Adaptive Autosar Safety ( 안전 )

AUTOSAR는 안전 프로젝트에서 Adaptive Platform의 통합을 지원하기 위해 Adaptive Platform에 대한 보안 개요를 제공합니다. 이 릴리스의 경우 설명문 (AUTOSAR_EXP_SafetyOverview) 형태로 제공됩니다. 기능 안전 엔지니어가 AUTOSAR Adaptive Platform 내에서 기능적 안전 관련 주제를 식별하는 데 도움이됩니다. 이 문서의 내용은 현재 다음과 같은 별도의 장으로 구성되어 있으며 ISO 26262에 따라 내용과 구조에 매핑 될 수 있습니다.

 

• AUTOSAR Adaptive Platform 목표, 유스 케이스 및 시나리오

• 시스템 정의, 시스템 컨텍스트 및 가정

• 유해성 분석

• 안전 목표

• 기능 안전 개념 및 기능 안전 요구 사항

 

이 Safety 검토의 목적은 안전 요구 사항이 최고 수준의 안전 목표 및 가정 된 유스 케이스 또는 시나리오를 충족시키고 항목 또는 외부 조치에 할당하도록 보장하는 것입니다. AUTOSAR Adaptive Platform의 사용은 ISO 26262의 준수를 의미하지 않습니다. AUTOSAR Adaptive Platform 안전 조치와 메커니즘을 사용하여 안전하지 않은 시스템을 구축할 수 있습니다. AUTOSAR Adaptive Platform의 아키텍처는 최상의 경우 SEooC로만 간주 될 수 있습니다.

 

Protection of information exchange (E2E-Protection)

AUTOSAR AP 및 CP 인스턴스 내의 E2E 프로파일은 동일한 ECU 든 다른 ECU이든 관계 없습니다. 유용한 경우 Adaptive Platform 내에서 접근되는 서비스 지향적 인 기능을 더 많이 사용하여 안전한 통신을 가능하게하는 메커니즘이 제공됩니다. 이 서비스는 게시자가 제공하며 구독자는 전송 중에 변경되지 않았습니다. AUTOSAR CP의 E2E 메커니즘에 따라 E2E 컨텍스트에는 전송 및 전송 보안에 대한 확인 응답이 제공되지 않습니다.

 

E2E 보호가 사용되면 E2E 보호는 게시자 프로세스에서 동기적으로 호출됩니다. 가입자 측에서는, E2E 체크는 가입자 프로세스 내의 데이터의 수신시에 호출됩니다.

 

이 릴리스에서는 E2E가 다음을 지원합니다.

Periodic and mixed periodic events in polling mode

 

E2E의 원칙은 이벤트의 게시자가 이벤트 데이터를 직렬화하고 E2E 헤더를 추가하는 주기적 이벤트를 보호하는 것입니다. 이벤트를 수신하면 가입자는 메시지를 비 직렬화하고 E2Echeck를 실행하여 전송 중에 감지 된 오류를 나타내는 결과를 반환합니다.

 

아직 지원되지 않는 기능은 다음과 같습니다.

Events in callout mode

Non-periodic events

Methods 

Platform Health Management 

플랫폼 상태 관리는 소프트웨어 실행을 감독합니다. 다음과 같은 감독 기능을 제공합니다 (모든 감독 기능은 독립적으로 호출 할 수 있습니다).

 

Alive supervision

Deadline supervision

Logical supervision

Health Channel Supervision

 

Alive Supervision은 감시 대상이 너무 자주 실행되는 것이 아니라 너무 자주 실행되지 않는지 확인합니다. Deadline supervision은 감독 된 실체의 단계가 구성된 최소 및 최대 제한 내에있는 시간 내에 실행되는지 확인합니다. Logical supervision은 실행 중 제어 흐름이 설계된 제어 흐름과 일치하는지 확인합니다. Platform Health Management은 외부 감독 결과 (예 : RAM 테스트, 전압 모니터링 등)를 플랫폼 상태 관리에 연결할 수있는 기능을 제공합니다.

 

플랫폼 상태 관리는 감독 대상에서 장애가 감지되면 구성 가능한 복구 작업을 트리거 할 수 있습니다.

 

Platform Health Management and other functional clusters

 

Autosar Adaptive Platform에서는 다음 복구 작업을 사용할 수 있습니다.

