AUTOSAR和ISO26262

Question

背景

AUTOSAR需要在ISR上下文(SWS_Wdg_00166)中刷新硬件Wdg，其目的只是为了“最小时间抖动”和“最小延迟”(用于窗口Wdg )，并且与旧的WdgM兼容。

但我的理解是，Wdg窗口的目的是查找系统时钟抖动(例如:CPU PLL)，这是ISO26262 AnnexD(时钟抖动)所需要的。

AUTOSAR策略从上层删除了“Wdg窗口”的概念，并将其封装在硬件定时器中，因为只要WdgM活着，Wdg驱动程序就会在Wdg超时期间调用Wdg_SetTriggerCondition，Wdg驱动程序将在硬件计时器ISR中刷新HW，在WdgM级别，与预置的Toggle相同。

问题

如果使用AUTOSAR标准开发功能安全软件，如何处理超过Wdg的要求？

如果这是服从，ISO26262是不满意的。

如果忽略这一点，AUTOSAR标准就不符合要求。

谁能给我一些建议？

或

有没有办法把这个提交给AUTOSAR？

Answer 1

我不完全确定我是否完全理解你的问题，但我认为你误解了窗口看门狗的目的。

WDG，通过WDGM配置，确保对ECU进行简单的活着监视.有了一些配置选项(如看门狗检查点)，它可以实现简单的程序流监视。看门狗的窗口是为了确保你不仅踢了看门狗，而且遵守了一些时间要求。以最简单的情况为例，如果您只将看门狗从一个任务中踢出，并且该任务应该每5 ms运行一次，那么窗口可以保证如果任务每1ms运行一次，或者每15 ms运行一次，系统就会检测到故障。

Autosar本身并不一定足以使软件在ISO 26262的意义上是安全的。你需要知道你的目标是什么ASIL，然后设计系统以达到这个水平。通常，您不仅依赖于ISO 26262，而且还依赖由硬件制造商提供的安全手册。这可能会指定您必须实现的额外需求，完全独立于Autosar。

Answer 2

首先，确保您的WdgM是为您所需的ASIL级别设计和开发的。如果您的系统是ASIL-B，那么您的WdgM必须满足ASIL-B的要求。您提到的问题(WdgM周期性地触发wdg，独立于SW-C的触发时间)来自于这样一个事实，即WdgM必须考虑几个SW-C，也可能是序列监视等等。提及看门狗窗口应该可以清楚地表明，每当任何SW-C触发WdgM时，WdgM都不能触发(外部)监视狗。

Answer 3

我很难理解你的背景部分，但是如果你看一下BSW需求SRS_Wdg_12019，它说

SRS_Wdg_12019:看门狗司机应该提供一个看门狗触发程序。

SWS_Wdg_00166等人对此表示满意。SWS_Wdg_00166说

SWS_Wdg_00166:为内部看门狗服务的例程应实现为由硬件定时器驱动的中断例程。

进一步阅读狂欢：

正如SWS_Wdg_00162和SWS_Wdg_00166已经指出的那样，触发看门狗的时间基础应通过硬件提供。这确保了最小的时间抖动。 这两个要求-- SWS_Wdg_00162和SWS_Wdg_00166 --还意味着对看门狗硬件的服务直接由计时器ISR完成。这确保了最小的延迟。

ISO26262遵从性不仅可以通过像Wdg这样的ASR功能来实现，而且您肯定需要一个窗口看门狗。我认为您应该紧急寻找AUTOSAR和ISO26262类。