一种汽车通信中间件DDS的设计方法及装置

技术领域

本发明涉及汽车通信领域，具体而言，涉及一种汽车通信中间件DDS的设计方法及装置。

背景技术

在智能网联车辆中，车辆接收和处理的信息远超于传统车辆，为了实现各个节点的快速通信，各个厂家已经开始将DDS(Data Distribution Service数据分发服务)通信中间件部署在车辆中。

目前，现有技术更多关注于将DDS通信中间件部署在车辆的电子/电气系统中，来控制、管理和优化在网络中传输的数据流。然而，一旦DDS通信中间件的功能异常，将会导致车辆数据无法正确交互，从而造成不可控的车辆风险。

发明内容

本发明提供一种汽车通信中间件DDS的设计方法及装置，主要在于能够保证设计的DDS通信中间件满足功能安全需求，从而能够将风险控制在合理的范围内。

根据本发明实施例的第一方面，提供一种汽车通信中间件DDS的设计方法，包括：

确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；

对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；

若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；

基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；

基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

根据本发明实施例的第二方面，提供一种汽车通信中间件DDS的设计装置，包括：

确定单元，用于确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；

评估单元，用于对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；

所述确定单元，还用于若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；

制定单元，用于基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；

设计单元，用于基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

根据本发明实施例的第三方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：

确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；

对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；

若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；

基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；

基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

根据本发明实施例的第四方面，提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现以下步骤：

确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；

对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；

若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；

基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；

基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

本发明实施例的创新点包括：

1、采用工业通信中常见的错误对DDS通信中间件的功能异常进行假定是本发明实施例的创新点之一。

2、基于功能安全标准对假定的功能异常进行功能安全分析，提出安全机制，从而能够保证设计的DDS通信中间件满足功能安全需求是本发明实施例的创新点之一。

本发明提供的一种汽车通信中间件DDS的设计方法及装置，与现有技术相比，能够确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件，并对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级，若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求，与此同时，基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态，最终基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。由此可知，本发明通过假定DDS通信过程中出现的功能异常，并对该功能异常引发的危害事件进行风险评估，能够针对风险评估之后拥有ASIL等级的危害事件，得出顶层安全需求，并提出相应的安全机制，从而能够在根源上检测到错误，保证通信中间件进入安全状态，由此能够使设计的DDS通信中间件满足功能安全需求，可以将风险控制在合理的范围内。

上述说明仅是本申请技术方案的概述，为了能够更清楚了解本申请的技术手段，而可依照说明书的内容予以实施，并且为了让本申请的上述和其它目的、特征和优点能够更明显易懂，以下特举本申请的具体实施方式。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示出了本发明实施例提供的一种汽车通信中间件DDS的设计方法流程示意图；

图2示出了本发明实施例提供的一种汽车通信中间件DDS的设计装置的结构示意图；

图3示出了本发明实施例提供的另一种汽车通信中间件DDS的设计装置的结构示意图；

图4示出了本发明实施例提供的一种电子设备的实体结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，本发明实施例及附图中的术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

