For a better experience on dSPACE.com, enable JavaScript in your browser. Thank you!

Les mécanismes de sécurité de la MicroAutoBox II

Les applications de prototypage sécuritaires critiques, p. ex. pour la conduite autonome, exigent des mécanismes supplémentaires qui surveillent l’exécution des fonctions de contrôle d’un calculateur. Afin d’atteindre un niveau de surveillance plus élevé dès les premières phases de développement de fonctions, toutes les variantes MicroAutoBox II, bien qu’il s’agisse de systèmes de prototypage, fournissent plusieurs fonctions de surveillance communes aux produits en séries. Celles-ci consistent en un système de surveillance à plusieurs niveaux et en un mécanisme défi-réponse intégré, en différentes vérifications d’intégrité de mémoire ainsi qu’en une surveillance de la tension d’alimentation.

Si l’un de ces mécanismes détecte un dysfonctionnement, un état de système déterminé est atteint via l’arrêt ou le redémarrage de celui-ci. De plus, il est possible de déclencher des routines logicielles définies par l’utilisateur au moyen d’interruptions non masquables afin, par exemple, de sauvegarder le dernier jeu de paramètres ou d’enregistrer la cause du dysfonctionnement.

Les mécanismes peuvent être facilement programmés et intégrés dans les modèles de contrôleur Simulink® au moyen du RTI Watchdog Blockset simplement en les déplaçant de la bibliothèque du blockset vers un schéma Simulink.

Le mécanisme de surveillance à plusieurs niveaux est composé d’un watchdog matériel basé sur FPGA et de watchdogs logiciels configurables qui sont exécutés sur le processeur temps réel. Ils surveillent constamment le processeur temps réel et la bonne exécution de l’application en temps réel. Il est possible de configurer individuellement le comportement en cas de délai dépassé pour chaque watchdog afin de s’assurer qu’une tâche ou un sous-système dans Simulink soit exécuté périodiquement dans le respect d’une contrainte temporelle donnée.

Le monitorage de type défi-réponse est implémenté sur un composant matériel distinct de la MicroAutoBox II et est indépendant du processeur temps réel. Ainsi il est garanti que les erreurs sont détectées même si le processeur temps réel ne fonctionne plus correctement. Comparé à la fonctionnalité de surveillance de type watchdog, ce mécanisme ne vérifie pas seulement qu’un sous-système répond dans un délai imparti mais également que les calculs du processeur temps réel continuent à être exécutés correctement. Afin d’atteindre un degré de couverture plus élevé, le monitorage défi-réponse vous permet d’implémenter des fonctionnalités de surveillance plus complexes, p. ex. pour le contrôle de l’ordre d’exécution. Les routines de vérification individuelles comprenant un code C et/ou des S-fonctions peuvent également être implémentées. Jusqu’à 14 instances du monitorage défi-réponse comportant jusqu’à 16 valeurs défi-réponse peuvent être utilisées simultanément. De plus, une surveillance inversée implicite est implémentée afin de vérifier périodiquement que ces fonctionnalités de surveillance continuent à fonctionner correctement.

Afin de détecter des défauts matériels ou des erreurs de bit critiques, les différentes vérifications d’intégrité de mémoire sont disponibles pour la MicroAutoBox II. Le mécanisme initial de vérification de la ROM détecte les erreurs de mémoire pendant le démarrage de l’application en temps réel. Dès qu’une erreur est détectée, MicroAutoBox II n’exécute pas le programme mais stoppe le démarrage de l’application en temps réel afin d’atteindre un état de système défini. Les mécanismes de vérification de la ROM, de la pile et des émissions détectent les erreurs de mémoire pendant le démarrage de l’application en temps réel. Ces mécanismes assurent que les sections de mémoire de la pile et des émissions sont encore valides et qu’ils n’ont pas été écrasés sans autorisation. De plus, les erreurs de bit en fonctionnement peuvent être détectées au moyen du mécanisme de surveillance de la ROM. Tous les mécanismes de surveillance en temps réel exécutent des réactions précises dans le cas d’erreurs (redémarrage, arrêt, interruption) afin de ramener le système à un état défini si une erreur est détectée.

Afin de détecter des niveaux critiques de tension d’alimentation de la MicroAutoBox II, un mécanisme de surveillance de la tension d’alimentation est également disponible. De cette manière, le système peut intervenir avant qu’un niveau critique de tension d’alimentation soit atteint. Vous pouvez configurer la valeur seuil afin d’adapter facilement le mécanisme de surveillance de la tension d’alimentation aux différents systèmes électriques automobiles et aux autres systèmes utilisés avec la MicroAutoBox II.