功能安全专题之AUTOSAR Timing的保护机制

本文来自于AUTOSAR技术资料。

前言

功能安全（Functional Safety）是一项系统特性，由于基于功能安全的设计会影响到系统设计，所以从系统开发初始阶段就要进行考虑。由于软件的复杂度会影响 到功能安全的设计，所以在AUTOSAR规范中，包含了部分与功能安全相关的需求，这些新技术和概念能够帮助降低功能安全相关组件的复杂度。不过需要强调的是，AUTOSAR虽然通过提供安全措施和机制来支持基于功能安全产品开发，但这些独立的安全措施（Safety Measure）并不能形成整体的安全解决方案。

在功能安全标准（ISO 26262 2018, Part 6）中，提到了要避免软件相关元素之间干扰（Freedom from Interference between software elements）。软件之间的相互干扰主要集中在软件的执行时间（Timing），软件间的死锁（Dead locks，Live locks），内存使用（Memory），信息交换（Information Exchange）。

本文主要介绍一下AUTOSAR规范中对于软件执行时间的保护措施。

1 失效模式介绍（Fault Modes）

软件的执行时间是嵌入式产品一项非常重要的属性。安全（Safety）的行为需要系统能够在正确的时机响应外部触发。正确的时机可以描述为一系列对于响应时间的限制条件。但即使基于AUTOSAR的软件，也无法由软件自身来保障正确响应时间，这依赖于合理的使用AUTOSAR RTE和BSW组件。在集成过程中，需要保障对AUTOSAR软件的执行时间限制。

在ISO 26262中与软件执行时间相关的失效模式有如下几种：

• 阻塞执行（Block of Execution）
• 死锁（Dead Locks）
• 活锁（Live Locks）
• 不正确的执行时间分配（Incorrect allocation of execution time）
• 软件组件间的错误同步（Incorrect synchronization between software elements）

时间保护与监控可以描述为监控如下的软件属性：监控任务是否在指定时间内进行了分配，任务是否在其时间预算内正确执行，是否存在大量占用系统资源的情况。为了保障功能安全相关的功能满足这些时间限制条件，任务（Task）对于CPU资源的使用情况需要进行监控。

2 Timing的保护机制介绍

AUTOSAR系统中，提供了如下2种执行时间保护机制：

• 基于AUTOSAR操作系统的执行时间保护机制，包括执行时间保护、阻塞时间保护和间隔时间保护
• 基于Watchdog Manager的程序流监护机制，包括心跳检测、Deadline检测和执行逻辑检测

2.1 监管对象（Supervised Entities）

监管对象是指由Watchdog Manager监管的在ECU运行的一系列应用软件。这些应用软件之间（包括和AUTOSAR组件之间），不需要存在特定的架构上的联系。典型的监管对象可以是SWC, CDD, BSW Module，完全取决于应用开发人员的需求。监管的要点在于监管对象中存在的一系列检查点，监管对象的代码和检查点的代码一般的交错在一起的，检查点用于触发针对Watchdog Manager的函数调用。

2.2 Watchdog Manager

Watchdog Manager是AUTOSAR BSW中的组件。Watchdog Manager负责触发真实的Watchdog硬件，用于监控软件的执行。一旦针对预定的执行时间或执行逻辑的异常发生，则会触发一系列预先设置恢复措施（如，重启）。
基于Watchdog Manager的监控措施有几种：

• 心跳监控 周期性运行的监管对象对于执行的频率有限定性要求。Watchdog Manager通过周期性的检查监管对象触发的检查点，可以监控监管对象是否存在执行频率过高或者过低的问题
• Deadline监控 非周期性运行的监管对象，在检查点之间，具有独立的执行逻辑限制。通过Deadline监控，Watchdog Manager检查2个检查点之间的执行时间是否在允许的范围内

