|
當今的汽車制造商正在把越來越多的高級功能添加到汽車電子控制單元(ECU)中,以改善駕駛體驗,增強安全性,當然還期望超過同類競爭產品的銷量。在這種情況下,汽車開放系統架構(AUTOSAR)計劃和功能安全國際標準ISO 26262正在快速成為汽車ECU設計的技術和架構基礎。 汽車產業利用可重配置硬件技術,可靈活地綜合車載功能。 當今的汽車制造商正在把越來越多的高級功能添加到汽車電子控制單元(ECU)中,以改善駕駛體驗,增強安全性,當然還期望超過同類競爭產品的銷量。在這種情況下,汽車開放系統架構(AUTOSAR)計劃和功能安全國際標準ISO 26262正在快速成為汽車ECU設計的技術和架構基礎。 為了滿足新車型日益提高的功能需求,汽車電子產品的密度不斷增大,FPGA廠商也正在不斷推出更大型的器件。這些器件能夠集成所有的應用,而且與前代器件相比,功耗更低,價格更具競爭力。這種趨勢意味著可重配置計算技術在汽車產業將會得到進一步推廣和應用。 我們推出了一種具有開創性的方法,即使用可編程FPGA器件而非基于MCU的平臺作為ECU的基礎,設計出一款能夠同時滿足AUTOSAR和ISO 26262標準的汽車ECU。我們的設計方法對可重配置硬件的關鍵特性,比如并行性、可定制性、靈活性、冗余性和多功能性進行了充分的探索。在概念設計完成后,我們希望在原型中實現設計。賽靈思Zynq-7000可擴展處理平臺成為了理想選擇。該款FPGA平臺將ARM雙核Cortex-A9 MPCore硬處理器和具備動態部分可重配置功能的28nm賽靈思7系列可編程邏輯器件完美結合在一起,不但可充分滿足所需要求,而且還配備有CAN和以太網等車載網絡常用的片上通信控制器。 新興應用 目前汽車計算能力借助通過通信網絡互連的ECU來分配。在未來幾年內,由于機動車輛中新應用的興起,這樣的計算能力有望進一步提高。這些新應用包括安全和駕駛員輔助功能、車輛間通信功能、舒適性和控制功能、車載娛樂功能以及為數眾多的混合動力電動技術。毫無疑義,車輛電子設備的數量預計還會增加。根據分析人員的預測,汽車應用半導體市場的規模將在未來五年內以8%的年均復合增長率(CAGR)增長。其中增長最快的細分市場之一涉及到微控制器(MCU)和可編程邏輯器件,比如現場可編程門陣列(FPGA)。 在車載功能的數量和先進性與日俱增的同時,設計和管理這些系統變得日趨復雜,汽車制造商認為有必要采取有效方式來解決這一難題。其結果就是當今AUTOSAR和ISO 26262兩大標準都在影響著實際汽車ECU軟硬件系統的架構、設計和部署方式(見側邊欄)。 2003年由多家汽車制造商共同制定的AUTOSAR標準旨在為分布于車輛中的ECU定義標準的系統軟件架構。而ISO 26262標準的目的則以功能安全性為中心,實質上是以避免或檢測并處理故障為目的,從而減輕故障影響并防止出現對任何既有的系統安全目標的違反行為。隨著全新的安全關鍵功能(比如駕駛員輔助或動態控制)的推出,功能安全性已經成為汽車開發中的關鍵問題之一。ISO 26262標準于2011年批準生效,可為軟硬件的安全開發提供支持。 因此,整個ECU的設計和開發流程由需要系統性進程的標準進行管理。我們的工作就是設計一款高性價比嵌入式計算平臺,采用可重配置硬件技術實現優化的系統架構。 系統架構 AUTOSAR和ISO 26262標準主要從軟件開發的角度著眼,面向的是基于微控制器單元的計算平臺。但是,硬件/軟件聯合設計和可重配置計算技術的應用可為這個領域帶來眾多優勢。雖然標準的MCU往往是汽車ECU硬件平臺的最佳選擇,但隨著新型FPGA成本的不斷降低,加上部分FPGA產品內部集成有硬核處理器,使得FPGA器件也成為這個市場中值得廣泛應用的理想解決方案。 