區(qū)域?qū)虻脑O(shè)計(jì)將帶給未來(lái)的汽車E/E架構(gòu)巨大的優(yōu)勢(shì)（功能更多，但負(fù)載更少）。區(qū)域架構(gòu)需要將許多功能整合到少數(shù)的區(qū)域ECU（即ZCU）中，挑戰(zhàn)在于ZCU的性能、時(shí)序和安全方面。瑞薩和ETAS聯(lián)合介紹了他們的通用虛擬化平臺(tái)，即MCU、Hypervisor和開發(fā)工具組成的一整套應(yīng)用和開發(fā)平臺(tái)。其將簡(jiǎn)化軟件的實(shí)現(xiàn)，從而縮短通往新的ZCU時(shí)間。

從傳統(tǒng)汽車設(shè)計(jì)到CASE（Connectivity、Automation、Sharing、Electricity）的趨勢(shì)需要整體計(jì)算性能的指數(shù)級(jí)增長(zhǎng)，以及汽車內(nèi)通信負(fù)荷的指數(shù)級(jí)增長(zhǎng)。實(shí)現(xiàn)CASE所要求的性能和網(wǎng)絡(luò)的復(fù)雜性無(wú)法通過(guò)傳統(tǒng)的E/E架構(gòu)來(lái)實(shí)現(xiàn)。這是因?yàn)閭鹘y(tǒng)的分布式E/E結(jié)構(gòu)將需要更多的ECU和相應(yīng)的更復(fù)雜、更重的線束。

此外，總的功耗和成本在傳統(tǒng)E/E架構(gòu)中也將大大增加。因此，向CASE過(guò)渡的一個(gè)關(guān)鍵挑戰(zhàn)是在不增加物理ECU數(shù)量的情況下擴(kuò)大功能范圍。這就需要一個(gè)新的軟件架構(gòu)，由有能力但成本效益高的硬件解決方案來(lái)支撐。

架構(gòu)的改變需要設(shè)計(jì)上的權(quán)衡

開發(fā)新的、無(wú)歷史包袱的ZCU的OEM可以從一開始就采用域（domain）或區(qū)域(zonal)架構(gòu)，如圖1。然而，在實(shí)踐中，許多OEM并不是從零開始，而是需要保留已有的ECU中的軟件。這涉及到從他們現(xiàn)有的分布式E/E架構(gòu)（一個(gè)ECU完全對(duì)應(yīng)一個(gè)車輛功能）遷移到區(qū)域架構(gòu)。架構(gòu)和支撐技術(shù)的變化總是會(huì)帶來(lái)新的設(shè)計(jì)的權(quán)衡。

主要的挑戰(zhàn)是定義哪些ECU應(yīng)該被整合，以及在軟件架構(gòu)中如何把功能集成在一起。此外，需要確定來(lái)自不同方（OEM、Tier-1、第三方）的軟件和不同功能安全級(jí)別的軟件之間的隔離程度。最后，需要決定在哪里重用現(xiàn)有的軟件，在哪里進(jìn)行重新設(shè)計(jì)。

這種決定受到各種因素的影響，如已有的軟件的和計(jì)劃新開發(fā)軟件的工作量、供應(yīng)鏈結(jié)構(gòu)或量產(chǎn)后的軟件維護(hù)策略。對(duì)于特定的E/E架構(gòu)，只有通過(guò)對(duì)不同技術(shù)方案的反復(fù)對(duì)比并且通過(guò)從研究型開發(fā)中收集數(shù)據(jù)，才能做出有充分依據(jù)的設(shè)計(jì)選擇。



圖1. E/E架構(gòu)對(duì)比：今天的分布式架構(gòu)（左）和未來(lái)的面向區(qū)域的E/E架構(gòu)（ 瑞薩）

區(qū)域架構(gòu)的挑戰(zhàn)

面向區(qū)域的架構(gòu)將眾多功能和服務(wù)整合到一個(gè)ECU中。網(wǎng)絡(luò)設(shè)計(jì)必須要考慮相關(guān)的對(duì)帶寬、確定性和最大延遲的要求。區(qū)域控制器ZCU顯然需要高計(jì)算能力來(lái)并行執(zhí)行多個(gè)功能。而且，出于功能安全和信息安全的原因，它們還必須確保不受并發(fā)應(yīng)用程序之間的干擾，并確保時(shí)序要求。

大多數(shù)現(xiàn)代ECU將運(yùn)行 Autosar Classic軟件架構(gòu)，這是一個(gè)基于軟件組件的架構(gòu)，支持timing和memory的保護(hù)，以及許多功能安全和信息安全機(jī)制，還能夠通過(guò)software cluster實(shí)現(xiàn)部分更新。

