设，典型的项目，比如参考模型、用例、场景和/或示例技术解决方案、设备、流程或软件的参考。这篇文档里包含的任何嘉禾或参考项仅仅是说明目的。这些假设不是AUTOSAR标准的一部分。

本章功能安全概念和初始功能安全要求仍在开发和开放讨论，不应该被认为是成熟的最终版本。

本章：

* 技术安全概念和技术安全需求

* 安全需求的验证、安全分析和典型用例将安排在以后的版本中。

17.2 信息交互的保护（E2E-Protection)

AUTOSAR支持E2E配置文件，以允许AUTOSAR AP和CP实例的所有组合之间进行安全通信，不论它们是在相同或不同的ECU。在有用的地方，将提供机制来允许使用Adaptive平台中面向服务的更多功能进行安全通信。提供的功能提供了在传输过程中验证发送给发布者的信息和收到的订阅者的信息的可能性。根据AUTOSAR CP中的E2E机制，在E2E上下文中不提供传输确认和传输安全。

在发布者和订阅者之间使用E2E保护的时候，发布进程会同步调用E2E保护。在订阅这边，在接收订阅者进程中的数据时调用E2E检查。

这次发布E2E支持：

* 轮询模式中的周期事件和混合周期事件

周期事件E2E保护的原则是事件发布者序列化事件数据和增加E2E头部。当接收事件的时候，订阅者会反序列化消息和允许E2Echeck，E2Echeck会发挥一个结果表明是否在传输过程中发生了任何可检测的故障(由E2E配置文件定义)。

还没有支持的有

* callout模式中的事件

* 非周期性事件

* 方法

E2E保护使用的配置文件在AUTOSAR基础中描述（AUTOSAR_PRS_E2EProtocol）。

17.3 平台健康管理

平台健康管理监管软件的执行。它地宫了下面的监管功能（所有的监管功能可以被单独调用）：

* Alive 监管

* Deadline 监管

* 逻辑监管

* 健康频道监管

Alive监管检查被监管实体的运行不是太频繁，也不是太罕见。

Deadline监管检查被监管实体的步骤是否被在配置的最大和最小限定事件内执行。

逻辑监管检查执行期间的控制流是否和 设计的控制流皮皮额。

健康频道检查提供将外部监控结果(如RAM测试、电压监控等)与平台健康管理挂钩的可能性。

如果在被监管的实体中检测到失败，平台健康管理可以出发一个可配置的恢复动作。

对AUTOSAR Adaptive平台来说，下面的恢复动作是可用的：

* 请求状态管理切换到特地的机器状态，功能组合状态或应用程序状态。

* 请求执行管理强制切换到一个特定的机器状态或功能组合状态（EnterSafeState API). 如果状态管理有被监管机制探测到的问题，这个动作可以配置替代状态管理对应的API。

* 请求执行管理重启特定的进程（ProcessRestart API）。

* 请求watchdog驱动执行watchdog重置（实现者特定API）。

* 给诊断管理报告错误信息：在本次发布中没有说明。

* 转发错误信息给其他的PHM实体或应用程序：在本次发布中没有说明。

本次发布中已知的限制

* 目前仅支持一个PHM实例。当前不支持多个PHM实例和多个实例的菊花链接。

* 诊断管理的依赖性还没有定义

* 监管模式相关的健康管理配置在本次发布中还没有完全支持。

AP和CP共享的功能在基础文档中描述并命名为“Health Monitor” （RS_HealthMonitoring, SWS_HealthMonitoring）。

AP其他的规范在AP仅在AP文档中描述并命名“Platform Health Management” (RS_PlatformHealthManagement, SWS_PlatformHealthManagement).