什麼是域控制器
過去十多年的汽車智能化和資訊化發展産生了一個顯著結果就是ECU晶片使用量越來越多。從傳統的引擎控制系統、安全氣囊、防抱死系統、電動助力轉向、車身電子穩定系統;再到智能儀表、娛樂影音系統、輔助駕駛系統;還有電動汽車上的電驅控制、電池管理系統、車載充電系統,以及蓬勃發展的車載網關、T-BOX和自動駕駛系統等等。
傳統的汽車電子電氣架構都是分布式的(如下圖2-1),汽車裡的各個ECU都是通過CAN和LIN總線連接配接在一起,現代汽車裡的ECU總數已經迅速增加到了幾十個甚至上百個之多,整個系統複雜度越來越大,幾近上限。在今天軟體定義汽車和汽車智能化、網聯化的發展趨勢下,這種基于ECU的分布式EEA也日益暴露諸多問題和挑戰。
汽車分布式EEA
為了解決分布式EEA的這些問題,人們開始逐漸把很多功能相似、分離的ECU功能內建整合到一個比ECU性能更強的處理器硬體平台上,這就是汽車“域控制器(Domain Control Unit,DCU)”。域控制器的出現是汽車EE架構從ECU分布式EE架構演進到域集中式EE架構(如圖2-2所示)的一個重要标志。
域控制器是汽車每一個功能域的核心,它主要由域主要處理器、作業系統和應用軟體及算法等三部分組成。平台化、高內建度、高性能和良好的相容性是域控制器的主要核心設計思想。依托高性能的域主要處理器、豐富的硬體接口資源以及強大的軟體功能特性,域控制器能将原本需要很多顆ECU實作的核心功能內建到進來,極大提高系統功能內建度,再加上資料互動的标準化接口,是以能極大降低這部分的開發和制造成本。
對于功能域的具體劃分,各汽車主機廠家會根據自身的設計理念差異而劃分成幾個不同的域。比如BOSCH劃分為5個域:動力域(Power Train)、底盤域(Chassis)、車身域(Body/Comfort)、座艙域(Cockpit/Infotainment)、自動駕駛域(ADAS)。這也就是最經典的五域集中式EEA,如下圖2-2所示。也有的廠家則在五域集中式架構基礎上進一步融合,把原本的動力域、底盤域和車身域融合為整車控制域,進而形成了三域集中式EEA,也即:車控域控制器(VDC,Vehicle Domain Controller)、智能駕駛域控制器(ADC,ADAS\AD Domain Controller)、智能座艙域控制器(CDC,Cockpit Domain Controller)。大衆的MEB平台以及華為的CC架構都屬于這種三域集中式EEA。
域集中式EE架構
域控制器市場概述
2018年,基于德爾福提供的域控制器技術,奧地利TTTech公司開發的zFAS控制器率先應用在奧迪A8當中。偉世通公司則推出了SmartCore域控制器,內建資訊娛樂、儀表闆、資訊顯示、HUD、ADAS等功能。這些産品開創了商用功能域控制器産品之先河,全球各大Tier 1供應商紛紛跟進,整個域控制器市場逐漸發展起來。
在國内市場,華為、德賽西威、航盛電子、東軟等企業也推出了DCU解決方案,并得到了國内車企的采用。比如,2020年小鵬汽車推出的智能轎跑P7就采用了德賽西威基于英偉達Xavier打造的自動駕駛域控制器産品——IPU03。
目前,整個業界對DCU市場都有非常樂觀的預期。據佐思産研的預測,2025年全球汽車DCU(座艙+自動駕駛)出貨量将超過1400萬套,2019-2025期間年平均增長高達50.7%。
全球域控制器市場預測
整個汽車行業普遍認為,域控制器是汽車電子行業未來競争門檻最高的部分,是以利潤也最高,晶片廠商和核心算法供應商将會受益。
(一)域控制器市場快速增長背後的驅動因素
