国产精品天天看特色大片不卡,综合网婷婷,26uuu欧美日本在线播放,丁香激情综合网,亚洲AV永久中文无码精品综合,欧美日韩综合在线视频免费看,亚洲AⅤ中文无码字幕色,毛片传媒网站,久久伊人精品影院一本到综合,精品亚洲一区二区三区

1. 應用軟件

    在A(yíng)UTOSAR架構中，應用軟件位于RTE上方，由互連的AUTOSAR SWC組成，這些組件以原子方式封裝了應用軟件功能的各個(gè)組成部分。

圖1：應用程序軟件

     AUTOSAR SWC獨立于硬件，因此可以集成到任何可用的ECU硬件上。為了便于ECU內部和內部的信息交換，AUTOSAR SWC僅通過(guò)RTE進(jìn)行通信。

     AUTOSAR SWC包含許多提供內部功能的函數和變量。AUTOSAR SWC的內部結構，即其變量和函數調用，通過(guò)頭文件隱藏在公眾視野之外。只有外部RTE調用才會(huì )在公共接口上生效。

圖2：SWC

       AUTOSAR SWC還包含必須在運行時(shí)調用的函數。這些C函數在A(yíng)UTOSAR中稱(chēng)為Runnables。

       Runnables不能由它們自己執行;它們必須分配給 OS的可執行實(shí)體?？梢酝ㄟ^(guò)將Runnables的函數調用插入OS任務(wù)主體來(lái)執行此類(lèi)分配。

       然后，Runnables在調用方OS-Task的上下文中循環(huán)執行和/或事件驅動(dòng)。Runnables對任務(wù)的分配是根據圖3和圖4執行的。

圖3：AUTOSAR分層軟件架構-Runnables的映射

2. OS-Applications

    圖4顯示了對圖3中關(guān)系的解釋。根據此圖，AUTOSAR SWC中的Runnables被分配給 OS任務(wù)。

圖4：SWC到 OS-Applications的映射

     AUTOSAR OS-Applications是 OS對象（如任務(wù)、ISR、調度表、計數器和警報）的集合，它們構成了一個(gè)內聚的功能單元。屬于同一 OS-Applications的所有對象都可以相互訪(fǎng)問(wèn)。

     OS-Applications中的 OS對象可能屬于不同的AUTOSAR SWC。RTE實(shí)現了一個(gè)內存區域， OS-Applications的所有成員都可以不受限制地訪(fǎng)問(wèn)該區域，以方便SWC之間有效地進(jìn)行通信。

     OS-Applications有兩類(lèi)：

1. 受信任的 OS-Applications：“允許受信任的 OS-Applications在運行時(shí)禁用監控或保護功能的情況下運行。他們可能不受限地訪(fǎng)問(wèn)內存和 OS模塊的API。受信任的 OS-Applications不需要在運行時(shí)強制執行其時(shí)序行為。當處理器支持時(shí)，它們被允許在特權模式下運行。

2. 不受信的 OS-Applications：“不允許在運行時(shí)禁用監控或保護功能的情況下運行不受信的 OS-Applications。它們限制了對內存的訪(fǎng)問(wèn)，限制了對 OS模塊的API的訪(fǎng)問(wèn)，并在運行時(shí)強制執行其時(shí)序行為。當處理器支持時(shí)，不允許它們在特權模式下運行。

 3. 通信和代碼共享

     根據圖4和圖3，一個(gè) OS-Applications可以包含多個(gè)AUTOSAR SWC和關(guān)聯(lián)的Runnables。僅允許Runnables直接訪(fǎng)問(wèn)變量并在其各自的 SWC中執行函數調用。

     SWC的內部函數調用和變量不被其他 SWC公開(kāi)獲取，因為它們的定義不由外部接口的頭文件提供，因此不能規劃通過(guò)變量直接通信并執行其他 SWC的代碼。

     在圖5中，代碼共享示例對此進(jìn)行了說(shuō)明，代碼共享只允許在 SWC內使用，而不允許在一個(gè)OS-Application的 SWC之間共享。與其他 SWC的通信應通過(guò)RTE執行。Runnable4可能無(wú)法執行屬于SWC2.2的功能。