ECU的軟件來(lái)自多個(gè)利益相關(guān)者方，包括OEM（應(yīng)用層），Tier-1（中間件和集成），Tier-2（MCAL）和 第三方（如Autosar BSW、OS、安全固件）。這一組利益相關(guān)者的軟件集成到一個(gè)ECU之內(nèi)在今天已經(jīng)成為一項(xiàng)個(gè)重要的工程任務(wù)。很難想象同樣的方法將擴(kuò)展到未來(lái)的ZCU。原因有多個(gè)。

誰(shuí)來(lái)負(fù)責(zé)集成來(lái)自多個(gè)供應(yīng)商的應(yīng)用層？當(dāng)ECU發(fā)生故障時(shí)，誰(shuí)負(fù)責(zé)？如何在多應(yīng)用的ECU系統(tǒng)中確保系統(tǒng)安全隔離？各方如何保護(hù)知識(shí)產(chǎn)權(quán)？誰(shuí)來(lái)執(zhí)行根本原因分析和調(diào)試？最后，需要大量的努力來(lái)重新測(cè)試整個(gè)ECU，即使當(dāng)一個(gè)小的軟件組件發(fā)生變化時(shí)。

解決這些挑戰(zhàn)的一個(gè)辦法是基于Hypervisor的軟件概念，將一個(gè)物理ECU擴(kuò)展為多個(gè)虛擬ECU。用Autosar的話說(shuō)，這里的每個(gè)虛擬ECU是一個(gè)獨(dú)立的ECU，有自己的EcuExtract，通過(guò)COM和虛擬網(wǎng)絡(luò)與其他虛擬ECU進(jìn)行通信。這種解決方案允許每個(gè)虛擬ECU通過(guò)松耦合的方式結(jié)合到一個(gè)物理ECU中。每個(gè)虛擬機(jī)（VM）可以單獨(dú)編譯和鏈接，并有自己的運(yùn)行時(shí)環(huán)境（RTE）。一個(gè)RTE配置的變化并不會(huì)引起整個(gè)系統(tǒng)的軟件被重新構(gòu)建。

此外，這些虛擬機(jī)有完全的對(duì)處理器硬件訪問(wèn)權(quán)。而且，對(duì)一個(gè)虛擬機(jī)的改變不一定需要對(duì)整個(gè)系統(tǒng)進(jìn)行重新測(cè)試，一個(gè)虛擬機(jī)可以獨(dú)立于整個(gè)系統(tǒng)重新啟動(dòng)，這有助于最大限度地減少同一ECU上其他不相關(guān)功能的停機(jī)時(shí)間。

Zone ECU的硬件

瑞薩RH 850/U2x系列微控制器用于下一代區(qū)域/集成ECU，支持各種嵌入式硬件的針對(duì)區(qū)域應(yīng)用的關(guān)鍵功能。此外，高性能的NoC（片上網(wǎng)絡(luò)）結(jié)構(gòu)可以確保每個(gè)單獨(dú)的集成應(yīng)用在外設(shè)和內(nèi)存訪問(wèn)方面的實(shí)時(shí)性。



圖2. RH 850/U2A：用于單芯片的跨區(qū)域平臺(tái)集成多種車身和底盤應(yīng)用（ 瑞薩）

RH 850/U2A MCU被設(shè)計(jì)成一個(gè)跨領(lǐng)域的平臺(tái)，適用于高端車身和底盤應(yīng)用，以滿足日益增長(zhǎng)的將多種應(yīng)用集成到單個(gè)芯片的硬件需求，如圖2。基于28納米工藝技術(shù)，32位RH 850/U2A MCU建立在瑞薩用于底盤控制的RH 850/Px系列和用于車身控制的RH 850/Fx系列的關(guān)鍵功能之上，以提供更好的性能。



圖3. 由于其更高的性能水平和高達(dá)32MB的內(nèi)存，RH 850/U2B系列被定位在RH 850/U2A系列之上，如圖3。它旨在成為一個(gè)對(duì)成本敏感的單片機(jī)，以實(shí)現(xiàn)所述的區(qū)域架構(gòu)概念。

RH 850/U2x MCU配備了最新的硬件支撐技術(shù)以支持多個(gè)ASIL-D軟件分區(qū)的集成。Hypervisor輔助功能使得以高性能方式運(yùn)行Hypervisor操作系統(tǒng)成為可能，包括快速上下文切換以及靈活適應(yīng)的Hypervisor中斷概念。服務(wù)質(zhì)量（QoS）為所有總線主節(jié)點(diǎn)提供延遲監(jiān)測(cè)和主動(dòng)調(diào)節(jié)功能，以確保最低帶寬始終可用。該功能僅在RH 850/U2B MCU上提供。