现有技术中一旦DDS通信中间件的功能异常，将会导致车辆数据无法正确交互，从而造成不可控的车辆风险。

为了克服上述缺陷，本发明实施例提供了一种汽车通信中间件DDS的设计方法，如图1所示，该方法包括：

步骤101、确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件。

其中，功能异常包括讹误、意外重复、错序、丢失、不可接受的延时、插入、伪装和寻址错误，不同驾驶场景包括自动驾驶在高速公路上高速行驶和车辆刚刚起步等。

本发明实施例主要适用于对DDS通信中间件进行概念设计的场景。本发明实施例的执行主体为能够基于SEooC方法对DDS通信中间件进行概念设计的装置或者设备。

对于本发明实施例，为了能够设计出满足功能安全需求的DDS通信中间件，需要对DDS通信中间件常见的功能异常进行假定，假定的功能异常具体包括讹误、意外重复、错序、丢失、不可接受的延时、插入、伪装和寻址错误。其中，讹误是指由于总线通信参与方内的错误、传输介质上的错误或者报文干扰，可能引起报文被破坏；意外重复是指由于错误或干扰，使得旧的未更新的报文在不正确的时间点被重复；错序是指由于错误或干扰，使得预定的与特定源点报文相关的序列(如自然数、时间参考)不正确；丢失是指由于错误或干扰，使得一个报文或者确认未被接收到；不可接受的延时是指报文可能被延时超出其允许的到达时窗，例如，由于传输介质上的错误、拥挤的传输路线、干扰，或者由于发送方处于服务被延时或拒绝的模式下；插入是指由于错误或干扰，接收了一个与非预期或未知的源点实体相关的报文；伪装是指由于错误或干扰，插入了一个与明显有效的源点实体相关的报文，因此非安全相关的报文可能被安全相关的通信参与方接收，并将其作为安全相关报文处理。

进一步地，当DDS通信中间件的上述功能异常发生时，将导致车辆不能接收到真实数据，从而使车辆不能正确地判定其处境，造成危害，在特定驾驶场景中，此类危害将直接造成危害事件，对车上的乘客和车辆外部的行人造成损害，即导致危害后果。例如，特定驾驶场景为车辆在高速公路上高速行驶，此时如果DDS通信中间件出现上述功能异常，所带来的危害，造成的危害事件和危害后果如表1所示。

表1

步骤102、对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级。

对于本发明实施例，在确定功能异常在不同驾驶场景中引发的危害事件之后，可以从严重度、可控性和暴露率三个维度，对异常功能在不同驾驶场景中引发的危害事件进行风险评估，得到各类危害事件对应的风险等级，之后根据各类危害事件对应的风险等级，确定功能异常所引发危害事件的最高风险等级。

需要说明的是，由于本发明实施例设计的DDS通信中间件是面向汽车行业的，整车中包括很多的ECU单元，而相同的通信功能异常在不同的ECU单元中造成的危害事件很可能不一样，因此所得到的风险等级也不同。

步骤103、若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求。

对于本发明实施例，如果分析的最高风险等级为QM，则说明功能异常造成的危害事件是在可接受范围之内，不需要额外的功能安全需求去检测功能异常，即不需要依据功能安全标准进行后续分析；相反如果分析的最高风险等级非QM，则需要去避免危害事件的发生，此时需要DDS通信中间件能够检测到功能异常，将危害事件控制在合理的范围之内，如果必要对功能安全异常进行分类整合，并确定功能异常对应的顶层安全需求，如表2所示。

表2

其中，数据完整性是指针对于安全相关应用，应提供数据完整性保证，以检测和处理由于外部错误或干扰造成的数据讹误；顺序完整性是指针对于安全相关应用，应提供顺序完整性保证，以检测和处理意外重复、错序、丢失和插入等危害事件；时间完整性是指针对于安全相关应用，应提供时间完整性保证，以检测和处理数据的延时是否在预定义的范围内；源完整性是指针对于安全相关应用，应提供源完整性保证，以确保数据被传递到正确的通信参与方，且数据来自正确的源。

步骤104、基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态。

对于本发明实施例，由于危害事件是由DDS通信中间件的功能异常造成的，因此需要定义安全机制去检测通信中假定的功能异常，从而保证顶层需求的实现。与此同时，还需要针对功能异常，设定相应的安全状态，以便在检测到通信中假定的功能异常时，能够使DDS通信中间件进入安全状态，从而将危害事件造成的危害控制在合理范围内。

步骤105、基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

对于本公开的一种可选实施方式，所述对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级，包括：对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，得到所述功能异常在不同驾驶场景中引发的危害事件的风险等级；根据所述功能异常在不同驾驶场景中引发的危害事件的风险等级，确定所述功能异常所引发危害事件的最高风险等级。

进一步地，所述对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，得到所述功能异常在不同驾驶场景中引发的危害事件的风险等级，包括：根据所述危害事件对应的危害后果，确定所述危害事件的严重度；根据所述危害事件发生时驾驶员对发生的所述危害事件的控制能力，确定所述危害事件的可控性；确定所述危害事件发生时驾驶场景的暴露率；基于所述严重度、所述可控性、所述暴露率，确定所述危害事件对应的风险等级。