為了在汽車應用中發揮可重配置硬件的全部優勢,我們將以關于部署最終用戶功能的汽車計算網絡中最為重要的ECU之一——“車身控制器模塊”為重點,通過使用案例展現這種技術的潛力。該ECU也稱為“車身域控制器”,負責綜合和控制車輛中主要的電子車身功能,比如擋風玻璃雨刷/噴水系統、車燈、搖窗器、引擎點火/熄火、車外后視鏡和中控鎖。我們的目標是在FPGA平臺上設計出一款配備有安全關鍵功能且符合AUTOSAR的ECU系統。 實際情景 如果汽車制造商要想經濟高效地管理日益復雜的車輛功能,經AUTOSAR提倡的ECU系統架構的標準化則是必由之路。它能夠實現分布在ECU中的各項功能的高度集成和軟件組件的重復使用。AUTOSAR的主要目的是定義一個統一的ECU架構,讓硬件與軟件分離。這樣AUTOSAR通過定義硬件無關的接口,可提高軟件的重復使用。換句話說,如果按照AUTOSAR標準編寫的軟件組件,只要正確集成到符合AUTOSAR標準的運行環境中,就能夠在任何廠商的微控制器上運行。 這項功能給汽車制造商帶來了更高的靈活性。由于AUTOSAR標準內在的即插即用特性,汽車制造商可以在整個汽車平臺上以透明的方式更換不同供應商開發的相同軟件模塊的各個版本,且不會給汽車中其余功能的發揮造成負面效果。最終硬件和軟件實現彼此高度獨立。這種分離是通過標準軟件的API將抽象層互聯實現的。圖1是AUTOSAR定義的功能層的分解圖。 圖1 從MCU到應用層的AUTOSAR分層模型 底部以黑色表示的是硬件層或物理層,由MCU自身(即CPU和與其相連的部分標準外設)構成。微控制器之上是基礎軟件(BSW),分為三層:粉色的微控制器抽象層(MCAL)、綠色的ECU抽象層(ECUAL)和復雜驅動程序、紫色的服務層(SRV)。這三層經組織形成了多個列或協議棧(存儲器、通信、輸入/輸出等)。 緊貼硬件組件的是微控制器抽象層。正如其名所示,該層是MCU的抽象。該層的目的是提供一個硬件獨立的API,負責處理微控制器中的硬件外設。微控制器抽象層的上一層是ECU抽象層,負責抽象ECU開發板上的其他智能器件,一般直接與MCU接觸(例如,系統電壓調節器、智能交換控制器、可配置通信收發器等)。接下來的第三層是服務層。該層基本具有硬件獨立性,其作用是處理所需的不同類型的背景服務。例如網路服務,系統看門狗的NVRAM處理或管理。通過這三層,AUTOSAR定義了一套基礎軟件功能。這套軟件功能在特定的硬件平臺下支持著汽車ECU各高級抽象層的所有功能。 第四層是運行環境(RTE),為應用軟件提供通信服務。它由可從上面的BSW層和應用層(APP)共同訪問的一套信號(發送器/接收器端口)和服務(客戶端和服務器端口)構成。該RTE從基礎軟件中抽象出應用,明確地勾勒出將通用的可交換軟件代碼(APP))與特定的硬件相關代碼(BSW)分離的軟件協議棧架構。換句話說,RTE可將軟件應用與硬件平臺分離。因此運行在RTE上的所有軟件模塊都具有平臺無關性。 在RTE之上,通過應用層,軟件架構方式從分層變為以組件為基礎。功能主要封裝在軟件組件(SWC)中。因此,完成AUTOSAR軟件組件接口的標準化是支持各項功能跨不同車輛平臺的ECU實現可擴展性和可移植性的中心環節。除復雜驅動程序外,AUTOSAR標準明確地規定了這些組件的API及特性。SWC僅通過運行環境與其他模塊(ECU間或內部)通信。 隨著ECU不斷集成越來越多的功能,FPGA器件成為了單核或多核MCU的明智替代。通過從總體上把握AUTOSAR的不同層次,可以預見設計人員將這種架構部署在可編程邏輯中所能帶來的優勢。下文將更深入地介紹我們的設計如何實現基于定制靜態硬件(基于閃存或SRAM的FPGA技術)的解決方案,然后將這種方法延伸為一種運行時可重配置的硬件實現方案(基于SRAM的部分可重配置FPGA)。 