本文约7,700字,建议收藏阅读
作者 | 刘向
出品 | 汽车电子与软件
Adaptive AUTOSAR(汽车开放系统架构)旨在满足现代汽车电子系统在高性能、高灵活性和高安全性方面的需求。随着汽车电子系统的复杂性和互联性不断提升,功能安全和信息安全已成为Adaptive AUTOSAR平台的核心关注点。R24-11版本在这些领域进行了多项重要增强,进一步提升了系统的可靠性和安全性。以下是对R24-11版本功能安全和信息安全特性的详细介绍。
2023年12月7日,AUTOSAR组织发布了R23-11版本,此次更新主要集中在信息安全、功能安全和通信协议栈三个方面,同时对Adaptive AUTOSAR(AP)架构进行了重新调整。R23-11版本完善了MACSec与防火墙规范,新增了SOME/IP-ACL功能,通过访问控制列表(ACL)确保服务调用的合法性,防止非法服务订阅。此外,身份与认证管理(IAM)的文档结构也进行了调整,提升了系统的安全性。针对智能驾驶中的硬件加速需求,AUTOSAR新增了硬件加速API,包括驱动管理和故障监控功能,确保硬件加速应用满足功能安全要求(如ASIL-D)。同时,时间同步机制也得到优化,通过本地定时器监控StbM的网络同步时间,确保摄像头数据帧的时间戳准确性。R23-11增强了对时间敏感网络(TSN)的支持,包括时间同步和音频视频桥接(AVB)传输层,提升了网络通信的确定性和可靠性。此外,SOME/IP功能也得到了改进,应用层可以动态控制服务的启动与停止,从而增强了服务导向架构(SOA)的灵活性。AP架构被重新划分为基础层(Foundation)、平台服务(Platform Service)、标准化应用/接口(Standardized App/Interface)和车辆服务(Vehicle Service)。Vehicle Service的功能组(FC)无需在每个AP机器上部署,而只需在整车范围内实现,从而优化了资源分配,降低了系统复杂性。R24-11版本在R23-11的基础上进一步优化,主要集中在系统稳定性、汽车API和自适应平台功能增强等方面。图2.1 AUTOSAR R24-11 Concepts Overview每次发布时,AUTOSAR的合作伙伴会引入新的概念或扩展现有概念。例如,在R24-11版本中,引入了9个新概念或对之前概念的扩展,旨在不断丰富和完善框架的功能及应用。通过这些内容,AUTOSAR框架不仅为汽车行业提供了强大的规范支持,还推动了技术的持续进步与创新。1. 汽车API(Automotive API)
引入和改进的汽车API,为开发者提供更高效、标准化的方式与车辆系统进行交互,提升了应用开发的灵活性和可扩展性。 汽车API是一种接口,允许通过标准化的数据通信方式与车辆进行交互。它定义了其他系统如何通过标准化接口,跨车型和制造商安全且独立地访问选定的车辆数据,而无需依赖车内显示。这一概念在自适应平台中引入了新的功能集群,即汽车API网关。汽车API提供了一种公开的、标准化的协议,使系统能够以一致的方式访问和处理车辆数据。这种标准化简化了数据交互,使得不同系统之间的集成更加顺畅,提升了数据访问的便利性和系统的灵活性。2. 自适应平台稳定性 (AP Stabilization)
对自适应平台的稳定性进行加强,确保系统在各种运行环境中的可靠性与一致性,提高整体系统的抗干扰能力和故障恢复能力。稳定的API不仅能提高互操作性,还能在不同AUTOSAR版本及供应商之间实现更高的兼容性,这对OEM、一级供应商和工具供应商尤为重要,因为它们需要在可预测的环境中进行工作,从而优化开发周期。目标是建立一套稳定且一致的API,以支持自适应平台的开发和交付生产级应用程序。创建一个更可预测的软件环境,以增强开发过程的可靠性。确保不同版本和供应商之间的兼容性,提升系统的互操作性。为OEM和供应商提供信心,确保开发周期的可预测性。针对R24-11版本,确保解决架构方面的问题以及任何可能导致系统破坏性变化的因素,从而提高系统稳定性和兼容性。目前,自适应平台已进入一个新的阶段,承诺确保应用程序接口的向后兼容性,并引入生命周期管理。这一稳定阶段的目标是消除后续开发中可能出现的问题,专注于架构变化和API的破坏性变更。3. 自适应平台机器配置(Adaptive Platform Machine Configuration)