具体地，在确定异常功能在不同驾驶场景中引发的危害事件之后，从严重度S、可控性C和暴露率E三个维度对危害事件进行风险评估，之后依据风险评估结果(SEC)对危害事件分类，如果相同的危害事件，拥有相同的ASIL等级，则可以合并；如果相同的危害事件，拥有不同的ASIL等级，则依据最高的ASIL等级进行后续分析。

其中，严重度包括四个级别，分别是S0、S1、S2和S3，S0代表无伤害，S1代表轻度和中度伤害，S2代表严重伤害(有生还可能)，S3代表致命伤害；暴露率包括四个级别，分别是E1、E2、E3和E4，E1代表很低的概率，E2代表低概率，E3代表中度概率，E4代表高概率；可控性包括四个级别，分别是C0、C1、C2和C3，C0代表完全可控，C1代表简单可控，C2代表一般可控，C3代表很难控制。

由此通过评估，能够得到各类危害事件分别在严重度、可控性和暴露率三个维度上的等级，之后综合各类危害事件在这三个维度上的等级，能够确定各类危害事件对应的最终风险等级，如表3所示，风险等级包括ASIL A、ASIL B、ASIL C、ASIL D和QM，其中，ASILA、ASIL B、ASIL C、ASIL D均代表危害事件的风险不在合理范围之内，需要额外的需求去检测功能异常，即需要依据功能安全标准进行后续分析，ASIL D的等级最高，ASIL A的等级最低，等级越高代表危害越大；QM代表危害事件的风险在合理范围之内。

表3

例如，车辆在自动驾驶过程中发生表1和表2中的危害事件，车辆在高速公路上行驶场景很常见，可以确定暴露率为E4，如果驾驶员没有参与驾驶，驾驶员对危害事件的可控性较低，可以确定可控性为C3，同时可以确定危害事件对乘客和行人造成危害的严重程度为S3，在这种情况下最终可以确定危害事件对应的风险等级为ASIL D。

需要说明的是，由于本发明实施例设计的DDS通信中间件是面向汽车行业的，整车中包括很多的ECU单元，而相同的通信功能异常在不同的ECU单元中造成的危害事件很可能不一样，因此所得到的风险等级也不同。例如，针对车身域，如果通信过程中出现相同的通信功能异常，其造成的危害事件与自动驾驶域中的不同，并且通过评估将得出不同的ASIL等级或者QM。由于本发明实施例设计的产品属于通信中间件，可以应用到车辆中的任何通信节点(ECU)中。

进一步地，为了产品的兼容性和安全性，本发明实施例将按照功能安全标准中的最高等级ASIL D的要求开发DDS通信中间件，因此能够满足QM，ASIL D，ASIL C，ASIL B和ASIL A的要求。此外，由于本产品得出的顶层需求目标是检测通信中的功能异常，将危害事件造成的危害控制在合理范围内，同时本产品是按照最高等级开发的，因此只要本产品假定的功能异常与车辆中任意ECU的通信功能异常相同，便可以使用本产品。

对于本公开的一种可选实施方式，在分析出功能异常所引发危害事件的最高风险等级之后，可以根据该最高风险等级，判定系统当前是否需要依据功能安全标准进行后续分析。基于此，所述方法还包括：若所述最高风险等级为ASIL等级，则确定所述系统当前需要额外的需求去检测或者避免功能安全异常，即系统当前需要依据功能安全标准进行后续分析；若所述最高风险等级为QM等级，则确定所述系统当前不需要依据功能安全标准进行后续分析。

具体地，如果最高风险等级为ASIL D，ASIL C，ASIL B和ASIL A中的任意一个等级，则说明系统当前需要依据功能安全标准进行后续分析，即需要去避免危害事件的发生，将风险控制在合理范围内；如果最高风险等级为QM等级，则说明系统当前不需要依据功能安全标准进行后续分析。