更多更好的ADAS功能和智能座艙與資訊娛樂功能一直是推動域控制器市場快速增長的主要因素,這些新功能能明顯提高整車的科技感和使用者體驗,是以也是主機廠開發新車型時的投入重點。L1到L2+級别之間的ADAS應用是這幾年發展非常快,很多功能都正在快速普及,比如:停車輔助、車道偏離預警、自适應巡航、碰撞避免、盲點偵測、駕駛員疲勞探測等。
域控制器需要一顆性能更強、內建度越高的主要處理器來作為其大腦,更多原本通過分離ECU實作的功能現在可以放到域主要處理器上來實作,也是以就能更加節省功能域裡所需的ECU用量和其它硬體資源。更高的內建度可以更主機廠供應鍊管理實作ADAS域控和相關零部件平台化和标準化的要求。
(二)對域控制器供應鍊的影響
汽車E/E架構的演進和發展,也深刻影響了主機廠和汽車電子供應商的供應關系。主機廠的核心競争力從以前的機械制造為主,全面轉向軟體和算法為重點。預計未來整車廠與Tier 1供應商之間将可能有兩種合作模式:
其一,Tier 1負責域控制器硬體設計和生産,以及中間層Middleware軟體部分。整車廠負責自動駕駛軟體部分。Tier 1的優勢在于以合理的成本将産品生産出來并且加速産品落地,是以整車廠和Tier 1進行合作生産方式是必然,前者負責自動駕駛軟體部分,後者負責硬體生産、中間層以及晶片方案整合。這種模式下,在項目立項時,整車廠又可能跨過Tier 1直接與晶片廠商确定方案的晶片選型。
其二,Tier 1自己與晶片商合作,做方案整合後研發中央域控制器并向整車廠銷售,例如大陸ADCU、采埃孚ProAI、麥格納MAX4等。
智能座艙域控制器
座艙智能化的實質是基于汽車駕駛艙中的人機互動場景,将駕駛資訊與娛樂資訊兩個子產品進行內建,為使用者提供高效的、直覺的、充滿未來科技感的駕駛體驗。智能座艙的設計訴求主要是用于提升使用者的駕乘體驗,同時還要保證使用者駕乘的安全性和舒适性,最終實作汽車作為人們工作和家庭場景以外的第三生活空間這一終極目标。
智能座艙域包括HUD、儀表盤(Cockpit)和車載娛樂資訊系統(In-Vehicle Infotainment,簡稱IVI)三個最主要的組成部分。
HUD是非常實用的功能,将ADAS和部分導航功能投射到擋風玻璃上,諸如ACC、行人識别、LDW、路線提示、路口轉彎提示、變道提示、剩餘電量、可行駛裡程等。HUD将很快會演變為AR HUD,在L3和L4時代成為标配。
進入L3時代,駕駛員狀态監測(Driver Status Monitor,DMS)将成為必備的功能,包括:面部識别、眼球追蹤、眨眼次數跟蹤等将引入機器視覺和深度學習算法。而L4時代則必備V2X(Vehicle to everything)。
另外,多模态互動技術的蓬勃發展将會極大改變使用者與汽車的互動模式。基于語音識别功能的語音互動技術越來越普及,常用于跟IVI系統的互動操作。進一步還能通過語音來對駕駛員進行情緒狀态分析。當DMS系統檢測到駕駛員昏昏欲睡時,系統可以通過播放音樂或者釋放香味來喚醒駕駛員;基于多場景下的汽車座艙多模态互動技術未來一定會重新定義人機互動技術的發展。
所有這些智能座艙新技術的發展,都将推動對座艙域計算資源需求的暴增。
智能座艙域控制器領域,全球Tier 1廠商主要包括:博世、大陸汽車、哈曼、偉世通和Aptiv(安波福)等。中國本土企業主要有德賽西威、航盛和東軟睿馳等。
全球主要座艙域控制器廠商資訊
ADAS域控制器
ADAS域控制器通常需要連接配接多個攝像頭、毫米波雷達、雷射雷達等傳感器裝置,要具備多傳感器融合、定位、路徑規劃、決策控制、無線通訊、高速通訊的能力,要完成包含圖像識别、傳感器資料處理等諸多功能,是以要完成大量運算,域控制器一般都要比對一個核心運算力強的處理器,能夠提供自動駕駛不同級别算力的支援,目前業内有NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線等多個方案。
