For a better experience on dSPACE.com, enable JavaScript in your browser. Thank you!

Sicherheitsmechanismen der MicroAutoBox II

Sicherheitskritische Prototyping-Anwendungen, zum Beispiel für hochautomatisiertes Fahren, erfordern zusätzliche Mechanismen, die die korrekte Ausführung von Regelfunktionen auf einem Steuergerät überwachen. Um auch in frühen Phasen der Funktionsentwicklung einen höheren Überwachungsgrad zu erreichen, bieten alle MicroAutoBox-II-Varianten, obwohl sie Prototyping-Systeme sind, mehrere aus der Serienproduktion bekannte Überwachungsfunktionen. Diese bestehen aus einem mehrstufigen Watchdog und einem integrierten Challenge-Response-Mechanismus, verschiedenen Speicherintegritätsprüfungen sowie einer Überwachung der Versorgungsspannung.

Wenn einer der Mechanismen eine Fehlfunktion erkennt, wird das System durch Herunterfahren oder Neustarten in einen definierten Zustand versetzt. Zudem kann ein nicht maskierbarer Interrupt benutzerdefinierte Software-Routinen auslösen, zum Beispiel um den letzten Parametersatz zu speichern oder den Grund der Fehlfunktion aufzuzeichnen.

Die Mechanismen lassen sich mit dem RTI Watchdog Blockset ganz einfach programmieren und bequem aus der Blockset-Bibliothek in Simulink-Reglermodelle integrieren.

Der mehrstufige Watchdog-Mechanismus besteht aus einem FPGA-basierten Hardware-Watchdog und aus konfigurierbaren Software-Watchdogs, die auf dem Echtzeitprozessor ausgeführt werden. Sie überwachen fortlaufend den Echtzeitprozessor und die korrekte Ausführung der Echtzeitanwendung. Das Ansprechverhalten jedes Watchdogs lässt sich individuell konfigurieren, um sicherzustellen, dass Tasks oder Subsysteme in Simulink periodisch in einem definierten Zeitrahmen ausgeführt werden.

Das Challenge-Response-Monitoring befindet sich auf einer separaten Hardware-Komponente der MicroAutoBox II und ist unabhängig vom Echtzeitprozessor. Dadurch wird sichergestellt, dass Fehler weiterhin erkannt werden, auch wenn der Echtzeitprozessor nicht mehr korrekt arbeitet. Im Gegensatz zur Watchdog-Funktion prüft der Challenge-Response-Monitor nicht nur, ob ein Subsystem in der vorgegebenen Zeit reagiert, sondern auch, ob die Berechnungen des Echtzeitprozessors noch korrekt ausgeführt werden. Um einen höheren Abdeckungsgrad zu erreichen, erlaubt das Challenge-Response-Monitoring die Implementierung komplexer Überwachungsfunktionen, zum Beispiel zum Steuern der Ausführungsreihenfolge. Auch lassen sich individuelle Absicherungsroutinen einschließlich C-Code und S-Funktionen implementieren. Bis zu 14 Instanzen des Challenge-Response-Monitorings mit bis zu 16 Challenge/Response-Werten können parallel genutzt werden. Zudem ist eine implizite Gegenprüfung des Challenge-Response-Monitors implementiert um periodisch zu prüfen, ob die Überwachungsfunktionen korrekt arbeiten.

Um Hardware-Fehlfunktionen oder kritische Bit-Fehler zu erkennen, stehen für die MicroAutoBox II unterschiedliche Speicherintegritätsprüfungen zur Verfügung. Der initiale ROM-Prüfmechanismus erkennt Speicherfehler beim Starten der Echtzeitapplikation. Wird ein Fehler erkannt, führt die MicroAutoBox II nicht das Programm aus, sondern bricht den Start der Echtzeitapplikation ab, um in einen definierten Systemstatus zu wechseln. Die Heap-, Stack- und ROM-Überwachungsmechanismen erkennen Speicherfehler beim Starten der Echtzeitapplikation. Die Mechanismen stellen sicher, dass die Heap- und Stackspeicherbereiche noch gültig sind und nicht unerlaubt überschrieben werden. Zudem lassen sich Laufzeit-Bit-Fehler mit dem ROM-Überwachungsmechanismus erkennen. Alle Laufzeitüberwachungsmechanismen führen bestimmte Fehlerreaktionen (Neustart, Herunterfahren, Unterbrechung) aus, um das System im Fehlerfall in einen definierten Status zu versetzen.

Um kritische Versorgungsspannungen der MicroAutoBox II zu erkennen, steht auch ein Spannungsüberwachungsmechanismus zur Verfügung. So kann das System reagieren, bevor die Spannung einen kritischen Wert erreicht. Sie können diesen Schwellwert konfigurieren, um den Überwachungsmechanismus der Versorgungsspannung ganz leicht an unterschiedliche Bordspannungssysteme oder an andere Systeme anzupassen, die zusammen mit der MicroAutoBox II genutzt werden.