【2017年整理】看门狗应用软件为汽车安全相关系统提供可靠性服务.doc

Application of Software Watchdog 第 PAGE8页 共 NUMPAGES8 页 学号：201020700028 刘翔 看门狗应用软件为汽车安全相关系统提供可靠性服务 Xi Chen 戴姆勒克莱斯勒股份公司，斯图加特, 德国 xi.chen@ Juejing Feng 德国亚琛工业大学 juejing.feng@rwth-aachen.de Martin Hiller 沃尔沃科技公司 -哥德堡，瑞典martin.hiller@ Vera Lauer 戴姆勒克莱斯勒股份公司，斯图加特, 德国 vera.lauer@ 摘要 在汽车电子面对挑战，造成了应用软件组件密度的增加和未来的安全系统的高可靠性要求，为了在运行时监测单独应用软件组件，一个可靠的软件服务是需求，以提高整个系统的可靠性。本文提出了一个提供心跳监测和程序流检测的软件看门狗服务应用。软件看门狗为一个为汽车安全电子产品集成了软件平台。给出了一个以Matlab/Simulink模型为基础的设计和软件看门狗在硬件循环验证程序中的评价。 索引词 - 软件看门狗，心跳监测，程序流检测，汽车可靠性软件平台和软件服务 1. 介绍和背景 近年来，通过不断触发需求增加安全性和舒适性，在汽车板上的电气和电子（电子/电气）已受到更多的严格的需求。一方面，通过电子和软件实现，应用的复杂性和数量急剧增加是显着的[1]。另一方面，在可比的成本下，同最先进的机械系统相比，电子/电气系统及网络应至少表现出同样的可靠性。 随着功能强大的微控制器引入和成本的原因，由于越来越多的功能将被整合在一个ECU上，ECU（电子控制单元）的数目将被合并，甚至减少。面对这一挑战，确定一个通用的软件平台和标准化软件服务是两个关键的方法。 AUTOSAR联盟[2] 是一个首创的中心标准,它的目的是为每一用在汽车上的ECU提供一个标准的软件平台。根据AUTOSAR理想，未来的嵌入式软件将从ECU的硬件细节独立出来开发。应用软件组件被映射到不同的ECU。那里应用程序被划分成叫做运行状态的代码序列元件。来自不同的应用程序运行状态能被映射成同一任务，而且来自不同的应用程序的任务也能映射到同一个ECU。因此，来自不同的软件组件的运行状态可以被映射到同一个任务是可能的。考虑就绪状态可靠性需求，对于两个就绪状态不同的时间限制是要求的。在故障检查和错误过程中，那些运行过程应该被区别对待。 考虑到目前的趋势，我们需要更有力的服务来检测时间和程序流故障。这些服务不仅需要在系统集成和验证阶段，而且在运行阶段。对容错具有灵活的可靠性[3]软件服务的，一个定义良好的分层软件平台，是在汽车应用中提供安全相关的控制系统的关键问题。 旨在监测时间行为和程序流，软件看门狗服务，是在欧盟项目EASIS设计范围内（电子体系结构和系统安全集成工程，看）。这个项目是一个22个欧洲行业领先的汽车制造商，系统供应，工具生产和研究机构组成工业联合。今天，安全系统主要是单机系统，跨域边界很少或没有联系（在上下文中，域是指如动力系统，底盘，和车身）。所谓集成安全系统（IIS）越过主动和被动域边界安全系统的组合。链接到远程处理服务也包括在这个术语中。 2.相关的工作 对于汽车安全系统，满足的实时需求在一个决定性的方式中是一个关键问题。为了满足时间约束，不同的监测机制得到发展，象ECU硬件看门狗[3][5][6]，截止监测[7][8]和执行时间监测[9]。为了确保正确的程序执行序列，带有控制流检测方法与签名技术已经在IT工业上开发出来。 一个硬件看门狗把嵌入式软件作为一个整体，随着在一个ECU单元应用密度的增加，为了监测在一个更细节级别上的执行，例如，在任务级或者运行级，硬件看门狗应该提供软件服务。 OSEKTime [8]操作系统的截止日期监测和AUTOSAR OS执行时间监测介绍了任务的时间监测，但是任务层的故障检测粒度对运行状态不是足够的好。 在控制流检查领域，许多检测程序流正确性的工作已经在IT工业中做出来了。大部分的当前控制流检测方法是基于指定签名，如[10]介绍块。 如一个技术经历从高性能开销和关于程序修改方法的低灵活性。 3.功能设计 软件看门狗是假定确保系统的实时性特征。追查的实时性要求以及对违反时机及早发现故障原因是不容易的，因为导致错误的时间复杂局面。一个时序违反约束可能是下列两类之一： 1. 对象挂起由于被阻塞请求的资源的结果，无论是由物体本身或其他对象，足够长的违反时序约束。 2. 对象是过分派出执行。 根据分类，通过监测活着和运动状态到达率，软件看门狗标识这两种情形。为了正确地执行任务，程序流通过检测软件看门狗处理运动状态作为基本块。 详细地介绍软件看门狗设计理念之前，我们将简要地描述EASIS软件平台，在这个平台里，