汽车功能安全之软件架构设计

谈思汽车 2024-02-02 11:35

【TI资料】基于新型C29内核的MCU技术资料 构建AI未来，Arm计算平台无处不在

智能汽车安全新媒体

什么是软件架构设计？

在20世纪60年代，戴克斯特拉这位上古大神就已经提出软件架构这个概念了，但软件架构真正流行却是从20世纪90年代开始的，由于在Rational和Microsoft内部的相关活动，软件架构的概念开始越来越流行了。

卡内基·梅隆大学的玛丽·肖（Mary Shaw）和戴维·加兰（David Garlan）对软件架构做了很多研究，他们在1994年的一篇文章《软件架构介绍》（An Introduction to Software Architecture）中写到：

“When systems are constructed from many components, the organization of the overall system-the software architecture-presents a new set of design problems.”

简单翻译一下：随着软件系统规模的增加，计算相关的算法和数据结构不再构成主要的设计问题；当系统由许多部分组成时，整个系统的组织，也就是所说的“软件架构”，导致了一系列新的设计问题。

这段话很好地解释了“软件架构”为何先在Rational或者Microsoft这样的大公司开始逐步流行起来。因为只有大公司开发的软件系统才具备较大规模，而只有规模较大的软件系统才会面临软件架构相关的问题，例如：

系统规模庞大，内部耦合严重，开发效率低；
系统耦合严重，牵一发动全身，后续修改和扩展困难；
系统逻辑复杂，容易出问题，出问题后很难排查和修复。

而在功能安全标准中的定义——软件架构设计是指全部软件组件及其在层次结构中的交互。静态方面，如所有软件组件间的接口和数据路径；动态方面，如进程顺序和定时行为，都得到描述。

软件架构设计不必局限于某个微控制器或电控单元，它关系到技术安全概念和系统设计。软件架构设计并不是功能安全独有的要求，只是功能安全在原有的基础上叠加了很多安全方面的设计和考量标准，这使得软件架构设计变得更全面更安全，同时为开发既实现软件安全要求又实现非安全要求的软件架构设计，通常来说安全和非安全性要求应在同一开发过程中处理。软件架构设计提供了实施软件安全要求和管理软件开发复杂性的方法。

软件架构设计依赖关系

软件架构设计要求和建议

软件架构设计描述方法

为确保软件架构设计获取必要信息以允许后续开发活动得到正确且有效的执行，下表列出的软件架构设计的标记法，对软件架构设计进行恰当抽象层级的描述。

解释：

自然语言：可以补充符号的使用，例如，一些主题更容易用自然语言表达，或者为符号中捕获的决策提供解释和理由，使抽象的设计更容易被理解。
非正式标记法：通常不作为标准的标记方法，描述上比较模糊。
半正式标记法：包括伪代码或使用UML、SysML、Simulink或Stateflow建模。
正式标记法：包括数学或物理学表达式，通常是被证明过的严谨的表达式

软件架构设计必要的性质

软件架构设计的可验证性；（这表明软件架构设计和软件安全要求之间的双向可追溯性）

可配置软件的适用性；

软件单元设计和实现的可行性；

软件集成测试中，软件架构的可测性；

软件架构设计的可维护性。

避免高度复杂性原则

为避免因高度复杂性导致的失效，应遵循下表列出的原则设计软件架构：

1a.软件需要采用分层架构，分层架构比较清晰

1b.每个软件模块或组件都不要太大，太大了不好维护，容易出bug

1c.接口的数量不要太多，降低软件组件间的依赖关系

1d.1e.软件尽量模块化，这个颗粒度需要自己根据实际的产品把握

1f.调度合理，没啥可说的，必须要合理

1g.少使用中断，如果用中断必须定义优先级

1h.内存分区隔离保护

1i.适用于共享硬件资源以及共存情况下的共享软件资源。这种资源管理可以以软件或硬件来实现，并且包括防止对共享资源的冲突访问的安全机制和/或过程措施以及检测和处理对共享资源的冲突访问的机制。

其实原则很很简单，就是尽量避免高复杂性，高复杂性包括：

高度分支的控制或数据流；
分配给单一设计元素的需求数量过多；
一个设计元素的接口数量过多或设计元素之间的交互数量过多；
类型复杂或参数数量过多；
全局变量数量过多；
难以提供错误检测和处理的适用性和完整性的证据；
难以达到所需的测试覆盖率
只有少数专家或项目参与者才能理解。

软件架构设计描述

为确定动态行为（如任务、时间片和中断），需要考虑不同的运行状态（如开机、关机、正常运行、标定和诊断）并且定义通讯关系和所分配的系统硬件（如 CPU 和通讯通道）。

软件分区

共享资源的使用方式应确保软件分区免于干扰；
一个软件分区内的任务彼此之间不能免于干扰。
一个软件分区不能改变其它软件分区的代码或数据，也不能访问其它软件分区的非共享资源。
一个软件分区从共享资源获取的服务不能被另一个软件分区影响。这包括相关资源的性能，以及计划访问资源的使用率、延迟、抖动和持续时间。
由专用的硬件功能或等效方法来支持软件分区（该要求适用于 ASIL D）
执行软件分区的软件部分，按照分配给软件分区要求的相同 ASIL等级进行开发，或按照比分配给软件分区要求的最高 ASIL等级更高的一个ASIL等级进行开发；且一般来说操作系统提供支持软件分区。
在软件集成和测试过程中执行软件分区的验证。

软件组件

每个与安全相关的软件组件应被归类为下述之一：