1、基于ISO26262标准的软件要素干扰分析ASIL静态分析工具SAFETY CHECKER万新山Shanghai20230615TASKING 中国区技术专家2TASKING公司简介Copyright TASKING Germany GmbHASPICE CL2|产品开发流程基于ASPICE CL240+YEARS|汽车行业软件工具开发经验ISO26262 ASIL-D|主要产品均通过 ISO26262 ASIL-D 认证SAFETY&PERFORMANCE|产品以高性能和高可靠性著称1977|TASKING成立于1977年，总部位于德国慕尼黑，专注软件工具产品IN-HOUSE TECHNOL

2、OGY|所有产品均为自主设计ISO21434|产品符合 ISO/SAE 21434 规范编译器调试器3Copyright TASKING Germany GmbHTASKING公司历程212022 成立于荷兰 与英飞凌开展深度合作 被知名 EDA 工具公司 ALTIUM 收购 成为AutoSAR标准会员 VX-toolset for TriCore产品获得ISO26262 ASIL-D认证 北欧 FSN 资本注资 开始独立运营 收购开发工具厂商iSYSTEM 发布了ARM平台开发工具集VX-toolset for ARM 发布了最新的英飞凌 AURI

3、X3G开发平台SmartCode4Copyright TASKING Germany GmbHTASKING主要产品TriCoreInspector*Safety CheckerQualified C-Libraries功能安全相关产品功能安全相关产品SmartCode*VX-toolsetfor TriCore*VX-toolset for ARM Cortex-MMulti CorePerformance Tool*EmbededProfiler*LAPACK/BLASLibrary*编译工具集产品编译工具集产品性能优化相关产品性能优化相关产品*仅用于英飞凌 TriCore/AURIXTM

4、系列器件iC5700winIDEA5Copyright TASKING Germany GmbHCompilerStatic CodeAnalysisToolsQualify LibraresSEooCCompilerQualification KitSafetyCheckerTriCoreInspector ISO26262 ASIL D 等级认证(TV Nord)在不同的 ASIL 等级软件元素之间验证内存干扰项，确保安全关键代码免受内存干扰(FFI)基于 ISO26262 认证的 C Library 相关的安全手册&测试报告 VX-toolset 产品进行ISO26262&IEC6150

5、8 认证所需的必要资料 自动化的代码安全验证工具 帮助客户提升其底层代码安全性 帮助客户在安全规范合规上（如ISO26262）节省人力 验证代码是否符合 MISRA C 验证代码是否符合 CERT C 6级联失效 cascading failure（ISO26262-1：3.17）failure of an element of an item resulting from a root cause inside or outside of the element and then causing a failure of another element or elements of the

6、same or different item.由一个根本原因（来自要素内部或外部）导致某个相关项的要素的失效，进而引起相同或不同相关项的另一个要素或多个要素的失效。免于干扰 Freedom From Interface（ISO26262-1：3.17）absence of cascading failures between two or more elements that could lead to the violation of a safety requirement 两个或两个以上的要素之间，不存在可能导致违背安全要求的级联失效。什么是免于干扰（FFI）Copyright TASK

7、ING Germany GmbHElement 1Element 1Element 2Element 27 影响软件要素之间免于干扰的典型故障影响免于干扰的实现干扰类型Copyright TASKING Germany GmbHElement 3Element 3Element 4Element 4Element 4的失效或故障可以通过某种途径导致Element 3失效，则Element 3受Element 4的干扰Timing and executionMemoryExchange of information8当安全相关软件要素因为另一个软件要素的失效而无法执行，时序的干扰就会发生。需要考

