安全實(shí)現(xiàn)汽車電子實(shí)時性能
一個關(guān)鍵問題是,確保平臺上運(yùn)行的所有不同應(yīng)用之間的“干擾免除”。這意味著,對各個進(jìn)程在資源使用上強(qiáng)制執(zhí)行預(yù)先定義的限定,包括CPU處理時間、中斷時延、代碼執(zhí)行范圍、RAM占用量、外設(shè)訪問和服務(wù)使用(如操作系統(tǒng)功能、EEPROM處理程序、總線網(wǎng)絡(luò)驅(qū)動程序和類似的共享功能)等。這些保障措施在采用多核單片機(jī)上需要審慎地考慮。這些多核單片機(jī)將具備若干個CPU,以運(yùn)行多個AUTOSAR操作系統(tǒng)(操作系統(tǒng)應(yīng)用)實(shí)例,并分享同一套硬件資源。傳統(tǒng)的分享共用計算資源方法涉及利用“管理程序”層來抽象化硬件。這種管理程序避免了操作系統(tǒng)直接訪問物理硬件,代之以收集這些訪問,排列整理確定其優(yōu)先級和權(quán)限,從而拒絕或同意訪問請求。將這一思路引入汽車領(lǐng)域,則意味著在每個CPU上運(yùn)行若干個“AUTOSAR虛擬機(jī)”,并由特定管理程序?qū)觼砉芾硎褂霉蚕碣Y源的權(quán)限和沖突。然而,汽車電控裝置尚不可支持這種程度的抽象,因?yàn)檫@種深度嵌套的實(shí)時系統(tǒng)的主要缺點(diǎn)是會大幅延長所有外設(shè)訪問的時延的。為了成功實(shí)現(xiàn)資源共享,AUTOSAR版本4提供了一種合作共享模式,它規(guī)定了一種操作系統(tǒng)應(yīng)用間通信(IOC)機(jī)制,借以將某個特定內(nèi)核上不能服務(wù)的基本軟件模塊(BSW),重新定向至可提供服務(wù)的內(nèi)核。這種機(jī)制依賴于內(nèi)核之間的協(xié)作,其不足之處是有可能某個內(nèi)核收到大量IOC請求,因而影響其執(zhí)行其他任務(wù)的能力。必須審慎地檢查通過這種合作機(jī)制實(shí)現(xiàn)的不同內(nèi)核上的應(yīng)用之間的“干擾免除”,并且必須對可能造成的潛在附加負(fù)荷加以限制。
圖1:用于簡化網(wǎng)絡(luò)連接的域控制器“Boardnetz”,可將若干有關(guān)應(yīng)用集成到高性能域控制電子控制裝置中
評論