安全汽车软件开发:技术与实践
1. 引言
汽车软件在很大程度上属于安全关键型,这就要求进行安全的软件开发。复杂的分布式软件功能以及软件功能集成对传统的基于模拟的验证方法提出了挑战。同时,软件功能必须满足汽车设计的高容错性和故障安全要求。
为应对这一挑战,汽车软件的前沿研究已经开发出用于安全汽车设计的正式方法,这些方法有望成为安全且经济高效的嵌入式软件开发的典范。下面将介绍在电子控制单元上集成多源软件 IP 时面临的问题,并给出一个用于观察和强制执行实时行为的软硬件解决方案示例。
2. 高完整性汽车系统中受保护操作系统的需求
2.1 动机
随着电子控制单元(ECU)软件变得越来越复杂,在单个 ECU 内运行多个主要子系统的需求日益增长。这就催生了对能够提供软件组件间保护的 ECU 操作系统的需求,这种操作系统可以隔离软件组件中的故障,防止故障传播到同一 ECU 中的其他子系统。
汽车行业已经认识到了对这种受保护操作系统的需求。奥迪、宝马、戴姆勒 - 克莱斯勒、保时捷和大众组成的 HIS 集团提出了受保护操作系统的要求,其中两个重要要求如下:
-应用程序和任务间的保护:保护必须同时适用于应用程序(即任务组)和任务。因为一个由单一组织开发的应用程序通常由一组任务组成,任务之间既需要相互保护,又需要共享数据(通常出于性能考虑通过共享内存实现)。
-容忍恶意软件:操作系统必须设计为能够容忍恶意软件,即具有破坏意图的程序员不能导致 ECU 中的其他应用程序失败。虽然目前对程序员的蓄意破坏没有重大担忧,但由于软件故障可能像蓄
