接上文:AUTOSAR功能安全機制(一)內存分區與實現
2.2時序監控
時序是嵌入式系統的一個重要屬性。安全行為要求在正確的時間內執行系統操作和響應。
正確的時間可以用一組必須滿足的時序約束來描述。然而,AUTOSAR SWC本身無法確保正確的時機。這取決于AUTOSAR運行時環境和基礎軟件的適當支持。在集成過程中,需要確保AUTOSAR SWC的時序約束。
2.2.1故障模式
根據ISO26262,以下與時序和執行相關的故障可被視為 SWC之間干擾的原因:
-
阻塞執行
-
死鎖
-
活鎖
-
執行時間分配不正確
-
軟件要素之間的同步不正確
時序保護和監控可以描述為對以下屬性的監控:監控任務在指時序間調度,滿足執行時間預算,并且不獨占OS資源。
為了保證與安全相關的功能將遵守其時序約束,應檢測并處理壟斷CPU的任務(例如CPU負載過重,太多中斷請求)。
2.2.2描述
AUTOSAR提供以下時序監控機制:
-
使用 OS的時序保護機制。
-
使用Watchdog Manager進行時序程序流監控。
本章將解釋Watchdog Manager在實現應用軟件時序監控方面的應用。
Watchdog Manager還引入了一種稱為邏輯監控的機制,該機制可以與死線監控結合使用,以提供高診斷覆蓋率。
此外,本章還將概述AUTOSAR OS的時序保護機制。
2.2.2.1受監控實體
Watchdog Manager監控AUTOSAR ECU中應用程序軟件的執行。監控的邏輯單元稱為監控實體。在AUTOSAR中,受監控實體和架構構建基塊之間沒有固定的關系。通常,受監控實體可以表示一個SWC或SWC的一個Runnable、一個BSW模塊或CDD,具體取決于開發者的選擇。
受監控實體中的重要節點被定義為檢查點。受監控實體的代碼與Watchdog Manager的函數調用交互。這些調用用于向Watchdog Manager報告已到達檢查點。
2.2.2.2Watchdog Manager
Watchdog Manager是AUTOSAR架構的基礎軟件模塊。Watchdog Manager將看門狗硬件的觸發與軟件執行的監控聯系起來。當檢測到對程序執行的時態和/或邏輯約束的違反時,將采取許多可配置的操作來從此故障中恢復。
Watchdog Manager為時序程序流監控提供以下機制:
活體監控:定期監控實體對執行頻率有限制。通過活體監控,Watchdog Manager會定期檢查受監控實體的檢查點是否已達到給定限制。這意味著Watchdog Manager會檢查受監控實體的運行頻率是否太高或太低。
活體監控是使用單個檢查點執行的,沒有切換。受監控實體必須周期性地調用檢查點,以發出其及時操作的信號。OS定期執行Watchdog Manager以驗證檢查點參數。
受監控的實體也可以通過多個活體監控實例進行監控,因此每個活體監控都包含一個獨立的檢查點。請參見圖9。
圖9:具有獨立檢查點的實時監控
死線監控:非周期性或周期性監控實體對兩個檢查點之間的時間安排有單獨的限制。通過死線監控,Watchdog Manager檢查受監控實體的兩個檢查點之間的轉換時間。這意味著Watchdog Manager會檢查受監控實體中的某些步驟所花費的時間是否在配置的最小值和最大值之內。請參見圖10。
如果從未到達第二個檢查點,則死線監控將無法檢測到此問題。出現此問題的原因是,在調用第二個檢查點后,Watchdog Manager將執行時序檢查。
圖10:死線監控
2.2.2.3 OS的時序保護
根據AUTOSAR OS規范,當任務或中斷在運行時錯過其死線時,就會發生實時系統中的時序故障。
AUTOSAR OS不提供時序保護的死線監控。死線監控不足以正確識別導致AUTOSAR系統中時序故障的任務或中斷。違反死線可能是由不相關的任務或干擾執行的中斷引起的。請咨詢AUTOSAR OS規范23了解更多詳情。
在固定優先級搶占式 OS(如AUTOSAR OS)中,任務或中斷是否滿足其死線取決于以下因素:
-
任務/中斷在系統中的執行時間。
-
任務/中斷遭受較低優先級的任務/中斷阻塞共享資源或禁用中斷的阻塞時間。
-
系統中任務/中斷的到達間隔速率。
為了安全準確地提供時序保護, OS必須在運行時控制這些因素,以確保任務/中斷可以滿足各自的死線。AUTOSAR OS提供以下時序保護機制:
