AUTOSAR 架构下软件功能安全研究与应用.docxVIP

目前基于CPAUTOSAR架构开发汽车电子软件是主流的主机厂和汽车电子控制器供应商最常见的一种开发方式。由于汽车电子控制器开发难度大，在开发的过程中必须遵循一定的开发和测试流程，目前汽车行业最重要的开发流程是ASPICE和ISO26262。ASPICE侧重于开发功能安全相关性不大的汽车电子控制器，而ISO26262作为标准的汽车电子控制器安全开发标准，对于车载电子控制器的安全开发流程做了严格的定义。ISO26262从系统设计、软硬件设计、测试、项目管理等方面提供了严格的流程和开发标准。在ISO26262中，和软件开发密切相关的主要有3大角度，分别是软件开发和测试流程、软件安全分析以及接口免于干扰的要求，软件安全机制的实施基于接口免于干扰的要求设计和实现。

针对CPAUTOSAR架构下的软件功能安全的开发必须要明确ISO26262内对软件功能安全的要求，基于ISO26262的要求，将CPAUTOSAR提供的安全机制应用到汽车电子控制器软件开发中。在CPAUTOSAR的软件安全机制中，主要提供了内存保护（MemoryProtection）、时间保护（WdgMandOSTimingProtection）、数据一致性（E2E算法）等安全机制来实现ISO26262对接口免于干扰的要求。最终基于AUTOSAR的安全机制得出应用结论，用于安全机制在项目中的实施。

本文以ISO26262中对软件开发的安全要求为基础，通过识别和选择CPAUTOSAR内提供的安全机制，并且对安全机制进行应用研究和测试，从而针对CPAUTOSAR下的软件功能安全开发提供一套完整的方案。整体设计架构如图1所示。

图1整体设计架构图

1CPAUTOSAR介绍

汽车电子开发不像其他产品的开发，有着自己一套严格的规范和流程，在汽车行业主要是V模型，它定义了汽车电子产品开发一套从需求到软硬件设计开发再到最终测试交付的完整体系。AUTOSAR（AutomotiveOpenSystemArchitecture，汽车开放系统架构）是主流汽车OEM、供应商、芯片企业等制定的一套软硬件可以分离复用、应用算法与底层驱动分离、下层的芯片企业与上层OEM或者ECU供应商基于同样的规范，独立并行开发的软件开发体系。AUTOSAR标准严格遵循了V模型的软件开发流程，在AUTOSAR标准中定义了从软件需求（通用全面的需求）到架构设计的完整体系，根据AUTOSAR规范就可以开发满足这些规范的代码程序。在AUTOSAR架构中主要分为3层架构，分别是APP（ApplicationLayer，应用层）、RTE（RunningEnvironment，运行环境）、BSW（BasicSoftware，基础软件层）。整个AUTOSAR架构分层如图2所示。

图2AUTOSAR架构分层图

APP层主要是实现特定ECU功能的逻辑算法，这一层也是CPAUTOSAR架构里定义的各个OEM和供应商在实现上存在竞争的一层。一般在APP层会设计出ECU中各个软件单元模块的上层应用架构，而这部分架构并不是一个统一的CPAUTOSAR架构，OEM和供应商可以根据自己的应用层逻辑去设计自己上层应用需要的SWC数目、各个SWC模块之间的数据流和控制流。在CPAUTOSAR架构中，各个APP的调度、数据交互等通过RTE实现。

RTE提供基础的通信服务，支持SWC之间和SWC到BSW的通信（包括ECU内部的程序调用、ECU外部的总线通信等情况）。RTE同时实现对APP层SWC的函数调度。RTE使应用层的软件架构完全脱离于具体的单个ECU和BSW。

BSW层是整个CPAUTOSAR的核心，内部按架构上的分层主要分为微控制器抽象、复杂驱动层、ECU抽象层、服务层4大部分。各部分的作用如下。

1）微控制器抽象层（MicrocontrollerAbstractionLayer）是在BSW的最底层，包含了访问微控制器的驱动。微控制器抽象层使上层软件与微控制器相分离，以便应用的移植。

2）复杂驱动（ComplexDrivers）可以实现应用层通过RTE直接访问硬件，也可以利用复杂驱动封装已有的非分层的软件，以便向CPAUTOSAR软件架构逐步实施。

3）ECU抽象层（ECUAbstractionLayer）封装了微控制器层以及外围设备的驱动，将微控制器内外设的访问进行统一，使上层软件应用与ECU硬件相剥离。

4）服务层（ServiceLayer）位于BSW的最上面，将各种基础软件功能以服务的形式封装起来，供应用层调用。服务层包括RTOS、通信与网络管理、内存管理、诊断服务、状态管理、程序监控等服务。

2ISO26262对软件安全的要求

ISO26262是从电