AutoSAR介紹和時(shí)間監(jiān)控

1 介紹

現(xiàn)代 ECU 包含高度模塊化的嵌入式軟件，該軟件可以由非可信和可信軟件組件組成，這些組件執(zhí)行不同 ASIL級(jí)別的功能。在這種情況下，我們有兩種不同的方法

整個(gè)軟件必須按照最高的ASIL進(jìn)行開(kāi)發(fā)。

保持具有不同 ASIL 級(jí)別的軟件組件，并確保具有較高 ASIL 級(jí)別的組件不受具有較低 ASIL 級(jí)別的元件的干擾 FFI。（常用方法）一個(gè)系統(tǒng)往往需要同時(shí)實(shí)現(xiàn)多條ASIL等級(jí)不同的功能安全需求，當(dāng)這些需求分配到軟件模塊上，不同的模塊需要滿足不同的ASIL等級(jí)，如下圖所示。

2 時(shí)間監(jiān)控

時(shí)序是嵌入式系統(tǒng)的一個(gè)重要屬性。安全行為要求系統(tǒng)的動(dòng)作和反應(yīng)在正確的時(shí)間內(nèi)執(zhí)行。正確的時(shí)間可以用一組必須滿足的時(shí)序約束來(lái)描述。然而，AUTOSAR軟件組件本身無(wú)法確保正確的計(jì)時(shí)。應(yīng)該以某種方式確保它，但另一個(gè)獨(dú)立組件是AUTOSAR WdgM。看門(mén)狗管理器 （WDGM） 位于 AUTOSAR堆棧的服務(wù)層，如圖所示，看門(mén)狗服務(wù)分布在 AUTOSAR 層中。它基本上包括：

看門(mén)狗管理器（服務(wù)層） 看門(mén)狗接口（ECU抽象層） 看門(mén)狗驅(qū)動(dòng)程序（MCAL層）

看門(mén)狗管理器的任務(wù)是監(jiān)督軟件的執(zhí)行，如果發(fā)現(xiàn)軟件執(zhí)行中的錯(cuò)誤或缺陷，WDGM 將采取行動(dòng)。SWC 使用 WDGM提供的服務(wù)，使用客戶端服務(wù)器接口。SWC 是客戶端，WDGM 是服務(wù)器

定時(shí)保護(hù)和監(jiān)控可以描述為監(jiān)控以下屬性：

監(jiān)控任務(wù)在指定時(shí)間調(diào)度。

消耗他們的執(zhí)行時(shí)間預(yù)算。

不要獨(dú)占操作系統(tǒng)資源。（例如CPU負(fù)載重、中斷請(qǐng)求多） 以下與時(shí)序和執(zhí)行相關(guān)的故障可被視為軟件組件之間干擾的原因：

執(zhí)行的阻塞

死鎖

活鎖

執(zhí)行時(shí)間分配不正確

軟件元素之間的同步不正確。

執(zhí)行流程不正確。ISO 26262引入了一些用于錯(cuò)誤檢測(cè)的軟件安全機(jī)制。它將活躍度和期限監(jiān)督確定為臨時(shí)保護(hù)的安全機(jī)制。并且還控制流監(jiān)控作為錯(cuò)誤執(zhí)行流的機(jī)制。AUTOSAR提供了一個(gè)方便的解決方案來(lái)實(shí)現(xiàn)這些機(jī)制/服務(wù)，它就是看門(mén)狗管理器 WdgM。

WdgM 的主要目的是提供一種機(jī)制來(lái)驗(yàn)證 SWC 的執(zhí)行和時(shí)序約束。它的目的是考慮周期性和周期性的最大時(shí)序約束來(lái)監(jiān)督應(yīng)用程序執(zhí)行的可靠性。

為了構(gòu)建可以提供所有這些服務(wù)的通用且可擴(kuò)展的模塊，AUTOSAR 引入了一種新模式來(lái)概括 WdgM
的功能。它將您想要監(jiān)控的任何指定的感興趣的軟件實(shí)體聲明為“受監(jiān)管實(shí)體 SE”。SE 的監(jiān)控是通過(guò)在 SE 內(nèi)部放置一些點(diǎn)“API / RTE調(diào)用”來(lái)驗(yàn)證目標(biāo)事件（調(diào)度、完成等）是否已經(jīng)發(fā)生，這些點(diǎn)稱(chēng)為檢查點(diǎn)。

WdgM
提供三種類(lèi)型的監(jiān)督來(lái)涵蓋上述服務(wù)，如圖所示。每個(gè)SE都有自己獨(dú)特的標(biāo)識(shí)符和本地狀態(tài)。整個(gè)WdgM有一個(gè)整體狀態(tài)，稱(chēng)為全局狀態(tài)，根據(jù)監(jiān)管類(lèi)型、SE的配置，那些局部狀態(tài)會(huì)影響全局狀態(tài)，這將在后面描述。

WdgM 將獲取包含所有 SE 及其配置的結(jié)構(gòu)數(shù)組，并根據(jù)這些配置執(zhí)行所需的監(jiān)控，并且 WdgM 將相應(yīng)地更新其本地狀態(tài)。

在 WdgM 決定更新其全局狀態(tài)以停止之前，本地狀態(tài)不會(huì)導(dǎo)致重置，這將根據(jù)監(jiān)督類(lèi)型建立單獨(dú)的狀態(tài)機(jī)。