四虎中文_国产成人高清精品免费软件_亚洲人成网站18禁止人_看国产到性色_狠日狠干日日射_xxxx性按摩bbbb

接上文：AUTOSAR功能安全機(jī)制（一）內(nèi)存分區(qū)與實(shí)現(xiàn)

2.2時(shí)序監(jiān)控

時(shí)序是嵌入式系統(tǒng)的一個(gè)重要屬性。安全行為要求在正確的時(shí)間內(nèi)執(zhí)行系統(tǒng)操作和響應(yīng)。

正確的時(shí)間可以用一組必須滿(mǎn)足的時(shí)序約束來(lái)描述。然而，AUTOSAR SWC本身無(wú)法確保正確的時(shí)機(jī)。這取決于AUTOSAR運(yùn)行時(shí)環(huán)境和基礎(chǔ)軟件的適當(dāng)支持。在集成過(guò)程中，需要確保AUTOSAR SWC的時(shí)序約束。

2.2.1故障模式

根據(jù)ISO26262，以下與時(shí)序和執(zhí)行相關(guān)的故障可被視為 SWC之間干擾的原因：

• 阻塞執(zhí)行

• 死鎖

• 活鎖

• 執(zhí)行時(shí)間分配不正確

• 軟件要素之間的同步不正確

時(shí)序保護(hù)和監(jiān)控可以描述為對(duì)以下屬性的監(jiān)控：監(jiān)控任務(wù)在指時(shí)序間調(diào)度，滿(mǎn)足執(zhí)行時(shí)間預(yù)算，并且不獨(dú)占OS資源。

為了保證與安全相關(guān)的功能將遵守其時(shí)序約束，應(yīng)檢測(cè)并處理壟斷CPU的任務(wù)（例如CPU負(fù)載過(guò)重，太多中斷請(qǐng)求）。

2.2.2描述

AUTOSAR提供以下時(shí)序監(jiān)控機(jī)制：

1. 使用 OS的時(shí)序保護(hù)機(jī)制。

2. 使用Watchdog Manager進(jìn)行時(shí)序程序流監(jiān)控。

本章將解釋W(xué)atchdog Manager在實(shí)現(xiàn)應(yīng)用軟件時(shí)序監(jiān)控方面的應(yīng)用。

Watchdog Manager還引入了一種稱(chēng)為邏輯監(jiān)控的機(jī)制，該機(jī)制可以與死線監(jiān)控結(jié)合使用，以提供高診斷覆蓋率。

此外，本章還將概述AUTOSAR OS的時(shí)序保護(hù)機(jī)制。

2.2.2.1受監(jiān)控實(shí)體

Watchdog Manager監(jiān)控AUTOSAR ECU中應(yīng)用程序軟件的執(zhí)行。監(jiān)控的邏輯單元稱(chēng)為監(jiān)控實(shí)體。在AUTOSAR中，受監(jiān)控實(shí)體和架構(gòu)構(gòu)建基塊之間沒(méi)有固定的關(guān)系。通常，受監(jiān)控實(shí)體可以表示一個(gè)SWC或SWC的一個(gè)Runnable、一個(gè)BSW模塊或CDD，具體取決于開(kāi)發(fā)者的選擇。

受監(jiān)控實(shí)體中的重要節(jié)點(diǎn)被定義為檢查點(diǎn)。受監(jiān)控實(shí)體的代碼與Watchdog Manager的函數(shù)調(diào)用交互。這些調(diào)用用于向Watchdog Manager報(bào)告已到達(dá)檢查點(diǎn)。

2.2.2.2Watchdog Manager

Watchdog Manager是AUTOSAR架構(gòu)的基礎(chǔ)軟件模塊。Watchdog Manager將看門(mén)狗硬件的觸發(fā)與軟件執(zhí)行的監(jiān)控聯(lián)系起來(lái)。當(dāng)檢測(cè)到對(duì)程序執(zhí)行的時(shí)態(tài)和/或邏輯約束的違反時(shí)，將采取許多可配置的操作來(lái)從此故障中恢復(fù)。

