基于自适应平台汽车开放系统架构的内存数据安全验证系统及方法

技术领域

本发明属于自动驾驶领域，具体是基于自适应平台汽车开放系统架构的内存数据安全验证系统及方法。

背景技术

随着自动驾驶和智能网联技术的飞速发展，传统的AUTOSAR平台（ClassicalAutosar）已不能独立满足日益复杂的汽车电子控制功能需求，尤其是针对面向服务的架构开发以及使用高性能的处理器，传统的Adaptive Autosar（自适应平台汽车开放系统架构）虽然能够满足高技能计算的要求，但是自动驾驶技术需要高安全性的要求，通常来说实现L3,L4级别的自动驾驶技术需要某些功能的功能安全等级达到ASILD，而目前AdaptiveAutosar标准由于随机硬件失效存在内存数据丢失及损坏的问题，所以目前AdaptiveAutosar标准所列出的通用安全机制如E2E保护、逻辑监控等无法完全支撑ASILD级别安全功能的实现。

发明内容

发明目的：提供基于自适应平台汽车开放系统架构的内存数据安全验证系统及方法，以解决现有技术存在的上述问题。

技术方案：基于自适应平台汽车开放系统架构的内存数据安全验证系统包括：平台健康管理模块，与处理器连接，所述平台健康管理模块对处理器的输入和输出数据进行数据完整性验证；

内存数据安全验证模块，存储在平台健康管理模块中，所述内存数据安全验证模块对非易失性存储器的功能集数据、应用数据、服务数据，以及相应的配置数据进行数据完整性验证。

在进一步的实施例中，所述内存数据安全验证模块包括卡滞故障检测单元，寻址故障检测单元，以及开路故障检测单元。

所述卡滞故障检测单元检测数据、地址的卡滞故障。

所述寻址故障检测单元检测内存数据的寻址故障。

所述开路故障检测单元检测内存数据的开路故障，通过在自适应平台汽车开放系统架构的平台监控管理模块中增加内存数据安全验证机制，检测非易失性存储器存在的数据、地址的卡滞故障，寻址故障以及开路故障，从而保证相应数据的完整性，满足基于自适应平台汽车开放系统架构平台功能的功能安全要求。

本申请的内存数据安全验证机制是集成在平台健康管理模块一系列安全机制的合集，用户在配置使用时需根据实际安全分析的结果，选取合适的安全机制，保证在满足安全的同时保证性能需求。

在进一步的实施例中，所述内存数据安全验证模块还包括存储器特征码生成器模块、检验和生成器模块、健康通讯模块、数据安全验证模块、看门狗模块、以及错误通知模块。

所述存储器特征码生成器模块负责在程序运行中进行存储器特征码的生成。

所述检验和生成器模块负责对存储器特征码的检验，以及生成检验结果。

所述健康通讯模块负责将上电自检的结果从操作系统收集并发送至数据安全验证模块。

所述数据安全验证模块负责对收集的数据进行数据对比，生成相应的数据健康状态，以及根据健康状态采取相应的应对措施。

所述看门狗模块负责对内存数据安全验证系统进行重置的操作。

所述错误通知模块负责将错误通知至上层应用。

基于内存数据安全验证系统的验证方法包括S1. 采用连续的多项式除法生成存储器内数据的特征码，作为标准特征码并存储。

S2. 在工作周期内，按照预定时间再次生成当前状态的特征码。

S3. 将当前状态的特征码与所述标准特征码比较，若一致，则判定功能正常运行。

S4. 当车辆上电后，内存数据安全验证模块即启用，在上电期间对内存进行上电自检，平台健康管理模块将对内存数据安全验证模块的检测结果进行收集，若检测结果无问题，则系统正常上电，功能可正常开启。

在进一步的实施例中，当内存数据安全验证模块检测结果是数据异常，则平台健康管理模块将进行系统重置并重新执行上电自检，若重置次数超过3次，则功能停止运行，则在车辆驾驶周期内无法再次开启。

基于内存数据安全验证系统的验证方法，在内存数据安全验证功能开启后平台健康管理模块会对内存数据进行周期性的校验，校验方法包括校验和生成器模块对存储器特征码进行校验，若无异常状况，则功能正常运行，若出现异常状况，则将错误信息通知至上层应用，并执行预定的安全措施。

基于内存数据安全验证系统的验证方法，所述存储器特征码的具体实现方式如下：通过使用循环冗余检验算法CRC将内存数据压缩成一个或多个字节，通过使用多项式生成器对其执行连续的多项式除法，得到的余数作为特征码并存储在存储器块中，在进行数据校验时，对特征码进行重新的计算，并与预留的特征码进行相应的比较，若无差别或差异在预定范围内，则存储数据正常，若差异超过预定范围，则判断存储数据异常。