8、虑下列故障的影响 执行受阻；死锁；活锁；执行时间的不正确分配；软件要素间的不正确同步。处理机制 循环执行调度 固定优先级调度 时间触发调度 处理器执行时间监控 程序执行次序监控 到达率监控干扰的类型Timing and executionCopyright TASKING Germany GmbH9关于Memory，影响各软件要素免于干扰Memory中的内容损坏；数据不一致（如，数据获取期间发生更新）；堆栈上溢或下溢；对已分配给其他软件要素的内存进行读或写访问。安全措施 存储保护 奇偶校验位 纠错码（ECC）循环冗余校验（CRC）、冗余存储 内存访问限制 内存访问软件的静态分析 内存静态分配干

9、扰的类型MemoryCopyright TASKING Germany GmbH10关于信息交换，与信息发送方和接收方有关，可能故障：信息重复；信息丢失；信息延迟；信息插入；信息伪装或信息的不正确寻址；信息次序不正确；信息损坏；从发送方传送到多个接收方的信息不对称；发送方发送的信息只能被部分接收方接收；或通信信道阻塞。注：在不同软件分区或不同ECU 中执行的要素间的信息交换包括信号、数据、消息等。干扰的类型Exchange of informationCopyright TASKING Germany GmbH可以采用的安全机制通信协议信息重发信息回送信息确认事件触发数据总线带有时间触发访问的

10、事件触发数据总线时间触发的数据总线最小时间片基于优先级的总线仲裁11免于干扰(Memory)的解决方案Copyright TASKING Germany GmbH 验证软件 ASIL静态分析技术 Safety Checker 架构设计FFI解决方案 软件分区 MPU（内存保护单元）RTOS/Hypervisor12软件分区 软件单元或者组件相对独立 实现免于干扰，以避免软件要素之间的级联故障优势 不同ASIL等级的软件可实现共存 可以减少认证的工作量不足 一个软件分区内的任务彼此之间不能免于干扰免于干扰方案：软件分区Copyright TASKING Germany GmbH13 按照标准要求

11、：针对ASIL D,专用的硬件特性或等效方法来支持软件分区 示例中英飞凌单片机提供了一系列的措施用于实现FFI“内存保护核”（H）和“内存保护外设”（I）保护内存空间和特殊功能寄存器（SFR）免于干扰。如果发生此类故障，硬件将产生中断，软件尝试从错误中恢复。硬件可以服务的分区数量受到限制，所以多个具有相同的ASIL级别的软件要素要分布到同一分区中。免于干扰方案：MPUCopyright TASKING Germany GmbH14RTOS 或者Hypervisor提供安全机制实现免于干扰支持软件分区同一软件分区内的任务切换免于干扰RTOS 和Hypervisor程序通常使用底层硬件的内存保护功

12、能。免于干扰方案：RTOS&HypervisorCopyright TASKING Germany GmbHTASK 1TASK 2TASK nOS/HypervisorTASK 1TASK 2TASK nTASK 1TASK 2TASK nPartition APartition BHardware15嵌入式软件的实际情况 不可能所有软件都按照最高ASIL等级开发 不同ASIL等级软件要素共存 安全相关和非安全相关（QM）软件要素共存参考ECU的软件调用关系图（右）136个QM软件组件 14个安全相关的组件 1000多组访问/调用关系，软件要素免于干扰的挑战Copyright TASKING

13、 Germany GmbH设计安全机制和证明软件要素之间免于干扰。需要面临的一个非常棘手的问题。QM软件组件安全相关软件组件16TASKING提出的ASIL的静态分析技术属于验证范畴基于的验证方法控制流分析数据流分析调度分析分析源代码/目标文件静态和语义代码分析以及控制流和数据流分析的，应用于软件集成阶段软件工具Safety CheckerTASKING ASIL Aware 静态分析技术Copyright TASKING Germany GmbH17使用静态分析去检测内存干扰必须具备以下知识：软件要素ASIL分级函数和变量的 ASIL等级各分区间访问权限配置数据的内存空间（特殊功能寄存器，标

14、定区等）支持ASIL静态分析技术的Safety CheckerCopyright TASKING Germany GmbHSHARE RAMCORE#1Application#1Task#1Application#1Task#1Application#2Task#2Application#2Task#2CORE#2Application#3Task#3Application#3Task#3CORE#3Application#4Task#4Application#4Task#4Task#1-Stack-DataTask#1-Stack-DataTask#2-Stack-DataTask#2-St

