MCU的虛擬化解決方案平臺(tái)

未來(lái)汽車(chē)的C.A.S.E.趨勢(shì)將會(huì)大幅推進(jìn)汽車(chē)設(shè)計(jì)的改變，而傳統(tǒng)的E/E架構(gòu)將難以實(shí)現(xiàn)新需求。本文敘述如何藉由MCU的虛擬化解決方案平臺(tái)，妥善解決未來(lái)幾代汽車(chē)在創(chuàng)新E/E架構(gòu)的挑戰(zhàn)。
從傳統(tǒng)汽車(chē)設(shè)計(jì)向C.A.S.E.（代表未來(lái)汽車(chē)的連接性、自主性、共享性、電氣化的縮寫(xiě)）推進(jìn)的趨勢(shì)，要求汽車(chē)內(nèi)的整體計(jì)算性能和通訊負(fù)荷呈指數(shù)增長(zhǎng)。

 
圖1 : CASE：互聯(lián)、自主、共享、電動(dòng)汽車(chē)

為了實(shí)現(xiàn)C.A.S.E.，必要的計(jì)算能力和網(wǎng)絡(luò)復(fù)雜性無(wú)法以經(jīng)濟(jì)合理的方式通過(guò)傳統(tǒng)的E/E架構(gòu)實(shí)現(xiàn)，因?yàn)榉植际紼/E結(jié)構(gòu)需要大量的電子 控制器（ECU），相應(yīng)地增加了電纜線束的復(fù)雜性和重量，增加了整體功耗，并提高了成本。


 
圖2 : 現(xiàn)在和未來(lái)的E/E架構(gòu)

因此，向C.A.S.E過(guò)渡的一個(gè)關(guān)鍵挑戰(zhàn)，在于如何在不增加物理ECU數(shù)量的情況下做更多的事情。解決這一挑戰(zhàn)的關(guān)鍵在于由硬件支持的新軟件平臺(tái)。
汽車(chē)制造商開(kāi)發(fā)新的、無(wú)遺留問(wèn)題的區(qū)域ECU，可以從一開(kāi)始就采用域/區(qū)架構(gòu)。然而，在實(shí)踐中有許多汽車(chē)制造商并不是從「空白」開(kāi)始的，他們需要保留對(duì)ECU軟件的現(xiàn)有投入，這意味著從他們現(xiàn)有的聯(lián)合E/E架構(gòu)（即一個(gè)ECU對(duì)應(yīng)一個(gè)車(chē)輛功能）遷移到Zone架構(gòu)。

區(qū)域架構(gòu)的挑戰(zhàn)
面向分區(qū)的結(jié)構(gòu)將許多功能和服務(wù)整合到一個(gè)ECU中。因特網(wǎng)概念必須處理相關(guān)的對(duì)帶寬、確定性和最大延遲的更高要求，而與分區(qū)相關(guān)的ECU，根據(jù)其作為分區(qū)聚合器、控制器或處理器的角色，顯然需要高計(jì)算性能來(lái)運(yùn)行多種功能。另一方面，它們還必須確保不受并發(fā)應(yīng)用程序之間的干擾，以保證功能安全和信息安全，保持實(shí)時(shí)并支持內(nèi)部網(wǎng)絡(luò)路由加速。
大多數(shù)現(xiàn)代ECU將運(yùn)行AUTOSAR（AUTomotive Open System ARchitecture）經(jīng)典軟件架構(gòu)，該架構(gòu)提供了基于軟件組件的內(nèi)建模型、時(shí)間和空間分離、大量的功能安全和信息安全機(jī)制，以及通過(guò)軟件集群機(jī)制的部分更新等。
ECU軟件包括來(lái)自多方的部件，包括OEM（應(yīng)用）、Tier 1（中間件和內(nèi)建）、Tier 2（MCAL）和第三方（AUTOSAR BSW、操作系統(tǒng)、安全韌體等）。今天，將ECU與這組來(lái)自多方的部件整合在一起已經(jīng)是一項(xiàng)重要的工程了。

由于以下原因，很難看到同樣的方法如何擴(kuò)展到一個(gè)區(qū)ECU：
? 誰(shuí)負(fù)責(zé)整合來(lái)自多個(gè)供貨商的應(yīng)用程序？
? 當(dāng)ECU發(fā)生故障時(shí)，誰(shuí)來(lái)負(fù)責(zé)？如何保留多ECU系統(tǒng)的安全屏障？多個(gè)供貨商如何保護(hù)IP？
? 誰(shuí)來(lái)進(jìn)行調(diào)試的根本原因分析？
? 當(dāng)一個(gè)微小的部件發(fā)生變化時(shí)，整個(gè)ECU的重新測(cè)試工作量巨大。

