[背景]
AUTOSAR Wdg需要ISR上下文中的刷新硬件Wdg(SWS_Wdg_00166),目的仅在于窗口Wdg的“最小定时抖动”和“最小延迟”,并与旧WdgM兼容。
但我的理解是窗口Wdg的目的是找到系统时钟抖动(例如:CPU PLL),这是ISO26262 AnnexD(时钟抖动)所要求的。
AUTOSAR Wdg策略从上层删除“Wdg窗口”的概念并将其封装在硬件定时器中,因为只要WdgM存活,在Wdg超时周期内调用Wdg_SetTriggerCondition,Wdg驱动程序将刷新硬件定时器ISR中的HW Wdg,在WdgM等级,与正常的Toggle Wdg相同。
[问题]
如果使用AUTOSAR标准开发功能安全软件,如何处理上述Wdg要求?
如果遵守此规定,则不满足ISO26262
如果忽略此项,则不满足AUTOSAR标准。
谁可以给我一些建议?
或
有没有办法将其提交给AUTOSAR?
答案 0 :(得分:1)
我不完全确定我是否完全理解你的问题,但我认为你误解了窗口看门狗的目的。
WDG通过WDGM进行配置,可确保对ECU进行简单的活动监控。有了一些配置选项(例如看门狗检查点),它可以实现简单的程序流监控。监视器的窗口只是为了确保您不仅可以启动看门狗,还可以观察一些时序要求。从最简单的情况来看,如果你只从一个任务启动监视程序并且应该每5毫秒运行一次,那么窗口可以保证如果任务每1毫秒或每15毫秒运行一次,系统将检测到故障。
Autosar本身不一定足以制作ISO 26262含义中安全的软件。您需要知道您要定位的ASIL,然后设计系统以达到该级别。通常,您不仅要依靠ISO 26262,还要依赖硬件制造商提供的安全手册。这可能会指定您必须实施的其他要求,完全独立于Autosar。
答案 1 :(得分:1)
首先,确保您的WdgM是根据您所需的ASIL级别设计和开发的。 (您的BSW供应商将为您提供此信息) 如果您的系统是ASIL-B,那么您的WdgM必须满足ASIL-B要求。 您提到的问题(WdgM周期性地触发wdg,与SW-C的触发时序无关)来自WdgM必须考虑几个SW-C以及序列监视等的事实。 提到看门狗窗口应该很明显,每当任何一个SW-C触发WdgM时,WdgM都不能触发(外部)看门狗。
答案 2 :(得分:0)
我很难理解你的[背景]部分,但是如果你看一下BSW要求SRS_Wdg_12019,就说
SRS_Wdg_12019:看门狗驱动程序应提供看门狗触发程序。
并且SWS_Wdg_00166等满足了这一点。 SWS_Wdg_00166说
SWS_Wdg_00166:为内部看门狗提供服务的例程应为 实现为由硬件定时器驱动的中断例程
进一步阅读启示:
如SWS_Wdg_00162和SWS_Wdg_00166所述,时间基准为 触发看门狗应通过硬件提供。这确保了 最小定时抖动。
这两个要求SWS_Wdg_00162和SWS_Wdg_00166也暗示 看门狗硬件的维护直接从定时器ISR完成。这确保了最小的延迟。
ISO26262合规性不仅可以通过Wdg等ASR功能实现,而且还需要一个Window Watchdog。 我认为您应该紧急寻求AUTOSAR和ISO26262课程。