基于FPGA靜態硬件的ECU設計 AUTOSAR架構非常適合由CPU、存儲器和可編程邏輯組成的嵌入式系統。ECU平臺需要一個CPU或主機處理器來管理應用并處理分布在應用層的軟件組件中的不同功能。同時,MCU層和部分基礎軟件層可以在可編程邏輯結構中的硬件中綜合。因此,除了能夠實現與CPU相連的標準外設,其它定制外設和協處理器也能夠在硬件中并存,并在軟件中完全或部分地加以管理。 另外從功能安全的角度來看,專用協處理器或內核處理器也非常適用,因為用它們實現功能可讓硬件從源頭避免干擾,即便要求冗余性,也能給系統設計帶來高靈活性。另外,居于中間的RTE層可以在分布于FPGA中的RAM模塊中,或者在嵌入在器件邏輯單元中的觸發器中以及外部存儲器中綜合。而且,RTE信號接口經簡單設計就能夠同時進行讀寫操作(通過單端口存儲器)或限制架構僅進行讀操作或者寫操作(通過配有兩個獨立讀寫端口的單個雙端口存儲器),以防范干擾,比如AUTOSAR所定義的彼此對應的發送器和接收器軟件端口。 圖2 將AUTOSAR ECU架構移植到FPGA平臺上 建議將基于MCU的AUTOSAR ECU架構移植到可擴展處理平臺(EPP)或者FPGA器件上,并在各層中確保清晰的系統分區,如圖2所示。位于RTE層以下的有操作系統(OS)、存儲器協議棧、通信協議棧、I/O協議棧等。位于RTE層以上的是軟件組件,它們用于實現應用并通過AUTOSAR接口與RTE進行通信。 由于AUTOSAR架構內在的復雜性,需要功能強大的嵌入式計算平臺才能進行部署。如今,典型的ECU設計基于運行在MCU平臺上的32位單核處理器。但是單核越來越難以提供所需的全部計算能力。而使用多核CPU需要通過多處理器總線和仲裁機制共享程序/數據存儲器,往往會導致高度復雜的解決方案,造成性能劣化。 作為這種方案的替代,我們提出了一種基于可編程邏輯的設計。這種設計只采用一個單核處理器來發揮工機CPU的作用,但配有更智能的外設、協處理器乃至從處理器。所有這些計算單元都可以在FPGA架構中例化為新的軟核處理器,比如賽靈思PicoBlaze和MicroBlaze,從FPGA的專用RAM模塊運行自己的代碼(各個軟核處理器均分別配有專用程序存儲器),此外,也可例化為定制的硬件加速器。兩種方式的拓撲架構均由一個主機CPU和分擔部分CPU任務的智能外設構成,從而可降低系統復雜性。這樣,主機CPU負責管理軟件中的整個應用層,而定制外沒則負責管理BSW層,這兩者以并行的方式彼此獨立地自動運行。此外,這種外設設計的方法的優點還在于能夠讓主機CPU的軟件執行更加線性化,即外設不會通過中斷服務程序產生過多的請求CPU關注的中斷。圖3顯示了這種系統的方框圖及其對應為FPGA器件中綜合的功能單元的組件細分情況。 圖3 在FPGA中部署的汽車ECU方框圖 FPGA方法能夠實現與多處理器平臺相媲美的系統性能,且和單核處理器一樣簡單易用,這主要歸功于采用了可與主機處理器并行處理的功能強大的、自動化定制協處理器。 這種方法能夠實現與多處理器平臺相媲美的系統性能,而且就軟件開發和維護而言,和單核處理器一樣簡單易行。通過使用專用硬件構建可與主機處理器并行處理的功能更強大的自動化定制協處理器,就可實現這種最佳平衡。 從概念上來說,可以通過將這些系統架構用RTE接口劃分為頂層和底層兩個彼此獨立的主要層次來要簡化設計。頂層相當于AUTOSAR的應用層,由負責管理車輛中最終用戶功能的軟件組件構成。而底層則由硬件和基礎軟件乃至RTE鏈路構成。應用層從數值上來說,可代表約90%的車載高級功能,而且所有RTE以上的源代碼都可重復利用。 同時,底層包含能夠賦予頂層靈活性和多用性的全部功能。