28、时间触发片上系统架构中的错误遏制

时间触发片上系统架构中的错误遏制

1. 引言

许多大型嵌入式控制系统可分解为多个近乎独立的分布式应用子系统（DASes）。在汽车领域，动力总成控制系统、安全气囊控制系统、舒适电子控制系统和多媒体系统都是 DASes 的例子。飞机上的控制系统设计也有类似的分解。不同的 DASes 可能具有不同的关键级别，且通常由不同组织开发。

为消除错误在 DASes 间的传播路径并降低系统复杂度，每个 DAS 常采用独立硬件实现，即每个 DAS 的任务分配一台计算机，并提供共享物理通信通道（如汽车领域的 CAN 网络），这种架构称为联邦架构。然而，大量的电子控制单元（ECUs）和网络会带来负面影响，如高数量的电缆接触点（故障的重要原因）和高成本。

如果一个 ECU 能承载多个 DAS 任务，减少 ECUs、网络和电缆数量，就能消除这些负面影响，这种架构称为集成架构。近年来，人们为开发集成架构做出了诸多努力，如航空领域的集成模块化航空电子系统（IMA）、汽车领域的 AUTOSAR 以及跨领域的 DECOS。但这些方法在实现所需的封装（特别是时间属性和瞬态故障方面）存在困难。

本文采用了另一种方法，多核片上系统（SoCs）的出现使得将每个任务分配到 SoC 的一个核心，并提供支持 DASes 之间可组合性和错误遏制的时间触发片上互连成为可能。本文重点关注该架构的关键特性——DASes 之间的错误遏制。

2. 时间触发 SoC 架构

2.1 微组件

引入的 SoC 可承载多个 DAS 的任务（可能具有不同关键级别），每个 DAS 提供系统整体服务的一部分。用于特定 DAS 的近乎自主的 IP 块称为微组件，它可以是