ISO 26262准绳[1]分析了汽车周围中，功用平和联系ECU的拓荒流程。然而正在这些ECU软件内中，惟有一一面是功用平和联系的。为了裁汰非常的、辘集的功用平和联系组件

ISO 26262准绳[1]分析了汽车周围中，功用平和联系ECU的拓荒流程。然而正在这些ECU软件内中，惟有一一面是功用平和联系的。为了裁汰非常的、辘集的功用平和联系组件的拓荒事务，可能征战一个餍足ISO准绳的混杂ASIL编制，该编制包括餍足ASIL哀求的功用和没有条目控制的功用，它会利用到AUTOSAR操作编制和其他的根源软件模块。

ISO 26262准绳被越来越众地操纵正在功用平和联系ECU的软件拓荒流程中。正在拓荒的初始阶段，拓荒职员会对正正在拓荒的编制举行损害了解和危机评估。基于产生舛错的或者性、导致后果的告急水平以及舛错产生后车辆的可统制性，拓荒职员会拟订相应的功用平和目的，而且会讲明每一个目的需求到达的汽车平和完善性等第（ASIL等第），由A到D举行分类。

将扫数的软件元素标志ASIL等第，往往会导致正在功用组上浮现区别的ASIL分类。法则上，ECU内部扫数软件务必到达扫数功用组当中最高的平和等第，然而如此就极大地弥补了拓荒事务量。由于纵然辱骂平和联系的软件，也务必遵循平和流程的高哀求举行拓荒。

混杂ASIL编制可能让功用组通过得当的袒护方法，完成互相之间的分隔，使其不会彼此合扰，如此就将单个功用组的拓荒事务裁汰到其特定ASIL等第所需的哀求。这些袒护机制以AUTOSAR操作编制和其他根源软件模块的样式完成，ECU筑筑商不需求独立拓荒这些模块。

拓荒职员必定要确保通盘编制餍足功用平和需求，编制中的任何一个软件组件都不会影响这些功用平和哀求的完成。所以，对付没有平和联系的软件组件来说，独一的功用平和哀求便是必定要遵命无扰乱的法则。不受软件组件的扰乱，是由三天性格来界说的：

此时，可能通过经典的验证手腕来验证组件的无扰乱性，比方：代码审查；还可能利用特意拓荒的代码检讨器来检讨根源软件的无扰乱性[2]；当然，也可能正在软件中采用其他方法，去袒护软件不受硬件联系题目的扰乱。

MICROSAR OS SafeContext（图1）供应的袒护机制可能预防舛错地窜改内存实质。通过将每个功用组划分为所谓的OS application，每个功用组的数据都被分拨到了区别的内存分区中；利用措施的数据，诸如货仓的上下文联系数据以及要紧寄存器里的实质，也一道安插正在这些分区中。此时通过芯片内部的内存袒护单位（MPU）完成内存分区的拜访禁止。

当切换运转工作或终了任事措施时，操作编制会推行上下文的切换。此时会存储上下文数据，而且从新设备MPU，如此可能仅仅为切换后激活的工作或终了任事措施启用内存分区袒护（图2）。这个切换是由操作编制来推行的，而且操作编制自身是平和的。所以，AUTOSAR操作编制内中MICROSAR OS SafeContext被分拨了ASIL D的等第，而且遵循ISO 26262中界说的ASIL D等第举行拓荒。

监控功用平和联系编制中的措施流也辱骂常要紧的。AUTOSAR中界说的Watchdog Manager（图1）便是用于此主意，该模块是对MICROSAR OS SafeContext的填充。它是以SafeWatchdog[3]的样式完成，同时餍足ASIL D的哀求。该组件统制硬件WatchDog，并确保正在产生舛错时重置ECU。其余，该组件还监督利用措施工作的无误期间流程。拓荒职员可认为完成监控功用设备极少参数，比方措施流程、周期期间、最小/最大推行期间等。

其余，通过端到端袒护完成无扰乱的另一个哀求——牢靠的通讯（图1）。正在AUTOSAR模范中指定的E2ELib[4]的助助下，SafeCOM利用CRC和依序音问号来袒护要传输的数据。厉酷来说，这并不行确保平和通讯，而只是通讯中的完善性。软件无法预防因为硬件舛错导致的数据障碍，比方总线被危害。为确保平和通讯，务必正在硬件中非常采用极少方法，比方：冗余总线的样式。

正在ISO准绳中，由外部供应商拓荒并供应给ECU筑筑商的功用平和联系组件被称为“Safety Elements out of Context”(SEooC)，它们搜罗上面咨询的操作编制、看门狗办理器以及E2ELib。正在拓荒流程中，这些组件的供应商务必正在不熟谙ECU项主意环境下对预期的平和目的做出假设。所以，举动集成事务的一一面，ECU拓荒职员务必检讨所供应的SEooC的平和目的是否餍足其项主意哀求。其余，ECU拓荒职员还需求遵命软件模块的卓殊集成诠释。所以，每个SEooC都与平和手册一道供应，个中包括相合平和目的的集成诠释和假设。于是纵然正在有这些SEooC组件的环境下，ECU拓荒职员也得非常进入必然的精神去完工无误的利用和集成。不外跟将ECU内部扫数软件都提拔到最高ASIL等第比拟，事务量是显然下降的。

总结TÜV Nord于2012年认证了Vector为TMS570微统制器拓荒的救援SafeContext的操作编制，使其成为环球第一个通过ASIL D认证的AUTOSAR操作编制。目前Vector正正在将此拓荒手腕移动到其他芯片平台上，包括利用越来越众的众核处置器。

MICROSAR OS SafeContext与Safe Watchdog和SafeCOM根源软件模块一道利用，为功用平和联系的ECU供应了平和的拓荒根源，可用于施行混杂型ASIL编制。其余，区别于“freedom from interference in relation to memory access”的功用平和编制完成格式，Vector还将扫数根源软件和RTE完成到ASIL D等第。exida区别于2016年和2017年认证了Vector基于AURIX TC275拓荒的根源软件和RTE，都到达了ASIL D等第。如此，正在特定功用平和ECU中，推敲到上下文切换导致的CPU负载的增高，可能将功用软件和根源软件、RTE分拨到统一个内存片区，尽或者地裁汰上下文切换的频率，为功用平和ECU软件编制的策画供应了别的一种或者。

汽车测试网-建设于2008年，报道汽车测试技艺与产物、趋向、动态等 合系邮箱 marketing#auto-testing.net (把#改成@)