安全實現(xiàn)汽車電子實時性能
一個關(guān)鍵問題是,確保平臺上運行的所有不同應用之間的“干擾免除”。這意味著,對各個進程在資源使用上強制執(zhí)行預先定義的限定,包括CPU處理時間、中斷時延、代碼執(zhí)行范圍、RAM占用量、外設(shè)訪問和服務使用(如操作系統(tǒng)功能、EEPROM處理程序、總線網(wǎng)絡(luò)驅(qū)動程序和類似的共享功能)等。這些保障措施在采用多核單片機上需要審慎地考慮。這些多核單片機將具備若干個CPU,以運行多個AUTOSAR操作系統(tǒng)(操作系統(tǒng)應用)實例,并分享同一套硬件資源。傳統(tǒng)的分享共用計算資源方法涉及利用“管理程序”層來抽象化硬件。這種管理程序避免了操作系統(tǒng)直接訪問物理硬件,代之以收集這些訪問,排列整理確定其優(yōu)先級和權(quán)限,從而拒絕或同意訪問請求。將這一思路引入汽車領(lǐng)域,則意味著在每個CPU上運行若干個“AUTOSAR虛擬機”,并由特定管理程序?qū)觼砉芾硎褂霉蚕碣Y源的權(quán)限和沖突。然而,汽車電控裝置尚不可支持這種程度的抽象,因為這種深度嵌套的實時系統(tǒng)的主要缺點是會大幅延長所有外設(shè)訪問的時延的。為了成功實現(xiàn)資源共享,AUTOSAR版本4提供了一種合作共享模式,它規(guī)定了一種操作系統(tǒng)應用間通信(IOC)機制,借以將某個特定內(nèi)核上不能服務的基本軟件模塊(BSW),重新定向至可提供服務的內(nèi)核。這種機制依賴于內(nèi)核之間的協(xié)作,其不足之處是有可能某個內(nèi)核收到大量IOC請求,因而影響其執(zhí)行其他任務的能力。必須審慎地檢查通過這種合作機制實現(xiàn)的不同內(nèi)核上的應用之間的“干擾免除”,并且必須對可能造成的潛在附加負荷加以限制。
圖1:用于簡化網(wǎng)絡(luò)連接的域控制器“Boardnetz”,可將若干有關(guān)應用集成到高性能域控制電子控制裝置中
評論