几乎所有的微控制器都有一个所谓的看门狗计时器(Watchdog-Timer),它在系统设计中指定时间,激活主处理器的不活动状态,以避免由于软件的未定义状态而导致的系统停机。在这个简单的系统中,看门狗计时器被处理器周期性地还原。
如果没有还原,看门狗将对整个系统执行上述重置。
在汽车工业中,随着在发动机控制领域引入电子节气门,就已确立了一个更复杂的三层方案,如图所示。对此,由汽车制造商、供应商和政府部门组成了共同的工作组,他们之间已达成了相关的共同协议,这也反映了汽车工业的最新技术现状。目前,实践中还没有发现哪些与安全有关的错误是该三层方案不能识别的。除了发动机控制之外,此方案就与安全相关的系统而言,还可用于车辆技术中的其他领域或行业分支。
1.功能计算单元
·在功能计算单元中,在第1层进行功能计算。这具体在发动机控制中,就是转矩构成和其他功能,在转向控制单元中,就是转向功能,例如,泊车辅助系统和直线校正。
·第2层监控第1层的功能,就是通过其他算法和多样化编程的原理,进行简化性验算,检查其合理性,或仅监控最大值或极限值。第2层可以划定或限制第1层的参数值,以及关闭输出级。
·一个监控副本存放在第2'层中。
·第3层监控处理器,存储器和监控副本(第2'层),并通过对质机制和检验计算任务,借助监控计算单元进行问答操作。
2监控计算单元
监控计算单元(在最简单的情况下就是一个看门狗)监视处理器和功能计算机的内存。它在上述的第3层,执行互相询问解答操作,并检查计算任务,或者仅是一个单纯的检测活动。
·如果一个计算单元检测到错误,或者另一个计算单元处于停止状态,则将停用输出级操作,执行重置操作,并将信息传递给事件存储器。
3.错误计数器的监控流程
对于某些不受系统最高安全级别约束的功能,一个强大的监控功能不必在第一次检测到偏离时,就立即完全关闭整个系统。为此就有所谓的错误计数器。它在第3层进行问答操作,其流程如下:
•监控计算单元检查功能计算单元。
•功能计算单元检查监控计算单元。
•如果两者之间存在有一个差异,则错误计数器将增值。就这些功能而言,只有在确定了一定数量的错误后,才对错误进行评估鉴定,并且根据错误计数器的状态,采取不同的渐进性的更换措施。如果错误被永久消除,则计数器可以重置为零。这是一种所谓“消动颤式”错误识别形式,仅适用于在安全性方案中具有相应等级的功能,因此这就有可能在容忍一次错误之后才恢复系统。
如果这一功能计算单元根本不发送响应,或者在一个完全错误的时间发送了响应,则会立即启动特定的错误响应机制,比如,关闭发动机、启动转向器应急流程,然后再重启功能计算单元。