Watchdog Manager為時(shí)序程序流監(jiān)控提供以下機(jī)制：

活體監(jiān)控：定期監(jiān)控實(shí)體對(duì)執(zhí)行頻率有限制。通過(guò)活體監(jiān)控，Watchdog Manager會(huì)定期檢查受監(jiān)控實(shí)體的檢查點(diǎn)是否已達(dá)到給定限制。這意味著Watchdog Manager會(huì)檢查受監(jiān)控實(shí)體的運(yùn)行頻率是否太高或太低。

活體監(jiān)控是使用單個(gè)檢查點(diǎn)執(zhí)行的，沒(méi)有切換。受監(jiān)控實(shí)體必須周期性地調(diào)用檢查點(diǎn)，以發(fā)出其及時(shí)操作的信號(hào)。OS定期執(zhí)行Watchdog Manager以驗(yàn)證檢查點(diǎn)參數(shù)。

受監(jiān)控的實(shí)體也可以通過(guò)多個(gè)活體監(jiān)控實(shí)例進(jìn)行監(jiān)控，因此每個(gè)活體監(jiān)控都包含一個(gè)獨(dú)立的檢查點(diǎn)。請(qǐng)參見(jiàn)圖9。

圖9：具有獨(dú)立檢查點(diǎn)的實(shí)時(shí)監(jiān)控

死線監(jiān)控：非周期性或周期性監(jiān)控實(shí)體對(duì)兩個(gè)檢查點(diǎn)之間的時(shí)間安排有單獨(dú)的限制。通過(guò)死線監(jiān)控，Watchdog Manager檢查受監(jiān)控實(shí)體的兩個(gè)檢查點(diǎn)之間的轉(zhuǎn)換時(shí)間。這意味著Watchdog Manager會(huì)檢查受監(jiān)控實(shí)體中的某些步驟所花費(fèi)的時(shí)間是否在配置的最小值和最大值之內(nèi)。請(qǐng)參見(jiàn)圖10。

如果從未到達(dá)第二個(gè)檢查點(diǎn)，則死線監(jiān)控將無(wú)法檢測(cè)到此問(wèn)題。出現(xiàn)此問(wèn)題的原因是，在調(diào)用第二個(gè)檢查點(diǎn)后，Watchdog Manager將執(zhí)行時(shí)序檢查。

圖10：死線監(jiān)控

2.2.2.3 OS的時(shí)序保護(hù)

根據(jù)AUTOSAR OS規(guī)范，當(dāng)任務(wù)或中斷在運(yùn)行時(shí)錯(cuò)過(guò)其死線時(shí)，就會(huì)發(fā)生實(shí)時(shí)系統(tǒng)中的時(shí)序故障。

AUTOSAR OS不提供時(shí)序保護(hù)的死線監(jiān)控。死線監(jiān)控不足以正確識(shí)別導(dǎo)致AUTOSAR系統(tǒng)中時(shí)序故障的任務(wù)或中斷。違反死線可能是由不相關(guān)的任務(wù)或干擾執(zhí)行的中斷引起的。請(qǐng)咨詢(xún)AUTOSAR OS規(guī)范23了解更多詳情。

在固定優(yōu)先級(jí)搶占式 OS（如AUTOSAR OS）中，任務(wù)或中斷是否滿(mǎn)足其死線取決于以下因素：

• 任務(wù)/中斷在系統(tǒng)中的執(zhí)行時(shí)間。

• 任務(wù)/中斷遭受較低優(yōu)先級(jí)的任務(wù)/中斷阻塞共享資源或禁用中斷的阻塞時(shí)間。

• 系統(tǒng)中任務(wù)/中斷的到達(dá)間隔速率。

為了安全準(zhǔn)確地提供時(shí)序保護(hù)， OS必須在運(yùn)行時(shí)控制這些因素，以確保任務(wù)/中斷可以滿(mǎn)足各自的死線。AUTOSAR OS提供以下時(shí)序保護(hù)機(jī)制：

