1 介紹

現(xiàn)代 ECU 包含高度模塊化的嵌入式軟件，該軟件可以由非可信和可信軟件組件組成，這些組件執(zhí)行不同 ASIL級別的功能。在這種情況下，我們有兩種不同的方法

整個軟件必須按照最高的ASIL進行開發(fā)。

保持具有不同 ASIL 級別的軟件組件，并確保具有較高 ASIL 級別的組件不受具有較低 ASIL 級別的元件的干擾 FFI。（常用方法）一個系統(tǒng)往往需要同時實現(xiàn)多條ASIL等級不同的功能安全需求，當這些需求分配到軟件模塊上，不同的模塊需要滿足不同的ASIL等級，如下圖所示。

2 時間監(jiān)控

時序是嵌入式系統(tǒng)的一個重要屬性。安全行為要求系統(tǒng)的動作和反應在正確的時間內執(zhí)行。正確的時間可以用一組必須滿足的時序約束來描述。然而，AUTOSAR軟件組件本身無法確保正確的計時。應該以某種方式確保它，但另一個獨立組件是AUTOSAR WdgM。看門狗管理器 （WDGM） 位于 AUTOSAR堆棧的服務層，如圖所示，看門狗服務分布在 AUTOSAR 層中。它基本上包括：

看門狗管理器（服務層） 看門狗接口（ECU抽象層） 看門狗驅動程序（MCAL層）

看門狗管理器的任務是監(jiān)督軟件的執(zhí)行，如果發(fā)現(xiàn)軟件執(zhí)行中的錯誤或缺陷，WDGM 將采取行動。SWC 使用 WDGM提供的服務，使用客戶端服務器接口。SWC 是客戶端，WDGM 是服務器

定時保護和監(jiān)控可以描述為監(jiān)控以下屬性：

監(jiān)控任務在指定時間調度。

消耗他們的執(zhí)行時間預算。

不要獨占操作系統(tǒng)資源。（例如CPU負載重、中斷請求多） 以下與時序和執(zhí)行相關的故障可被視為軟件組件之間干擾的原因：

執(zhí)行的阻塞

死鎖

活鎖

執(zhí)行時間分配不正確

軟件元素之間的同步不正確。

執(zhí)行流程不正確。ISO 26262引入了一些用于錯誤檢測的軟件安全機制。它將活躍度和期限監(jiān)督確定為臨時保護的安全機制。并且還控制流監(jiān)控作為錯誤執(zhí)行流的機制。AUTOSAR提供了一個方便的解決方案來實現(xiàn)這些機制/服務，它就是看門狗管理器 WdgM。

WdgM 的主要目的是提供一種機制來驗證 SWC 的執(zhí)行和時序約束。它的目的是考慮周期性和周期性的最大時序約束來監(jiān)督應用程序執(zhí)行的可靠性。

為了構建可以提供所有這些服務的通用且可擴展的模塊，AUTOSAR 引入了一種新模式來概括 WdgM
的功能。它將您想要監(jiān)控的任何指定的感興趣的軟件實體聲明為“受監(jiān)管實體 SE”。SE 的監(jiān)控是通過在 SE 內部放置一些點“API / RTE調用”來驗證目標事件（調度、完成等）是否已經(jīng)發(fā)生，這些點稱為檢查點。

WdgM
提供三種類型的監(jiān)督來涵蓋上述服務，如圖所示。每個SE都有自己獨特的標識符和本地狀態(tài)。整個WdgM有一個整體狀態(tài)，稱為全局狀態(tài)，根據(jù)監(jiān)管類型、SE的配置，那些局部狀態(tài)會影響全局狀態(tài)，這將在后面描述。

WdgM 將獲取包含所有 SE 及其配置的結構數(shù)組，并根據(jù)這些配置執(zhí)行所需的監(jiān)控，并且 WdgM 將相應地更新其本地狀態(tài)。

在 WdgM 決定更新其全局狀態(tài)以停止之前，本地狀態(tài)不會導致重置，這將根據(jù)監(jiān)督類型建立單獨的狀態(tài)機。