对于本公开的一种可选实施方式，异常功能可以被划分为四类，其中，第一类功能异常包括讹误，第二类功能异常包括不可接受的延时，第三类功能异常包括寻址错误、插入和伪装，第四类功能异常包括意外重复、错序、暂时性丢失和永久性丢失。针对每类功能异常，可以得出顶层需求，并制定相应的安全机制。基于此，所述基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，包括：当所述顶层安全需求为数据完整性时，分别计算发布端和订阅端的CRC校验码，若所述发布端的CRC校验码与所述订阅端的CRC校验码不一致，则确定发生所述第一类功能异常，并控制所述DDS通信中间件进入安全状态；当所述顶层安全需求为时间完整性时，分别检测所述发布端连续发送的消息之间的第一时间间隔，以及所述订阅端连续接收的消息之间的第二时间间隔，如果所述第一时间间隔或者所述第二时间间隔大于最大时间间隔，则确定发生所述第二类功能异常，并控制所述DDS通信中间件进入安全状态；当所述顶层安全需求为源完整性时，在所述订阅端基于源标识对接收的数据进行检测，若所述接收的数据来自错误的源，则确定发生所述第三类功能异常，并控制所述DDS通信中间件进入安全状态；当所述顶层安全需求为时序完整性时，所述订阅端基于时间戳和序列号对所述发布端发送的数据进行检测，如果所述订阅端未按照正确的时序接收到数据，则确定发生第四类功能异常，并控制所述DDS通信中间件进入安全状态。

第一类功能异常(讹误)对应的顶层安全需求为数据完整性，针对第一类功能异常(讹误)制定安全机制时，设计的DDS通讯中间件要确保发布端和订阅端的数据一致，防止传输过程中数据发生讹误，从而保证数据的完整性。具体地，可以在发布端对发布的数据进行CRC校验，并将CRC校验码添加到数据中，在订阅端对接收到的数据采用相同计算方式计算CRC校验码，并与发布端的CRC校验码进行比较，如果两者的CRC校验码不一致，DDS通讯中间件向用户报告故障信息，等待用户处理。

进一步地，第二类功能异常(不可接受的延时)对应的顶层安全需求为时间完整性，针对第二类功能异常(不可接受的延时)制定安全机制时，设计的DDS通讯中间件要确保发布端在每一个数据周期的截止时间内发送数据，订阅端在每一个数据周期的截止时间内接收到数据，防止发送数据和接收数据的延时，从而保证时间完整性。具体地，可以在发布端发布消息时添加时间戳，即发送消息时的时间，并且定义两个连续消息之间的最大时间间隔，之后发布端会检测连续发送消息之间时间戳，如果超出最大时间间隔，DDS通信中间件会向用户报告故障信息，等待用户处理；同理可以在订阅端接收消息时添加时间戳，即接收消息时的时间，并且定义两个连续消息之间的最大时间间隔，之后订阅端会检测连续接收消息之间时间戳，如果超出最大时间间隔，DDS通信中间件会向用户报告故障信息，等待用户处理。

进一步地，第三类功能异常(寻址错误、插入和伪装)对应的顶层安全需求为源完整性，针对第三类功能异常(寻址错误、插入和伪装)制定安全机制时，设计的DDS通讯中间件要确保发布端发布的所有消息均被匹配的订阅端接收到，并且以来自正确的源，从而确保源完整性。具体地，在发布端，可以为每条待发布的数据添加源标识，在订阅端基于源标识对接收的数据执行源完整性检查，以确保数据来自正确的源，从而防止寻址错误，伪装以及插入导致车辆危害事件发生，如果订阅端发现接收的数据来自非预期的源端，DDS通讯中间件会向用户报告故障信息，等待用户处理。