自動駕駛技術目前是全球科技行業最前沿的方向。L1到L2+級别的輔助駕駛技術和功能已經日趨成熟,搭載ADAS功能和應用的很多車型開始進入大規模量産。可以遇見L1/L2級别ADAS功能的市場滲透率将快速提升,而L3/L4級别自動駕駛系統仍處于小規模原型測試階段。
當今的自動駕駛行業,中國市場絕對是主力。今年中國L2的搭載量預計突破80萬,中國品牌占據絕大部分份額。未來中國市場ADAS功能的滲透率還将持續快速提高,中低端汽車所配置的ADAS功能将逐漸增多。根據艾瑞咨詢研究報告顯示,預計2025年ADAS功能在乘用車市場可以達到65%左右的滲透率。L3級别的高速自動領航HWP功能和L4級别的AVP自動泊車功能,目前車型滲透率較低,未來提升空間較大。
中國ADAS功能市場滲透率預測
ADAS域控制器正在從過去的分布式系統架構演變到域集中式架構。過去一套ADAS系統,要有好幾個獨立的ECU才能實作,比如車道偏移和交通識别ECU、前向碰撞預警ECU、泊車輔助ECU等。現在有了功能強大的集中式ADAS域控制器後,一個域控制器就實作了所有功能。系統的軟硬體複雜度大大降低,可靠性也得到了提高。
目前業内提供ADAS域控晶片平台的有NVIDIA、華為、瑞薩、NXP、TI、Mobileye,以及國内本土的地平線和黑芝麻等多個方案。下表2-2總結了全球主要ADAS域控制器廠商及其客戶和夥伴資訊。
全球主要ADAS域控制器廠商資訊
域控制器發展趨勢
域控制器的興起對傳統的汽車MCU廠商造成了極大的挑戰,“因為MCU使用量将大大減少,傳統的MCU産品其演進路線将不複存在”。
在分布式ECU時代,計算和控制的核心是MCU晶片,傳輸的基礎核心是基于傳統的CAN、LIN和FlexRay等低速總線。但在域控制器時代,高性能、高內建度的異構SoC晶片作為域的主要處理器,将成為域控制器的計算與控制的核心晶片。而汽車TSN(Time-Sensitive Network)以太網因為具有高帶寬、實時和可靠的資料通信能力等特點,必将成為整車通信的核心基礎設施,尤其是域主要處理器之間的通信主幹網。
下面我們來簡單分析一下域控制器以及核心的主要處理器的一些關鍵技術和趨勢。
高性能
總的來說,對算力的需求提升一直是域控制器核心晶片發展的主要推動力。一方面原本由多個ECU完成的功能,現在需要依靠單一的域主要處理器來完成,并且還需要管理和控制所連接配接的各種傳感器與執行器等。比如:底盤、動力傳動系統和車身舒适電子系統的域主要處理器,其算力需求大約在10000DMIPS-15000DMIPS左右。
汽車域控制器對CPU DMIPS算力的需求預測
新的智能汽車,除了要更多的與人互動外,更需要大量的對環境進行感覺,這就需要計算和處理海量的非結構化資料,是以座艙域和自動駕駛域都要求高性能的CPU,比如就座艙儀表的CPU算力而言,它其實跟一部高端智能手機的CPU算力差不多,約為50000DMIPS左右。此外,為了支援L2輔助駕駛功能或者更進階别的自動駕駛功能,需要運作很多視覺DNN模型算法,這就又額外需要上百TOPS的AI算力。
是以,各晶片廠商總是會盡量使用更先進的制程工藝、更先進的CPU核于與NPU核來盡量提高域主要晶片的CPU核心性能與NPU性能。
高異構性
伴随着AI技術在視覺領域的應用,基于視覺的自動駕駛方案逐漸興起,這就需要在CPU的基礎上加裝擅長視覺算法的GPU晶片,進而形成“CPU+GPU”的解決方案。
不過,“CPU+GPU”組合也并非最優解決方案,因為 GPU 雖然具備較強的計算能力,但成本高、功耗大,由此又逐漸引入了FPGA和 ASIC 晶片。