1. 執(zhí)行時(shí)間保護(hù)。任務(wù)或2類(lèi)中斷的執(zhí)行時(shí)間上限，即所謂的執(zhí)行預(yù)算，通過(guò) OS進(jìn)行監(jiān)控，以防止時(shí)序錯(cuò)誤。

2. 鎖定時(shí)間保護(hù)。OS監(jiān)控資源阻塞、鎖定和暫停中斷的上限，即所謂的鎖定預(yù)算。

3. 到達(dá)時(shí)間保護(hù)。正在激活的任務(wù)或2類(lèi)中斷到達(dá)之間的下限，即所謂的時(shí)間片，通過(guò) OS進(jìn)行監(jiān)控，以防止時(shí)序錯(cuò)誤。

注意：執(zhí)行時(shí)間實(shí)施需要硬件支持，例如時(shí)序?qū)嵤┲袛唷Ｈ绻褂弥袛鄟?lái)實(shí)現(xiàn)時(shí)間執(zhí)行，則該中斷的優(yōu)先級(jí)應(yīng)高到足以“中斷”受監(jiān)控的任務(wù)或中斷。

2.2.3檢測(cè)與響應(yīng)

Watchdog Manager為時(shí)序和邏輯程序流監(jiān)控提供了三種機(jī)制：死線監(jiān)控、活體監(jiān)控和邏輯監(jiān)控。

監(jiān)控機(jī)制是靜態(tài)配置的。對(duì)于受監(jiān)控實(shí)體的監(jiān)控，可以采用多種監(jiān)控機(jī)制。

根據(jù)每個(gè)已啟用機(jī)制的結(jié)果，計(jì)算受監(jiān)控實(shí)體的狀態(tài)（稱(chēng)為局部狀態(tài)）。當(dāng)確定每個(gè)受監(jiān)控實(shí)體的狀態(tài)時(shí)，然后根據(jù)每個(gè)局部監(jiān)控狀態(tài)，確定整個(gè)MCU的狀態(tài)（稱(chēng)為全局監(jiān)控狀態(tài)）。

根據(jù)每個(gè)受監(jiān)控實(shí)體的局部監(jiān)控狀態(tài)和全局監(jiān)控狀態(tài)，Watchdog Manager會(huì)啟動(dòng)許多機(jī)制來(lái)從監(jiān)控失敗中恢復(fù)。這些范圍從受監(jiān)控實(shí)體內(nèi)的局部錯(cuò)誤恢復(fù)到ECU的全局重置。

Watchdog Manager可以采用以下錯(cuò)誤恢復(fù)機(jī)制：

1. 受監(jiān)控實(shí)體中的錯(cuò)誤處理

   如果受監(jiān)控實(shí)體是SWC或CDD，則Watchdog Manager可以通過(guò)RTE模式機(jī)制通知受監(jiān)控實(shí)體有關(guān)監(jiān)控情況。然后，受監(jiān)控實(shí)體可以采取措施從該故障中恢復(fù)。
   Watchdog Manager可能會(huì)在檢測(cè)到監(jiān)控故障時(shí)向診斷事件管理器（DEM）注冊(cè)一個(gè)條目。受監(jiān)控實(shí)體可能會(huì)根據(jù)該錯(cuò)誤條目執(zhí)行恢復(fù)操作。

2. 分區(qū)關(guān)閉

   如果Watchdog Manager模塊在位于不受信的分區(qū)中的受監(jiān)控實(shí)體中檢測(cè)到監(jiān)控故障，則Watchdog Manager模塊可以通過(guò)調(diào)用BswM請(qǐng)求分區(qū)關(guān)閉。

3. 通過(guò)硬件看門(mén)狗重置

   Watchdog Manager向看門(mén)狗接口指示看門(mén)狗接口何時(shí)不再觸發(fā)硬件看門(mén)狗。在硬件看門(mén)狗超時(shí)后，硬件看門(mén)狗將重置ECU或MCU。這導(dǎo)致ECU和/或MCU硬件的重新初始化以及軟件的完全重新初始化。