进一步地，第四类功能异常(意外重复、错序、暂时性丢失和永久性丢失)对应的顶层安全需求为时序完整性，针对第四类功能异常(意外重复、错序、暂时性丢失和永久性丢失)制定安全机制时，设计的DDS通讯中间件要确保发布端发布的所有消息均被匹配的订阅端接收到，并且以正确的时序接收到，从而确保时序完整性。具体地，在发布端，可以为每条待发布的数据添加序列号，并在订阅端基于序列号对接收的数据做顺序完整性检查，以确保接收数据的顺序与发布端发布的顺序一致，其中，序列号是以等差数列的方式产生，序列号最大值为每次发送数据个数的最大值，序列号最小值为1。此外，在发布端发布消息时添加的时间戳与发布消息时添加的序列号是同向递增的，确保序列号的顺序是按照时间递增的。在订阅端可以基于时间戳和序列号对接收的数据执行时序完整性检查，以确保数据是按着正确的时序接收，从而防止意外重复，错序和丢失。其中，丢失可以分为暂时性丢失和永久性丢失，暂时性丢失是指传输过程中丢包，可以进行二次重传；永久性丢失是指发布端丢包，无法进行消息重传。

进一步地，如果订阅端发现接收的数据有问题，且问题为错序、意外重复、暂时性丢失，DDS通讯中间件可以自行修复故障，即通知发布端重新发送数据，不向用户报告错误信息。如果连续重新发送数据都不行，则需要向用户报告错误信息。进一步地，如果订阅端发现接收的数据有问题，且问题为永久性丢失，DDS通讯中间件会向用户报告故障信息，等待用户处理。

在本公开的一种可选实施方式中，所述确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态，包括：当发生错序、意外重复、暂时性丢失时，所述DDS通信中间件自行修复；当发生讹误、延时、永久性丢失，插入，伪装，寻址错误时，所述DDS通信中间件向用户报告故障信息，并等待用户处理。需要说明的是，如果连续重新发送数据都不行，则需要向用户报告错误信息。本发明实施例得到的顶层安全需求，制定的安全机制和安全状态如下表所示。

表4

/>

在本公开的一种可选实施方式中，在将设计的DDS通信中间件集成到客户软件中时，客户需要确认基于SEooC的假设的有效性。基于此，所述方法还包括：在将所述DDS通信中间件集成到客户软件中时，验证所述DDS通信中间件是否与客户的需求一致。具体地，在集成DDS通讯中间件时，需要确认DDS通讯中间件假定的功能安全异常是否与客户的需求一致，以及是否按照供应商提供的安全手册的要求执行集成。在集成DDS通讯中间件后，需要验证DDS通讯中间件是否与客户的需求一致，如果上述条件均满足，则此时集成的DDS通讯中间件满足功能安全要求。

本发明实施例提供的一种汽车通信中间件DDS的设计方法，通过假定DDS通信过程中出现的功能异常，并对该功能异常引发的危害事件进行风险评估，能够针对风险评估之后拥有ASIL等级的危害事件，得出顶层安全需求，并提出相应的安全机制，从而能够在根源上检测到错误，保证通信中间件进入安全状态，由此能够使设计的DDS通信中间件满足功能安全需求，可以将风险控制在合理的范围内。

进一步地，作为图1的具体实现，本发明实施例提供了一种汽车通信中间件DDS的设计装置，如图2所示，所述装置包括：确定单元31、评估单元32、制定单元33和设计单元34。

所述确定单元31，可以用于确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件。

所述评估单元32，可以用于对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级。

所述确定单元31，还可以用于若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求。

所述制定单元33，可以用于基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态。

所述设计单元34，可以用于基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

在具体应用场景中，所述评估单元32，如图3所示，包括：评估模块321和确定模块322。

所述评估模块321，可以用于对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，得到所述功能异常在不同驾驶场景中引发的危害事件的风险等级。

所述确定模块322，可以用于根据所述功能异常在不同驾驶场景中引发的危害事件的风险等级，确定所述功能异常所引发危害事件的最高风险等级。

进一步地，所述评估模块321，可以具体用于根据所述危害事件对应的危害后果，确定所述危害事件的严重度；根据所述危害事件发生时驾驶员对发生的所述危害事件的控制能力，确定所述危害事件的可控性；确定所述危害事件发生时驾驶场景的暴露率；基于所述严重度、所述可控性、所述暴露率，确定所述危害事件对应的风险等级。

