軟件安全開發的案例
ISO 26262安全的軟件開發流程
軟件架構設計包含了靜態設計和動態設計兩部分,其中靜態設計部分,架構層完成了分級層次的軟件結構,軟件組件的端口實現了標準中規定的軟件組件的外部接口。根據標準7.4.9中指出,軟件安全需求應該分配到軟件組件上,每個軟件組件應該根據分配給它的最高等級的ASIL來開發。
開發實現階段
開發實現階段是軟件工程中定義的系統開發的最中心的工作,它是完成系統實現的主要工作,因此在開發實現階段的安全保證也是Studio非常重要的工作。軟件的開發實現包括源碼的生成和轉化為目標代碼。
在ISO 26262-6的8.4.4中給出了軟件單元設計和在源碼級實現的屬性,包括:軟件單元的子程序和功能能夠正確執行相關步驟;軟件單元間保持接口一致;簡單性;可讀性和易理解性;魯棒性;易于修改和可測試性。如下表給出了我們工具符合標準的一些設計原則。
由于Studio的最終目標是生成安全可靠的代碼,包括軟件組件的內部算法,軟件組件間相互通信代碼,ECU配置等代碼,因此也需要符合標準中對于編碼的一些規范。
集成和測試階段
集成和測試階段是軟件開發的最后階段,它是正確高效運行軟件的必要保證。集成是按照系統設計的要求將各個模塊組裝成子系統或者是系統,測試驗證軟件開發是否正確的完成了需求。
根據ISO 26262-4中的規定,集成和測試階段包含三個階段和兩個目標。第一個階段是項目包含的每個元素的軟硬件集成;第二個階段是項目的所有元素集成一個完整的系統;第三個階段是本系統和其它系統的集成。第一個目標是根據需求和ASIL等級來測試系統對安全需求的符合性;第二個目標是驗證系統設計的功能需求和安全需求是否都完成。
展開 沃爾沃:敏捷開發中滿足ISO26262的軟件安全分析
與Simulink模型相比,手寫代碼具有較少的開發限制(例如,非強制性地遵守干凈的編碼標準)和更多與其他文件和函數的耦合。因此,分析不那么清晰的數據流需要付出更多的努力,這在開發中可能是不可承受的。
01 研究方法
研究過程中的一個關鍵決定是首先識別軟件中的所有錯誤類型,因為由于錯誤的多樣性,不確定哪些類型應該進行面向安全的軟件分析。以及哪些錯誤會影響軟件安全分析的目標實現。通常采用行動研究來處理這種情況:成立了一個從業人員參考小組,在行動研究周期中進行迭代。其成員包括一名軟件工程技術領導,一名軟件安全技術專家,一名高級安全工程師,一名軟件開發首席工程師,一名軟件架構師,一名高級軟件開發人員,以及一名負責開發車輛安全關鍵功能的產品負責人。任務包括以下內容:
1.根據給定的軟件開發過程和工作產品,識別應用軟件中可能發生的所有類型的錯誤;
2.針對已識別的錯誤類型,調查并記錄當前的解決方法
3.為尚未發現的錯誤類型指定預設解決方法;
4.審查面向安全的軟件分析方法的開發。
沃爾沃為未發現的錯誤類型提出了初始的解決方法。他們還設計了面向安全的軟件分析方法的框架。并且根據參考小組在行動研究周期中對這些建議提出的批判性的質疑,討論得出了初步的結果。在大約一年半的時間里,軟件安全分析方法基本上具體化了。之后將該方法應用于沃爾沃某大型ECU內部應用軟件,對分析方法進行了更多的調整。應用該方法的軟件有大約200個Simulink模型(產生大約80萬行代碼),由12個敏捷團隊開發。
展開 經緯恒潤SOA功能安全開發方案, 助力車企軟件定義汽車
目前,經緯恒潤已經為戴姆勒、現代、菲亞特克萊斯勒、一汽紅旗、一汽解放、東風、長安、上汽、吉利、長城、蔚來汽車、華人運通、合眾汽車、嵐圖汽車、博格華納、華域麥格納等國內外主流客戶提供了功能安全開發服務并得到客戶廣泛認可。未來,經緯恒潤將緊跟軟件定義汽車大勢,堅持自主創新,為智能汽車安全發展保駕護航!
