A common requirement of embedded software in charge of safety tasks is to guarantee the identification of random hardware failures (RHFs) that can affect digital components. RHFs are unavoidable. For this reason, the functional safety standard devoted to automotive applications requires embedded software designs able to detect and eventually mitigate them. For this purpose, various software-based error detection techniques have been proposed over the years, focusing mainly on detecting control flow errors. Many control flow checking (CFC) algorithms have been proposed to accomplish this task. However, applying these approaches can be difficult because their respective literature gives little guidance on their practical implementation in high-level programming languages, and they have to be implemented in low-level code, e.g., assembly. Moreover, the current trend in the automotive industry is to adopt the so-called model-based software design approach, where an executable algorithm model is automatically translated into C or C++ source code. This paper presents two novelties: firstly, the compliance of the experimental data on the capabilities of control flow checking (CFC) algorithms with the ISO 26262 automotive functional safety standard; secondly, by implementing the CFC algorithm in the application behavioral model, the off-the-shelves code generator seamlessly produces the hardened source code of the application. The assessment was performed using a novel fault injection environment targeting a RISC-V (RV32I) microcontroller.

中文翻译：

---

控制流检查的实现——采用基于模型的软件设计的新视角

负责安全任务的嵌入式软件的一个常见要求是保证识别可能影响数字组件的随机硬件故障 (RHF)。RHF 是不可避免的。出于这个原因，专门用于汽车应用的功能安全标准要求嵌入式软件设计能够检测并最终缓解它们。为此，多年来已经提出了各种基于软件的错误检测技术，主要集中在检测控制流错误。已经提出了许多控制流检查（CFC）算法来完成这项任务。然而，应用这些方法可能很困难，因为它们各自的文献对它们在高级编程语言中的实际实现几乎没有提供指导，而且它们必须在低级代码中实现，例如汇编。而且，汽车行业目前的趋势是采用所谓的基于模型的软件设计方法，将可执行的算法模型自动翻译成 C 或 C++ 源代码。本文提出了两个新颖性：首先，控制流检查 (CFC) 算法能力的实验数据符合 ISO 26262 汽车功能安全标准；其次，通过在应用程序行为模型中实现CFC算法，现成的代码生成器无缝生成应用程序的硬化源代码。评估是使用针对 RISC-V (RV32I) 微控制器的新型故障注入环境进行的。其中可执行的算法模型会自动转换为 C 或 C++ 源代码。本文提出了两个新颖性：首先，控制流检查 (CFC) 算法能力的实验数据符合 ISO 26262 汽车功能安全标准；其次，通过在应用程序行为模型中实现CFC算法，现成的代码生成器无缝生成应用程序的硬化源代码。评估是使用针对 RISC-V (RV32I) 微控制器的新型故障注入环境进行的。其中可执行的算法模型会自动转换为 C 或 C++ 源代码。本文提出了两个新颖性：首先，控制流检查 (CFC) 算法能力的实验数据符合 ISO 26262 汽车功能安全标准；其次，通过在应用程序行为模型中实现CFC算法，现成的代码生成器无缝生成应用程序的硬化源代码。评估是使用针对 RISC-V (RV32I) 微控制器的新型故障注入环境进行的。通过在应用程序行为模型中实现 CFC 算法，现成的代码生成器可以无缝地生成应用程序的硬化源代码。评估是使用针对 RISC-V (RV32I) 微控制器的新型故障注入环境进行的。通过在应用程序行为模型中实现 CFC 算法，现成的代码生成器可以无缝地生成应用程序的硬化源代码。评估是使用针对 RISC-V (RV32I) 微控制器的新型故障注入环境进行的。