最近做項(xiàng)目感覺很疲憊，而且有種深深的無力感，這個(gè)狀態(tài)估計(jì)要持續(xù)到五月底了。好久不更新了，趁著假期放松時(shí)間，簡(jiǎn)單聊一聊E2E相關(guān)內(nèi)容。

（一）

在汽車控制器研發(fā)過程中，控制器與控制器之間（或者同一個(gè)產(chǎn)品主板與從板之間）的通訊必不可少。發(fā)送方與接收方在數(shù)據(jù)交換過程中，如果數(shù)據(jù)完整性被破壞，那么正常的通訊功能可能出現(xiàn)問題，進(jìn)而影響安全相關(guān)的功能。

（二）

這里我們先來看下通訊相關(guān)的故障都有哪些，以及如何去理解這些故障模式。大家也可以自行查看ISO-26262標(biāo)準(zhǔn)，Part5-附錄D， Table D.1 -》D6 Communication bus 或者Part6-附錄D， D.2.4 Exchange of information

Repetition of information; -》 信息是否被多次收到？

Loss of information; -》 信息或者部分信息是否從傳輸?shù)男畔⒘髦斜灰瞥?/p>

Delay of information; -》 信息是否晚于預(yù)期收到的時(shí)間？

Insertion of information; -》 額外的信息是否被插入到傳輸?shù)男畔⒘髦校?/p>

Masquerade or incorrect addressing of information; -》 Masquerade 非真實(shí)的信息是否被接收方認(rèn)為是真實(shí)信息？ -》 incorrect addressing 信息是否從不正確的發(fā)送方或者接收方接受了信息？

Incorrect sequence of information; -》 信息順序是否被改變？

Corruption of information; -》信息是否被損壞，從而改變了信息？

Asymmetric information sent from a sender to multiple receivers; -》 接收方是否從同一發(fā)送方接收到了不對(duì)稱/不同的信息？

Information from a sender received by only a subset of the receivers; or -》 信息是否只被部分接收方收到？

Blocking access to a communication channel. -》 通信通道訪問是否被阻止？

（圖片源于Autosar 官網(wǎng)文件）

（三）

26262中對(duì)通訊的保護(hù)，要求使用E2E （End-2-End protection）機(jī)制。E2E保護(hù)的概念是假設(shè)安全相關(guān)的數(shù)據(jù)交換在運(yùn)行時(shí)應(yīng)該被保護(hù)，進(jìn)而免受通訊鏈路內(nèi)故障的影響。此類故障的例子--隨機(jī)硬件失效（e.g. CAN收發(fā)器的寄存器損壞），干擾（e.g. EMC因素），ECU內(nèi)部 （e.g. IOC， RTE， COM和網(wǎng)絡(luò)堆棧）實(shí)現(xiàn)VFB通訊的軟件內(nèi)的系統(tǒng)故障；當(dāng)然也有外部的故障，比如，網(wǎng)關(guān)。

這里我們借鑒AUTOSAR對(duì)E2E的描述：從軟件組見角度看，通過RTE傳輸數(shù)據(jù)的行為類似于簡(jiǎn)單的點(diǎn)到點(diǎn)連接。但是，這種抽象的實(shí)現(xiàn)，需要一個(gè)由應(yīng)用層，通訊堆棧，驅(qū)動(dòng)程序 和底層硬件組成的高復(fù)雜度的基礎(chǔ)設(shè)施。隨著復(fù)雜性的增加，潛在故障源的數(shù)量也在增加。E2E保護(hù)機(jī)制的使用假設(shè)在通訊期間必須保持安全相關(guān)數(shù)據(jù)的完整性，保護(hù)數(shù)據(jù)免受通訊鏈路內(nèi)故障的影響。E2E保護(hù)最重要的方面是保護(hù)能力的標(biāo)準(zhǔn)化和機(jī)制的靈活運(yùn)用。

（四）

E2E保護(hù)的架構(gòu)實(shí)現(xiàn)如下，由應(yīng)用數(shù)據(jù)組成的數(shù)據(jù)元素在發(fā)送方擴(kuò)展了附加的控制信息，即E2E header。控制信息通常包含Checksum， Counter和其他選項(xiàng)。擴(kuò)展數(shù)據(jù)元素被提供給RTE進(jìn)行傳輸，如下圖所示。展示了E2E基本的原理。通過根據(jù)應(yīng)用數(shù)據(jù)處理E2E header的內(nèi)容，在接收方驗(yàn)證數(shù)據(jù)元素。在接收到的數(shù)據(jù)元素被處理并被接受為正確之后，控制信息被移除并且應(yīng)用數(shù)據(jù)被提供給目標(biāo)軟件組件。錯(cuò)誤處理在接收器處執(zhí)行。

（五）

對(duì)于E2E的配置文件，這里依然借用AUTOSAR的描述。E2E的配置文件使用如下的數(shù)據(jù)保護(hù)機(jī)制的子集：

1）- CRC checksum，由CRC庫(kù)提供；

2）- Sequence Counter 在每次傳輸請(qǐng)求時(shí)遞增，在接收端檢查該值是否正確遞增；

3）- Alive Counter 在每次傳輸請(qǐng)求時(shí)遞增，如果它發(fā)生變化，則在接收端檢查該值，但不檢查正確的遞增。

4）- A specific ID 通過端口發(fā)送的每個(gè)端口數(shù)據(jù)元素的特定ID（全局到系統(tǒng)，其中系統(tǒng)可能包含多個(gè)ECU）；

5）- Timeout Detection 接收方通訊超時(shí)和發(fā)送方確認(rèn)超時(shí)；

AUTOSAR中一共提出了3種 E2E 配置文件 （其中配置1 有兩個(gè)variants）。

Note： 一般情況下，都是只應(yīng)用標(biāo)準(zhǔn)的配置文件。非標(biāo)準(zhǔn)的E2E配置文件只能用于特殊場(chǎng)景，比如 legacy software。

下面我們來看看各配置文件的保護(hù)機(jī)制：

Note： E2E profile4專門為符合ASIL-D標(biāo)準(zhǔn)的長(zhǎng)數(shù)據(jù)傳輸而設(shè)計(jì)。

本文主要是簡(jiǎn)單聊聊E2E能保護(hù)什么錯(cuò)誤。關(guān)于E2E保護(hù)，還涉及E2E的狀態(tài)機(jī)，E2E保護(hù)包裝，E2E傳輸管理，RTE數(shù)據(jù)傳輸，檢測(cè)和響應(yīng)等，這里不再過多闡述。感興趣的小伙伴可以到AUTOSAR官網(wǎng)去查看下相關(guān)資料。

審核編輯 ：李倩