Flexible Safety Addons  

       在安全标准 IEC 61508-7 附件 A.9 中给出了逻辑和时间程序流监控的目标：“检测有缺陷的程序序列。如果存在有缺陷的程序序列，或者处理器的时钟出现故障，则程序的各个元素（例如软件模块、子程序或命令）以错误的顺序或时间周期进行处理。” 
       这种常见的安全要求是产品安全附加组件的目的。 
       安全附加组件允许单独监控和检查每个目标的逻辑顺序和时序。 为了达到最高的诊断覆盖率水平，逻辑和时间监控组合在检测潜在的缺陷程序序列方面非常高效。

       逻辑程序流
       程序流控制：程序流安全措施是所有安全标准中归类为“highly recommended”的措施。逻辑程序流控制对系统功能执行逻辑检查。系统功能可以是单个函数、一组操作或 RTOS 任务。
 
                                 图1 程序流监控应用

       程序流控制检测： 
· 错误的执行顺序 - 函数或任务的执行顺序与预期不同 
· 函数执行缺失 - 预期的函数或任务执行被跳过或抑制 
· 额外的函数执行 – 非预期的函数或任务执行被执行

      时间程序流
       时间预算监控：使用时间程序流监控与逻辑程序流控制相结合，以实现程序流安全措施的完整性。 时间程序流监控在系统中执行与时间相关的检查
 
                                  图2 时间预算监控应用

       时间预算监视器可以检测： 
· 运行时间超出范围 - 函数或任务运行速度比预期快或慢 
· 周期时间超出范围 - 函数调用或任务激活的时间比预期快或慢 
· 中断负载超出范围 - 自上次检查以来的中断激活次数高于预期

       E2E通信
       Black-channel通信：当你需要通过不安全的通信通道传输安全数据时，端到端保护通信 (E2E) 是一种可选的安全实现。直接在传输的数据中添加数据保护，使接收端能够识别通信错误。
 
                                      图3 black-channel通信应用

       E2E 保护检测下列通信故障： 
· 重复的消息 – 通信栈始终传递相同的消息 
· 丢失的消息 - 流量过多，导致通信溢出 
· 插入的消息 - 对标准通信的操纵攻击（见注释） 

       注意：通信是针对安全问题进行保护。 当您需要应对网络攻击时，信封需要签名和加密。
· 消息序列 - 以错误的顺序传递消息 
· 损坏的消息 - 数据传输中的问题 
· 识别消息发送者 - 用于支持 N 个发送者与 1 个接收者通信


Addon模块的要求源自安全标准，Addon模块包含程序流监控（Program flow monitor）、时间预算看门狗（Time budget watchdog）、CRC模块及端到端保护，通过了安全预认证。

       程序流监控：程序流监控检查程序逻辑序列。
· 无限长度的执行流 
· 函数执行 
· ISR 处理程序执行 
· RTOS任务执行 
· 无限数量的执行流

       时间预算看门狗：时间预算看门狗提供对实际运行时消耗检查。
· 函数监控 
· RTOS 任务监控 
· IRQ 请求监控 
· 基于任何时间基准测量

       CRC 模块：该模块提供循环冗余校验和的计算
· 定义多种算法 
· 支持硬件CRC模块 
· 性能优化设计

       端到端保护：该模块提供安全数据的通讯保护。
· 每个通道的单独长度
· 启动后自动同步 

       Addon使用灵活

       安全插件旨在为使用任意交叉编译器及硬件组合提供符合标准的安全措施。提供了与Flexible SafetyRTOS的集成。在其他操作系统中的使用很简单，提供了在使用不同安全能力的多个核之间的端到端通信示例。

       预认证解决方案：包含经过验证的算法，可用于多个领域： 

· 工业：IEC 61508 - SIL3 
· 医疗：IEC 62304 - C 类 
· 汽车：ISO 26262 - ASIL D

       独立的组件：Addon独立于硬件和工具，这为您的项目设计提供了最大可能的灵活性： 
· 使用任何符合 ANSI C99 的编译器 
· 已经集成到Flexible Safety RTOS 中 
· 在任何硬件上使用

       安全指南：安全插件提供如何实现目标诊断覆盖率的文档指南。 
· 详细的安全手册
· 用户指南和 API 参考手册
· 示例项目