總體來看,單一類型的微處理器,無論是 CPU、GPU、FPGA還是ASIC,都無法滿足更高階的自動駕駛需求,域控制器中的主要晶片會走向內建“CPU+xPU”的異構式 SoC(xPU 包括 GPU/FPGA/ASIC等),進而能較好的支撐各種場景的硬體加速需求。
高內建度
從功能層面上,域控制器會整合內建越來越多的功能。比如動力系統域可能把發動機的控制、電機控制、BMS、車載充電機的控制組合在一起。有些主機廠甚至直接一步到位,将底盤、動力傳動以及車身三大功能域直接整合成一個“整車控制域(Vehicle Domain Controller,VDC)”。
要支援這些功能的整合,作為域控制器的大腦,域主要處理器SoC就需要內建盡可能多的接口類型,比如:USB、Ethernet、I2C、SPI、CAN、LIN以及FlexRay等等,進而能連接配接和管理各種各樣的ECU、傳感器和執行器。
硬體虛拟化
對硬體虛拟化技術的需要主要來自兩方面:(1)硬體資源的分區與隔離;(2)支援混合安全等級。
原本需要多個ECU實作的多個功能都整合到域控制器上後,勢必會導緻域控制器的軟體更為複雜,這勢必會導緻整個軟體系統的出錯機率增加、可靠性下降。而且多個應用混合運作在同一個作業系統上,經常會出現故障傳播(Failure Propagation),也就是一個應用出現問題後,會使得整個系統底層軟體和硬體都處于紊亂狀态,進而導緻其它原本正常的應用也會開始出現故障。是以通過硬體虛拟化技術對硬體資源進行分區(Partition),使得各個功能對應的軟硬體之間互相隔離(Isolation),以此保證整個系統的可靠性。
另一方面,在汽車電子系統中,通常不同的應用其對實時性要求和功能安全等級要求都不同。例如,根據ISO 26262标準,汽車儀表系統與娛樂資訊系統屬于不同的安全等級,具有不同的處理優先級。汽車儀表系統與動力系統密切相關,要求具有高實時性、高可靠性和強安全性,要求運作在底層實時作業系統上(比如QNX)。而資訊娛樂系統主要為車内人機互動提供控制平台,追求多樣化的應用與服務,以Linux和Android為主。為了實作混合安全等級的應用,實作不同的作業系統運作在同一個系統上,這就需要虛拟化技術的支援。
車載硬體虛拟化技術的核心是Hypervisor,它是一種運作在實體伺服器和作業系統之間的中間層軟體,可以允許多個不同虛機上的作業系統和應用共享一套基礎實體硬體。當系統啟動時,首先運作Hypervisor,由它來負責給每一台虛拟機配置設定适量的記憶體、CPU、網絡、存儲以及其它硬體資源等等(也就是對硬體資源進行分區),最後加載并啟動所有虛拟機的客戶作業系統。
一句話總結一下基于Hypervisor的優點:它提供了在同一硬體平台上承載異構作業系統的靈活性,同時實作了良好的高可靠性和故障控制機制, 以保證關鍵任務、硬實時應用程式和一般用途、不受信任的應用程式之間的安全隔離,實作了車載計算單元整合與算力共享。
ISO 26262功能安全
功能安全是汽車研發流程中非常關鍵的要素之一。随着系統複雜性的提高,來自系統失效和随機硬體失效的風險日益增加。ISO 26262标準制定的目的就是更好的規範和标準化汽車全生命周期中的功能安全管理和要求,包括:概念階段、系統研發、硬體研發、軟體研發、生産和操作過程、售後等環節,尤其重點在産品設計階段如何定義和實作功能安全的目标。
載汽車功能安全标準ISO26262-5 2018 “産品開發:硬體層面附錄D”中對處理器單元的診斷覆寫率推薦的安全技術措施中,雙核鎖步(dual-core lockstep)、非對稱備援和編碼計算是三種典型的硬體備援技術措施。除此之外,硬體BIST、軟硬體Self-Test技術、ECC等也是常見的提高處理器安全特性的設計措施。