圖5：OS-Applications中的代碼共享

4. 應用軟件中的內存分區

    AUTOSAR ECU中的應用軟件可以由與安全相關(guān)的 SWC和非安全相關(guān)的 SWC組成。應根據ISO26262的要求，確保具有不同ASIL等級的 SWC之間的免干擾性。

    AUTOSAR OS通過(guò)將 OS-Applications放入獨占的內存區域，從而不受與內存相關(guān)的故障的干擾。此機制稱(chēng)為內存分區。OS-Applications之間彼此受到保護，因為在一個(gè) OS-Applications的內存分區中執行的代碼不能修改其他內存區域。AUTOSAR OS規范中的相應要求如表1所示。

要求ID	要求文本
[SWS_Os_00207]	OS模塊應阻止對 OS的寫(xiě)入訪(fǎng)問(wèn)來(lái)自其他不受信的OS-Applications的應用程序的私有數據分區。
[SWS_Os_00355]	OS模塊應阻止從其他不受信的 OS-Applications對 OS-Applications的任務(wù)/2類(lèi)ISR的所有私有堆棧進(jìn)行寫(xiě)入訪(fǎng)問(wèn)。
[SWS_Os_00356]	OS模塊應阻止從其他不受信的 OS-Applications對 OS-Applications的任務(wù)/2類(lèi)ISR的所有私有數據分區進(jìn)行寫(xiě)入訪(fǎng)問(wèn)。

              表1：AUTOSAR OS- OS-Applications的內存分區

      應用程序軟件可以由具有不同ASIL等級的 SWC組成。但是，具有不同ASIL分級的 SWC不應分配給同一個(gè) OS-Applications。內存分區不能提供分配給同一 OS-Applications的 SWC之間的免干擾性。OS僅阻止其他 OS-Applications執行不正確的訪(fǎng)問(wèn)。不會(huì )阻止有故障的 SWC修改同一 OS-Applications中其他SWC的內存區域。

      注意：有關(guān)任務(wù)級分區的詳細信息，請參閱后續分區。

5. SWC中的內存分區

    混合ASIL SWC可能由具有不同ASIL評級的Runnable組成，因此需要一個(gè)支持不受這些Runnable之間干擾的執行環(huán)境。由于以下原因，無(wú)法在不同的內存分區中執行一個(gè) SWC的不同Runnables：

    內存分區在 OS-Applications級別執行。如圖所示圖3和圖4，一個(gè) SWC只能分配給一個(gè)OS-Applications，因此只有一個(gè)內存分區。此外， SWC的Runnables只能由一個(gè) OS-Applications的任務(wù)調用。

    如圖6所示， SWC的Runnables不能分發(fā)到多個(gè) OS-Applications的任務(wù)。

圖6：SWC與分區

      內存分區不能用于分隔同一SWC中的Runnables。如果有必要讓 SWC包含具有不同ASIL的Runnable，并且這些Runnable需要免干擾的獨立執行，那么在 OS-Applications級進(jìn)行內存分區是不夠的，內存分區必須在任務(wù)級別執行。方法如圖7所示。

圖7：任務(wù)級分區

      與任務(wù)級別的內存分區相關(guān)的要求列在表2的AUTOSAR OS規范中。使用弱詞“may”表明任務(wù)級分區的實(shí)現對于A(yíng)UTOSAR OS是可選的。因此，并非每個(gè)AUTOSAR OS實(shí)現都支持任務(wù)級內存分區。

要求ID	要求文本
[SWS_Os_00208]	OS模塊可能會(huì )阻止從同一 OS-Applications中的所有其他任務(wù)/ISR寫(xiě)入對非受信任應用程序的任務(wù)/2類(lèi)ISR的專(zhuān)用堆棧的寫(xiě)入訪(fǎng)問(wèn)。
[SWS_Os_00195]	OS模塊可能會(huì )阻止從同一 OS-Applications中的所有其他任務(wù)/ISR寫(xiě)入對非受信任應用程序的任務(wù)/2類(lèi)ISR的私有數據分區的寫(xiě)入訪(fǎng)問(wèn)。

