汽车功能安全--AutoSAR中的功能安全机制

1. Memory Partitioning

2. Timing\Excute Monitor

E2E-toc" style="margin-left:0px;">3. E2E

4.小结

大家好，这里是高温下认真码字的肌肉；许久没有聊中间件的问题，正巧可能要启动SafetyPack的开发，因此今天回顾回顾在AUTOSAR文档中关于Safety的一些机制。

在实际开发中，我们经常遇到不同功能安全等级的软件模块集成到一个ECU中，例如座舱域中MCU电源管理模块和IPC通信模块的ASIL等级在产品定义就不同，如何保证低ASIL等级的软件模块不对高ASIL等级软件模块的造成影响？

ISO26262 -6 附录D给出了思考角度，而AUTOSAR文档进一总结下来可以概括为四个大方向：

内存：在软件开发部署过程中，AUTOSAR OS提出内存分区机制(Memory Partitioning Mechanisms)用于隔离不同软件程序；
定时：使用WdgM的程序流监控、使用OS的时间保护机制；
程序执行：使用WdgM的逻辑监控机制；
信息交互：使用E2E等监测通信是否失效；

从方向上虽然是四个方面，但从实际产品看，内存保护、时序可以由OS、WdgM来保证，信息交互可以由E2E来保证。

1. Memory Partitioning

在ISO26262中提到，软件组件交互造成的与memory失效因素，主要有以下几个方面：

memory内容被破坏；
各软件组件对外的读写访问权限；
栈溢出；
...

因此，内存分区就是通过限制memory或者外设寄存器的访问权限来实现保护内存，避免出现上述问题；

我们知道，分区这个概念最早是在OS、RTE相关文档中进行描述，其中比较难以理解的就是OS提到的OS-Appliaction的概念，原文如下：

AUTOSAR OS-Applications are collections of Operating System objects such as Tasks, ISRs, Schedule Tables, Counters and Alarms that form a cohesive functional unit. All objects which belong to the same OS-Application have access to each other.

The Operating System objects within an OS-Application may belong to different AUTOSAR Software Components. The RTE implements a memory area which is accessible by all members of the OS-Application without restrictions to facilitate communication between the SW-Cs efficiently.

个人理解OS-Application像是大杂烩，包含了系统稳定运行的各种元素，同时是OS用于实现分区的一个抽象，包含如下成员：

因此我们就不难理解在代码里看到过的两种类型OS-Appliaction。

Trusted OS-Appllcation：权限比较高的一类，一般对memory、OS API的调用访问没有限制
Non-Trusted OS-Application：有限制访问权限，并且在运行时必须打开监控或者保护功能；

在OS配置时，我们通常会考虑将一些关键的Task、SWC分配到Trust OS-App，如下：

而Trust与Non-Trusted 之间的通信，一般只能通过RTE进行，如下图：

有了上述概念之后，我们来继续探讨内存分区。

实际上，提供内存保护大家可能都会想到MPU或者MMU；AUTOSAR也不能免俗，在具体实现上，可以通过MPU设置memory的不同访问属性（读写执行）来保证memory分区，如下图：

那这个MPU是属于哪个AUTOSAR模块？毫无疑问，就是系统运行的基石--OS，配置示例如下：

不仅如下，OS的监控机制还包括栈监控、时间保护、服务保护等等，如下：

总结下来，内存分区关键点在于隔离，MPU可以进行实现，除此之外，MPU还可以保证栈的隔离。

2. Timing\Excute Monitor

时间是嵌入式实时系统的一个重要特性。一般要求系统的动作和反应在正确的时间内执行。

常见的失效模式有：死锁、任务执行时间分配错误、任务执行被阻塞。

在AutoSAR定义了OS、WdgM等模块用于实现时间监控机制。

OS提供了Timing Protection机制，主要包括如下三种：

Execution Time Protection：通过监控任务或者2类中断的Execution Budget，来防止时间错误；
Locking Time Protection：通过监控中断挂起、资源阻塞等的Lock Budget防止时间错误；

Inter-Arrival Time Protection：通过监控任务、2类中断的激活间隔时间下限，来防止时间错误

WdgMd监控功能之前已经聊过了，包含：

Alive Monitoring：对周期性任务（软件）的时间进行监控；
Dealine Monitoring：对非周期性任务的时间进行监控；
Logical Monitoring：对程序执行顺序的正确性进行监控；

因此，关于时间保护，我们使用Alive和Dealine，关于程序流我们可以使用Logic监控。

E2E">3. E2E

之前聊SecOC时简单提过E2E，主要面向Safety，保证了数据的完整性和时效性，它不仅可以用在板端通信，还可以用在不同SWC之间的通信。

通信常见的失效模式包括：通信丢失、通信数据损坏、通信数据重放、延迟等等；

因此E2E(End to End)从分别从如下几个方面进行保护：

使用CRC对数据、数据ID、counter进行计算，可以探测到信号\数据的完整性；
使用Counter计数来探测消息、数据的重放；
接收端通过计时来探测消息的丢失、延迟等

回过头来，如果E2E仅用在板端通信，那么SecOC可以涵盖全大部分数据校验过程，包括完整性、身份识别、重放攻击等；因此在实际使用中，我们通常把会将Safety相关信号融合进CanFD，然后将该报文设置为SecOC属性，先校验SecOC，最后拆出信号校验E2E，既保证了Security(红框)，又保证了Safety（蓝框），如下图：