APMC(自适应平台机器配置)旨在优化自适应平台的建模策略,借鉴经典平台已验证的成功方法。AUTOSAR工作组计划从基于M2的建模逐步过渡到基于M1的建模,保持设计与目标配置的分离,确保高度波动的目标配置不影响M2层的设计模型。然而,鉴于自适应平台的特性,我们需对M1层进行更多优化和定制,以满足特定需求。引入机器配置的概念,优化自适应平台的资源管理和调度策略,增强其在不同硬件环境中的适应性和运行效率。此方法旨在利用现有成功经验和结构,建立简化的配置流程,提升用户体验。与经典平台上的EcuC相比,APMC在自适应平台机器配置中的应用更为简洁。为使用APMC,需在M1层定义参数和值,并嵌入元模型中,以确保其能出现在ARXML文件中,供项目开发使用。M1参数值定义由建模工作组支持,但不属于标准化范畴,因其在实际开发项目中应用。 4. 基础与平台中的DDS (DDS in Foundation and Platforms)
在基础架构与自适应平台中整合数据分发服务(DDS),提升数据共享的效率及可靠性,优化组件之间的通信机制。在选择微处理器或微控制器导向的功能时,操作系统的选择至关重要。通常,微处理器会引导我们选择类UNIX操作系统,而控制器则可能更倾向于OSEK等实时操作系统。这一选择直接影响到后续的连接和通信方式。- 面向服务的通信:通过AUTOSAR自适应平台中的ara::com实现。
- 面向信号的通信:在经典平台中,运行时环境(RTE)很好地支持此类通信。
- 面向数据的通信:由OMG(对象管理组织)开发的DDS提供了这一框架。
在自适应平台中,面向数据的通信仍在探索阶段,特别是在基于信号的网络绑定的子网绑定方面。基础部分可能会缺乏文档支持这些特定增强功能。针对这些差距,计划在未来的规范中加以解决。DDS在AUTOSAR中扮演着关键角色,通过支持多种通信方式,满足现代汽车软件架构的需求。随着标准的不断演进,DDS的功能和应用将继续扩展,以适应不断变化的技术环境和市场需求。在新的规范中,数据分发服务(DDS)的API类型及其质量服务(QoS)交互被视为协议的重要组成部分。这些协议包括服务实例发现(基于数据包和主题)和服务实例通信(事件、触发器、字段、方法和可用性),并整合为基础包中的两组文档:- FO_PRS_DDSServiceDiscoveryProtocol(DDS服务发现协议)
- FO_PRS_DDSCommunicationProtocol(DDS通信协议)。
此次更新使自适应平台(AP)中的规范项变得更加简洁,减少了以往冗杂的需求。原有的ara::com应用层API与DDS API的紧密交织被简化,大部分内容下放至基础包(FO),实现平台独立和平台无关。这一变化允许相同的需求在自适应平台和经典平台之间重复使用,从而提升了系统的灵活性和可维护性,最终实现了更高的模块化结构。5. AUTOSAR标准特性概览图(Feature Graph)
特性图是AUTOSAR需求管理团队开发的一种工具,旨在帮助用户更有效地理解和导航复杂的汽车软件架构。随着汽车技术的进步,软件架构愈发复杂,选项和特性不断增加,相关文档数量激增,使得用户在海量信息中查找所需内容变得异常困难。特性图通过可视化方式简化了这一过程,提升了用户的导航和理解能力。特性图采用动画形式,类似于思维导图,用户可以点击特定的特性节点进行深入浏览。它是AUTOSAR中首次发布的工具,最初以`AUTOSAR features.mm`文件的形式推出,这是一种思维导图文件格式,可以通过开源软件Freeplane进行读取。此外,特性图还提供了ARXML格式的表示,专门用于特性建模。用户可以通过定制软件或支持ARXML的工具来访问这些内容。图2.3 AUTOSAR Feature Graph use case同时,还提供了`AUTOSAR features.pdf`文件,这是特性图的图形化表示,展现了整个特性模型的结构。这种表示方式提供了特性之间的线性列表,包含思维导图中未显示的详细信息,这些信息通常以注释的形式隐藏在思维导图中。特性图展示了特性及其子特性,并标识哪些特性是强制性的,哪些是可选的。特性之间的关系也被明确标出,例如,某些特性可能会有约束条件,表示在特定情况下必须满足某些条件才能实现其他特性。- 这是特性图的原始格式,采用思维导图的方式,用户可以通过开源软件Freeplane进行查看和编辑。该格式允许用户以结构化的方式浏览特性及其关系,易于理解。