15、ack-DataTask#3-Stack-DataTask#3-Stack-DataTask#3-Stack-DataTask#3-Stack-DataCORE#1 RAMCORE#2 RAMCORE#3 RAMQMQMASIL-BASIL-BASIL-DASIL-D18Safety Checker应用定义安全级别Copyright TASKING Germany GmbH首先定义安全级别标准中的ASIL等级（A、B、C、D、QM）ASIL细分等级（同级细分）例：ASIL B拆分为SE1和SE2例：MCAL是ASIL D，单仅有MCAL允许读写ECU配置数据，其他ASIL D软件要素不允许修改

16、配置数据19Safety Checker创建访问权限表Copyright TASKING Germany GmbH创建访问权限表规则符合架构设计的要求软件要素的角色 Source Destination权限 R：可读 W：可写 X：可运行相同安全级别具有全部权限20分配配置文件函数和变量分配安全级别正则表达式：文件名，函数/变量名，可以使用通配符*分配安全访问内存区域表达式：地址，大小，安全级别只能被MACL内部分区访问权限的软件要素访问或者间接访问配置文件可以随着软件集成工作的进行逐步丰富和修改Safety Checker分配变量和函数安全级别Copyright TASKING German

17、y GmbH21Safety Checker能够检查的内容 访问（读/写/调用）变量/函数 访问（读/写/调用）参数 访问（读/写/调用）函数返回值 访问（读/写/调用）固定地址 将变量/函数作为参数传递给函数（地址）将参数作为参数传递给函数 将函数返回值作为参数传递给函数 将具有局部变量作为参数传递给函数（地址）将固定地址作为参数传递给函数 返回（地址）变量/函数 返回参数 返回函数返回值 返回固定地址Safety Checker检查的范围Copyright TASKING Germany GmbHC语言语句和语义方面进行分析，去证明软件要素之间免于干扰函数调度变量使用22Safety Ch

18、ecker软件使用方案Copyright TASKING Germany GmbHSafety CheckerSource file(s).cPartition file(s).safReport file(s).report代码完全自主开发用户方案输入源文件.c分区配置文件Partition.saf ASIL 分级 访问权限 输出报告文件.report23合作开发用户方案：软件组件供应商输入：源文件.c输出：验证数据文件.vd软件集成方输入 源文件.c 验证数据文件.vd 和.vda 分区配置文件Partition.saf ASIL 分级 访问权限 输出 报告.reportSafety Ch

19、ecker软件使用方案Copyright TASKING Germany GmbHSafety CheckerSource file(s).cPartition file.safVerification data file.vdSafety CheckerSource file(s).cVerification data achive.vdaReport file(s).report24Safety checker运行之后会给出诊断的结果报告包含内容存在违反“访问权限”的代码。给出警告提示。报告文件函数调用关系软件要素之间是否存在违反免于干扰的访问。安全内存区域是否被非法访问Safety Ch

20、ecker的诊断输出Copyright TASKING Germany GmbH25Safety Checker的意义Copyright TASKING Germany GmbH无法处理同ASIL等级元素间干扰单个元素失效将引起整个内存重启导致性能下降大幅增加软件的设计难度MPU极难正确配置MPU几乎无法有效调试分区数量有限且区内无法排除干扰有性能损耗且会引入Timing干扰静态分析 代码编写阶段排除干扰颗粒度最小 可操作性具体变量函数不影响性能且不引入额外干扰可与MPU/AutoSAR分区配合使用MPU配置AutoSAR分区Safety Checker主流FFI方案与Safety Checker的比较主流FFI方案与Safety Checker的比较联系我们Contact us塔斯金信息技术（上海）有限公司邮箱： 官网： 试用：https:/ TASKING Germany GmbH26THANK YOU!