底層可完成特定硬件平臺上所有可重用功能的定制化。這樣,頂層從本質上說是通過以有限狀態機(FSM)形態實現的算法來實現對某些車輛負載、傳感器和制動器的控制的一套軟件功能。這些算法由CPU循環執行,并在操作系統控制的軟件任務中調度。 底層還負責實現CPU連接的所有標準外設的驅動程序,例如A/D轉換器、PWM控制器、定時器或者存儲器控制器,從而讓頂層的抽象具備可行性。底層負責管理那些需要得到實時響應的事件。在這方面可編程邏輯能夠起到一定的作用。其構想為:讓主機CPU將應用當作一個簡單的免受通常硬件造成的外部事件影響的軟件功能序列來處理,但要定期讀或寫RTE信號,讓FSM進行相應的調整。底層對硬件事件進行隱藏與管理,然后在RTE中對其進行預處理并更新特定信號,或作為結果,根據自身具體任務安排實時地執行特定的行動。 將定制硬件控制器連接至系統CPU可以最大限度地降低對共享資源的需求,只要這些控制器能夠自動運行。從操作系統的角度來看,這樣做有助于降低系統的復雜性(避免仲裁、時延、重試機制等)。 采用專用硬件的另一項優勢在于可以更簡便地實現——般在軟件中通過多線程才能實現的某些功能,因為硬件較軟件內在更具并行性。另外,這種靈活的硬件能夠采用并行和流水線硬件設計,將算法計算強度高的部分進行硬連接,而不是采用馮.諾伊曼(Von Neumann)計算機所采用的序列軟件方法,從而減少執行時間。 用戶可以將在MCU和BSW層中綜合的外設和硬件協處理器設置成高智能化水平,以釋放CPU時間,從而簡化車載ECU的軟件。 隨著ECU平臺日趨復雜化,系統所需的I/O線路數也在不斷增加。在這方面FPGA較微控制器有明顯的優勢,因為FPGA一般能夠提供多得多的用戶引腳數。這一點一般與基于MCU的ECU有關,因為這種ECU需要采用執行并—串數據轉換的外部芯片(比如數字移位寄存器或模擬多路復用器)來擴展ECU的輸入和輸出。采用FPGA可以繞開這些外部組件,進而縮減材料清單成本以及電子開發板的PCB尺寸。 先進的FPGA器件已經集成有模數轉換器。這個特性對汽車設計意義重大,因為許多ECU使用模擬信號(比如電池電壓)來實現所需的部分功能。在可編程邏輯器件中集成模數轉換器為FPGA開辟了新的應用領域。 與MCU類似,FPGA也提供遠程更新功能。但在這里需要提醒的是,下載到FPGA巾的位流不僅涉及到軟件代碼,而且與硬件電路也息息相關。這意味著就算產品已經進入量產階段,仍然可以通過系統更新或升級來修改硬件設計。汽車產業非常欣賞這種靈活性,因為它能夠在產品發布后修改缺陷(軟/硬件均可)。 在任何嵌入有符合ISO 26262安全相關要求的功能的ECU中,涉及該實現方案的軟硬件必須根據其分類滿足一定程度的保護要求。從軟件的角度講,它必須體現出抗干擾能力,即運行在ECU中的非安全相關代碼一定不能危及同一ECU中安全相關類的代碼的運行。這種隔離是保證安全相關功能與非安全相關功能在同一處理器上正確并行運行所必須的。一般來說,在可編程邏輯中管理這些指標比在MCU中具有更大的靈活性。 對于面向功能安全的存儲器保護策略,有必要確保只能授權的安全軟件組件有權對特定安全相關信號進行寫入存取。在MCU器件環境中,存儲器分區提供了一種故障約束機制,能夠將軟件應用彼此分離,避免其間發生數據錯誤。可編程邏輯很有可能實現一種更有效的自我保護機制。可編程邏輯可以通過專用的單個雙端口存儲器來管理與安全信號相關的RTE緩存,這樣數據從寫端口寫入,從讀端口讀取。采用這種方法,可以采用專用的硬件控制器給寫入或讀取這些來自軟件側的信號設置不同的約束條件。這種方法也可以采用寄存器業實現。 能夠在ECU系統中導入定制硬件解決方案是FPGA的一大優勢,特別是對安全相關的功能而言。