Adaptive Platform AUTOSAR(AP)平台设计(16)——Safety

Hello！大家好！

本篇是AP AUTOSAR平台设计(16)——Safety

AP和CP相关资料获取和工具咨询、更多精彩内容欢迎订阅微信公众号“搞一下汽车电子”

整理不易，如果觉得不错，点赞分享支持一下吧~

邮箱：[email protected]

微信：shactiontech

---

1.Safety概述

AUTOSAR提供了Adaptive Platform的Safety概述，以支持将Adaptive Platform集成到安全项目中。对于此版本，安全概述以说明性文件（AUTOSAR_EXP_SafetyOverview）的形式提供。

本文档应帮助功能安全工程师在AUTOSAR自适应平台内识别与功能安全相关的主题。当前，本文档的内容分为以下几章，可以根据ISO 26262映射到内容和结构：

· AUTOSAR自适应平台的假设，目标，方案和用例

· 系统定义，系统上下文和故障注意事项

· 危害分析

· 安全目标

· 功能安全概念和功能安全要求

本安全概述的目的是从顶级安全目标和假定的用例或场景中得出Safety要求，并将其分配给项目的建筑元素或外部措施。使用AUTOSAR自适应平台并不意味着符合ISO 26262。仍然可以使用AUTOSAR自适应平台安全措施和机制来构建不安全的系统。在最佳情况下，只能将AUTOSAR自适应平台的体系结构视为超出上下文的安全元素（SEooC）。

解释性文档包含假设，示例性项目，例如参考模型，用例，场景和/或对示例性技术解决方案，设备，过程或软件的引用。本文档中包含的任何此类假设或示例性项目仅用于说明目的。这些假设不属于AUTOSAR标准。

功能安全概念和初始功能安全要求一章仍在制定中。内容开放供讨论，不应视为最终内容。

以下内容计划在以后的版本中发布：

· 技术Safety概念和技术Safety要求

· Safety要求，Safety分析和示例用例的验证计划在以后的版本中进行。

---

2.信息交换保护（E2E保护）

将支持AUTOSAR中的E2E配置文件，以允许AUTOSAR AP和CP实例的所有组合之间的Safety通信，无论它们位于相同或不同的ECU中。在有用的地方，将提供机制以允许在自适应平台内使用面向服务的方法的更多功能进行Safety通信。所提供的功能使您有可能验证从发布者发送并由订户接收的信息在传输过程中没有改变。根据AUTOSAR CP中的E2E机制，在E2E上下文中未提供对传输和传输Safety性的确认。

在发布者与订阅者之间的通信中使用端到端保护时，端到端保护在发布者的过程中被同步调用。在订户端，在订户进程内接收数据时将调用E2E检查。

对于此版本，E2E支持：

· 轮询模式下的周期性事件和混合周期性事件

· 方法（有关限制，请参阅AP SWS通信管理）

定期事件的E2E保护的原理是事件的发布者将事件数据序列化并添加E2E标头。当接收到事件时，订户将对消息进行反序列化并运行E2Echeck，这将返回结果，显示在传输过程中是否发生了任何可检测到的故障（由E2E配置文件定义）。

尚不支持以下功能：

· 标注模式下的事件

· 非定期事件

· 方法（无约束）

AUTOSAR Foundation（AUTOSAR_PRS_E2EProtocol）中描述了可用于端到端保护的配置文件。

---

3.平台健康管理

平台运行状况管理监督软件的执行。它提供以下监视功能（所有监视功能都可以独立调用）：

· 现场监督

· 截止期限监督

· 逻辑监督

· 健康频道监督

实时监控检查被监控实体运行的频率不是太高，也不是太少。

截止期限监督检查受监管实体中的步骤是否在配置的最小和最大限制内的时间内执行。

逻辑监督检查执行期间的控制流是否与设计的控制流匹配。

根据应用程序或群集/服务通过API ReportCheckpoint报告的检查点，执行活动，截止日期和逻辑监督。

运行状况通道监视提供了将外部监视结果（例如RAM测试，电压监视等）挂钩到平台运行状况管理的可能性。

根据应用程序或群集/服务通过API ReportHealthStatus报告的健康状况，执行健康通道监管。

如果在受监管实体中检测到故障，则平台运行状况管理可以触发可配置的恢复操作。

图1 平台运行状况管理和其他功能集群

以下恢复操作可用于Autosar自适应平台：

· 请求状态管理器切换到指定的FunctionGroup状态。

· 请求执行管理器强制切换到指定的不可恢复状态。

· 请求执行管理器重新启动指定的进程。

· 请求看门狗驱动程序执行看门狗重置（实现或特定的API）。

· 向诊断管理器报告错误信息：在此版本中未指定。

· 将错误信息转发到应用程序

此版本的已知限制：

· 当前仅支持一个PHM实例。当前不支持多个PHM实例和多个实例的菊花链。

· 尚未定义对诊断管理器的依赖关系

· 此发行版不完全支持与监督模式相关的运行状况管理配置

CP和AP共享的功能在基础文档中进行了描述，并命名为“运行状况监视”（RS_HealthMonitoring，SWS_HealthMonitoring）。

AP文档中仅描述了AP的其他规范，并将其命名为“ Platform Health Management”（RS_PlatformHealthManagement，SWS_PlatformHealthManagement）。