多ASIL等級的高集成控制器的設計模式

　　今天，汽車制造商們需要不斷的實現具有革新意義的新功能。同時，為了節省成本、減輕重量和能耗，控制器的數量不宜增加過多。因此，大量符合Autosar的高集成多功能控制器應運而生。欲設計出、可靠的高集成多功能控制器需要有優化的架構理念，包括功能、軟件和控制器架構。系統架構師需要選擇合適的理念進行設計，并且如果有必要，須對系統架構進行優化和修改(在開發過程中盡早進行)。

　　本文將介紹的控制器設計的獨特之處是要在單一的控制器上實現不同嚴重度等級(criticality)的應用，對要實現多種不同嚴重度等級的安全相關功能的底盤控制器尤為如此。圖1展示了有著不同安全需求的軟件的集成。這種混合嚴重度等級(mixed-criticality)系統必須滿足兩個基本的時間性能需求：

　　●在任何情況下，都必須保證有充足的運算空間以實現相關功能，避免CPU過載，并且功能的實現要滿足各自的時間性能需求

　　●安全相關功能的實現不能被低ASIL等級功能干擾

　　矛盾的優先級設計方法

　　軟件集成過程中，調度優先級是一個很重要的因素。成熟的優先級設置理念有Rate Monotonic Scheduling(RMS)、Criticality Aware Priority Assignment (CAPA)等方法。其中，RMS方法的設計理念是：周期越短，優先級越高;CAPA方法的設計理念是：安全等級越高，優先級越高。然而，單獨利用任何一種方法，都不能達到滿意的調度效果。使用RMS方法設置優先級，則所有任務的運行都能滿足其截止期限(deadline)的要求，但是不能保證“freedom from interference”;使用CAPA方法可以保證低安全等級的任務不影響高安全等級的任務，但CPU資源利用效率低，資源浪費嚴重。

　　Autosar時序保護機制提升設計空間

　　時序保護機制是Autosar的一項系統服務，它對運行中的控制器上的一個(或幾個)任務的執行時間進行監控。如果有任務的實際運行時間超過了預設的執行時間，系統將會判定為錯誤并且對該錯誤進行相應的處置。雖然這種方式不能消除嚴重等級反轉(criticality inversions)的問題，但使問題出現的可能性得到了有效的控制。該時序保護機制可以使系統滿足ISO26262的相關安全要求，特別是“absence of error propagation”這一點。一般說來，時序保護機制需要根據應用的ASIL等級來設計。為了合理的對時序保護機制進行配置(尤其是執行時間的設置)，對差情況下的任務調度(WCRT&WCET)進行分析和預測是必須的。如圖2所示，在綜合利用時序保護機制和周期轉化(所謂周期轉化即指將周期長的任務分割為執行時間較短的多個子任務，且此多個子任務仍能夠在原任務周期內完成)兩種設計理念的條件下，所有安全和實時性相關的需求均得到了滿足。即，不存在低安全等級對高安全等級任務的干擾，且所有任務均在其周期時間內執行完成。

　　新設計模式的應用

　　我們將上述提及的設計理念整合進實際的設計流程中, 如圖3所示。首先，根據RMS方法設計出一版初始的調度參數。然后，查看是否有嚴重度等級逆轉現象。如前述所介紹，如果軟件架構中應用了時序保護機制，則該問題可以得到有效的控制。如果軟件架構中未使用時序保護機制，則須使用CAPA方法對有安全需求的軟件進行優先級重設。后的“安全檢查”用來確保在優先級和時序保護機制設計中不存在錯誤。下一步檢查是否所有的可調度項均滿足了時間需求。如果滿足，則時序保護機制的相關參數便可確定下來。如果不滿足，則須采取相應的措施解決問題，比如采取周期轉化的方法對軟件架構進行調整。另，為了盡早的在設計流程中對軟件架構及調度進行優化，除了相關配置信息，如任務名稱、周期、ASIL等，還需要獲知task和runnable的執行時間。

　　結論

　　奧迪和Symtavision在一個聯合項目中成功地對上述設計模式進行了應用，并且相關架構設計變體在高集成控制器實際應用中得到了確認。這充分表明了該設計模式的價值?？偠灾?，時序和安全是系統架構設計中需要盡早考慮的兩個重要角度。

　　文章來源：《Design patterns for highly integrated ECUs with various ASIL levels》——《ATZ elektronik》雜志。