具體而言,對I/O引腳和GPIO控制器,在安全功能中涉及的引腳布局可以組合成定制的I/O端口,僅供ECU中的安全組件訪問,與器件的其余引腳分離。這是將系統的安全相關引腳與非安全相關引腳分開的理想辦法,從設計上避免了干擾的發生。任何對非安全引腳的訪問都不會破壞安全引腳的狀態,因為安全引腳只受安全相關代碼的管理。這種構思的具體描述見圖4。 圖4 軟/硬件聯合設計的安全架構,可將安全相關端口和非安全相關端口隔離開來,以保證無干擾 另外,還能夠根據應用或處理該應用的軟件組件的需求定制每個GPIO端口的大小,從而避免將GPIO端口轉換為不同應用共享的物理資源,如MCU端口的情況。用這種方法,FPGA中每一個由不同軟件組件(比如車窗升降器、雨刷、外后視鏡等)管理的應用都能夠將自己特定的端㈠映射到系統存儲映射中特定的寄存器。這在MCU平臺上無法做到,因為MCU的端門有固定尺寸(一般為8、16或32位寬)且按字長尋址,而非按位尋址。因此在采用MCU的情況下,這種控制寄存器在程序執行的時候變成了有多個SWC訪問的共享資源。 我們可以把用于GPIO控制器的策略擴展用于其它標準外設。這樣AUTOSAR借助SWC概念在頂層提倡的功能分區和隔離思路也可以在可編程硬件的幫助下推廣運用到較低層的資源上。這種技術如果采用基于標準MCU器件的靜態硬件解決方案是無法實現的。 我們上文介紹的用于MCU標準外設的隔離策略也可以用于安全功能的各個通道或數據路徑。這一特性尤其適用于按ISO 26262標準的ASIL分級組織的精細分類安全目標(見側邊欄)。此項功能可用于將各個通道或者數據路徑分解成較低ASIL級別的冗余分區,這樣每一個通道或路徑都以冗余方式運行,后續根據各自的新級別予以實現。這種基于冗余的安全策略是選擇可編程邏輯的又一理由,因為可編程邏輯能夠在同一器件中多次例化多個相同、獨立的處理引擎。另外,滿足某個ASIL級別的要求用架構方法(硬件)往往比用抽象軟件能夠更輕松明晰地證明,特別是像抗干擾這樣的功能。C編程語言中的棧溢出或是數據指針處理不當可能會給系統帶來出乎意料的安全性問題。 這種基于冗余的安全策略是選擇可編程邏輯的又一理由,因為可編程邏輯能夠在同一器件中多次例化多個相同、獨立的處理引擎。 可編程邏輯的靈活性及其對功能安全的適用性還帶來另一項設計優勢,就是可以采用三模冗余(TMR)策略。這是航空航天應用中用于緩解單粒子翻轉(SEU)風險的常見方法。這種緩解方案由三個相同邏輯電路構成,并行執行相同的任務,對應的輸出由一個多數表決電路進行比較。采用硬件實現這種策略效率很高。 另外,在這個高度關注成本和功耗的市場上,賽靈思Zynq-7000 EPP等一些可編程邏輯器件能夠支持多項降低系統總體功耗的功能,其中的部分功能是從MCU繼承而米。像處理系統的僅加電模式、休眠模式和外設獨立時鐘域這樣的功能能夠大幅降低器件待機期間的動態功耗。 某些可編程邏輯器件在結構中配備有硬核處理器,便于設計人員第一步先用軟件開發整個系統功能,就像他們尋常在MCU平臺上所做的一樣,隨后逐步地在設計中增加硬件,將部分設計移植到可編程邏輯資源。這種方法能夠讓設計人員為解決方案開發出不同的版本,而且與純軟件方法相比,能夠實現在定制硬件中綜合部分功能的優勢。 在運行時可重配置硬件上進行ECU設計 在探討完畢借助可編程邏輯在靜態硬件和軟件上實現ECU的優勢后,我們接下來探討采用基于SRAM并具備運行時部分可重配置功能的FPGA設計ECU。部分可重配置技術能夠為汽車設計人員提供更多優勢。 事實上,其中的一大優勢是如果FPGA包含有不必在啟動時(如在ECU喚醒或加電)配置的部分可重配置區域,可以縮短系統啟動時間。不支持動態部分可重配置的FPGA在加電時需要配置所有的FPGA資源,但運行時可重配置FPGA只需下載部分位流進行部分重配置。 