4. 立即復(fù)位MCU

   如果需要對(duì)監(jiān)控故障立即做出全局響應(yīng)，Watchdog Manager可能會(huì)直接導(dǎo)致MCU復(fù)位。這將導(dǎo)致MCU硬件和完整軟件的重新初始化。通常，MCU復(fù)位不會(huì)重新初始化ECU硬件的其余分區(qū)。

注：AUTOSAR文檔“應(yīng)用程序級(jí)別的錯(cuò)誤說(shuō)明”提供了有關(guān)錯(cuò)誤處理的其他信息。在文檔中，解釋了如何執(zhí)行錯(cuò)誤處理以及可以從何處獲取所需數(shù)據(jù)（例如替代值）。此外，本文檔還詳細(xì)介紹了如何在AUTOSAR中執(zhí)行 OS-Applications/分區(qū)終止和重新啟動(dòng)。

2.2.4限制

1. 檢查點(diǎn)的粒度不是由Watchdog Manager固定的。很少有粗制的檢查點(diǎn)會(huì)限制Watchdog Manager的檢測(cè)能力。例如，如果應(yīng)用程序SWC只有一個(gè)檢查點(diǎn)，指示循環(huán)可運(yùn)行已啟動(dòng)，則Watchdog Manager只能檢測(cè)此可運(yùn)行已重新啟動(dòng)并消除時(shí)序約束。相反，如果該SWC在可運(yùn)行的每個(gè)塊和分支上都有檢查點(diǎn)，則Watchdog Manager也可能檢測(cè)到該SWC的控制流中的故障。檢查點(diǎn)的高粒度會(huì)導(dǎo)致Watchdog Manager的復(fù)雜和大量配置。

2. 死線監(jiān)控有一個(gè)弱點(diǎn)：它只檢測(cè)延遲（當(dāng)報(bào)告結(jié)束檢查點(diǎn)時(shí)），但它不檢測(cè)超時(shí)（當(dāng)根本沒(méi)有報(bào)告結(jié)束檢查點(diǎn)時(shí)）。

3. 不支持死線監(jiān)控（即開(kāi)始1、開(kāi)始2、結(jié)束2、結(jié)束1）的嵌套。

4. 每個(gè)受監(jiān)控實(shí)體具有多個(gè)檢查點(diǎn)的“活體監(jiān)控”功能在“Watchdog Manager規(guī)范”中未一致地指定。目前，建議每個(gè)監(jiān)控實(shí)體僅支持一個(gè)活體監(jiān)控檢查點(diǎn)。

5. 為了關(guān)閉或重新啟動(dòng)（作為錯(cuò)誤響應(yīng)）包含受監(jiān)控實(shí)體的分區(qū)，集成代碼（ OS-Applications的重新啟動(dòng)任務(wù)）通過(guò)調(diào)用Watchdog Manager的可用函數(shù)來(lái)停用（或停用+激活）受影響分區(qū)的所有受監(jiān)控實(shí)體。這有點(diǎn)復(fù)雜，在Watchdog Manager規(guī)范文檔的未來(lái)版本中被認(rèn)為是Watchdog Manager的新加功能。

6. 庫(kù)無(wú)法調(diào)用BSW，因此庫(kù)不能由Watchdog Manager監(jiān)控。但是，可以通過(guò)在模塊的代碼中放置庫(kù)調(diào)用之前和之后的檢查點(diǎn)來(lái)使用死線監(jiān)控，以監(jiān)控庫(kù)實(shí)例運(yùn)行。

7. 如何使用受監(jiān)控實(shí)體ID標(biāo)識(shí)BSW模塊尚未標(biāo)準(zhǔn)化。

引用來(lái)源：AUTOSAR document 2021

轉(zhuǎn)自汽車(chē)電子與軟件