汽车 SOA 开发者平台:岚图汽车
功能安全与信息安全方面
岚图汽车:
岚图汽车在设计与开发中央计算平台时,针对不同域功能的安全要求有所不同,从中央计算平台所承载的功能边界出发,通过危害分析和风险评估导出安全目标;基于安全目标和功能实现的具体链路逻辑,提出了安全技术方案,为中央计算平台的硬件开发、基础软件开发提供安全技术指导。
中央计算平台的相关项定义包含其所承载的功能、接口、运行环境条件、法规要求
等,目的是为后续危害分析和风险评估、安全要求分解、ASIL 等级分配、安全要求提供充足的信息,中央计算平台的相关项定义如表 6.1 所示。在中央集成式电子电气架构中,中央计算平台扮演了整车大脑的角色,承载了基础功能域、车身安全域、智能座舱域、智能驾驶域的所有基础功能和衍生功能场景的主控逻辑,并承担了除驻车功能、行车制动、方向盘助力控制、动力电池管理之外的动态控制及能源域的基础功能和衍生功能场景的逻辑。中央计算平台对外接口简单,主要是与车辆区域控制器进行高速通信的以太网通讯接口和供电电源接口。中央计算平台布置在乘客舱内,但由于高负荷的计算,需要良好的散热系统。
功能安全概念的目的是从安全目标中得出功能安全要求,并将其分配给中央计算平台或整车其他部件或外部措施。每一类安全目标都有一个具体的功能实现链路,功能安全要求首先来自预期功能实现的要求,并根据预期功能实现的分配原则进行安全要求的分配。例如针对 SG_06,近光灯的预期功能实现链路,前区域控制器采集驾驶员拨动近光灯开关状态,并发送近光灯请求,中央计算平台收到请求,判断近光灯开启逻辑,并分别向左、右区域控制器发送近光灯开启指令,左、右区域控制器转发近光灯开启指令,左、右灯光控制器模块接受指令后,打开近光灯。在近光灯功能实现链路中,分配给中央计算平台的预期功能安全需求有三条,分别是正确接收近光灯开启请求、正确处理近光灯开启逻辑、正确发送近光灯开启指令。
功能安全要求还需考虑故障状态下能够进入安全状态,导出该类安全要求需要借助安全分析的手段,通常有FMEA 和FTA 两种方法,根据不同的 ASIL 等级,可以采用其中一种或者两种。近光灯的安全目标可以采用 FMEA 的安全分析方法,列出了安全目标 SG_06 FMEA 分析过程中的中央计算平台部分的失效分析概览。
中央计算平台承载了整车所有功能逻辑和未来衍生功能场景的应用,高度模块化的嵌入式软件和应用软件,分别拥有不同的ASIL 安全等级,根据ISO26262 标准要求, 如果软件包含不同 ASIL 等级的SWC,要么整个软件工程都需要基于最高安全等级的要求进行开发,要么需要保证拥有更高安全等级的 SWC 的操作不会受到其他 SWC 的干扰,做到 FFI(Freedom from interference)的设计。其中,内存、时间、执行和信息交换的错误会导致 SWC 之间产生干扰。如何保障不同 ASIL 等级的软件应用免受干扰是软件安全架构设计的核心内容。
异构部署是一个关键因素,中央计算平台在使用多种不同的OS 时,应该将安全相关的功能应用部署在高实时嵌入式操作系统上。基于安全芯片和主功能芯片的中央计算平台的一种软件安全架构概览,与安全目标和安全要求相关的功能软件应该优先部署在安全芯片上,例如驱动控制、灯光控制、车身控制,安全芯片可以采用AUTOSAR Classic 标准的软件平台,可满足 ASILD 的高安全要求。与智能驾驶域相关的传感融合、路径规划、决策执行等应用不仅需要高性能计算,也需要高安全性保证,应该部署在主功能芯片的安全 OS 上,可以采用 AUTOSAR Adaptive 标准的软件平台。与智能座舱域相关的仪表显示、故障提醒等安全类应用可以部署在 QNX OS 上,黑莓的QNX OS 最高可支持ASILD 的安全要求。安全中间件也是考虑的因素之一,安全中间件包括看门狗模块、程序流监控模块、通信的端对端保护模块、芯片的健康管理模块等,中央计算平台使用的安全中间件应该按照最高的 ASILD 等级要求开发。
- 下一篇:汽车 SOA 开发者平台:领科汇智
- 上一篇:汽车 SOA 开发者平台:星河智联
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
网络研讨会 | 1月7日模态测试、分析与仿真
2024-12-25 13:55
-
电动汽车用逆变器开发中的高阶波形分析(一)
2024-12-25 13:53
-
电动汽车电液制动系统振动和噪音优化
2024-12-25 12:09
-
汽车技术合规与海外市场准入系列:墨西哥
2024-12-25 12:00
-
1.5亿欧元投资!采埃孚西安基地扩能及研发
2024-12-25 08:35