由于當今先進的FPGA器件具有巨大的容量,故在加電時下載完整的位流會引起可觀的配置時間開銷。運行時部分可重配置技術能夠顯著地縮短這種配置時延。在那種情況下,有可能在加電時只配置一個最起碼的子系統(即引導載入程序和立即需要的部分系統應用),讓系統其余部分保持待機狀態,直到有必要初始化為止。如果系統在加電或喚醒時需要快速響應,可將這種啟動工作劃分為兩個階段,以加快初始化過程。為此,可將系統架構分解為一個靜態域和一個或者多個部分可重配置域(PRR)。靜態域涵蓋負責執行啟動過程的系統(一般來說是主機CPU),以及可重配置引擎和通往位流庫的數據鏈路。由特定部分位流描述的其他域可按應用需求,隨后下載。 另外,如果禁用PRR域,則可以讓器件的功耗與禁用區域部分成比例降低。在使用汽車電池供電的ECU中,節能模式尤為重要。為此,在車輛未使用時(即處于休眠模式時),車載ECU可使用低功耗模式,以讓ECU功耗保持最低。同樣,可以在不需要的時候使用空白位流禁用FPGA的部分區域,減少邏輯活動,從而降低動態功耗。 在采用運行時可重配置邏輯的系統中,汽車設計人員還可使用一種從航空航天應用中借鑒來的重配置技術。重配置(configuration scrubbing)可以將系統從因單粒子翻轉(SEU)和電磁干擾造成的SRAM故障中恢復過來。定期重新配置硬件外設可保證系統在出現故障時自我修復。另外,這樣也可以將故障的最大時長限制在重配置時間間隔內。這種技術也通常運用在軟件中,作為一種常見的抗干擾保護措施,例如MCU外設的定期重配置。 另一項運行時部分重配置技術的靈活性帶來的有前景的功能是在FPGA資源的某個特定二維位置出現永久性或不可修復的電路故障,比如影響到特定邏輯單元或RAM模塊時,可通過功能重定位實現故障修復。一旦發現有硬件或軟件故障出現,可以在運行中將所需的功能自動重定位到同一ECU中的可編程邏輯器件的其他部分。雖然這個構思是可行的,但這項功能還沒有得到當今的自動化工具的完全支持。 適用于汽車產業的運行時可重配置計算技術最強大的特性無疑是共享的硬件資源上功能的實時時分復用。可以對由ECU中的相同計算資源處理的功能性應用進行時間共享,如果應用間相互獨立(例如,當車輛向前直行駛時使用行車道偏離預警功能,倒車時,則切換到后視攝像頭視圖或停車輔助應用)。這種設計思路可以幫助降低此類嵌入式系統的成本和復雜性,釋放空間,減輕車身重量。 這種設計思路還可用于實現特定算法在不斷變化的環境條件或者外部條件中的自適應性。例如,給定的引擎控制算法可通過部分可重配置自主調整部分硬件模塊,以在任何運行溫度下或電池電壓下實現理想的運行。同樣的理念對通信系統也適用,比如可以設計某種加密控制器,能夠在運行中運用特定的參數函數制定專門的安全等級。另如,可以設計某種ECC加密器/解密器IP,用于在高噪聲通信信道中檢測和修改數據傳輸錯誤,能夠根據感應到的信噪比動態適應其硬件架構。 圖5顯示了一個采用賽靈思Virtex-4 FPGA部署的ECU系統的示例,由一個靜態域和一個部分可重配置域構成。靜態域集成了一個MicroBlaze軟核處理器和一個基于ICAP的重配置控制器,部分可重配置域(PRR)則發揮著共享資源的作用,負責在不同時間換入和換出不同的功能任務或應用。 圖5 在由部分可重配置域和靜態域構成的運行時可重配置FPGA中實現的汽車ECU應用的空間分區和臨時分區 最后,如果將前述的構想發揮到極致,可以設計出一種通用汽車ECU平臺。這種平臺可以在生產線上進行配置并針對汽車中特定的ECU功能進行定制。這種構想在技術上借助可重配置硬件具有可行性,能夠簡化制造廠的物流要求,將存貨壓低到最低水平。