7.2.2.2 容错与回滚

文档摘要

7.2.2.2 容错与回滚 7.2.2.2 容错与回滚：当锁步核在毫秒级失同步时，我们靠什么把“已提交”的指令拉回来？凌晨两点十七分，某车载域控制器的ADAS功能突然降级——AEB（自动紧急制动）触发延迟达312ms，远超ISO 26262 ASIL-D要求的100ms上限。日志里没有崩溃、没有断言失败、甚至没有异常中断；只有两行安静得令人不安的记录：不是硬件故障，不是内存损坏，不是时钟漂移——是同一时刻、同一地址、同一指令，两个锁步核计算出了不同CRC值。更致命的是，这行指令早已被Core0的执行单元标记为“已提交”（committed），写入了寄存器堆，更新了状态机，并向下游CAN节点发出了制动请求。