解決這些挑戰(zhàn)的方法是使用hypervisor，將一個(gè)物理ECU變成多個(gè)虛擬ECU。在AUTOSAR術(shù)語(yǔ)中，每個(gè)虛擬ECU是一個(gè)單獨(dú)的ECU（亦即有自己的EcuExtract），通過(guò)COM和虛擬網(wǎng)絡(luò)與其他虛擬ECU進(jìn)行通訊。

這種解決方案允許每個(gè)虛擬ECU像今天一樣，通過(guò)保留建立ECU內(nèi)建模型的松散耦合來(lái)進(jìn)行內(nèi)建，并提供以下優(yōu)勢(shì)：
? 每個(gè)虛擬機(jī)都被單獨(dú)編譯和鏈接；
? 每個(gè)虛擬機(jī)都有自己的RTE。一個(gè)RTE配置的改變并不要求整個(gè)系統(tǒng)被重新構(gòu)建；
? 每個(gè)虛擬機(jī)都有對(duì)處理器硬件的完全、虛擬化的連接；
? 對(duì)一個(gè)虛擬機(jī)的改變不一定需要對(duì)整個(gè)系統(tǒng)進(jìn)行重新測(cè)試；
? 一個(gè)虛擬機(jī)可以獨(dú)立于整個(gè)系統(tǒng)重新啟動(dòng)，最大限度地減少同一ECU上其他（不相關(guān)）功能的停機(jī)時(shí)間。

區(qū)域架構(gòu)- 硬件解決方案：RH850 U2A/U2B
瑞薩RH850/U2x高性能微控制器產(chǎn)品線用于下一代區(qū)域/內(nèi)建ECU，支持豐富的嵌入式HW關(guān)鍵功能，這些功能是區(qū)域應(yīng)用所特有的，如Hypervisor HW支持、QoS（僅U2B支持）、功能安全和信息安全，以實(shí)現(xiàn)無(wú)干擾。最重要的是，高性能的NoC（片上網(wǎng)絡(luò)）結(jié)構(gòu)可以確保每個(gè)單獨(dú)內(nèi)建的應(yīng)用程序在外設(shè)和內(nèi)存連接方面的實(shí)時(shí)行為。
瑞薩的RH850/U2A微控制器（MCU）被設(shè)計(jì)為高端車(chē)身和底盤(pán)應(yīng)用的跨域平臺(tái)，以滿足日益增長(zhǎng)的將多種應(yīng)用內(nèi)建到單個(gè)芯片的需求?；?8奈米制程技術(shù)，32位RH850/U2A MCU建立在瑞薩用于底盤(pán)控制的RH850/Px系列和用于車(chē)身控制的RH850/Fx系列的關(guān)鍵功能之上，以提供更好的性能。


 
圖3 : RH850/U2A架構(gòu)圖

瑞薩RH850/U2B系列以RH850/U2A的優(yōu)勢(shì)為基礎(chǔ)，為解決未來(lái)幾代汽車(chē)的創(chuàng)新E/E架構(gòu)的挑戰(zhàn)而定制。憑借其新的性能水平和高達(dá)32MB的內(nèi)存整合度，RH850/U2B的定位高于RH850/U2A系列，以滿足未來(lái)汽車(chē)整合平臺(tái)概念的更多要求，同時(shí)與系統(tǒng)單芯片（SoC）相比，仍然提供具有成本優(yōu)勢(shì)的MCU解決方案。


圖4 : RH850/U2B架構(gòu)圖

RH850/U2x MCU配備了最新的HW支持技術(shù)，以實(shí)現(xiàn)多個(gè)ASIL-D SW分區(qū)的內(nèi)建：
? Hypervisor HW輔助功能，以高性能方式啟用Hypervisor-OS（快速上下文切換，HV中斷概念）；
? QoS：對(duì)所有總線主站的延遲監(jiān)測(cè)和主動(dòng)調(diào)節(jié)功能，通過(guò)防止一個(gè)總線主站消耗所有的帶寬，確保提供最小的帶寬（僅U2B支持）；
? 內(nèi)存保護(hù)單元（MPU）：對(duì)總線主站連接內(nèi)存和其他資源進(jìn)行細(xì)粒度的分離；
? Guard概念：外圍儲(chǔ)存器和外圍模塊的高度靈活的從屬保護(hù)系統(tǒng)；
? 功能安全：多個(gè)單獨(dú)的錯(cuò)誤輸出信號(hào)，以確保在SW-分區(qū)層面的單獨(dú)處理；
? 信息安全：多個(gè)AES128鎖步模塊實(shí)例，用于無(wú)沖突和確定的安全保障通訊；
? No-wait OTA：閃存庫(kù)的后臺(tái)操作，確保獨(dú)立更新各個(gè)SW-分區(qū)。