存儲(chǔ)器保護(hù)單元（MPU）實(shí)現(xiàn)了總線主節(jié)點(diǎn)對(duì)存儲(chǔ)器和其他資源訪問(wèn)的隔離。一個(gè)高度靈活的外圍存儲(chǔ)器和外圍模塊的保護(hù)系統(tǒng)在資源層面上提供保護(hù)。額外的安全功能包括多個(gè)單獨(dú)的錯(cuò)誤輸出信號(hào)，以確保在軟件分區(qū)層面的單獨(dú)處理。此外，AES128鎖步模塊的多個(gè)實(shí)例確保了無(wú)沖突和確定性的安全保障通信。為了涵蓋無(wú)等待的空中更新（OTA），能夠?qū)蝹€(gè)Flash Bank進(jìn)行背景操作，使個(gè)別軟件分區(qū)能夠獨(dú)立更新。

來(lái)自ETAS的ZCU軟件

ETAS的Hypervisor RTA-HVR支持Renesas RH 850/U2x，以滿足嚴(yán)格的汽車功能安全和信息安全要求。RTA-HVR使用瑞薩RH 850/U2x系列的硬件虛擬化功能來(lái)創(chuàng)建多個(gè)虛擬機(jī)。每個(gè)虛擬機(jī)都有一個(gè)或多個(gè)虛擬CPU核、一段內(nèi)存空間和一組外設(shè)。

每個(gè)VM是一個(gè)獨(dú)立的可編譯和可刷新的ECU軟件，可以由第三方構(gòu)建并交付。RTA-HVR支持Autosar Classic平臺(tái)，并靈活地將物理CPU核分配給虛擬機(jī)。如果一個(gè)虛擬機(jī)對(duì)一個(gè)或多個(gè)CPU核有唯一的訪問(wèn)權(quán)，那么虛擬機(jī)之間就沒(méi)有調(diào)度開銷。如果多個(gè)虛擬機(jī)共享一個(gè)CPU核，可以應(yīng)用靜態(tài)配置的輪流調(diào)度或由RH 850/U2x后臺(tái)中斷驅(qū)動(dòng)的動(dòng)態(tài)預(yù)約式調(diào)度。

RTA-HVR使用MPU和保護(hù)概念在虛擬機(jī)之間提供空間隔離，為每個(gè)虛擬機(jī)劃分內(nèi)存和外設(shè)空間。

此外，RTA-HVR提供了一種稱為虛擬設(shè)備擴(kuò)展（VDE）的機(jī)制，允許ECU集成商為ZCU定制虛擬和物理外設(shè)之間的綁定。VDE提供了一種在虛擬機(jī)之間共享外設(shè)的安全方式，例如，當(dāng)需要一個(gè)外設(shè)的虛擬機(jī)數(shù)量超過(guò)硬件中的物理外設(shè)數(shù)量時(shí)。這里的典型例子是以太網(wǎng)控制器、硬件安全模塊和看門狗，或帶有額外CAN通道的擴(kuò)展，如圖4。



圖4. VDE能夠創(chuàng)建完全虛擬的外設(shè)，以實(shí)現(xiàn)虛擬機(jī)之間對(duì)通信通道的優(yōu)化（ 瑞薩）

ZCU的虛擬化方案

為了支持ZCU的概念開發(fā)，集成多個(gè)應(yīng)用，ETAS和瑞薩已經(jīng)開發(fā)了ZCU的虛擬化解決方案平臺(tái)。它結(jié)合了RH 850/U2x MCU和RTA-HVR的功能，包括預(yù)配置的虛擬機(jī)，每個(gè)虛擬機(jī)都包含使用ETAS的Autosar Classic平臺(tái)RTA-CAR的ECU軟件。另外還提供了一個(gè)基于PC的設(shè)計(jì)工具包，用于觀察實(shí)驗(yàn)室環(huán)境下的運(yùn)行行為，如圖5。



圖5. ZCU虛擬化實(shí)驗(yàn)環(huán)境（ 瑞薩）

ZCU虛擬化解決方案平臺(tái)為RH 850/U2x MCU提供了一個(gè)預(yù)配置和預(yù)構(gòu)建的軟件實(shí)現(xiàn)，作為一個(gè)易于啟動(dòng)的開發(fā)平臺(tái)。它包含演示軟件和benchmark環(huán)境，使汽車客戶能夠快速開始為他們的ZCU項(xiàng)目進(jìn)行設(shè)計(jì)探索。圖6顯示了兩種可供選擇的硬件。

