1 介紹

現(xiàn)代 ECU 包含高度模塊化的嵌入式軟件，該軟件可以由非可信和可信軟件組件組成，這些組件執(zhí)行不同 ASIL 級別的功能。在這種情況下，我們有兩種不同的方法

整個軟件必須按照最高的ASIL進行開發(fā)。

保持具有不同 ASIL 級別的軟件組件，并確保具有較高 ASIL 級別的組件不受具有較低 ASIL 級別的元件的干擾 FFI。（常用方法）一個系統(tǒng)往往需要同時實現(xiàn)多條ASIL等級不同的功能安全需求，當(dāng)這些需求分配到軟件模塊上，不同的模塊需要滿足不同的ASIL等級，如下圖所示。

2 時間監(jiān)控

時序是嵌入式系統(tǒng)的一個重要屬性。安全行為要求系統(tǒng)的動作和反應(yīng)在正確的時間內(nèi)執(zhí)行。正確的時間可以用一組必須滿足的時序約束來描述。然而，AUTOSAR 軟件組件本身無法確保正確的計時。應(yīng)該以某種方式確保它，但另一個獨立組件是AUTOSAR WdgM。看門狗管理器 (WDGM) 位于 AUTOSAR 堆棧的服務(wù)層，如圖所示，看門狗服務(wù)分布在 AUTOSAR 層中。它基本上包括：

看門狗管理器（服務(wù)層）看門狗接口（ECU抽象層）看門狗驅(qū)動程序（MCAL層）

看門狗管理器的任務(wù)是監(jiān)督軟件的執(zhí)行，如果發(fā)現(xiàn)軟件執(zhí)行中的錯誤或缺陷，WDGM 將采取行動。SWC 使用 WDGM 提供的服務(wù)，使用客戶端服務(wù)器接口。SWC 是客戶端，WDGM 是服務(wù)器

定時保護和監(jiān)控可以描述為監(jiān)控以下屬性：

監(jiān)控任務(wù)在指定時間調(diào)度。

消耗他們的執(zhí)行時間預(yù)算。

不要獨占操作系統(tǒng)資源。（例如CPU負載重、中斷請求多）以下與時序和執(zhí)行相關(guān)的故障可被視為軟件組件之間干擾的原因：

執(zhí)行的阻塞

死鎖

活鎖

執(zhí)行時間分配不正確

軟件元素之間的同步不正確。

執(zhí)行流程不正確。ISO 26262 引入了一些用于錯誤檢測的軟件安全機制。它將活躍度和期限監(jiān)督確定為臨時保護的安全機制。并且還控制流監(jiān)控作為錯誤執(zhí)行流的機制。AUTOSAR 提供了一個方便的解決方案來實現(xiàn)這些機制/服務(wù)，它就是看門狗管理器 WdgM。

WdgM 的主要目的是提供一種機制來驗證 SWC 的執(zhí)行和時序約束。它的目的是考慮周期性和周期性的最大時序約束來監(jiān)督應(yīng)用程序執(zhí)行的可靠性。

為了構(gòu)建可以提供所有這些服務(wù)的通用且可擴展的模塊，AUTOSAR 引入了一種新模式來概括 WdgM 的功能。它將您想要監(jiān)控的任何指定的感興趣的軟件實體聲明為“受監(jiān)管實體 SE”。SE 的監(jiān)控是通過在 SE 內(nèi)部放置一些點“API / RTE 調(diào)用”來驗證目標(biāo)事件（調(diào)度、完成等）是否已經(jīng)發(fā)生，這些點稱為檢查點。

WdgM 提供三種類型的監(jiān)督來涵蓋上述服務(wù)，如圖所示。每個SE都有自己獨特的標(biāo)識符和本地狀態(tài)。整個WdgM有一個整體狀態(tài)，稱為全局狀態(tài)，根據(jù)監(jiān)管類型、SE的配置，那些局部狀態(tài)會影響全局狀態(tài)，這將在后面描述。

WdgM 將獲取包含所有 SE 及其配置的結(jié)構(gòu)數(shù)組，并根據(jù)這些配置執(zhí)行所需的監(jiān)控，并且 WdgM 將相應(yīng)地更新其本地狀態(tài)。

在 WdgM 決定更新其全局狀態(tài)以停止之前，本地狀態(tài)不會導(dǎo)致重置，這將根據(jù)監(jiān)督類型建立單獨的狀態(tài)機。下圖包含監(jiān)控和評估實時監(jiān)督 SE 的流程圖。