官方免費 | 面向ISO26262高安全性應用的車載軟件開發
Ansys提供解決當前汽車行業合規ISO 26262高安全性車載軟件開發要求的解決方案 – Ansys SCADE。
研討會內容簡介:
ISO26262標準的簡單介紹,合規給車企帶來的必要性和挑戰以及Ansys SCADE解決方案的工具組成、技術特點和應對這些挑戰的方法。
適用人群:
車企OEM或零部件供應商,從事車載電子控制單元(ECU)系統&軟件集成、開發和測試的技術管理人員和工程師。
講師簡介:
周霄,2017年初加入Ansys系統事業部,負責SCADE產品在華北區的技術推廣、支持和咨詢工作。擁有10多年嵌入式安全關鍵軟件領域的從業經歷,曾先后就職于Honeywell,Wind River等跨國企業,承擔嵌入式軟件系統的開發、測試、咨詢和管理工作,熟悉航空航天、
軌交、汽車等領域嵌入式軟件的設計、開發和測試流程以及相應的安全標準。同時
積累了豐富的和這些領域國類外客戶的交流經驗。
報名方式
請掃碼下方二維碼
點擊報名:http://event.31huiyi.com/1837936022/index?c=jishulink
展開 
SCADE—產品級安全關鍵系統的MBD開發套件
基于形式化語言“SCADE”,語法嚴謹,減少代碼生成配置環節,一鍵從模型生成代碼,且代碼生成器通過ISO26262等行業安全標準認證(TCL3),行業目前經過安全認證(ASILD)的代碼生成器,適用于高安全軟件開發(適用于C和Ada),支持標定和NI/dSPACE等HIL橋接
SCADE Suite Gateway for Simulink:支持Simulink模型與SCADE模型的雙向轉換
SCADE Display:支持HMI詳細設計、仿真驗證、代碼自動生成。支持生成OpenGL/OpenGL Safety/OpenGL ES代碼,代碼生成器通過行業安全標準認證,適用于高安全軟件開發。SCADE Display是一款用于人機交互界面建模的專用工具,支持嵌入式圖形、顯示界面和HMI開發,以及安全關鍵型顯示界面的認證代碼生成,在汽車和工業等制造領域的企業中均用于HMI顯示軟件原型設計和開發
SCADE Test:用于需求驗證以及測試案例創建和管理的完整測試環境。用戶可以在主機和目標上自動執行測試案例,測量覆蓋率并管理任何SCADE應用的測試結果。借助SCADE Test,用戶可以盡早開始需求驗證并自動執行測試,以確保在早期開發階段實現合規性,減少后期成本高昂的設計變更。完整的交互式測試環境可通過圖形部件輕松實現原型構建和驗證;自動化完成模型測試執行、模型覆蓋結果報告以及硬件目標的測試轉換等功能。測試報告生成符合安全性標準(DO-178C、ISO 26262、EN 50128、IEC 61508)
SCADE Lifecycle:支持和ALM/PLM(例如DOORS、Reqtify、Polarion)進行橋接,實現生命周期數據管理、文檔自動生成等。
展開 官方免費 | 面向ISO26262高安全性應用的車載軟件開發
Ansys提供解決當前汽車行業合規ISO 26262高安全性車載軟件開發要求的解決方案 – Ansys SCADE。
研討會內容簡介:
ISO26262標準的簡單介紹,合規給車企帶來的必要性和挑戰以及Ansys SCADE解決方案的工具組成、技術特點和應對這些挑戰的方法。
適用人群:
車企OEM或零部件供應商,從事車載電子控制單元(ECU)系統&軟件集成、開發和測試的技術管理人員和工程師。
講師簡介:
周霄,2017年初加入Ansys系統事業部,負責SCADE產品在華北區的技術推廣、支持和咨詢工作。擁有10多年嵌入式安全關鍵軟件領域的從業經歷,曾先后就職于Honeywell,Wind River等跨國企業,承擔嵌入式軟件系統的開發、測試、咨詢和管理工作,熟悉航空航天、
軌交、汽車等領域嵌入式軟件的設計、開發和測試流程以及相應的安全標準。同時
積累了豐富的和這些領域國類外客戶的交流經驗。
報名方式
請掃碼下方二維碼
點擊報名:http://event.31huiyi.com/1837936022/index?c=jishulink
展開 【ANSYS線上直播回看】Ansys 面向ISO26262高安全性應用的車載軟件開發
『點擊觀看直播回放』
本次活動將介紹Ansys針對當前汽車行業合規ISO 26262高安全性車載軟件開發要求的解決方案 – Ansys SCADE。主要包括ISO 26262標準的簡單介紹,合規給車企帶來的必要性和挑戰以及Ansys SCADE解決方案的工具組成、技術特點和應對這些挑戰的方法。
此次網絡直播吸引了眾多觀眾在線觀看,在會后我們也陸續收到在線觀眾以及其他用戶前來詢問,在此附上本場網絡直播錄播內容,供大家回看學習。
▼▼▼2020 Ansys網絡研討會有獎反饋 - 可免費獲取本場錄播和講解資料,參與者均可獲得千元培訓券及技術鄰金幣獎勵!