在具体应用场景中，所述确定单元31，还可以用于若所述最高风险等级为ASIL等级，则确定所述系统当前需要依据功能安全标准进行后续分析；若所述最高风险等级为QM等级，则确定所述系统当前不需要依据功能安全标准进行后续分析。

在具体应用场景中，所述各类功能异常包括第一类功能异常、第二类功能异常、第三类功能异常和第四类功能异常，所述制定单元33，可以具体用于当所述顶层安全需求为数据完整性时，分别计算发布端和订阅端的CRC校验码，若所述发布端的CRC校验码与所述订阅端的CRC校验码不一致，则确定发生所述第一类功能异常，并控制所述DDS通信中间件进入安全状态，其中，所述第一类功能异常包括讹误；当所述顶层安全需求为时间完整性时，分别检测所述发布端连续发送的消息之间的第一时间间隔，以及所述订阅端连续接收的消息之间的第二时间间隔，如果所述第一时间间隔或者所述第二时间间隔大于最大时间间隔，则确定发生所述第二类功能异常，并控制所述DDS通信中间件进入安全状态，其中，所述第二类功能异常包括不可接受的延时；当所述顶层安全需求为源完整性时，在所述订阅端基于源标识对接收的数据进行检测，若所述接收的数据来自错误的源，则确定发生所述第三类功能异常，并控制所述DDS通信中间件进入安全状态，其中，所述第三类功能异常包括寻址错误、插入和伪装；当所述顶层安全需求为时序完整性时，所述订阅端基于时间戳和序列号对所述发布端发送的数据进行检测，如果所述订阅端未按照正确的时序接收到数据，则确定发生第四类功能异常，并控制所述DDS通信中间件进入安全状态，其中，所述第四类功能异常包括意外重复、错序、暂时性丢失和永久性丢失。

在具体应用场景中，所述制定单元33，还可以具体用于当发生错序、意外重复、暂时性丢失时，所述DDS通信中间件自行修复；当发生讹误、延时、永久性丢失，插入，伪装，寻址错误时，所述DDS通信中间件向用户报告故障信息，并等待用户处理。

在具体应用场景中，所述装置还包括：验证单元35。

所述验证单元35，可以用于在将所述DDS通信中间件集成到客户软件中时，验证所述DDS通信中间件是否与客户的需求一致。

需要说明的是，本发明实施例提供的一种汽车通信中间件DDS的设计装置所涉及各功能模块的其他相应描述，可以参考图1所示方法的对应描述，在此不再赘述。

基于上述如图1所示方法，相应的，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现以下步骤：确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

基于上述如图1所示方法和如图2所示装置的实施例，本发明实施例还提供了一种电子设备的实体结构图，如图4所示，该电子设备包括：处理器41、存储器42、及存储在存储器42上并可在处理器上运行的计算机程序，其中存储器42和处理器41均设置在总线43上所述处理器41执行所述程序时实现以下步骤：确定DDS通信中间件在车辆通信过程中发生的功能异常，以及所述功能异常在不同驾驶场景中引发的危害事件；对所述功能异常在不同驾驶场景中引发的危害事件进行风险评估，确定所述功能异常所引发危害事件的最高风险等级；若根据所述最高风险等级确定系统需要依据功能安全标准进行分析，则将所述功能异常按照功能类型进行分类，得到各类功能异常，并确定所述各类功能异常对应的顶层安全需求；基于所述顶层安全需求和所述各类功能异常，制定相应的安全机制，并确定检测到所述各类功能异常时所述DDS通信中间件进入的安全状态；基于所述安全机制和所述安全状态，完成满足功能安全要求的DDS通信中间件的设计。

本发明实施例通过假定DDS通信过程中出现的功能异常，并对该功能异常引发的危害事件进行风险评估，能够针对风险评估之后拥有ASIL等级的危害事件，得出顶层安全需求，并提出相应的安全机制，从而能够在根源上检测到错误，保证通信中间件进入安全状态，由此能够使设计的DDS通信中间件满足功能安全需求，可以将风险控制在合理的范围内。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

本领域普通技术人员可以理解：实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。