這是因為從硬件的角度來看,在生產線上組裝的模塊對所有車輛都是一樣的,都采用單一平臺設計或產品架構(基于靈活的硬件)。只有可下載的位流會讓ECU的功能具有差異。 高集成度ECU 在當今的汽車產業中,有約90%的創新來自汽車電子設備,而且這個勢頭方興未艾。未來汽車將采用非常先進的軟硬件技術,實現大量的新功能,比如自動駕駛、車輛間通信、娛樂以及和更高安全性。但是,對在這個以大批量制勝的產業而言,控制車載嵌入式系統的成本對汽車制造商極其重要。因此,當前的趨勢是在減少車輛中的ECU數量的同時讓每個ECU發揮強勁的功能。要實現這個目標需要功能更加強大的計算平臺。 許多行業參與方共同采用的方法是開發用作域控制器的高集成度ECU。就是將多個單核處理器或微控制器布置在同一開發板上,共享總線連接和其他資源,旨在從整車的角度降低系統復雜性。這種趨勢讓我們聯想到可以將可重配置硬件用于ECU的設計,從而在有效提高計算并行性,降低PCB的復雜性的同時,實現最高性價比解決方案。 這種設計方法雖然在我們的工作中尚處于萌芽階段,卻為將AUTOSAR和ISO 26262標準與運行時可重配置硬件融合用于軟/硬件聯合設計,實現完整的車載嵌入式ECU系統奠定了基礎。實際上,雖然目前AUTOSAR還沒有覆蓋到可重配置硬件,但我們不排除將來有這種可能。基于SRAM的運行時可重配置FPGA已用于航空航天應用,能夠滿足容易導致SEU的更為惡劣的環境條件的要求,況且汽車行業從歷史上看有借鑒航空航天行業率先開創的風氣的習慣。另外,在市場上已經存在某些合格的用于實現基于FPGA的安全相關系統的設計方法和工具,而且行業中涉及FPGA器件的標準也已經存在有相當長時間,比如用于規范航空電子業組件和系統設計的DO-254標準。 聯合設計帶來模式變革 因此,我們的工作將掀起汽車產業計算模式的變革。在特定的ECU應用場景中,純軟件的解決方案將被軟/硬件聯合設計和可重配置計算技術所取代。這是因為采用馮諾依曼型MCU的純軟件方法由于性能、復雜性和安全性方面的局限,已不敷使用。可編程邏輯技術的價格的不斷降低,加上汽車電子控制單元性能需求的不斷走高,將在不久的將來把這場變革變為現實。 兩大關鍵標準 汽車產業在設計車載電子設備時已將兩項關鍵標準奉為圭皋。其中一項標準是AUTOSAR,它通過適當的軟硬件架構解決嵌入式系統復雜性問題。另一項標準是即將推出的ISO 26262,用于管理功能安全性。AUTOSAR提出的以及ISO 26262采用的相關技術課題主要為安全問題的檢測和處理,比如運行時發生的硬件故障、時序失常和應用執行的邏輯順序打亂、數據損壞等。 AUTOSAR詳解 近年來,電子組件已經取代了車輛中的機械系統和液壓系統。隨著設計人員開始用軟件實現更多的控制、監控和診斷功能,這種趨勢正在持續。實際上,用電子技術能夠實現僅用機械和液壓解決方案無法開發者開發成本高的新功能。但這些部件必須滿足嚴格的安全要求,以避免出錯和故障。 雖然軟件相關的故障目前來看比較罕見,但隨著軟件在汽車這種工業制品中用量的不斷增加,系統變得日趨復雜,加上產品開發周期的縮短,最終可能導致產品故障。為解決這個問題,汽車產業通過結盟和實施標準,確保使用和開發安全可靠的軟件。 比如汽車工業軟件可靠性協會(MISRA)就是由福特和美洲豹路虎這樣的汽車制造商、組件供應商和工程咨詢方組成的團體。通過制定一系列軟件編程規則,MISRA旨在在道路車輛的車載安全相關電子系統和其他嵌入式系統的開發工作中推廣最佳實踐。 汽車開放系統架構(AUTOSAR)是來自電子、半導體和軟件行業的汽車制造商、供應商和其他公司組建的聯合體為解決幾項重大問題而制定的一種事實上的汽車電氣/電子(E/E)架構開放行業標準。