CPAUTOSAR安全Timing机制简介.docVIP

CPAUTOSAR安全Timing机制简介 1、ISO26262对Timing的要求 在ISO26262-6:2018的附录D中对软件层面的Freedom from interference提出了三点要求，分别是Memory、Timing和Exchange Of Information。本文重点对Timing相关的保护机制做介绍，对于Timing的要求提出了如下关注要点： blocking of execution deadlocks livelocks incorrect allocation of execution time incorrect synchronization between software elements 针对ISO26262提出的对Timing的监控和保护，在CP AUTOSAR中主要依靠两个主要的功能块实现。分别是OS的SC4等级的时间保护机制，还有就是利用WdgM整个功能站实现对时间的监控。 其中OS的时间保护主要对Task级别进行时间保护，对Task执行的时间，嵌套中断的时间进行分析和保护，这块的功能后期会在OS的介绍中体现。 本篇主要介绍WdgM对时间的监控保护机制。WdgM对时间的保护和监控主要从Alive Supervisor、Deadline Supervisor以及Program Flow Supervisor三个层次实现时间的保护和监控。 2、WdgM功能Overview WdgM主要用作程序执行中和时间相关的监控，在CP AUTOSAR的架构中对监控的实体叫做Supervised Entities（SE），检测的SE特定的位置叫做Checkpoint。 监控的概念主要体现在三个方面，分别是监控特定SE的执行频率，避免执行频率过快和过慢；监控两个Checkpoint的Deadline以及对特定的程序流进行监控（多个Checkpoint的执行逻辑）。 WdgM监控的SE可以是和功能安全相关的Function，也可以是一个SWC或者CDD甚至一个BSW模块。对于CP AUTOSAR中提供的监控模块主要包括WdgM、WdgIf、Internal Wdg Driver、External Wdg Driver。 根据系统定义和软件架构的设计可以选择对应的内外部驱动实现对SE的监控，下图展示了WdgM监控的整个逻辑，在相关的SWC或者CDD中设置对应的Checkpoint，然后周期的触发WdgM的服务，从而对程序流监控，而在监控出现时间的偏差则会触发Wdg Driver触发对应的Reaction。 CP AUTOSAR ECU中的OS是基于OSEK操作系统而扩展的。所有扩展功能被分配到不同的操作系统扩展类型中，采用SC1-SC4表示，其中，SC1表示只使用调度表功能；SC2包含了调度表和时间保护；SC3包含了内存保护和调度表；SC4包含了调度表/时间保护和内存保护。同时操作系统也可以支持多核处理器。 3、Alive Supervision Alive Supervision主要用于对周期的函数或者任务做监控，主要是避免周期的函数或者任务执行频率太快或者太慢。在Alive Supervision中主要包含下面的配置参数： WdgMExpectedAliveInidications： 主要用于在一次Checkpoint中定义SE期望通知的次数 WdgMSupervisionReferenceCycle： 主要用于定义SE参考的周期 WdgMMinMargin、WdgMMaxMargin： 分别定义SE的Checkpoint执行次数的上下限 SE的WdgM_CheckpointReached每调用一次，对应的Checkpoint的Alive Counter就会加1，主函数在WdgMSupervisionReferenceCycle会去检测Alive Counter的数目。 只有Alive Counter在该周期内属于(Expected – Min Margin; Expected + Max Margin)范围就认为该SE处于正常的模式，如果Alive Counter小于（Expected – Min Margin）则认为所监控的SE执行太慢，相反Alive Counter大于（Expected + Max Margin），则认为SE执行的太快。 4、Deadline Supervision Deadline Supervision主要用于监控非周期运行的SE，主要定义了某个事件发生后，在特定的时间窗内去执行相应的SE的Checkpoint，一般认为在事件发生后在定义的最短时间和最长时间内去执行相应的Checkpoint，认为程序属于正常的执行，如果在事件发生后执行相关SE的Checkpoint