安全实现汽车电子实时性能
一个关键问题是,确保平台上运行的所有不同应用之间的“干扰免除”。这意味着,对各个进程在资源使用上强制执行预先定义的限定,包括CPU处理时间、中断时延、代码执行范围、RAM占用量、外设访问和服务使用(如操作系统功能、EEPROM处理程序、总线网络驱动程序和类似的共享功能)等。这些保障措施在采用多核单片机上需要审慎地考虑。这些多核单片机将具备若干个CPU,以运行多个AUTOSAR操作系统(操作系统应用)实例,并分享同一套硬件资源。传统的分享共用计算资源方法涉及利用“管理程序”层来抽象化硬件。这种管理程序避免了操作系统直接访问物理硬件,代之以收集这些访问,排列整理确定其优先级和权限,从而拒绝或同意访问请求。将这一思路引入汽车领域,则意味着在每个CPU上运行若干个“AUTOSAR虚拟机”,并由特定管理程序层来管理使用共享资源的权限和冲突。然而,汽车电控装置尚不可支持这种程度的抽象,因为这种深度嵌套的实时系统的主要缺点是会大幅延长所有外设访问的时延的。为了成功实现资源共享,AUTOSAR版本4提供了一种合作共享模式,它规定了一种操作系统应用间通信(IOC)机制,借以将某个特定内核上不能服务的基本软件模块(BSW),重新定向至可提供服务的内核。这种机制依赖于内核之间的协作,其不足之处是有可能某个内核收到大量IOC请求,因而影响其执行其他任务的能力。必须审慎地检查通过这种合作机制实现的不同内核上的应用之间的“干扰免除”,并且必须对可能造成的潜在附加负荷加以限制。
图1:用于简化网络连接的域控制器“Boardnetz”,可将若干有关应用集成到高性能域控制电子控制装置中
评论