ZCU PoC軟件棧包括一個(gè)RTA-HVR配置和四個(gè)虛擬機(jī)。每個(gè)虛擬機(jī)都被配置為在完整的ETAS RTA-CAR Autosa CP軟件棧上運(yùn)行一套簡(jiǎn)單的Autosar SWC（軟件組件模板）。虛擬機(jī)之間的通信使用RTA-HVR，VDE用于虛擬CAN，虛擬看門狗，以及訪問(wèn)RH 850/U2x硬件資源。

RTA-HVR被配置為三個(gè)不同的有代表性的虛擬機(jī)配置，如下所示：

VM A：分配一個(gè)單獨(dú)的CPU核，單獨(dú)運(yùn)行一個(gè)系統(tǒng)軟件 VM B0和VM B1：各分配一個(gè)單獨(dú)的CPU核，兩個(gè)虛擬機(jī)上運(yùn)行一個(gè)系統(tǒng)軟件 VM C與VM D：共享一個(gè)CPU核，并各自單獨(dú)運(yùn)行一個(gè)系統(tǒng)軟件，如圖7。



圖7. 設(shè)計(jì)探索工具中的虛擬機(jī)結(jié)構(gòu)（ 瑞薩） 提供了兩種可供選擇的RTA-HVR配置，可以探索虛擬機(jī)調(diào)度策略的差異。

實(shí)時(shí)虛擬機(jī)狀態(tài)數(shù)據(jù)

ZCU虛擬化解決方案平臺(tái)提供了一個(gè)名為 "Design Exploration Tool "的PC應(yīng)用程序，可以捕捉和顯示實(shí)時(shí)虛擬機(jī)狀態(tài)數(shù)據(jù)。運(yùn)行所提供的不同的RTA-HVR調(diào)度策略，可以使開發(fā)人員輕松地與將嵌入式硬件和軟件集成起來(lái)。同時(shí)，可以使用ZCU虛擬化解決方案平臺(tái)研究故障注入虛擬機(jī)等功能，如觸發(fā)內(nèi)存非法訪問(wèn)，測(cè)量性能和系統(tǒng)時(shí)間、以及RH 850/U2x硬件功能，如 OTA 或 QoS。

ZCU 虛擬化解決方案平臺(tái)與RH 850/U2x硬件一起發(fā)售，RH 850/U2A啟動(dòng)套件或RH 850/U2B小板，RTA-HVR的二進(jìn)制Flash軟件鏡像和每個(gè)虛擬機(jī)已構(gòu)建好的鏡像，以研究調(diào)度和片上刷新，以及設(shè)計(jì)工具。

想了解更多信息的用戶可以申請(qǐng)三個(gè)月的評(píng)估許可證。包括Renesas RH 850 MCAL與配置工具，ETAS RTA-CAR工具用于配置和代碼生成，RTA-HVR的原型軟件，以及所有配置文件、源代碼和調(diào)試器腳本，使用戶能夠擴(kuò)展或創(chuàng)建ZCU。

ETAS RTA-CAR工具又包括用于系統(tǒng)和應(yīng)用軟件配置的ISOLAR-A以及用于基礎(chǔ)軟件配置的ISOLAR-B、RTA-RTE（Autosar RTE的代碼生成器），RTA-OS，以及RTA-BSW（Autosar基本軟件模塊的代碼生成器，包括CAN通信）。其他開發(fā)工具，如GreenHills RH 850/U2x編譯器（2019.1.5）和Lauterbach Trace32調(diào)試器或RH 850/U2x的瑞薩E2調(diào)試器。

總結(jié)

未來(lái)E/E架構(gòu)的開發(fā)者面臨的任務(wù)是在不增加物理ECU數(shù)量的情況下擴(kuò)展功能。解決方案是一個(gè)新的軟件架構(gòu)和功能強(qiáng)大但成本低廉的硬件。區(qū)域架構(gòu)要求ECU具有足夠的處理能力，以并行地運(yùn)行各種應(yīng)用程序，軟件通常來(lái)自不同的開發(fā)方，要求沒(méi)有干擾，而且每個(gè)軟件都確保實(shí)時(shí)性。

RH 850/U2A和RH 850/U2B微控制器，連同RTA-HVR Hypervisor，被設(shè)計(jì)用來(lái)支持這種集成控制器的開發(fā)。通過(guò)ZCU虛擬化解決方案平臺(tái)，瑞薩和ETAS提供了一套軟件包，支持客戶分析、開發(fā)、評(píng)估測(cè)試和展示未來(lái)E/E架構(gòu)的ECU。


審核編輯：劉清