基于内存数据安全验证系统的验证方法，所述校验和生成器模块的具体实现方式如下：通过使用预定的算法对存储器块中的每个字生成相应的校验和并作为额外的字存储在ROM中，在数据校验时，通过使用相同的预定算法生成一次校验码并把该结果与存储的值进行相应的比较，若无差别或差异在预定范围内，则存储数据正常，若差异超过预定范围，则存储数据异常。

在进一步的实施例中，所述存储器特征码生成算法包括将存储在随机存取存储器的数据以字节串的形式进行表示则字节串的表达式为：

A(x)=A

存储器特征码的生成多项式为：

G(x)=x

用二进制则表示为10001000000100001将字节串的内容左移16位并除以生成多项式以得到存储器的特征码

A(x)*x

其中A(x)为存储器特征码的字节串表达式，G(x)存储器特征码的生成多项式，Q(x)为商，R(x)则为存储器的特征码，x为进制的表示，如x=2则二进制，x=8则为八进制。

将R(x)的值存储在相应的存储块中，作为该段数据的存储器特征码，在后续系统正常运行过程中可以周期性的计算并比较。

在进一步的实施例中，所述校验和生成器模块的预定算法包括将存储在随机存取存储器的数据以字节串的形式进行表示则字节串的表达式为：

A(x)=A

将字节串的数据以两个字节为一组，划分成(n+1)/2组数据,生成长度为2个字节的数据组，记为

M=[M

将M数据组的数据累加，生成一个长度为4个字节的数据，记为

N=M

将N的4个字节划分为2组，分别为前两个字节为一组的H以及后两个字节为一组的K，将H与K相加，则得到L=H+K，最后将L存储在相应的存储块中，作为该段数据的校验和，在后续系统正常运行过程中可以周期性的计算并比较。

有益效果：本发明公开了基于自适应平台汽车开放系统架构的内存数据安全验证系统及验证方法，通过对功能集、应用、服务以及对它们相对应的配置数据进行数据完整性验证，解决由于随机硬件失效导致的内存数据丢失及损坏的问题，保证自适应平台汽车开放系统架构平台上的功能能够安全的运行。

附图说明

图1是本发明的内存数据安全验证机制的软件架构图。

图2是本发明的平台健康管理模块工作流程图。

图3是本发明的校验和生成器模块工作流程图。

图4是本发明的存储器特征码生成器模块工作流程图。

具体实施方式

在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。

申请人在研发自动驾驶系统时发现传统的Adaptive Autosar虽然能够满足高技能计算的要求，但是自动驾驶技术需要高安全性的要求，通常来说实现L3,L4级别的自动驾驶技术需要某些功能的功能安全等级达到ASILD，而目前Adaptive Autosar标准由于随机硬件失效存在内存数据丢失及损坏的问题，所以目前Adaptive Autosar标准所列出的通用安全机制如E2E保护、逻辑监控等无法完全支撑ASILD级别安全功能的实现，为了解决上述问题，申请人研发了一种基于自适应平台汽车开放系统架构的内存数据安全验证系统及验证方法。

基于自适应平台汽车开放系统架构的内存数据安全验证系统包括：与处理器连接的平台健康管理模块，平台健康管理模块对处理器的输入和输出数据进行数据完整性验证。

存储在平台健康管理模块中的内存数据安全验证模块，内存数据安全验证模块对非易失性存储器的功能集数据、应用数据、服务数据，以及相应的配置数据进行数据完整性验证。

工作原理：在自适应平台汽车开放系统架构的平台健康管理模块加入内存数据安全验证机制通过对功能集、应用、服务以及对它们相对应的配置数据进行数据完整性验证，解决由于随机硬件失效导致的内存数据丢失及损坏的问题，保证自适应平台汽车开放系统架构平台上的功能能够安全的运行。

本申请可应用于高安全等级要求且高计算性能要求的自动驾驶及智能座舱领域，在自适应平台汽车开放系统架构的基础上，通过在平台健康管理模块提供内存数据的安全验证机制，满足针对数据部分ASILD等级的功能安全要求，从而支持高安全等级功能的要求。

在进一步的实施例中，内存数据安全验证模块包括卡滞故障检测单元，寻址故障检测单元，以及开路故障检测单元。

卡滞故障检测单元检测数据、地址的卡滞故障。

寻址故障检测单元检测内存数据的寻址故障。

开路故障检测单元检测内存数据的开路故障。

内存数据安全验证机制是集成在平台健康管理模块一系列安全机制的合集，用户在配置使用时需根据实际安全分析的结果，选取合适的安全机制，保证在满足安全的同时保证性能需求。

通过在自适应平台汽车开放系统架构的平台监控管理模块中增加内存数据安全验证机制，检测非易失性存储器存在的数据、地址的卡滞故障，寻址故障以及开路故障，从而保证相应数据的完整性，满足基于自适应平台汽车开放系统架构平台功能的功能安全要求。