域控軟件安全隔離關鍵技術剖析:MCU域 VS SOC域
圖4 MMU工作原理
安全隔離小結
安全隔離的底層原理是避免軟件對內存的不合理訪問,以滿足功能安全要求。硬件層面上,有MPU、MMU這樣的硬件進行程序內存空間的保護和約束;軟件層面上,容器化技術和虛擬化技術也能幫助用戶制定更靈活的隔離策略。但并不是說實現了這些安全隔離機制就等于完全滿足了安全隔離需求,還需要結合軟件和系統的正確設計來共同達成目標。
經緯恒潤功能安全團隊成立于2008年,系國內較早從事功能安全技術研究的團隊。作為功能安全、預期功能安全國家標準委員會成員,經緯恒潤的研發流程、生產流程已通過功能安全開發過程認證,功能安全開發過程達到ASIL-D,相關產品已成功服務于近百家國內外整車及零部件企業。
經緯恒潤功能安全軟件團隊可提供功能安全軟件開發技術咨詢服務,包括功能安全軟件階段流程/產品咨詢、L2監控算法開發集成和L3安全機制(安全通信、隔離、監控、執行和芯片AOU)的開發集成,控制器覆蓋動力域、底盤域、智駕域和車身域等。
未來,經緯恒潤將緊跟行業發展趨勢和市場需求,結合自身汽車電子產品研發和國內外咨詢實踐,一如既往地堅持自主創新道路,為智能汽車安全保駕護航。
了解更多:請致電 010-64840808轉6117或發郵件至market_dept@hirain.com(聯系時請說明來自技術鄰)
展開 功能更新丨HyperMesh:被動安全報告管理器ASRM 2024.1,助力汽車安全開發效率再升級
<p>Altair被動安全報告管理器(Altair Safety Report Manager, ASRM)2024.1版本目前已經正式發布。這個版本通過高度自動化的報告生成能力、廣泛的法規支持及新增模塊功能,為汽車碰撞安全分析與合規驗證提供了一站式解決方案,顯著提升開發效率與決策速度。</p><p><br></p><p><strong>核心功能亮點有哪些?</strong></p><p><br></p><p><strong>1、全流程自動化報告生成</strong></p><p><br></p><p>ASRM支持從數據輸入到PPT/HTML報告生成的全自動化流程,覆蓋模型信息、仿真質量統計、乘員保護要求、結構評估等關鍵內容。用戶可根據需求自定義模塊組合,快速生成符合全球主流安全法規的“第一眼報告”(First Sight Report),減少人工操作誤差,縮短開發周期。</p><p><img src="https://mmbiz.qpic.cn/mmbiz_png/x0yLiaf5fF6yibYKGX2Id7WI7ibFMwjVzOibdiayj000JMTUDkrxbagVAAxR8PdNyCso91EWpaicg1ibrpxveicXddh3Wg/640?wx_fmt=png&from=appmsg"></p><p><br></p><p><strong>2、多場景法規全覆蓋</strong></p><p><br></p><ul><li><strong>碰撞類型</strong>:支持前碰、側碰、后碰及座椅碰撞等多種場景。
展開 BMS功能安全開發流程詳解
下一步是定義系統架構,分配TSR給硬件和軟件,同時定義好軟件硬件接口HIS。
軟硬件接口規范應規定的硬件和軟件的交互,并與技術安全的概念是一致的,應包括組件的硬件設備,是由軟件和硬件資源控制支持軟件運行的。軟硬件接口規范應包括下面屬性:
a.硬件設備的工作模式和相關的配置參數,硬件設備的操作模式,如缺省模式;
b.初始化,測試或高級模式,配置參數,如增益控制,帶通頻率或時鐘分頻器。
c.確保單元之間的獨立性和支持軟件分區的硬件特性
d.共享和專用硬件資源,如內存映射,寄存器,定時器,中斷,I/O端口的分配。
e.硬件設備的獲取機制,如串口,并口,從,主/從
f.每個涉及技術安全概念的時序約束
硬件和其使用的軟件的相關診斷功能應在軟硬件接口規范中規定:
a.硬件診斷功能應定義,例,檢測過流,短路或過熱
