基于Autosar软件的功能安全开发

软件分区

软件架构将根据安全目标的需要将安全平台的软件分区为两个部分：

Safety partition

QM partition

这么做的目的是为了实现软件的FFI的机制（Free from interference）。

由于在开发的前期，应用层软件的功能不是很清楚，所以安全平台是基于SEooc的机制去实现的。即根据ISO 26262-2 6.4.5.6 章节中所述：做一下需求的假设（即systemrequirement spec：derived from assumptions onanintended use and context, including its external interfaces）。

安全平台

上文中提到对的而安全平台是啥含义？

所谓的安全平台至少要具备以下要素：

基于Autosar 4.0.3（higher version is ok），并要阐明设计安全平台的约束和扩展，并要求有ASIL D的性能

要有ASIL 和 QM 分区

基于Autosar os (based on OSEK Standard)的调度

实现FFI

实现ASIL 和QM 之间的通讯

通信接口的保护

硬件要支持对硬件随机错误的硬线诊断和处理

具备平台化的特点flexible adaption

安全平台的约束

下面我们讲一讲设计安全平台的约束。

autosar分层架构的约束

-ASW层

-RTE层

-BSW层

-MCAL层

-Library

Fig1. TOP Level Layer Architecture

2.提供不同分区的约束

-应用层划分成QM和ASIL 等分区，并需要MPU 的硬件支持

-基础软件BSW的不同安全分区

-RTE的分区，并且要保证处理不同分区之前的童新年

-系统服务在两个分区都要具备ECUM和Schedule的功能

-具备ASILD 要求的Library

Fig2. Partition Software Architecture

Appendix：

E2E,Wdgm的图片介绍（摘录自Vector库）：

审核编辑：刘清