                                表2：AUTOSAR OS要求–任務(wù)級的內存分區

6. 內存分區的實(shí)現

    可以使用內存分區機制在系統和軟件級別上實(shí)現各種技術(shù)安全概念。

    圖8顯示了一個(gè)可能的實(shí)現，而所有基礎軟件模塊都在一個(gè)受信任/監控模式內存分區中執行（圖8中以紅色突出顯示）。某些SWC在邏輯上分組并放在單獨的非受信任/用戶(hù)模式內存分區中（以綠色突出顯示）。選定的軟件模塊與基礎軟件模塊屬于同一可信/管理模式內存分區（參見(jiàn)圖8中紅色高亮的第四個(gè)SWC）?？赡苡卸鄠€(gè)不受信的/用戶(hù)模式分區，每個(gè)分區包含一個(gè)或多個(gè)SWC。

      在非受信任/用戶(hù)模式內存分區中執行SWCs會(huì )受到限制，不能修改其他內存區域，而受信任/監控程序內存分區的SWCs的執行不受限制。

      用于安全相關(guān)應用的現代微控制器支持通過(guò)專(zhuān)用硬件（內存保護單元（MPU））進(jìn)行內存分區。

      注意：假設內存分片將在具有MPU或類(lèi)似硬件功能的微控制器上實(shí)現。

      使用典型的MPU實(shí)現，不受信的應用程序可以允許訪(fǎng)問(wèn)微控制器地址空間的多個(gè)分區。訪(fǎng)問(wèn)控制定義為讀取、寫(xiě)入和執行訪(fǎng)問(wèn)的組合。MPU的配置僅在監控模式下是允許的。

      注意：在某些微控制器實(shí)現中，MPU集成在處理器內核中。因此，MPU僅控制關(guān)聯(lián)內核的訪(fǎng)問(wèn)。其他總線(xiàn)主站（如DMA控制器和其他內核）不受此分段MPU實(shí)例的控制。

      下表和用例說(shuō)明了內存保護單元的配置派生自系統要求時(shí)的一組可能方案。注意：對于正在使用的特定硬件設備的功能，此表可能不完整。

地址空間	理由	讀	寫(xiě)	執行
閃存	讀取、執行和寫(xiě)入訪(fǎng)問(wèn)不會(huì )修改閃存內容。必須首先擦除閃存，并啟用其他機制才能寫(xiě)入。注意：從安全角度來(lái)看，以下含義：讀取和執行外來(lái)代碼可能用于獲取原本不適用于軟件的信息。	O	O	O
RAM	對RAM的寫(xiě)入訪(fǎng)問(wèn)可能會(huì )導致內存損壞，從而影響軟件的行為。	O	X	O
外設	即使從外設地址空間讀取，也可能產(chǎn)生副作用。例如通過(guò)對中斷控制器的讀取訪(fǎng)問(wèn)來(lái)執行中斷確認，對外圍設備的讀取訪(fǎng)問(wèn)可能會(huì )導致I/O錯誤。	X	X	X

                                      表3：內存保護的配置方案

     圖標說(shuō)明：

     X–需要保護

     O–可選保護

     注意：從性能角度來(lái)看，由于總線(xiàn)爭用、接口仲裁等原因，可能會(huì )產(chǎn)生副作用。

     用例1：SWC位于同一分區中。

• 同一分區中的 SWC可以訪(fǎng)問(wèn)彼此的RAM區域，因此可能會(huì )損壞彼此的內存內容。

• 根據定義， SWC無(wú)法訪(fǎng)問(wèn)外圍設備，因為它們不應了解底層微控制器架構。當 SWC被允許直接訪(fǎng)問(wèn)外圍設備時(shí)，可能會(huì )創(chuàng )建不安全的系統。
  用例2：不同分區中的 SWC。

