今天，汽车制造商们需要不断的实现具有革新意义的新功能。同时，为了节省成本、减轻重量和ω　能耗，控制器的数量不宜增加过多。因此，大量符合Autosar的高集成多功能控制器应运而生。欲设计出、可靠的高集成多功能控制器需要有优化的架构理念，包括功能、软件和控▓制器架构。系统☆架构师需要选择合适的理念进行设计，并且如果有必要，须对系统架构进行优化和修改(在开发过○程中尽早进行)。

　　本文将介绍的控制器设▂计的独特之处是要在单一的控制器上实现不同严重度等级(criticality)的应用，对要实现多种不同严重度↑等级的安全【相关功能的底盘控制器尤为如此。图1展示了有着不同安全需求的软件的集成。这种混合严重度等级(mixed-criticality)系统必须满足√两个基本的时间性能需求：

　　●在任何情况下，都必须保证有∩充足的运算空间以实现相ㄨ关功能，避免CPU过载，并且功能的实现要满足各自的时间性能需求

　　●安全相关功能的实现不能被低ASIL等◤级功能干扰

　　矛盾的优先级设计方法

　　软件集☆成过程中，调度优先级是一个很▆重要的因素。成熟的优先级设置理念有Rate Monotonic Scheduling(RMS)、Criticality Aware Priority Assignment (CAPA)等方法。其中，RMS方法的设计理念是：周期越短，优先级越高◣;CAPA方法的设计理念是：安全等级越高◣，优先级越高。然而，单独利用任何一种方法，都不能达到满意的调度效果。使用RMS方法设置优ㄨ先级，则所有任务的运行都能︻满足其截止期限(deadline)的要求，但是不能保证“freedom from interference”;使用CAPA方法可以保证低安全等级的任务不影响高安全等级的任务↘，但CPU资源利用效率低，资源□　浪费严重。

　　Autosar时序保护机制提升设计空间

　　时序保护机〇制是Autosar的一项系统服务，它对运行中的控制√器上的一个(或几个)任务的执行时间进行监控。如果有任务的实际运行时间超过了预设的执行时间，系统将会◎判定为错误并且对该错误进行相应的处置。虽然这种●方式不能消除严重等级反转(criticality inversions)的问题，但使问题出现的可能性得到了有效的控制。该时序保护●机制可以使系统满足ISO26262的相关安全要求，特别是“absence of error propagation”这一点。一般说来，时序保护机制需要根据应¤用的ASIL等级来设计。为了合理的对时序保护机制进行＠配置(尤其是执行时间的设置)，对差情ξ况下的任务调度(WCRT&WCET)进行分析和预测是必须的。如图2所示，在综合利用时序保护机制和周期转化(所谓周期转化即指将周期长的任务分割为执行时间较短的多个子♀任务，且此多个子任务仍能够在原任务周期内完成)两种设计理念的条件♀下，所有安全和实时性相关的需求均得到了满足。即，不存在低安全等级对高安全等□　级任务的干扰，且所有任务均在其周期时间内执行完成。

　　新设计模式♀的应用

　　我们将上述提及的设计理念整合进实际的设计流程◥中, 如图3所示。首先，根据RMS方法设计出一版初始的调度参数。然后，查看是否有严重度等级逆转●现象。如前述所介绍，如果软件架构中≡应用了时序保护机制，则该问题可以得到有效的控制。如果软件架构中↘未使用时序保护机制，则须使用CAPA方法对有安全需求的软件进行优先级重设。后的“安全检查”用来确保在优先级▓和时序保护机制设计中不存在错误。下一㊣步检查是否所有的可调度项均满足了时间需求。如果满足，则时序保护机制的相关参数便可确定下来。如果》不满足，则须采》取相应的措施解决问题，比如采取周期转化的方法对软件架构进行调整。另，为了尽早的在设计流程中对软件架构及调度进行优№化，除了相关配置信息，如←任务名称、周期、ASIL等，还需要获知task和runnable的执行时间。

　　结论

　　奥迪和Symtavision在一个联合项目中成功地对上述设计模式进行了应用，并且相关架构设计变体在高╱集成控制器实际应用中得到了╱确认。这充分表明了该设计模式的价值。总而言之，时序和安全是系统架构设计中需要尽早考虑的两个重要角度。

　　文章来源：《Design patterns for highly integrated ECUs with various ASIL levels》——《ATZ elektronik》杂志。