ISO26262标準中的功能安全晶片設計技術
雙核鎖步CPU是一種CPU備援技術,在一個晶片中包含兩個相同的處理器,一個作為master core,一個作為slave core,它們執行相同的代碼并嚴格同步,master可以通路系統記憶體并輸出指令,而slave不斷執行在總線上的指令(即由主處理器擷取的指令)。slave産生的輸出,包括位址位和資料位,發送到比較邏輯子產品,由master和slave總線接口的比較器電路組成,檢查它們之間的資料、位址和控制線的一緻性。檢測到任何總線的值不一緻時,就會發現其中一個CPU 上存在故障,但不會确定是哪個CPU故障。
這種CPU架構使得CPU自檢獨立于應用軟體,不需要執行專門的指令集自檢,實際運作的軟體指令在每個時鐘都進行比較,隻需要測試軟體用到的CPU資源,但這種架構不會對記憶體和總線進行檢測,需要增加單獨的檢測方法以避免兩個CPU的共模故障。
網絡解除安裝引擎
汽車網絡會存在多種通信總線。骨幹網未來勢必會基于TSN以太網來建構,但是從域主要處理器到ECU或者傳感器之間的通信則仍然是基于傳統的車載低速總線,比如:CAN、FlexRay等。域主要處理器作為域控制器的核心,是所有ECU和傳感器通信的彙聚中心。是以如果要依靠CPU的算力來完成不同總線間的協定轉換,以及跨域通信的網絡包處理的話,勢必會占用寶貴的CPU算力資源。
是以基于硬體來實作網絡協定轉換處理的網絡解除安裝引擎,對于各個域(包括中央網關)的域主要處理器是非常重要的技術。
Security引擎
連接配接性(Connectivity)是汽車智能化發展的一個很重要的趨勢,未來的汽車一定會像今天的手機一樣随時保持連接配接到網際網路中。是以如何阻止未經授權的網絡通路,以保護汽車免于受到黑客的攻擊,對未來的智能汽車而言就會變得極為重要。下一代硬體安全子產品(Hardware Security Module,HSM)正在成為下一代車載網絡通信的重要基礎設施之一。
HSM對于完全的安全車載通信(Secure Onboard Communication,SecOC)是必不可少的。HSM能確定所接收到的資料的真實性,防止攻擊者繞過相關的安全接口,入侵車載網絡。
基于硬體的安全子產品主要解決兩個問題:
密鑰洩漏問題:如果密鑰存儲在應用程式的代碼或資料中,很容易被洩漏。是以有必要增加一個硬體子產品,專門存儲密鑰。
Crypto算法加速:通過核心來直接進行加密或解密運算會占用大量CPU算力資源。是以,有必要通過硬體子產品來進行加密解密算法的加速。
SHE(Secure Hardware Extension)标準是由奧迪和寶馬公司合作制定的、針對硬體安全子產品HSM的規範,它主要包括密碼子產品的硬體、硬體軟體接口。這個規範已被廣泛接受,很多針對汽車行業的微處理器都支援這個規範。
面向服務的軟體架構SOA
ECU原先運作的軟體大多數是按照Classic AutoSAR規範開發的軟體系統,其中的應用軟體一般都是靜态排程(Static Scheduling)模式的,也即在系統運作時,程式中不同功能的函數按照事先定義好的排序檔案依次調用、逐個運作。靜态排程的優點是資源配置設定問題都是事先安排好的,車輛量産後就不會再改變,每個功能對應的函數代碼具體運作時間也被提前鎖定,是确定性的。是以這種設計對于汽車上很多對功能安全要求苛刻的場景是非常适合的。比如:決定安全氣囊是否打開的功能函數就是固定地每隔幾毫秒運作一次,以便緊急情況下可以及時打開。
承載計算和控制的底層硬體從分散的多個ECU集中到多核、異構的高性能域主要處理器後,相應的軟體也會從分散向集中、從簡單向複雜、從靜态向動态進化。下圖2-7顯示了以後汽車域控制器上的典型軟體架構:
