多ASIL等级的高集成控制器的设计模式

hirain

        今天，汽车制造商们需要不断的实现具有革新意义的新功能。同时，为了节省成本、减轻重量和能耗，控制器的数量不宜增加过多。因此，大量符合Autosar的高集成多功能控制器应运而生。欲设计出高效、可靠的高集成多功能控制器需要有优化的架构理念，包括功能、软件和控制器架构。系统架构师需要选择合适的理念进行设计，并且如果有必要，须对系统架构进行优化和修改（在开发过程中尽早进行）。


        本文将介绍的控制器设计的独特之处是要在单一的控制器上实现不同严重度等级（criticality）的应用，对要实现多种不同严重度等级的安全相关功能的底盘控制器尤为如此。图1展示了有着不同安全需求的软件的集成。这种混合严重度等级（mixed-criticality）系统必须满足两个基本的时间性能需求：

●  在任何情况下，都必须保证有充足的运算空间以实现相关功能，避免CPU过载，并且功能的实现要满足各自的时间性能需求

●  安全相关功能的实现不能被低ASIL等级功能干扰





矛盾的优先级设计方法

        软件集成过程中，调度优先级是一个很重要的因素。成熟的优先级设置理念有Rate Monotonic Scheduling(RMS)、Criticality Aware Priority Assignment (CAPA)等方法。其中，RMS方法的设计理念是：周期越短，优先级越高；CAPA方法的设计理念是：安全等级越高，优先级越高。然而，单独利用任何一种方法，都不能达到满意的调度效果。使用RMS方法设置优先级，则所有任务的运行都能满足其截止期限（deadline）的要求，但是不能保证“freedom from interference”；使用CAPA方法可以保证低安全等级的任务不影响高安全等级的任务，但CPU资源利用效率低，资源浪费严重。



Autosar时序保护机制提升设计空间

        时序保护机制是Autosar的一项系统服务，它对运行中的控制器上的一个（或几个）任务的执行时间进行监控。如果有任务的实际运行时间超过了预设的最大执行时间，系统将会判定为错误并且对该错误进行相应的处置。虽然这种方式不能完全消除严重等级反转（criticality inversions）的问题，但使问题出现的可能性得到了有效的控制。该时序保护机制可以使系统满足ISO26262的相关安全要求，特别是“absence of error propagation”这一点。一般说来，时序保护机制需要根据应用的最高ASIL等级来设计。为了合理的对时序保护机制进行配置（尤其是最大执行时间的设置），对最差情况下的任务调度（WCRT&WCET）进行分析和预测是必须的。如图2所示，在综合利用时序保护机制和周期转化（所谓周期转化即指将周期长的任务分割为执行时间较短的多个子任务，且此多个子任务仍能够在原任务周期内完成）两种设计理念的条件下，所有安全和实时性相关的需求均得到了满足。即，不存在低安全等级对高安全等级任务的干扰，且所有任务均在其周期时间内执行完成。




新设计模式的应用

        我们将上述提及的设计理念整合进实际的设计流程中, 如图3所示。首先，根据RMS方法设计出一版初始的调度参数。然后，查看是否有严重度等级逆转现象。如前述所介绍，如果软件架构中应用了时序保护机制，则该问题可以得到有效的控制。如果软件架构中未使用时序保护机制，则须使用CAPA方法对有安全需求的软件进行优先级重设。最后的“安全检查”用来确保在优先级和时序保护机制设计中不存在错误。下一步检查是否所有的可调度项均满足了时间需求。如果满足，则时序保护机制的相关参数便可确定下来。如果不满足，则须采取相应的措施解决问题，比如采取周期转化的方法对软件架构进行调整。另，为了尽早的在设计流程中对软件架构及调度进行优化，除了相关配置信息，如任务名称、周期、ASIL等，还需要获知task和runnable的执行时间。





结论

        奥迪和Symtavision在一个联合项目中成功地对上述设计模式进行了应用，并且相关架构设计变体在高集成控制器实际应用中得到了确认。这充分表明了该设计模式的价值。总而言之，时序和安全是系统架构设计中需要尽早考虑的两个重要角度。


        文章来源：《Design patterns for highly integrated ECUs with various ASIL levels》——《ATZ elektronik》杂志。