引言：功能安全標準（ISO26262 Part6）提到了用於錯誤探測的安全機制，其中就有程式流監控，如圖1所示；本文主要探討在AUTOSAR CP以及AP的場景下，怎麼實現程式流監控。

圖1 ISO26262 Part6

一、 CP 場景下的程式流監控

CP 場景下執行程式流監控的工作棧如圖2所示，包含軟體部分以及硬體部分。硬體部分就是通常所指的“硬體看門狗”，其本質是個定時器，初始階段會被設定一個定時值，稱為“timeout”。硬體看門狗被使能工作之後，便會開始計時，當超過時間閾值，“timeout”沒有被重置（通常重置時間閾值的操作被稱為“餵狗”），硬體看門狗便會復位MCU，進入安全狀態。

圖2 CP場景下的程式監控工作流

程式監控以及“餵狗操作”需要軟體部分的參與，軟體堆疊參考的是AUTOSAR CP架構，包含三個部分：WdgM、WdgIf以及Wdg Driver：

WdgM 負責對軟體進行監控，如果程式執行正確，則WdgM呼叫WdgIf提供的介面進行“餵狗”，WdgIf進一步呼叫Wdg Driver提供的介面進行“餵狗”，而最終的“餵狗”操作實際由Wdg Driver完成。

如果WdgM監控到程式執行錯誤，則會引發相應的故障處理措施：通常是停止餵狗或者將硬體看門狗的定時值置為0，引發看門狗的立即復位。接下來，對此三個軟體模組展開詳細說明。

1、WdgM 模組

WdgM 模組的作用是監控軟體是否正常執行，如果軟體正常執行，則WdgM呼叫WdgIf模組提供的介面進行餵狗；如果軟體執行中出現錯誤，則執行相應的錯誤處理，主要包括：透過RTE將錯誤通知給軟體，讓其執行恢復處理、將錯誤報告給DEM（Diagnostic Event Manager）模組、停止餵狗、將timeout設定為0，MCU立即重置或發出中斷訊號。

相應術語解釋

（1）SE：Supervised Entities ，監控實體

一種軟體實體，包括在WdgM的監控之下。每個受監控的實體只有一個識別符號。監控實體表示軟體元件或基礎軟體模組中的檢查點集合。在軟體元件或基礎軟體模組中可能有零個、一個或多個受監控的實體

監控實體和AUTOSAR中的架構模組之間沒有固定的關係，即SW-Cs、CDDs、RTE、BSW模組，但通常情況下，一個監督實體可以代表一個SW-C、一個BSW模組或CDD中的一個可執行物件

（2）CP：Checkpoint，檢查點

被監控實體中的一個點，在那裡活動被報告給WdgM

1）三種監控

WdgM 監控程式是否正常執行主要包括三種型別：

Alive supervision ：程式是否週期執行
Deadline supervision ：程式執行時間是否正確
Logical supervision ：程式的執行邏輯是否正確

2）本地狀態和全域性狀態

本地狀態表示的是WdgM監控的單個SE的程式執行狀態，主要包含以下幾種：

狀態一：OK：監控的SE未出現三種監控錯誤
狀態二：FAILED：監控的 SE 出現 Alive 錯誤，且錯誤沒有超過 Alive 錯誤容忍值；同時， SE 沒有出現 Deadline 和 Logical 錯誤
狀態三：EXPIRED：監控的 SE 出現 Deadline 或 Logical 錯誤，或者出現 Alive 錯誤並且 Alive 錯誤次數超出容忍值
狀態四：DEACTIVATED： SE 程式流監控沒有使能