usstmiracle的博客

电子技术改变了现代汽车，它让设计人员能够利用传感器和控制器来实现越来越多的功能。然而，从安全的角度来看，电子技术日益重要的作用也带来了更多的挑战。在电子技术的应用使汽车更高效、更环保和更舒适的同时，一旦关键元件发生故障，安全风险也将更大；因为人类驾驶员控制车辆做出响应的动作和决策能力降低了。汽车行业也认识到了安全的重要性，并制定了针对汽车电子相关部件的具体标准，即 ISO 26262。ISO 26262 最初发布于 2011 年，并于 2018 年更新，提供了安全相关系统的功能安全标准。

概要 无论是车载娱乐软件、驾驶辅助软件还是自动驾驶软件，软件的加持为汽车行业和用户带来了巨大的好处和便利。然而，正如机械零件需要清洁、润滑和更换一样，软件也需要维护。原始设备制造商（OEM）和一级供应商也许十分擅长挑选方便定期保养（如更换发动机的机油或者正时链）的汽车零件，但对于汽车软件，却很可能无从下手。随着软件功能越来越复杂，如果现在选择的软件架构不合适，未来几年可能就需要付出高昂的软件维护费。因此，原始设备制造商和一级供应商必须重视车载软件系统及软件架构，并将软件所需的定期维护（如软件安全漏洞补丁或软

ASIL 表示汽车安全性等级。这是 ISO 26262 标准针对道路车辆的功能安全性定义的风险分类系统。ASIL 根据伤害的可能性和可接受性来确定安全要求，以使汽车零部件符合 ISO 26262。该标准将功能安全定义为“不存在由电气电子系统故障行为相关的危害引起的不合理风险”。ASIL 根据对汽车部件的危害概率和承受度，确立符合ISO 26262标准的安全要求。ISO 26262 是一个面向目标的标准，完全关注“防止伤害”。尽管 ASIL 分类面临质疑的挑战，却旨在“防止损害”，并帮助我们在冗长且经常脱节的

安全在每个领域都是一个永恒的话题，汽车也不例外，而随着最近几年汽车电动化、智能化和网联化的发展，汽车安全也越来越受到用户及开发人员的重视，安全的要素也是多方面的，例如用户可能关心在使用车机系统时的隐私安全、打开ACC等辅助驾驶功能时的人身安全等；站在攻城狮的角度则会关注和考虑整车E/E架构、硬件以及软件等方面的可靠和安全，比如硬件的EMC和随机故障、软件功能设计及控制器内部和外部的通讯安全等等。每个安全要素作为系统目标的重要组成部分只为保证整车的可靠性和安全性，从而保护用户的人身安全。对单个控制器的

虽然AUTOSAR不是一个完整的安全解决方案，但它提供了一些安全机制用于支持安全关键系统的开发。本文用于介绍AUTOSAR支持的四种功能安全机制：内存分区（Memory Partitioning）时间监控（Timing Monitoring）逻辑监督（Logical Supervision）端到端保护（End-2-End Protection）这些安全机制中，内存分区用于实现不同ASIL等级，安全相关组件和非安全相关组件的彼此独立，时间监控和逻辑监控是软件运行时序错误的常用检测方法，端到端保护实现了安全相关

传统软件开发流程软件安全开发流程新增项客户需求收集客户安全需求收集需求分析与澄清分析客户安全需求，制定安全标准和要求，建立安全需求管理、安全与隐私风险评估软件设计在特性设计中结合安全设计规范进行安全设计，对模块进行威胁建模和攻击面分析软件编码安全编码：新代码使用安全函数，老代码替换危险函数，对代码进行安全检视；使用第三方开源工具或者库，需要使用最好的最新的版本构建满足安全编译选项的要求选择安全的构建工具软件测试对安全设计进行分析与评审，输出安全测试用例。

特约专栏 | 一篇文章带你认识功能安全本文将结合ISO-26262，从什么是功能安全、什么是功能安全工程师以及功能安全工程师主要做什么，三个方面展开对功能安全的介绍。

一般来讲，建议将ECU中同一安全等级的软件模块放在一个OS Application中，通过Memory Protection 的设置实现不同安全等级软件模块间的分区，并通过对不同区域设置访问权限来达到限制安全等级较低的软件模块对其他软件模块的访问。在混合ASIL系统中，不同安全等级软件模块之间的交互决定了模块间的相互影响，内存越界保护是实现软件模块之间边界保护的重要途经，主要使用微控制器的内存保护单元(Memory Protection Unit，MPU)对软件内存区域的访问进行限制。