域控制器上基于空分虛拟化技術的典型軟體架構
作業系統層:最底層利用Hypervisor虛拟化技術對硬體資源進行分區(partition),進而可以在每個虛機運作不同的作業系統。比如在上圖中,虛機VM1中運作相容POSIX實時作業系統标準(比如PSE 52)的RTOS,RTOS上通常要承載功能安全相關的應用和服務;虛機VM2中運作Linux這種完全POSIX标準的分時作業系統,上面通常運作管理相關的功能和服務;虛機VM3中運作的可能是原來在ECU上運作的Legacy應用。
中間件層:作業系統是不做任何與“車”特定相關工作的。為了讓域主要處理器在汽車場景下使用,需要有很多軟體或者中間件用于讓域控制器滿足汽車的電源管理标準、網絡管理标準以及診斷标準等;車載域控制器需要比一般工業嵌入式系統有更高的可靠性要求,這樣就需要在計算機OS基礎上再附加對存儲和通訊等各方面的安全保護和容錯機制;同時,位了讓車載域控制器能夠在整車EE架構下運作,還需要提供時鐘同步、日志跟蹤以及服務管理和發現等功能。Adaptive AutoSAR規範定義了運作在Linux或者完全相容POSIX 1003.1标準RTOS上的這一層與“車”相關的中間件标準;而傳統運作在POSIX子集的RTOS或者BareMetal模式的中間件規範則由Classic AutoSAR标準定義。
應用層:上層應用基于AutoSAR标準的中間件來進行開發。随着汽車智能化和網聯化相關的功能越來多,上層應用軟體也越來越複雜。位了降低單個應用的整體複雜性,我們可以借鑒網際網路的面向服務架構(SOA)的軟體設計思想,将一個複雜應用拆分多個服務。每個服務實作得盡可能小,盡量實作成無狀态方式的服務,以利于整個系統的開發、測試和軟體重用。服務與服務之間通過事件或者消息總線(釋出/訂閱工作模式)來進行通信,并降低互相之間的耦合度。通過服務配置來管理服務之間的依賴性、服務的部署和啟動,以及服務的健康狀态檢測等。
汽車以太網給車載系統通信帶來一個革命性的變化,在中央計算式汽車EE架構下,整個車載系統可以被看作是一個分布式網絡系統:中央計算平台是一個小型伺服器叢集,區域計算平台是邊緣計算節點。在網際網路或者大型分布式系統中,SOA架構設計理念已經被廣泛使用了。是以當IP網絡技術被廣泛應用于汽車後,很多在網際網路或者分布式計算中已經很成熟的軟體技術,自然會被借鑒到新的汽車軟體架構設計中來,比如:RPC技術、事件/消息總線、RESTful API設計等。
大型網際網路資料中心中的伺服器叢集動辄幾百、上千台伺服器,每秒百萬、千萬級别的并發。車載系統盡管可以被看作是一個分布式網絡系統,但是它卻沒有網際網路大型伺服器系統的高并發特征,相反,它更注重通信的實時性和可靠性。
車載系統在實體上是向集中式發展的,也就是原來通過多個分散ECU來實作的功能,漸漸集中到幾個主要的高性能域控制器上。是以,盡管在軟體設計上,我們會盡量按照SOA的思路拆分成一個一個小的服務,但是這些服務在部署上其實是集中式的。鑒于這種實體部署上的“集中”與運作時的“分布式”并存的特點,是以我們可以通過一系列技術手段來優化服務與服務之間的通信延遲(比如:通過共享記憶體技術)。這是車載分布式系統與網際網路強調高并發特性的分布式系統之間另一個顯著的差别。
域集中式EE架構會是未來相當長一段時間占主要地位的汽車EE架構,域控制器作為域集中式EE架構的核心,會在整個汽車産業鍊中占據越來越重要的地位。其相應的晶片和硬體方案、作業系統和算法等将會成為整個産業鍊各上下遊廠家的争奪焦點。
轉載自智駕最前沿,文中觀點僅供分享交流,不代表本号立場,如涉及版權等問題,請您告知,我們将及時處理。