在进一步的实施例中，如图1所示内存数据安全验证模块还包括存储器特征码生成器模块、检验和生成器模块、健康通讯模块、数据安全验证模块、看门狗模块、以及错误通知模块。

存储器特征码生成器模块负责在程序运行中进行存储器特征码的生成。

检验和生成器模块负责对存储器特征码的检验，以及生成检验结果。

健康通讯模块负责将上电自检的结果从操作系统收集并发送至数据安全验证模块。

数据安全验证模块负责对收集的数据进行数据对比，生成相应的数据健康状态，以及根据健康状态采取相应的应对措施。

看门狗模块负责对内存数据安全验证系统进行重置的操作。

错误通知模块负责将错误通知至上层应用。

在进一步的实施例中，基于内存数据安全验证系统的验证方法包括S1. 采用连续的多项式除法生成存储器内数据的特征码，作为标准特征码并存储。

S2. 在工作周期内，按照预定时间再次生成当前状态的特征码。

S3. 将当前状态的特征码与所述标准特征码比较，若一致，则判定功能正常运行。

S4. 当车辆上电后，内存数据安全验证模块即启用，在上电期间对内存进行上电自检，平台健康管理模块将对内存数据安全验证模块的检测结果进行收集，若检测结果无问题，则系统正常上电，功能可正常开启。

在进一步的实施例中，当内存数据安全验证模块检测结果是数据异常，则平台健康管理模块将进行系统重置并重新执行上电自检，若重置次数超过3次，则功能停止运行，则在车辆驾驶周期内无法再次开启，通过避免反复启动车辆降低车辆电气元件的寿命损耗。

在进一步的实施例中，如图2所示在内存数据安全验证功能开启后平台健康管理模块会对内存数据进行周期性的校验，校验方法包括校验和生成器模块对存储器特征码进行校验，若无异常状况，则功能正常运行，若出现异常状况，则将错误信息通知至上层应用，并执行预定的安全措施。

在进一步的实施例中，如图3所示存储器特征码的具体实现方式如下：通过使用循环冗余检验算法CRC将内存数据压缩成一个或多个字节，通过使用多项式生成器对其执行连续的多项式除法，得到的余数作为特征码并存储在存储器块中，在进行数据校验时，对特征码进行重新的计算，并与预留的特征码进行相应的比较，若无差别或差异在预定范围内，则存储数据正常，若差异超过预定范围，则判断存储数据异常。

在进一步的实施例中，如图4所示校验和生成器模块的具体实现方式如下：通过使用预定的算法对存储器块中的每个字生成相应的校验和并作为额外的字存储在ROM中，在数据校验时，通过使用相同的预定算法生成一次校验码并把该结果与存储的值进行相应的比较，若无差别或差异在预定范围内，则存储数据正常，若差异超过预定范围，则存储数据异常。

在进一步的实施例中，存储器特征码生成算法包括将存储在随机存取存储器的数据以字节串的形式进行表示则字节串的表达式为：

A(x)=A

存储器特征码的生成多项式为：

G(x)=x

用二进制则表示为10001000000100001将字节串的内容左移16位并除以生成多项式以得到存储器的特征码

A(x)*x

其中A(x)为存储器特征码的字节串表达式，G(x)存储器特征码的生成多项式，Q(x)为商，R(x)则为存储器的特征码，x为进制的表示，如x=2则二进制，x=8则为八进制。

将R(x)的值存储在相应的存储块中，作为该段数据的存储器特征码，在后续系统正常运行过程中可以周期性的计算并比较。

在进一步的实施例中，存储器特征码的本质基础为线性编码原理，通过采取适当的生成多项式，进行连续的多项式除法，可以探测到所有的单个位失效和大部分多位失效，其多位失效探测的诊断覆盖率取决于生成多项式的长度，但存储器特征码对于运算性能要求较高，需根据实际CPU性能考虑，而汽车自动驾驶过程中有需要进行数据的快速计算才能保证自动驾驶的安全性。

为了解决上述问题，校验和生成器模块的预定算法包括将存储在随机存取存储器的数据以字节串的形式进行表示则字节串的表达式为：

A(x)=A

将字节串的数据以两个字节为一组，划分成(n+1)/2组数据,生成长度为2个字节的数据组，记为

M=[M

将M数据组的数据累加，生成一个长度为4个字节的数据，记为

N=M

将N的4个字节划分为2组，分别为前两个字节为一组的H以及后两个字节为一组的K，将H与K相加，则得到L=H+K，最后将L存储在相应的存储块中，作为该段数据的校验和，在后续系统正常运行过程中可以周期性的计算并比较。

校验和算法通过对数据进行相应的运算，最终生成校验和，其探测率与最终的校验和长度有关，校验和能够较好的探测单个位失效，且对于运算性能要求较低，通过将存储器特征码与校验和互补的使用并调整生成的多项式和校验和长度，可以较好的覆盖单个位失效和大部分多位失效，并减少运算性能的需求量，能够满足自动驾驶过程中的数据快速运算，保证自动驾驶的安全性。