Autosar知识：方法论-安全扩展

此用例提供了安全扩展使用的概述。

 

 

ISO 26262[18]是适用于基于电子和软件的道路车辆系统功能安全的标准，它影响几乎所有的开发活动，包括软件规范、设计和实现。安全扩展允许在AUTOSAR上下文中对安全信息进行标准化交换，并为ISO 26262要求的一致性管理提供基础。额外的安全相关信息可用于生成文件或检查ASIL约束(w.r.t.分配、映射、分解和层次结构)，这些都是ISO 26262规定的。AUTOSAR方法侧重于信息的创建和细化。相应的分析超出了本文的范围。

根据ISO 26262，安全扩展提供了以下方式来表达安全信息:

• 安全要求(人工制品安全要求)

• 安全措施(人工制品安全措施)

• 安全完整性级别:安全要求、安全措施和任何AUTOSAR元素的属性

• 安全需求分解:原始需求与分解需求之间的参考(任务分解安全需求)

• 安全要求细化:原要求与细化要求之间的参考(任务细化安全要求)

• 安全需求分配:安全需求与AUTOSAR元素之间的参考(任务分配安全需求)

• 安全措施分配:安全措施与AUTOSAR元素之间的引用(任务分配安全措施)

• 安全要求和安全措施之间的映射(任务映射安全要求到安全措施)

• 安全要求之间的独立关系(任务添加独立关系)

安全相关信息可以独立交换，因此可以合并到单独的可交付安全扩展中。

 

活动定义安全信息

活动定义安全信息(参见图2.69)表示定义安全相关信息的通用模式。安全扩展不局限于特定的AUTOSAR元素，因此可以在AUTOSAR方法的几个阶段中以迭代的方式添加和修改安全相关信息。因此，一些嵌套任务使用的AUTOSAR元素是使用通用的AUTOSAR工件建模的。AUTOSAR方法没有规定任务的显式执行顺序。关于执行顺序的唯一限制是由输入和输出关系给出的(例如，显然，在可以分解安全需求之前，必须定义它)。

制定安全规定

当然，这个过程从定义安全需求的任务开始。此任务创建安全需求并分配所需的属性(如ASIL)。最高安全要求是一个安全目标，是危害分析和风险评估的必然结果。如果安全要求不够详细，不能将其直接分配到适当的AUTOSAR元素中，则有必要首先对其进行细化(任务细化安全要求)。改进将添加新的安全需求，这些需求与现有的安全需求是层次关系。ASIL作为每个安全目标的属性被维护，并通过功能安全需求(作为功能安全概念的一部分)和技术安全需求(作为技术安全概念的一部分)的后续级别一致地继承。后者将被细化为SW和HW安全要求。

安全规定的分配

每个安全需求必须正确分配到系统架构的一个元素，即组件、硬件、软件或两者(硬件和软件)。因此，AUTOSAR元素可能会收到ASIL，表明它处于ISO 26262开发的范围内。

按任务分配安全要求进行分配。如果安全需求不可用，或者不能与规范一起交换，AUTOSAR实现至少必须知道元素是在安全上下文中使用的。因此，任务为AUTOSAR元素定义ASIL，直接将ASIL属性分配给AUTOSAR元素(独立于分配)。特别是在SEooC(上下文外的安全元素)开发的情况下，当安全需求在开发时还没有完全被了解时，ASIL属性通过与最终确定的安全需求相匹配的假设，支持在开发的后期阶段对这些部分进行集成和验证。

安全要求分解

为了调整ASIL的安全要求，可以应用ASIL分解。分解是通过任务分解安全需求来完成的。根据ISO 26262，一个需求可以分解为两个需求。在ASIL分解的上下文中，结果需求的独立性(干涉的*)必须被证明(任务添加独立性关系)。

安全措施的定义

系统的安全性是通过在开发过程的各个阶段应用的安全措施和在系统中应用的多种技术中的安全机制来实现的。安全措施和安全机制由任务定义安全措施生成的工件安全措施表示。在任务分配安全措施中，为了描述安全措施的提供所涉及的要素，将AUTOSAR中实现的安全机制安全措施分配给AUTOSAR要素。任务映射到安全措施的安全需求创建了安全措施和安全需求之间的映射。

下列专门活动演示了安全扩展在不同开发阶段的使用，并被集成到相应的用例中:

• 定义VFB安全信息

• 定义软件组件安全信息

• 定义系统安全信息

工作流程：