SAFERTOS for Automotive

（https://www.highintegritysystems.com/rtos/safety-critical-rtos/embedded-rtos-for-automotive/）

WHIS针对日益增长的安全嵌入式解决方案需求，在联网环境中提供响应性、丰富的功能，为汽车应用创建了一个完整的RTOS软件包：

SAFERTOS：SAFERTOS是一个高性能、低空间占用的实时内核，通过ISO 26262 ASIL D预认证。

SAFECheckpoints: 满足ISO 26262 ASIL C&D软件设计需求，提供运行时监控。

OSEK操作系统适配层：创建适合汽车设计的嵌入OSEK的操作系统包

应用组件采用模块化设计，用户可以根据应用需要，灵活选择：

· SAFERTOS

· SAFERTOS&SAFECheckpoints

· SAFERTOS&OSEK操作系统适配层

· SAFERTOS&SAFECheckpoints&OSEK操作系统适配层

SAFERTOS通过ISO 26262 ASIL D安全预认证

 SAFERTOS 通过ISO 26262-2, -6,-8 ASIL D预认证，是一个完美的汽车实时操作系统解决方案。

ISO 26262标准是基于IEC 61508改编的面向对汽车电气/电子系统的功能安全标准。ISO 26262定义了汽车设备的功能安全，适用于所有汽车电子和电气安全相关系统的整个生命周期，以确保满足安全要求。

ASIL D 是ISO 26262标准的最高安全等级，通过对车辆运行场景的潜在危害执行风险分析，根据车辆操作场景中的严重度（Severity）、暴露率（exposure）和可控性（controability）评估危害事件的风险级别-ASIL等级。

在设计SAFERTOS时，我们的工程师对安全目标和所需的ASIL级别进行了假设。这些安全目标在SAFERTOS安全手册以及安装和集成说明中进行了描述。使用SAFERTOS的开发人员需要确认SAFERTOS定义的安全目标符合其项目的要求。

SAFERTOS支持ISO 26262 -2，-6，-8 ASIL D认证，用于汽车安全产品。

OSEK操作系统适配层（可选）

OSEK是一个开放标准，由汽车行业成立的一个联盟发布。OSEK旨在为汽车中的各种电子控制单元（ECU）提供标准的软件架构。

SAFERTOS提供可选的OSEK操作系统适配层，支持OSEK操作系统一致性类BCC1, BCC2, ECC1和ECC2。使SAFERTOS可以作为OSEK OS兼容系统中的插入式组件使用，用于汽车嵌入式系统。

SAFECheckpoints 运行时监控(可选)

ISO 26262中期望通过运行时验证实现检测、指示和处理ASIL C和D级的软件内的系统故障。

SAFERTOS包含大量的内置错误检查程序。此外，可选的SAFECheckpoints模块为SAFERTOS提供了丰富的任务监控能力，确保任务调度的发生符合预期。Checkpoints机制允许用户为临界代码指定时间容忍度，可以保证：

· 定期执行的任务会在时间容忍范围内运行

· 任务中的处理部分按时完成

· 中断事件到处理任务的处理在允许的时间范围内完成

· 涉及多个任务完成的复杂功能在允许的时间内完成

每个检查点可以指定其回调函数或激活的系统错误hook函数

· 可以创建单次或周期检查点

· 周期检查点可以以固定或相对时间模式操作

功能安全&性能

在道路车辆应用中，降低风险是必要的，如果它们失败，可能会危及生命。

SAFERTOS在保证安全性的前提下，提供了高性能。SAFERTOS是一个确定性的微内核，内存占用为10K字节，SAFERTOS不包含未使用的代码，功能在编译时静态定义。

SAFERTOS使用确定的、基于优先级的、可抢占的任务调度机制，确保安全目标-执行就绪的优先级最高的任务。SAFERTOS通过使用镜像数据和增强的参数检查，提供了对关键数据变量的内在安全检查。

SAFERTOS包含针对安全关键系统的功能，基于每个任务定义和操作MPU域，实现任务间的空间隔离，防止任务访问不正确的内存区域，实现系统功能安全。

非常快速的启动时间，是需要在通电或断电事件后快速保护用户和汽车部件免受危害的系统的理想选择。

支持的处理器

  SAFERTOT支持汽车设备中的通用处理器结构。WHIS与TI、Infienon等半导体公司紧密合作，为Hercules安全控制器、Jacinto TDA4Vx、 Sitara AM2x & AM6x和AWR2944，以及AURIX TriCore系列处理器等提供高度优化的SAFERTOS移植实现。

汽车应用中的信息安全

信息安全（security）的重要性不断增加，WHIS也非常重视网络安全，提供了各种解决方案。

网络安全中一个风险因素是供应链的长度。软件供应链中涉及的公司越多，风险越大，SAFERTOS完全是WHIS内部开发，每一行代码都得到解释和验证，为在安全应用程序中使用SAFERTOS提供了非常有力的保证。

WHIS 还提供了SAFECRC Checker安全组件，通过确认程序内存的正确性来防止损坏和恶意攻击。

设计保证包

SAFERTOS已源代码方式提供，包含设计保证包（DAP）。DAP包中含有支撑ISO 26262-6 AIL D -2，-6，-8认证所需的设计和验证资料。SAFERTOS基于用户特定的处理器/编译器组合定制，无需在目标硬件重新测试。并为集成SAFERTOS的产品认证中的创建了一条顺利的途径。DAP确保:

· 无需在目标硬件上重新测试

· 易于安装和集成到用户开发环境中

· 降低开发成本，缩短产品上市时间

· 顺利认证基于SAFERTOS的应用

支持和服务

对于每个RTOS用户，我们提供12个月的免费支持和维护。对于用户想要了解的任何问题，在设计决策过程中需要的支持或指导，我们随时准备为您提供帮助。我们的工程师喜欢分享他们的工程经验，并为提供响应迅速、友好和有帮助的服务而感到自豪。

支持和维护的优点之一是SAFERTOS的重新验证。WHIS将根据要求在更新版本的编译器上重新验证SAFERTOS，每年一次，这意味着您始终可以访问最新的工具。

高品质

WHIS使用高度完整性的生命周期来开发、维护和支持SAFERTOS及其设计保证包，该包由质量管理体系(QMS)提供支持。QMS工作开始于1999年 WHIS正在开发的飞行控制系统。在随后的多年中，随着对其产品和服务需求的扩大和深化，WHIS开发了其质量管理体系，以涵盖其今天支持的应用和标准范围。

英国劳氏(LRQA UK)对WHIS质量管理体系进行了ISO 9001独立认证，适用范围:

“设计、开发、安装和支持用于医疗、航空和工业应用的高完整性系统和软件”。

Lloyds Register LRQA UK

更多SAFERTOS汽车应用支持

SAFERTOS CORE：适用于只需要考虑安全性而不需要全面认证的汽车设备。

安全插件：为安全关键的汽车设计带来更大的稳健性。WHIS安全组件也提供遵循汽车标准的设计保证包。

板级支持包和驱动程序：作为商业级组件交付，或提供设计保证包用于认证。

培训：通过参加我们的综合培训课程，最大限度地利用RTOS，提高开发水平。

同行评审服务：有时只需要几个小时的咨询就可以审查初步的汽车设计，并检查所提出的设计方法是否正确，这可以为项目的结果带来显著的好处。

咨询服务：旨在支持我们的汽车客户，使我们能够分享我们在汽车设备开发方面的知识和经验，以帮助优化最终设计，改进设计流程并顺利获得认证。