區(qū)域架構(gòu)軟件解決方案：RTA-HVR
ETAS的hypervisor程序RTA-HVR為瑞薩RH850/U2x HW提供免費(fèi)的軟件，以滿足嚴(yán)格的汽車(chē)功能安全和信息安全要求。RTA-HVR使用瑞薩RH850/U2x系列的硬件虛擬化功能來(lái)創(chuàng)建多個(gè)虛擬機(jī)。每個(gè)虛擬機(jī)都有一個(gè)或多個(gè)虛擬CPU內(nèi)核、一段內(nèi)存空間和一組外設(shè)。
每個(gè)虛擬機(jī)「guest」是一個(gè)獨(dú)立的可兼容和可閃存的ECU圖像，可以由第三方建立和運(yùn)送。RTA-HVR支持「bare metal」和AUTOSAR經(jīng)典平臺(tái)guests。
RTA-HVR支持靈活的虛擬機(jī)與物理CPU核分配。當(dāng)一個(gè)虛擬機(jī)對(duì)一個(gè)（或多個(gè)）CPU核有唯一的連接權(quán)時(shí)，那么虛擬機(jī)的調(diào)度開(kāi)銷(xiāo)為零。當(dāng)多個(gè)虛擬機(jī)共享一個(gè)CPU核心時(shí)，可以選擇以下其中之一：

? 一個(gè)靜態(tài)分配的輪流調(diào)度器；
? 一個(gè)由RH850U2x后臺(tái)中斷驅(qū)動(dòng)的基于預(yù)約的動(dòng)態(tài)調(diào)度器。

RTA-HVR使用MPU和Guard概念來(lái)提供虛擬機(jī)之間的空間隔離，為每個(gè)虛擬機(jī)劃分內(nèi)存和外設(shè)空間。
此外，RTA-HVR提供一種稱為「虛擬設(shè)備擴(kuò)展」（VDE）的機(jī)制，允許ECU集成商為特定的Zone ECU定制虛擬和物理外設(shè)之間的綁定。VDE提供了一種在虛擬機(jī)之間共享外設(shè)的安全方式（例如當(dāng)需要一個(gè)外設(shè)的虛擬機(jī)數(shù)量超過(guò)硬件中的物理外設(shè)數(shù)量時(shí)）。這里的典型例子是以太網(wǎng)控制器、HW安全模塊和看門(mén)狗或增加額外的CAN通道，如圖5所示：


圖5 : VDEs還允許創(chuàng)建完全虛擬的外圍設(shè)備，以優(yōu)化虛擬機(jī)之間的通訊渠道

Zone-ECU虛擬化解決方案平臺(tái)概覽
為了支持汽車(chē)用戶的概念性Zone-ECU開(kāi)發(fā)，重點(diǎn)是整合多種應(yīng)用，ETAS和瑞薩已經(jīng)實(shí)現(xiàn)了Zone-ECU虛擬化解決方案平臺(tái)。
該平臺(tái)將瑞薩的RH850/U2x硬件能力與ETAS的RTA-HVR軟件相結(jié)合，一套虛擬機(jī)，每個(gè)虛擬機(jī)都使用ETAS的RTA-CAR AUTOSAR經(jīng)典平臺(tái)和PC托管的交互工具來(lái)承載ECU圖像。



 
圖6 : Zone-ECU虛擬化解決方案平臺(tái)實(shí)驗(yàn)室設(shè)置

Zone-ECU虛擬化解決方案平臺(tái)為RH850/U2x MCU提供一個(gè)預(yù)配置和預(yù)構(gòu)建的SW，成為易于啟動(dòng)的開(kāi)發(fā)平臺(tái)，包含一個(gè)演示SW和一個(gè)基準(zhǔn)環(huán)境，使汽車(chē)用戶能夠快速開(kāi)始為他們的Zone-ECU項(xiàng)目進(jìn)行設(shè)計(jì)探索。Zone-ECU虛擬化解決方案平臺(tái)使用戶能夠從減少開(kāi)發(fā)工作、成本和風(fēng)險(xiǎn)中受益。

（本文作者Darren Buttle為ETAS公司德國(guó)RTA解決方案負(fù)責(zé)人，Sam Gold為瑞薩電子歐洲汽車(chē)數(shù)字營(yíng)銷(xiāo)資深經(jīng)理）