b.在軟件中實現的硬件診斷功能
軟硬件接口規范在系統設計時制定,在硬件開發和軟件開發時被進一步細化。應使用表3列出的方法驗證系統設計對于技術安全概念的符合性和完備性。
四、硬件系統功能安全設計
硬件的詳細安全需求來自于TSR,系統架構及系統邊界HSI。
展開 集成安全帶系統模型開發 ¥200
目的是開發一個 FE 模型,該模型代表最近型號乘用車的帶有集成安全帶的座椅。有限元模型是使用 LS-DYNA 軟件開發的,并使用適當的 ATD 模型進行動態碰撞模擬。 進行了靜態測試以評估座椅變形和潛在的失效機制,以評估高強度前后碰撞碰撞中的乘員運動學和傷害。 所有測試數據,連同座椅拆卸測量和組件測試。
附件為
數值模型與實體結構:
乘員運動學和傷害分析:
車輛安全性能開發流程
---分享汽車安全性能開發流程
智能網聯汽車信息安全開發解決方案
信息安全開發咨詢服務
? 整車信息安全開發方案
相關項定義:針對安全功能、個人隱私、網聯通訊功能,詳細繪制信息流圖,明確評估對象邏輯和邊界
威脅分析與風險評估:采用STRIDE方法全面評估資產威脅類型,評估整車脆弱點,確定風險等級
信息安全需求確定:從云管端三個角度,全面設計信息安全縱深防護方案,明確各零部件信息安全要求,提升整車網絡安全水平
? 縱深防護網絡安全解決方案
車云安全:車云安全通信,雙向認證,云端實時監控車輛安全狀態
車載網絡安全:檢測車輛外部端口連接狀態,防御對外端口的惡意攻擊,監控車載網絡的惡意攻擊,并及時記錄和上報
ECU安全:提升ECU防護能力,防御非法篡改、DOS攻擊
信息安全組件開發服務
? IDPS(入侵檢測與防御系統)開發服務
應用于CAN和車載以太網的異常監測
及時識別和抑制網絡攻擊,降低黑客攻擊影響
集成報文協議、上下文規則集等多種異常識別方式
純軟件方案,可靈活部署于網關、Tbox、域控制器等ECU
搭配規則集配置工具,快速生成代碼
可提供安全運營中心搭建服務
小結
經緯恒潤能夠為OEM提供整車網絡安全開發服務,結合E/E架構開發流程,識別整車脆弱點,從云管端三個角度設計縱深防御安全體系,全面提升整車安全。此外,經緯恒潤可以提供網絡安全組件開發服務,包括IDPS(入侵檢測與防御系統)等網絡安全必需的軟件模塊,支持AUTOSAR適配,保證安全方案順利落地,為新車型開發提供助力。
展開 智能網聯汽車功能安全開發解決方案
概述
“安全”被普遍認為是智能駕駛汽車被用戶接受或者得到商業應用較大的問題,傳統汽車電子按照功能安全(ISO 26262,避免系統性故障及隨機硬件失效)標準進行安全設計,而智能駕駛汽車安全要求超越了功能安全范疇,尤其是L4及以上智能駕駛車輛中駕駛員將不再接管對車輛的控制權,功能安全要求演化為失效可工作(Fail-operational),產品設計需要兼顧預期功能安全(ISO/PAS 21448,解決產品性能受限及駕乘人員誤操作)、信息安全(ISO/SAE 21434,防御網絡攻擊)等多重安全需求。
經緯恒潤結合自身汽車電子產品研發實踐,功能安全咨詢團隊在智駕域提供覆蓋安全流程、產品開發認證及工具平臺的綜合解決方案。
智能駕駛功能安全流程搭建
智能駕駛安全產品開發及認證
通過功能安全模板、開發實例及定制的Workshop給客戶提供專業的咨詢服務。
智能駕駛功能安全開發平臺
結合客戶工程需求,恒潤會協助構建適配智能駕駛的高可靠、高自動化功能安全平臺,以基于模型的安全分析為重要手段驅動智能駕駛產品架構及設計不斷持續改進。
依托Medini平臺及豐富的API接口可以構建完整的基于模型開發的功能安全平臺,所有的系統功能和系統架構基于SysML模型描述,基于這些系統設計,可以直接一鍵生成FMEA表格,以及快速的構建故障樹,進行FTA。在集成化的平臺里,可以管理安全目標、安全需求,并把安全需求分配給對應的系統和組件。進而,安全需求、系統設計、安全分析三者可以統一平臺中進行連接、交互和管理。
展開 電池系統開發及功能安全需求
電池系統開發及功能安全需求
