1 介紹

現代 ECU 包含高度模塊化的嵌入式軟件，該軟件可以由非可信和可信軟件組件組成，這些組件執行不同 ASIL 級別的功能。在這種情況下，我們有兩種不同的方法

整個軟件必須按照最高的ASIL進行開發。

保持具有不同 ASIL 級別的軟件組件，并確保具有較高 ASIL 級別的組件不受具有較低 ASIL 級別的元件的干擾 FFI。（常用方法）一個系統往往需要同時實現多條ASIL等級不同的功能安全需求，當這些需求分配到軟件模塊上，不同的模塊需要滿足不同的ASIL等級，如下圖所示。

2 時間監控

時序是嵌入式系統的一個重要屬性。安全行為要求系統的動作和反應在正確的時間內執行。正確的時間可以用一組必須滿足的時序約束來描述。然而，AUTOSAR 軟件組件本身無法確保正確的計時。應該以某種方式確保它，但另一個獨立組件是AUTOSAR WdgM。看門狗管理器 (WDGM) 位于 AUTOSAR 堆棧的服務層，如圖所示，看門狗服務分布在 AUTOSAR 層中。它基本上包括：

看門狗管理器（服務層）看門狗接口（ECU抽象層）看門狗驅動程序（MCAL層）

看門狗管理器的任務是監督軟件的執行，如果發現軟件執行中的錯誤或缺陷，WDGM 將采取行動。SWC 使用 WDGM 提供的服務，使用客戶端服務器接口。SWC 是客戶端，WDGM 是服務器

定時保護和監控可以描述為監控以下屬性：

監控任務在指定時間調度。

消耗他們的執行時間預算。

不要獨占操作系統資源。（例如CPU負載重、中斷請求多）以下與時序和執行相關的故障可被視為軟件組件之間干擾的原因：

執行的阻塞

死鎖

活鎖

執行時間分配不正確

軟件元素之間的同步不正確。

執行流程不正確。ISO 26262 引入了一些用于錯誤檢測的軟件安全機制。它將活躍度和期限監督確定為臨時保護的安全機制。并且還控制流監控作為錯誤執行流的機制。AUTOSAR 提供了一個方便的解決方案來實現這些機制/服務，它就是看門狗管理器 WdgM。

WdgM 的主要目的是提供一種機制來驗證 SWC 的執行和時序約束。它的目的是考慮周期性和周期性的最大時序約束來監督應用程序執行的可靠性。

為了構建可以提供所有這些服務的通用且可擴展的模塊，AUTOSAR 引入了一種新模式來概括 WdgM 的功能。它將您想要監控的任何指定的感興趣的軟件實體聲明為“受監管實體 SE”。SE 的監控是通過在 SE 內部放置一些點“API / RTE 調用”來驗證目標事件（調度、完成等）是否已經發生，這些點稱為檢查點。

WdgM 提供三種類型的監督來涵蓋上述服務，如圖所示。每個SE都有自己獨特的標識符和本地狀態。整個WdgM有一個整體狀態，稱為全局狀態，根據監管類型、SE的配置，那些局部狀態會影響全局狀態，這將在后面描述。

WdgM 將獲取包含所有 SE 及其配置的結構數組，并根據這些配置執行所需的監控，并且 WdgM 將相應地更新其本地狀態。

在 WdgM 決定更新其全局狀態以停止之前，本地狀態不會導致重置，這將根據監督類型建立單獨的狀態機。下圖包含監控和評估實時監督 SE 的流程圖。