- 特性图还提供ARXML(AUTOSAR XML)格式的表示,这是一种专门用于在AUTOSAR中建模和表示特性的机制。用户可以通过定制软件或能够处理ARXML的工具来读取和利用这些特性信息。
- 特性图还以PDF文件的形式提供,展示了整个特性图的图形化表示。与思维导图不同,PDF格式是一个大的图形特性模型,用户可以通过此格式浏览特性之间的关系和依赖性,且该格式具有良好的可打印性和可视化性。
这三种表示方式各有特点,满足不同用户的需求,帮助用户更好地理解AUTOSAR标准中的特性及其相互关系。为了支持复杂的汽车电子系统,Adaptive Platform R24-11提供了广泛的协议支持和完善的安全特性,涵盖了通信、诊断、网络管理、时间同步、日志记录等多个方面,Adaptive AUTOSAR 平台支持一系列的协议,下图是对其主要功能集群及支持的协议:
1. 通信管理协议支持
Adaptive Platform 提供了多种通信协议支持,以满足不同场景下的高效、可靠通信需求。Adaptive Platform 支持SOME/IP(Scalable Service-Oriented Middleware over IP)协议,包括其服务发现功能。SOME/IP 协议能够实现多个域控制器之间的高效通信,支持服务导向的架构,适用于分布式系统的通信需求。平台支持S2S协议,能够将传统的信号通信转换为服务导向的通信模式。这种灵活的转换机制使得系统能够更好地适应现代汽车电子系统中复杂的通信需求。DDS(Data Distribution Service)协议: Adaptive Platform 支持由OMG制定的DDS协议,用于高效的数据分发。DDS 提供了实时、可靠的数据传输能力,特别适用于需要高吞吐量和低延迟的场景,如自动驾驶和高级驾驶辅助系统(ADAS)。零拷贝 IPC(Inter-Process Communication)机制:平台通过零拷贝 IPC 机制优化了系统内部进程间的通信效率。零拷贝技术减少了数据在内存中的复制次数,从而降低了通信延迟,提高了系统性能。2. 诊断管理协议支持
Adaptive Platform 提供了全面的诊断协议支持,确保车辆诊断过程的高效性和安全性。DoIP(Diagnostics over IP)协议: 平台支持DoIP协议,符合ISO 13400-2标准。DoIP 提供了基于 IP 的诊断解决方案,能够通过以太网实现高效的车辆诊断,适用于现代汽车电子系统的高带宽需求。UDS(Unified Diagnostic Services)协议: Adaptive Platform 支持UDS协议,符合 ISO 14229-1标准。UDS 提供了统一的诊断服务接口,支持多种诊断功能,如故障码读取、参数配置和软件更新等。SOVD(Service Oriented Vehicle Diagnostics)协议:平台支持由 ASAM 制定的 SOVD 协议,为车辆诊断提供了面向服务的解决方案。SOVD 协议能够更好地适应现代汽车电子系统的分布式架构,支持灵活的诊断服务调用。3. 安全特性
Adaptive Platform 提供了多种安全特性,以保护系统免受恶意攻击和未经授权的访问。平台配备了IDS(Intrusion Detection System)管理器,支持入侵检测协议。IDS 能够实时监控系统的安全状态,及时发现并响应潜在的安全威胁,从而提高系统的整体安全性。 4. 传感器接口支持
Adaptive Platform支持传感器与数据融合单元之间的高效通信,为自动驾驶功能提供了坚实的基础。ISO 23150 标准支持:平台支持ISO 23150标准,实现了传感器与数据融合单元之间的标准化数据通信。该标准为自动驾驶系统中的传感器数据交换提供了统一的接口和协议支持。5. 网络管理协议支持
Adaptive Platform 提供了网络管理协议支持,确保网络资源的高效管理和优化。UdpNM(AUTOSAR Network Management Protocol): 平台支持UdpNM协议,用于管理网络资源并优化网络通信。UdpNM 能够动态管理网络节点的状态,确保网络的高效运行和资源的合理分配。6. 时间同步支持
