PREEvision在E2E保护机制设计中的应用实践

在汽车功能安全开发中，端到端(E2E)保护机制是确保信号传输完整性与可信度的关键防线。但E2E参数繁多，ISO 26262要求明确，如何将AUTOSAR E2E规范准确、一致地落地到具体项目中，并针对不同总线（如CAN、以太网）与不同安全等级进行适配，成为开发过程中的常见挑战。这些问题往往导致规范理解不一致、参数配置复杂、差异化适配困难，进而造成开发周期延长、验证成本升高，并带来合规风险。

PREEvision为汽车电子系统架构与功能安全开发提供了一套完整、可视化的E2E保护机制设计平台，不仅预置了AUTOSAR等标准E2E规范库，更支持用户基于不同总线特性与安全等级，对校验码、计数器、超时监控等保护要素进行可视化参数配置与逻辑关联，显著提升了符合ISO 26262要求的安全机制开发效率与可靠性。当前已有大部分主流OEM和一线 Tier1 采用了相关开发工具进行通讯设计以及E2E配置。

目前PREEvision支持的E2E通讯保护机制解决方案包括E2E Protection Wrapper（RTE上层）、E2E Transformer和COM E2E Callout三种，由于E2E Protection Wrapper涉及一些不受AUTOSAR标准约束的技术，我们今天主要介绍AUTOSAR支持的两种E2E保护机制解决方案，COM E2E Callout和E2E Transformer在PREEvision软件中的建模方式。

一、COM E2E Callout

COM E2E Callout方案常用于CAN /CANFD的网络，它保护了COM模块之间的数据交换。该保护是在COM的信号组级别完成的，由E2E Library进行保护和检查。

首先，在Communication Package下创建End To End Protection Package，用于存放需要创建的E2E相关构件。接着，在End To End Protection Package内创建End To End Protection Group，用于关联需要保护的IPDU/Signal Group和所采用的保护策略（即E2E Profile，这里以Profile01为例)。

图1：创建End To End Protection Group和E2E Profile

图2：关联需保护的IPDU及SignalGroup

选中End to End Profile构件后，可以在Property View里设置Profile01的参数：

图3：设置E2E Profile01参数

参数说明：

• Category：E2E Profile的种类；
• Counter Offset：Counter信号的位偏移；
• CRC Offset：CRC信号的位偏移；
• Data Length：数据长度包含CRC、Counter；
• Max Delta Counter Init：最大容忍Counter的间隔；
• Max No New Or Repeated Data：当接收到重复数据次数小于该配置参数时，则接收端不需要执行数据同步处理；
• Sync Counter Ini：同步次数；

设置完相关参数后，为保护数据创建DataID构件并设置Data ID值。

图4：创建Data ID(COM E2E Callout)

二、E2E Transformer

E2E Transformer方案常用于以太网架构中，是AUTOSAR标准中更为系统化和标准化的解决方案。E2E Transformer位于RTE层以下，在发送端被RTE调用，对数据进行E2E设置；在接收端，它被RTE调用以检查数据的完整性。

首先，在PREEvision软件通信层创建E2E Transformer、 Data Transformation和End To End Transformation Properties。

图5：创建E2E 相关构件

第二步，为E2E构件设置关联关系：

将E2E Transformer与End To End Transformation Properties进行关联，并在End To End Transformation Properties下为保护的数据创建并设置Data ID。

图6：关联E2E Transformer

图7：创建Data ID(E2E Transformer)

图8：设置Data ID

将E2E Transformer/SOMEIP Transformer通过拖拽的方式关联到Data Transformation。

图9：Data Transformation关联Transformer

找到想要保护的事件类型信号，在Property View中通过拖拽方式关联已创建的Data Transformation 和E2E Transformation Properties。

图10：保护信号关联Transformation和Properties

最后，根据需求设置保护策略（以Profile04_B为例），可以使用PREEvision自带的一键生成E2E Profile的脚本：选中E2E Transformer右键Metrics。

图11：PREEvision执行一键生成脚本

脚本将自动生成对应Profile的参数：

图12：脚本生成Profile04_B参数1

图13：脚本生成Profile04_B参数2

三、传统开发与基于PREEvision开发的对比：

四、总结

E2E保护设计细节繁多，且高度依赖于具体的项目架构、总线类型与安全要求，本文是基于PREEvision工具对AUTOSAR两种主流E2E保护机制的简要建模分享，在实际应用中，PREEvision也可结合具体的系统设计进行深入配置与验证。如果您对基于PREEvision的E2E设计感兴趣，或希望深入探讨功能安全落地实践，欢迎随时与我们联系，期待与您在E2E设计与功能安全领域开展合作！