软件架构安全的设计的本质是将和架构相关的软件安全需求SWSR应用于软件架构设计，初步确定软件功能安全实现的基本框架和方式，为后续软件详细设计提供基础。

除经典AUTOSAR的软件架构，将软件整体分为应用层，TRE通讯层，基础软件层外，为实现软件功能安全，还会将功能安全和非功能安全软件进行分层设计。例如E-Gas三层架构，将软件整体分为功能层，功能监控层和控制器监控层，其中功能层和功能监控层均属于AUTOSAR中应用软件层，控制器监控层为基础软件层，二者相互统一，并不矛盾。

总体来讲，根据不同的软件分层，软件架构安全设计基本分为两大部分：

功能监控层安全设计

基础软件安全设计

1、功能监控层安全设计

对于软件监控层架构安全设计而言，主要是将软件架构相关的SWSR，即错误探测和错误处理安全机制，应用于软件监控层的架构设计。

功能监控层属于独立于软件功能实现的功能安全开发内容，一般按照相应ASIL等级进行独立开发，对功能层中功能安全相关部分进行监控，包括输入输出诊断，逻辑监控，故障分类及故障优先级仲裁等。

在功能监控层软件架构设计，主要是将和架构相关的错误探测和错误处理等安全机制，应用于功能监控层架构设计。虽然根据不同类型的控制器，其安全机制具体实施有所差别，但总体而言，主要包含以下安全机制：

用于错误探测的安全机制包括：

1、输入输出数据的范围检查；

2、合理性检查(例如，使用期望行为参考模型、断言检查、或不同来源信号比较)；

3、数据错误探测（例如，检错码和多重数据存储）；

4、外部要素监控程序执行，例如，通过专用集成电路（ASIC）或者其他软件要素来执行看门狗功能。监控可以是逻辑监控或时间监控，或者两者的结合；

5、程序执行的时间监控；

6、设计中的异构冗余；或—在软件或硬件中实施的访问冲突控制机制，与授权访问或拒绝访问安全相关共享资源有关。

用于错误处理的安全机制可能包括：

1、为了达到和维持安全状态的功能关闭；

2、静态恢复机制（例如，恢复块、后向恢复、前向恢复以及通过重试来恢复）；

3、通过划分功能优先级进行平稳降级，从而最小化潜在失效对功能安全的不利影响；

4、设计中同构冗余，主要侧重于控制运行相似软件的硬件中瞬态故障或随机故障的影响(例如，软件在时间上的冗余执行)；

具体来讲，在功能监控层架构设计过程中，可以根据具体监控的功能，进行相应的异构冗余计算，对其输入，输出，进行范围及合理性检查，异构冗余计算程序执行过程进行时内部或外部要素的时间或逻辑监控，一旦发现错误，通过错误处理机制，将系统导入安全状态。

实例：以整车控制器加速踏板信号为例，其ASIL等级要求一般为D，为了实现该安全需求，需要从软件和硬件两个方面着手: 硬件安全方面主要是加速度传感器本身冗余及双路冗余采样等。软件安全方面主要是以上述安全机制的具体应用，例如，两路加速踏板传感器信号自身故障诊断，信号电压范围是否在有效范围内，和制动踏板信号之间的合理性检验，双路信号是否同步等等。

华菱咨询成立至今，我们的咨询师团队已经为5000多家企事业单位提供各项咨询及培训服务，并获得了客户及业界的一致好评，欢迎您选择、体验华菱咨询的优质服务。

经过20多年的发展与实践沉淀，华菱咨询将利用深厚的行业知识，帮助客户把握新机遇，评估和管理风险，以实现负责任的增长。华菱咨询高绩效的跨学科团队可帮助客户满足监管要求，确保客户及时了解信息并满足利益相关者的需求。华菱咨询将为客户提供全面的端到端的服务，利用技术的进步真正推动业务的发展。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。