Adaptive Platform 提供了精确的时间同步支持,确保系统内部各个组件之间的时间一致性。平台支持 gPTP(Generalized Precision Time Protocol)协议,符合IEEE 802.1AS标准。gPTP 提供了高精度的时间同步功能,适用于需要严格时序控制的场景,如自动驾驶和实时控制系统。 平台还提供了AUTOSAR 时间同步协议规范,该规范是对 IEEE 802.1AS 标准的扩展和定制,进一步增强了时间同步的灵活性和适用性。7. 原始数据流传输支持
Adaptive Platform 支持多种传输协议,以满足不同场景下的数据传输需求。TCP(Transmission Control Protocol):平台支持TCP协议,适用于需要可靠传输的场景。TCP 提供了面向连接的通信机制,确保数据的完整性和顺序性。UDP(User Datagram Protocol): 平台支持 UDP协议,适用于需要低延迟和高吞吐量的场景。UDP 提供了无连接的通信机制,适用于实时数据传输。平台同时支持 IPv4 和 IPv6 网络环境,确保系统能够适应不同的网络配置和需求。8. 日志和跟踪协议支持
Adaptive Platform 提供了日志和跟踪功能,用于记录系统的运行状态和调试信息。 DLT(Diagnostic Log and Trace)协议: 平台支持DLT协议,用于系统日志的记录和跟踪。DLT 提供了高效的日志管理机制,支持日志的分类、过滤和存储,便于系统的调试和故障排查。Adaptive AUTOSAR 平台通过广泛支持多种协议和安全特性,为现代汽车电子系统提供了全面的通信、诊断、网络管理、时间同步和日志记录等功能。这些协议和特性的支持使得 Adaptive Platform 能够满足高性能、高灵活性和高安全性的需求,为未来的智能汽车和自动驾驶系统奠定了坚实的基础。随着汽车电子系统的不断发展,Adaptive Platform 将继续扩展其协议支持和安全特性,为汽车行业提供更加先进和可靠的解决方案。功能安全是汽车电子系统设计中的关键考虑因素,尤其是在自动驾驶和高级驾驶辅助系统(ADAS)中。功能安全是指系统在发生故障时能够保持安全运行的能力。Adaptive AUTOSAR R24-11版本在功能安全方面提供了多项关键特性,确保系统在各种故障情况下仍能保持安全运行。 以下是Adaptive AUTOSAR平台功能集群安全特性的逐条列举:- 安全端到端(E2E)通信:支持安全端到端通信,确保数据在传输过程中的完整性和保密性。通过使用加密和校验机制,防止数据在传输过程中被篡改或窃取。
- SecOC(Secure Onboard Communication):SecOC协议用于确保车载通信的安全性,防止未经授权的访问和数据篡改。R24-11版本进一步优化了SecOC的实现,提高了通信效率和安全性。
- 可信平台功能:通过一系列安全措施增强了平台的可信度,包括硬件和软件的完整性验证、安全启动等。这些措施确保系统在启动和运行过程中始终处于可信状态。
- 资源组优化:通过资源组优化和管理系统资源,确保各项任务高效运行。资源管理机制能够动态分配和释放资源,避免资源冲突和浪费,提高系统的可靠性和性能。
- 安全更新功能:支持在不中断系统服务的情况下进行软件更新,确保更新过程的机密性、真实性和防降级保护。通过使用数字签名和加密技术,防止恶意软件注入和未经授权的更新。
- 安全存储:提供了持久性安全存储功能,确保关键数据的长期保存和安全性。通过使用加密存储和访问控制机制,防止数据泄露和篡改。
- 安全时间功能:提供了安全时间功能,确保系统内部各个组件之间的时间同步。通过使用经过身份验证的时间同步协议,防止时间篡改和时序攻击。
- 系统降级操作:的状态管理功能能够协调系统的降级操作,当系统出现部分故障时,能够自动调整系统状态,以保持关键功能的运行。通过状态管理,系统能够在故障情况下继续提供基本服务,确保车辆的安全运行。
- 实时监控和预警:通过活跃性、截止时间和逻辑监督等手段,对系统的整体健康状况进行实时监控和预警。
- Watchdog机制的加入使得平台健康管理(PHM)能够更有效地监控和保护系统的关键组件,从而增强整体的功能安全性。
- Core Exception-less API:采用Core Exception-less API设计,进一步简化系统的开发和维护过程,提高系统的稳定性和可靠性。通过减少异常处理的开销,系统能够更高效地处理任务,降低故障发生的概率。
