[背景]
AUTOSAR Wdg 需要在 ISR 上下文中刷新硬件 Wdg(SWS_Wdg_00166),目的只是为了窗口 Wdg 的“最小时序抖动”和“最小延迟”并与旧的 WdgM 兼容。
但是我的理解是window Wdg的目的是查找系统时钟抖动(例如:CPU PLL),这是ISO26262 AnnexD(时钟抖动)所要求的。
AUTOSAR Wdg 策略从上层删除“Wdg 窗口”的概念,并将其封装在硬件定时器中,因为只要 WdgM 活着,在 Wdg 超时时间内调用 Wdg_SetTriggerCondition,Wdg 驱动程序就会在硬件定时器 ISR 中刷新 HW Wdg,在 WdgM级别,与之前的 Toggle Wdg 相同。
[问题]
如果使用AUTOSAR标准开发功能安全软件,如何处理上述Wdg要求?
如果遵守,则不满足 ISO26262。
如果忽略这一点,则不满足 AUTOSAR 标准。
谁能给我一些建议?
或者
有什么方法可以将其提交给 AUTOSAR?
首先,确保您的 WdgM 是针对您所需的 ASIL 级别设计和开发的。(您的 BSW 供应商将向您提供此信息)如果您的系统是 ASIL-B,那么您的 WdgM 必须满足 ASIL-B 要求。您提到的问题(WdgM 循环触发 wdg,独立于 SW-C 的触发定时)来自于 WdgM 必须考虑多个 SW-C 以及可能的序列监控等事实。提到看门狗窗口应该很明显,每当任何 SW-C 触发 WdgM 时,WdgM 都无法触发(外部)看门狗。
我不完全确定我是否完全理解你的问题,但我认为你误解了窗口看门狗的目的。
通过 WDGM 配置的 WDG 可确保对您的 ECU 进行简单的实时监控。通过一些配置选项的存在(例如看门狗检查点),它可以实现简单的程序流监控。看门狗的窗口化只是为了确保您不仅踢了看门狗,而且还遵守了一些时序要求。举个最简单的例子,如果你只从一个任务中踢出看门狗,并且该任务应该每 5 毫秒运行一次,那么如果任务每 1 毫秒或每 15 毫秒运行一次,窗口化可以保证系统将检测到故障。
Autosar 本身并不一定足以制作出符合 ISO 26262 含义的安全软件。您需要知道您的目标是什么 ASIL,然后设计系统以达到该级别。通常,您不仅要依赖 ISO 26262,还要依赖硬件制造商提供的安全手册。这可能会指定您必须实现的额外要求,完全独立于 Autosar。
我几乎不了解您的 [背景] 部分,但是如果您查看 BSW 要求 SRS_Wdg_12019,它会说
SRS_Wdg_12019:看门狗驱动程序应提供看门狗触发例程。
SWS_Wdg_00166 对此感到满意。SWS_Wdg_00166 说
SWS_Wdg_00166:服务内部看门狗的例程应实现为由硬件定时器驱动的中断例程
进一步阅读揭示:
如 SWS_Wdg_00162 和 SWS_Wdg_00166 所述,触发看门狗的时基应通过硬件提供。这确保了最小的时序抖动。
这两个要求 SWS_Wdg_00162 和 SWS_Wdg_00166 还意味着看门狗硬件的服务直接从定时器 ISR 完成。这确保了最小的延迟。
不仅可以通过 Wdg 等 ASR 功能实现 ISO26262 合规性,而且您肯定需要 Window Watchdog。我认为您应该紧急寻求 AUTOSAR 和 ISO26262 类。