• 상태 관리자가 지정된 컴퓨터, 기능 그룹 또는 응용 프로그램 상태 (RequestState API)로 전환하도록 요청합니다.

• 실행 관리자에게 지정된 Machine 또는 FunctionGroup State (EnterSafeState API)로 강제 전환하도록 요청합니다. 상태 관리자가 감독 메커니즘에 의해 탐지된 문제를 가지고 있다면 상태 관리자와 함께 해당 API 대신 이  작업을 구성해야 합니다.

• 실행 관리자에게 지정된 프로세스 (ProcessRestart API)를 다시 시작하도록 요청합니다.

• 워치 독 드라이버를 요청하여 워치 독 재설정을 수행합니다 (개발자 특정 API).

• Diagnostic Manager에 오류 정보를 보고하십시오.이 릴리스에는 지정되지 않았습니다.

• 다른 PHM 개체 또는 응용 프로그램에 오류 정보 전달 : 이 릴리스에 지정되지 않았습니다.

 

이 릴리스의 알려진 제한 사항 :

• 현재 하나의 PHM 인스턴스만 지원됩니다. 현재 여러 인스턴스의 다중 PHM 인스턴스와 데이지 체인이 지원되지 않습니다.

• 진단 관리자에 대한 종속성은 아직 정의되지 않았습니다.

• 이 릴리스에서는 감독 모드와 관련된 상태 관리 구성이 완전히 지원되지 않습니다.

 

CP 및 AP가 공유하는 기능은 기초 문서에 설명되어 있으며 "상태 모니터링"(RS_HealthMonitoring, SWS_HealthMonitoring)으로 명명되었습니다. AP에 대한 추가 사양만 AP 설명서에 설명되어 있으며 "플랫폼 상태 관리"(RS_PlatformHealthManagement, SWS_PlatformHealthManagement)라는 이름이 지정되어 있습니다.

 

C++ coding guidelines

AUTOSAR C ++ 14 코딩 가이드 라인 문서가 적용되는 주요 애플리케이션 분야는 자동차이지만 안전 관련 중요 환경에서 작동하는 다른 임베디드 애플리케이션에도 사용될 수 있습니다. AUTOSAR C ++ 14 코딩 가이드 라인 룰 세트는 POSIX 또는 유사한 운영 체제를 사용하여 32 비트 및 64 비트 마이크로 컨트롤러에서 효율적이고 완전한 C ++ 14 언어 지원을 제공하는 하이 엔드 임베디드 마이크로 컨트롤러에 적용 할 수 있습니다.

기존 표준은 불완전하며 오래된 C ++ 버전을 다루거나 위험 / 안전 관련 사항에 적용 할 수 없습니다. 특히, MISRA C ++ : 2008은 C ++ 11 / 14를 다루지 않습니다. 여러 가지 새로운 언어 기능을 통해 효율적인 구현을 제공하는 데 얼마나 유용 할 수 있는지 분석하고 각 기능의 사용과 관련된 위험을 분석해야합니다.

 

이 문서에서는 다른 코딩 표준 및 리소스를 참조하거나 JSF, HIC, CERT 및 C ++ 코어 지침과 같은이 문서의 규칙 기반으로 사용합니다. 대부분의 규칙은 수동 코드 검토없이 적용 할 수 있는 정적 분석을 통해 자동으로 실행 가능합니다. 명명 규칙, 레이아웃 또는 들여 쓰기의 의미에서 코드 스타일은 문서에서 다루지 않습니다.

 

소프트웨어 아키텍처, 유닛 설계 및 구현에 할당 된 ISO 26262 절에 대해이 문서는이 절이 C ++에 구체적으로 어떻게 적용되는지에 대한 해석을 제공합니다.

 

현재 릴리스에는 다음과 같은 알려진 제한 사항이 있습니다.

병렬 컴퓨팅을 위한 규칙 세트가 제공되지 않습니다.

보안을위한 규칙 집합 (중요한 소프트웨어 또는 안전 관련 소프트웨어에 공통적이지 않은 한)은 제공되지 않습니다.

C ++ 표준 라이브러리에 대한 룰 세트는 부분적 (불완전)입니다.

CERT 및 HIC ++의 분석되지 않은 나머지 모든 규칙은 동시성 / 보안과 관련됩니다.

C ++ 핵심 지침에 대한 추적성에는 분석되지 않은 규칙이 포함되어 있습니다