这些功能共同构成了Adaptive AUTOSAR平台强大的安全特性体系,为系统的安全运行提供了有力保障。信息安全是指保护系统免受未经授权的访问、数据泄露和恶意攻击的能力。Adaptive AUTOSAR R24-11版本在信息安全方面提供了多项关键特性,确保系统的数据和通信安全。- TLS(Transport Layer Security):支持TLS协议,为网络通信提供加密和身份验证。通过使用TLS,系统能够防止数据在传输过程中被窃听和篡改,确保通信的机密性和完整性。
- IPSec(Internet Protocol Security):支持IPSec协议,用于保护IP数据包免受窃听、篡改和伪造。IPSec提供了网络层的安全保护,确保数据在网络传输过程中的安全性。
- MACsec(IEEE 802.1AE):支持MACsec协议,为以太网链路层提供加密和完整性保护。通过使用MACsec,系统能够防止数据在链路层被窃听和篡改,确保通信的安全性。
- Trusted Platform:通过一系列安全措施,确保平台的可信度和安全性。
- SecurityAccess:支持UDS中的服务0x27,用于诊断过程中的安全访问控制。
- SecurityAccess:支持UDS中的服务0x27,用于诊断过程中的安全访问控制。通过使用安全访问机制,系统能够防止未经授权的诊断操作,确保诊断过程的安全性。
- Authentication:支持UDS中的服务0x29,实现诊断工具与车辆之间的身份验证。通过身份验证,系统能够确保只有经过授权的诊断工具才能访问车辆系统。
- Authorization:通过SOVD协议,实现对诊断操作的授权控制。通过授权机制,系统能够限制诊断工具的访问权限,防止未经授权的诊断操作。
- IDS(Intrusion Detection System):提供了入侵检测系统管理器,支持入侵检测和报告功能。通过实时监控系统的安全状态,IDS能够及时发现并响应潜在的安全威胁,防止恶意攻击和数据泄露。
- 安全更新:支持安全更新功能,确保软件更新过程中的机密性、真实性和防降级保护。通过使用数字签名和加密技术,系统能够防止恶意软件注入和未经授权的更新,确保更新过程的安全性。
- 车辆更新与配置管理:提供了安全、可靠的车辆软件更新和配置管理功能。通过使用安全的通信协议和加密技术,系统能够确保更新和配置过程的安全性,防止未经授权的访问和篡改。
- 安全存储:提供了持久性安全存储功能,确保关键数据的机密性和真实性。通过使用加密存储和访问控制机制,系统能够防止数据泄露和篡改,确保数据的安全性。
- 安全时间:提供了经过身份验证的时间同步功能,确保系统内部时间的一致性。通过使用安全时间协议,系统能够防止时间篡改和时序攻击,确保系统的时间同步安全性。
- 证书和密钥管理:提供证书和密钥的管理和访问功能,确保加密操作的安全性。
- 访问安全硬件:支持访问安全硬件(如TPM/HSM/TEE),增强系统的安全性。
- 证书和密钥管理:提供了证书和密钥的管理和访问功能,确保加密操作的安全性。通过使用安全的密钥管理机制,系统能够防止密钥泄露和滥用,确保加密操作的安全性。
- 访问安全硬件:支持访问安全硬件(如TPM/HSM/TEE),增强系统的安全性。通过使用安全硬件,系统能够提供更高的安全级别,防止未经授权的访问和攻击。
- 认证服务:提供了经过认证的日志记录服务,确保日志数据的真实性和完整性。通过使用数字签名和加密技术,系统能够防止日志数据被篡改和伪造,确保日志数据的安全性。
- 基于规则的入站消息过滤:支持基于规则的入站消息过滤功能,通过设定规则,对进入系统的消息进行过滤,防止恶意攻击。通过使用防火墙功能,系统能够防止未经授权的访问和攻击,确保系统的安全性。
Adaptive AUTOSAR R24-11版本在功能安全和信息安全方面进行了多项增强,提供了全面的安全特性,确保系统在各种故障和攻击情况下仍能保持安全运行。通过支持安全通信、安全更新、入侵检测、安全存储等关键特性,为现代汽车电子系统提供了坚实的安全保障。随着汽车电子系统的不断发展,Adaptive AUTOSAR将继续在功能安全和信息安全方面进行创新和改进,为未来的智能汽车提供更加安全可靠的软件平台。