這幾項重大問題包括:控制隨功能不斷增加而導致的日益提高的車載電氣/電子系統復雜性;提高靈活性以便產品的修改、升級和更新;在產品線內部以及跨產品線提高解決方案的可擴展性;改善電氣/電子系統的質量和可靠性;實現設計初期階段的出錯檢測。 這個架構面臨的挑戰是必須集成廣泛供應商提供的日益豐富的軟件和電子技術。通過簡化軟硬件的交換和更新選項,AUTOSAR架構為可靠地控制汽車車載電氣/電子系統日益提高的復雜性奠定了基礎,同時在保證質量的情況下改善了成本效益。 AUTOSAR架構制定于2003年,是更早期的OSEK/VDX聯合體的自然發展。OSEK/VDX聯合體誕生于十年之前,由部分德國和法國汽車制造商主推。由于有更遠大的目標,AUTOSAR如今已經為世界各地大部分汽車制造商采用。 AUTOSAR架構的核心成員包括寶馬集團、博世、大陸、戴姆勒、福特、通用汽車、雪鐵龍、豐田和大眾集團。除了這些核心成員公司,另有160余家其他成員為聯合體的成功發揮著重大作用。由此,在“在標準上合作,在設計上競爭”的口號的指引下,汽車制造商和供應商聯合一致,共同制定了這個旨在實現車載電氣/電子設計突破的開放標準化系統架構。 功能安全性 與此類似,IEC 61508是負責管理電氣、電子和可編程電子系統和組件的功能安全性的國際電工委員會的一般性標準,自2004年生效以來已經得到世界各地的認可,適用于各個領域的安全相關系統。 在專門為功能安全性制定的其他標準中,有一項系專門為汽車行業的功能安全性制定,這就是國際標準化組織的ISO 26262。這項新標準尚在制定過程中,預計將于2012年頒布,旨在支持和推動汽車行業中安全產品的開發工作。它覆蓋了從構想、產品開發、生產和經營的所有安全工作。 事實上,功能安全,即不允許發生因電氣/電氣系統的功能失常導致的危險性造成不可接受的風險,業已成為汽車設計中的一項重要要求。該擬在近期頒布的標準專門針對汽車行業的實際情況,定義了可接受的風險,重在防范惡性故障。為此,“風險”一詞的定義為發生傷害或者損害的可能性及傷害或者損害的嚴重性。在工程開發階段,該標準要求提前評估所有潛在的危險和風險,并要求開發人員采取適當的措施盡最大可能予以消除。ISO 26262提供了適當的要求和流程,指導如何避免這些風險。 根據該標準的要求,汽車的功能被分成安全相關功能和非安全相關功能兩大類。安全相關功能指如果功能失常就會給駕駛員帶來風險的功能。對分類為安全相關功能的功能,該標準進一步設定了數個可能的風險等級。就是說從確保具體的安全目標的角度出發,某些功能的比另一些功能更加關鍵。 根據可能發生的事故的嚴重性、出現特定駕駛狀況的概率、采用外部措施降低風險的程度,該標準定義了一系列汽車安全完整性等級(ASIL))。該系列等級具體分為四個等級,從D到A。D代表最高安全等級,A代表最低安全等級。每個ASIL等級都列明汽車制造商和供應商必須滿足的要求或建議,以將“不可容許的嚴重風險”降低為可容許殘余風險。 例如,如果在車輛行駛中方向盤軸被卡住,駕駛員就可能遭遇事故,因為駕駛員無法轉動方向盤。為將該風險降低到可容許的水平,方向盤軸控制功能的設計就必須根據ISO 26262標準和為此安全目標設定的ASIL等級滿足一定的安全設計標準。 軟件開發人員和硬件開發人員必須依據每一項安全目標的ASIL等級,在實現涉及的功能的時候思考具體的安全措施。對高安全等級的ASIL(D或C),常用的設計方法是將安全要求分解為冗余安全要求,以便采用充分獨立的元件在較低的ASIL等級上滿足ASIL容許度要求。換句話說,就是將原始的安全要求用不同的處理器(一般為MCU)冗余地實現,采用冗余通道最大程度地降低惡性故障發生的概率。 最后,制造商和供應商需要向認證機構證明自己的電氣/電子系統能夠根據行業專門的規定安全可靠地提供要求的功能。 |