• 不同分區中的 SWC無(wú)法訪(fǎng)問(wèn)彼此的RAM區域，因此無(wú)法損壞彼此的內存內容。

• 根據定義， SWC無(wú)法訪(fǎng)問(wèn)外圍設備，因為它們不應了解底層微控制器架構。當 SWC被授予對外圍設備的直接訪(fǎng)問(wèn)權限時(shí)，可能會(huì )創(chuàng )建可能不安全的系統。
  用例3：MCAL驅動(dòng)程序

• MCAL驅動(dòng)程序是函數的集合，例如讀/寫(xiě)/初始化。它們必須由另一個(gè)實(shí)體執行，例如BSW或CDD。有關(guān)詳細信息，請參見(jiàn)圖8。

• MCAL驅動(dòng)程序需要對相應外設硬件模塊的外設空間進(jìn)行讀/寫(xiě)訪(fǎng)問(wèn)。根據硬件架構，可能還需要處理器的監控模式。

2.1.3檢測和響應

      功能安全機制內存分區通過(guò)限制對內存和內存映射硬件的訪(fǎng)問(wèn)來(lái)提供保護。在一個(gè)分區中執行的代碼不能修改另一個(gè)分區的內存。內存分區可以保護只讀內存段，以及保護內存映射硬件。此外，在用戶(hù)模式下執行的SWC對CPU指令的訪(fǎng)問(wèn)受到限制，例如重新配置。

      內存分區機制可以在微控制器硬件（如內存保護單元或內存管理單元）的支持下實(shí)現。微控制器硬件必須由 OS進(jìn)行適當配置，以便于檢測和防止不正確的內存訪(fǎng)問(wèn)。然后監控在不受信的/用戶(hù)模式內存分區中SWC的執行。

      如果內存訪(fǎng)問(wèn)違規或非受信任/用戶(hù)模式分區中的CPU指令沖突，則錯誤訪(fǎng)問(wèn)將被阻止，微控制器硬件會(huì )引發(fā)異常。OS和RTE通過(guò)執行分區關(guān)閉或重新啟動(dòng)此分區的所有軟件分區來(lái)消除錯誤的軟件分區。

      注意：OS的實(shí)際響應可以通過(guò)保護掛鉤實(shí)現進(jìn)行配置。有關(guān)更多詳細信息，請參閱 OS SWS[i]文檔。

      注：AUTOSAR文檔“應用程序級錯誤處理說(shuō)明”[ii]提供了有關(guān)錯誤處理的其他信息。在文檔中，解釋了如何執行錯誤處理以及可以從何處獲取所需數據（例如替代值）。此外，本文檔還提供了有關(guān)如何在A(yíng)UTOSAR中執行 OS-Applications/分區終止和重新啟動(dòng)的詳細說(shuō)明（用戶(hù)手冊）。

2.1.4限制

     1. 具有相同ASIL分級的SWC的內存分區。

         ISO26262標準要求不同ASIL等級[iii]的 SWC之間的免干擾性。但是，標準不要求在具有相同ASIL等級的 SWC之間的免干擾性。

         允許使用由大量 SWC組成的 OS-Applications。如果單個(gè) SWC導致沖突，從而導致關(guān)閉或重新啟動(dòng)整個(gè)內存分區，則此內存分區的所有其他正常工作的SWC也會(huì )受到影響。

     2. 內存分區不適用于受信任的 OS-Applications。

         受信任/監控模式內存分區的執行不受 OS和某些MMU/MPU硬件實(shí)現的控制。

     3. 任務(wù)級別不支持內存分區。

         任務(wù)級分區的實(shí)現對于A(yíng)UTOSAR OS實(shí)現不是必需的。因此，可能不支持 OS-Applications中的免干擾性。

     4. 由于內存分區導致的性能損失。

         根據應用軟件的架構以及微控制器硬件和 OS的實(shí)現，使用內存分區會(huì )降低性能。此損失隨著(zhù)每個(gè)時(shí)間單位執行的上下文切換數的增加而增加。

     5. 無(wú)基礎軟件分區。

         基礎軟件的當前規范未指定來(lái)自不同供應商的不同ASIL等級的基礎 SWC的內存分區。

轉自汽車(chē)電子與軟件