符合ISO 26262标准的合适软件架构
目前最先进的技术是允许具有不同ASIL或QM等级的多个安全相关功能共存于同一硬件上。不过,这需要根据ISO 26262为相应的软件项目搭建合适的软件架构。符合安全架构是“免于干扰”的基础。
Axivion的架构检查可确保一致使用定义的接口和选定的通信机制。架构偏离在源代码文本中会立即突出显示。这包括未指定的函数调用、数据覆盖,或更广泛地说,引用未定义为接口的声明。
观看我们的网络研讨会:利用架构分析证明免于干扰(英文版)?
该图显示了一个包含两个ASIL分区和一个QM分区的安全架构。在分区内,还显示了更详细的架构,但这与“免于干扰”分析无关。在这里,我们关注的是不同安全等级分区之间的接口。这些接口可以通过多种方式建模。然而,在安全等级较高的分区中执行安全等级较低的代码很可能违反了安全规范。图中标出了这些违反安全架构的依赖关系。
如果不检查是否符合安全架构,这种违规只能在过程后期通过硬件和配置的MPU/MMU来检测。通过架构分析,可以立即发现这些违规行为是架构违规。与硬件上的动态测试不同,这种检查也可以直接集成到CI/DevOp流程中。
简化安全系统集成
如果使用静态语义分析对软件元素是否符合适当的编码指南(如AUTOSAR C++ 14或MISRA)进行额外检查,则可在很大程度上排除导致未定义行为的编程错误。因此,这种组合为混合ASIL系统中的“免于干扰”提供了强有力的论据。
这些检查可在开发过程的早期,即编码期间使用。在具有内存保护功能的分区系统中,后期集成阶段的问题(如 MMU/MPU 异常)将大大减少。
