xiandang8023的博客

在多核微控制器（MCU）的时间保护方面，针对功能安全ASIL B与ASILD等级的设计和实施存在显著差异，这些差异主要体现在系统对时间关键性操作的保障程度、故障检测能力、以及系统响应的严格性上。时间关键性：在ASIL B等级，系统设计注重于识别并处理大部分可能影响安全的时间相关故障，但允许在某些情况下未被覆盖的故障存在。一旦检测到时间保护失败，系统将采取极端措施，如立即触发安全动作、系统复位或切换到预先定义的安全状态，以避免任何潜在的不安全状态。全面故障检测：要求近乎完美的故障检测能力，

Deadline Supervision：提供监督软件在两个状态之间的转换时间，通过在代码中设置检查点，WdgM定期检查这些点是否被按时到达，防止任务进入无限循环或完全停止执行。规定任务或第二类中断（Cat2 Interrupts）两次激活之间的最小时间间隔，确保任务执行的周期性和间隔的稳定性，防止任务执行过于频繁或不规律。监控任务或中断在获取资源、锁或中断挂起上的时间，确保这些操作不会超出预定的限制。时间保护和监控和以下属性有关：监控任务在特定时间调度，不超过预期执行时间，不独占OS资源。

在ISO26262中基于AUTOSAR创建每个TASK的时候根据任务的危害分析和风险评估确定对应的ASIL等级，在开发的时候并对ASIL进行适度分解，之后在软件开发中对每个TASK施行不同的软件策略，比如内存分区的复杂度，诊断和错误处理，冗余与容错等软件机制，最终实现各个ASIL Level。ASIL D级别的系统在动态内存分配上可能需要更严格的控制，以避免运行时的内存错误，这可能影响MMU的配置策略，要求实时监控和保护堆和栈的完整性。ASIL B系统在这一点上可能允许更多依赖于软件层面的管理。

TC397芯片有5个Core，每个核有18个Data Memory Protection Ranges，10个Code Protection Ranges。

内存方面的 FFI - 保护 ASIL-B（较高 ASIL-X）分区的数据免受 QM（较低 ASIL）分区代码执行的影响。时间方面的 FFI - 保护 ASIL-B（较高 ASIL-X）分区执行免受 QM（较低 ASIL）分区执行的影响，（能够检测 ASIL-B 任务的 CP 到期情况，将 ASILB 任务作为高优先级）这应完全从软件架构层面完成。Goal：满足混合 ASIL-B 产品在内存和执行方面的 FFI（Freedom From Interference）

主要功能是监控系统的运行状态，以确保系统在预定的功能范围内正常工作。TLF35584能够以预定的周期进行喂狗，就是正常状态，否则执行停止喂狗，报告异常。Level2 是功能监控层，用于监控 Level1 功能的运行是否正常。当任意一个核运行异常，比如在执行某个函数的时候发生野指针，State Combiner 的状态为 NOT OK，硬件狗就会复位 MCU。Level1 是功能实现层，完成具体的功能实现，比如对于电机控制器来说，这一层实现了将请求的扭矩转换为电机的扭矩输出。

在实施带有紧急运行安全机制的故障处理中，整个流程分成故障检测（Fault detection），故障处理（Fault reaction），措施实施（Emergency operation），进入安全状态（Safe State）4个阶段，故障检测（Fault detection）这部分就是诊断功能。首先这个的message报文周期是20ms或200ms（报文没有问题的时候是周期20ms，当信号有问题，报文要进入fault的周期发送，会变成周期200ms），举例：一般是通信报文传输的问题。