2.3 基于操作系统的执行时间保护

在实时系统中（Real-time），时间故障经常发生在任务或者中断没能在指定的时间内触发。AUTOSAR OS不提供基于Deadline监控的执行时间保护机制，主要是违反Deadline监控的原因通常是由于其它一些非相关的任务或者中断的执行（这里可以参考AUTOSAR OS的规范）。
在一个抢占式的系统中，任务或者中断能否达成Deadline的限定取决以下几个方面：

• 任务或者中断的执行时间
• 任务或者中断被低优先级任务的阻塞时间
• 任务或者中断执行的间隔

为了达到安全和精确执行时间保护，操作系统要能够实时控制这些可能的因素，来确保任务和中断能够达成Deadline的限制条件。
AUTOSAR OS提供基于如下措施：

• 执行时间保护（Execution Time Protection） 针对任务及CAT2的中断，系统设置了执行时间的预算（Execution Budget），OS通过监控执行情况，可以阻止相关的执行时间错误
• 加锁时间保护（Locking Time Protection） 针对资源加锁的时间，中断的加锁和挂起时间设置上限，也由OS进行监控
• 间隔时间保护（Inter-Arrival Time Protection) 针对任务触发时间和CAT2中断间隔时间设置最小间隔，由OS进行监控并保护

3 检测和应对机制

Watchdog Manager提供了3种用于程序执行时间和逻辑的监控机制。这些机制需要事先经过静态配置，另外，多个监控机制可以同时部署。
基于任一机制的检测结果，针对特定监管对象的状态可以被计算出来（通常以计数器的形式表示，称为Local Status）。当所有的监管对象的状态计算完毕，则整个ECU的全局状态也就确定了。
基于这些监管对象的状态和ECU的全局状态，Watchdog Manager使用几种安全机制来恢复异常的监控状态，包括针恢复单个监控对象的状态到Reset整个ECU：

1. 监控对象内部的错误处理（Error Handling in the Supervised Entity）
   如果被监控的对象是Swc或者Cdd，Watchdog Manager可以通过RTE的状态（Mode）机制通知监控对象，监控对象可以通过预定义的动作恢复正常状态。
   Watchdog Manager也可以注册回调到Dem中，这样恢复的动作也可以为Dem触发。
2. 关闭分区（Partition Shutdown）
   如果Watchdog Manager检测到出错的监测对象位于non-trusted分区中，Watchdog Manager可以通过BswM关闭这个non-trusted分区。
3. 通过Watchdog硬件重启ECU （Reset by Hardware Watchdog）
   Watchdog Manager停止通过Watchdog Interface更新Watchdog硬件，在超时之后，Watchdog硬件重启ECU或者MCU，则包括软件和硬件在内的都会被重新初始化。
4. ECU立即重启（Immediate MCU Reset）
   如果判断需要执行全局的立即重启，Watchdog Manager可以直接触发MCU重启的动作。MCU重启可以重新初始化MCU内部的硬件和软件，但外部硬件不执行初始化动作。

4 限制条件

AUTOSAR提供的保护机制中有如下的限制：

• 检查点的粒度不固定，但检查点的粒度过粗会影响Watchdog Manager的检测能力。例如一个Swc只有一个检查点的情况下，Watchdog Manager只能监控到Swc内的Runnable在执行，以及是否满足限定的时间的要求；如果在Swc内部Runnable的每个代码段或分支中，都有相应的检查点，则可以监控Runnable控制流是否有问题。不过，细粒度的检查点可能会导致针对Watchdog Manager的配置变得十分复杂难以维护
• 基于Deadline的监护有个弱点，即只能检测到特定的任务是否存在Delay（一次执行时，最后一个检查点被执行到），但不能检测到超时（如，检查点根本没被执行）
• 不支持嵌套的Deadline检测
• 基于心跳的检测一般只使用一个检测点，多于一个的情况在AUTOSAR规范中并未指定
• 在重启一个AUTOSAR分区时，分区内的其它监管对象也要进行相应的动作
• 以Library形式组入的组件不能调用BSW的接口，所以Library不能监控，但可以使用Deadline监控，因为Deadline的检查点可以在执行完Library接口后调用