-
執行時間保護。任務或2類中斷的執行時間上限,即所謂的執行預算,通過 OS進行監控,以防止時序錯誤。
-
鎖定時間保護。OS監控資源阻塞、鎖定和暫停中斷的上限,即所謂的鎖定預算。
-
到達時間保護。正在激活的任務或2類中斷到達之間的下限,即所謂的時間片,通過 OS進行監控,以防止時序錯誤。
注意:執行時間實施需要硬件支持,例如時序實施中斷。如果使用中斷來實現時間執行,則該中斷的優先級應高到足以“中斷”受監控的任務或中斷。
2.2.3檢測與響應
Watchdog Manager為時序和邏輯程序流監控提供了三種機制:死線監控、活體監控和邏輯監控。
監控機制是靜態配置的。對于受監控實體的監控,可以采用多種監控機制。
根據每個已啟用機制的結果,計算受監控實體的狀態(稱為局部狀態)。當確定每個受監控實體的狀態時,然后根據每個局部監控狀態,確定整個MCU的狀態(稱為全局監控狀態)。
根據每個受監控實體的局部監控狀態和全局監控狀態,Watchdog Manager會啟動許多機制來從監控失敗中恢復。這些范圍從受監控實體內的局部錯誤恢復到ECU的全局重置。
Watchdog Manager可以采用以下錯誤恢復機制:
-
受監控實體中的錯誤處理
如果受監控實體是SWC或CDD,則Watchdog Manager可以通過RTE模式機制通知受監控實體有關監控情況。然后,受監控實體可以采取措施從該故障中恢復。
Watchdog Manager可能會在檢測到監控故障時向診斷事件管理器(DEM)注冊一個條目。受監控實體可能會根據該錯誤條目執行恢復操作。 -
分區關閉
如果Watchdog Manager模塊在位于不受信的分區中的受監控實體中檢測到監控故障,則Watchdog Manager模塊可以通過調用BswM請求分區關閉。
-
通過硬件看門狗重置
Watchdog Manager向看門狗接口指示看門狗接口何時不再觸發硬件看門狗。在硬件看門狗超時后,硬件看門狗將重置ECU或MCU。這導致ECU和/或MCU硬件的重新初始化以及軟件的完全重新初始化。
-
立即復位MCU
如果需要對監控故障立即做出全局響應,Watchdog Manager可能會直接導致MCU復位。這將導致MCU硬件和完整軟件的重新初始化。通常,MCU復位不會重新初始化ECU硬件的其余分區。
注:AUTOSAR文檔“應用程序級別的錯誤說明”提供了有關錯誤處理的其他信息。在文檔中,解釋了如何執行錯誤處理以及可以從何處獲取所需數據(例如替代值)。此外,本文檔還詳細介紹了如何在AUTOSAR中執行 OS-Applications/分區終止和重新啟動。
2.2.4限制
-
檢查點的粒度不是由Watchdog Manager固定的。很少有粗制的檢查點會限制Watchdog Manager的檢測能力。例如,如果應用程序SWC只有一個檢查點,指示循環可運行已啟動,則Watchdog Manager只能檢測此可運行已重新啟動并消除時序約束。相反,如果該SWC在可運行的每個塊和分支上都有檢查點,則Watchdog Manager也可能檢測到該SWC的控制流中的故障。檢查點的高粒度會導致Watchdog Manager的復雜和大量配置。
-
死線監控有一個弱點:它只檢測延遲(當報告結束檢查點時),但它不檢測超時(當根本沒有報告結束檢查點時)。
-
不支持死線監控(即開始1、開始2、結束2、結束1)的嵌套。
-
每個受監控實體具有多個檢查點的“活體監控”功能在“Watchdog Manager規范”中未一致地指定。目前,建議每個監控實體僅支持一個活體監控檢查點。
-
為了關閉或重新啟動(作為錯誤響應)包含受監控實體的分區,集成代碼( OS-Applications的重新啟動任務)通過調用Watchdog Manager的可用函數來停用(或停用+激活)受影響分區的所有受監控實體。這有點復雜,在Watchdog Manager規范文檔的未來版本中被認為是Watchdog Manager的新加功能。
-
庫無法調用BSW,因此庫不能由Watchdog Manager監控。但是,可以通過在模塊的代碼中放置庫調用之前和之后的檢查點來使用死線監控,以監控庫實例運行。
-
如何使用受監控實體ID標識BSW模塊尚未標準化。
引用來源:AUTOSAR document 2021
轉自汽車電子與軟件
