随着汽车电子电气架构由分布式向集中式的演变,以及汽车电动化、智能化、网联化、共享化的技术变革,对于控制器的计算能力、存储能力、通信能力的需求也逐渐增加,传统的基于MCU控制器已经无法满足以上需求。联合电子顺应市场需求,研发推出全新一代整车计算平台VCP。
VCP分为MCU(uC)实时控制核和MPU(ARM A,uP)高性能计算核。对于传统基于MCU的控制器,市场已经有了一套完整的基于classic Autosar的软件基础和开发体系,在MPU的开发体系中,Adaptive Autosar也为我们提供了一些基础的开发组件,但是一方面Adaptive Autosar昂贵的价格让很多客户望而却步,另一方面Adaptive Autosar并不能完全满足客户的定制需求,因此我们额外开发了VCP上的关键中间件,一方面可以作为Adaptive Autosar的补充,另一方面可以为客户提供定制化需求。
VCP上下电管理示意图
在此背景下,联合电子开发了基于VCP的关键中间件,且已经在多个客户项目上量产。中间件作为基础软件的重要组成部分,为整个系统的运行、更新、安全提供基础的保障,具备如下功能需求:
◻ 上下电管理功能,协调控制器整体供电和运行状态;
◻ 健康管理功能,实时监控系统运行状态,确保功能有效运转;
◻ OTA刷新功能,提供便捷的软件更新方案;
◻ 大数据和Log功能,为数据挖掘和控制器维护提供渠道;
◻ 应急刷新功能,为控制器的更新提供最后一道保障;
一.上下电管理方案:
目前域控制器多采用MCU + MPU的多核处理器方案,现有的独立供电、各自管理运行状态的方案不能满足整车电源管理的要求;上下电管理功能可以更好的协调两块处理器的供电和运行状态,保证系统稳定运行。考虑到MCU具备更高的功能安全等级,将MCU作为主控节点,如下图所示,在MCU侧开发Power Management,电源管理模块,在MPU侧开发SM(State Management,状态管理)模块和EM(Execution Management,运行管理)模块,用于实现MCU对MPU的供电管理和MPU运行期间的状态管理。在系统下电过程中,Power Management协调MCU和MPU的下电顺序,防止MPU因不期望的掉电导致数据丢失。
VCP上下电管理示意图
二.健康管理方案:
Posix OS本身仅对系统的基本运行做基础的监控,无法满足车载控制器对于系统状态监控的需求;健康管理模块针对系统关键健康指标进行实时监控和预警,对于可能损坏元器件的状态采取合理的应对措施,使系统进入安全状态,保证系统的稳定运行。
健康管理模块对如下指标进行监控:
-
MPU/eMMC温度,根据不同温度范围采取分级响应机制;
-
CPU负荷,当CPU负荷超过阈值及时报警,且将当时对CPU负荷贡献最大的三个进程记录到日志,便于后续分析;
-
DDR使用率,当DDR使用率超过阈值及时报警,且将当时对DDR使用率贡献最大的三个进程记录到日志,便于后续分析;
-
eMMC使用率和寿命,当eMMC使用率超过阈值或寿命评估低于阈值及时报警;
VCP健康管理框架图
三.OTA软件升级方案:
随着汽车新四化的推进,软件定义汽车已经成为汽车的发展趋势,对于软件故障的修复以及个性化定制需求的更新,仅通过传统的4S店升级难以给予用户最佳的体验,因此OTA功能已经逐渐成为了控制器标配。联合电子的OTA软件升级方案具备如下特点:
-
支持全分区独立A/B备份,将MPU分为kernel、rootfs、app分区,各分区完全解耦,均可独立升级和回退;
-
支持对同控制器内的MCU进行安全备份和软件升级;
-
集成更新软件的信息安全签名和验签功能,提供信息安全保障;
-
支持多种文件下载方式,包含DoIP、HTTPs等主流车载控制器文件传输协议;
-
支持当前各平台的自动化测试;
-
支持各硬件平台无缝移植;
VCP OTA自动测试示意图
四.大数据和Log方案:
VCP强大的计算、通信和存储能力,使得收集和上传大量车载数据到云端成为可能。有了这些关键的车载数据信息,OEM和第三方数据分析机构就可以基于此做大数据挖掘,建立各种汽车应用模型,从而发现更多的商机。此外,这些关键的数据和日志,还为后续的维护工作提供了便捷的通道,工程师可以据此分析车上的一些故障原因,加速问题的解决。当前大数据和Log方案支持的主要模式和功能有:
-
完整收集:能够记录下车上所有的CAN/LIN总线报文和系统运行日志
-
触发收集:在车辆发生事故前后记录下关键运行数据,支持黑匣子功能
-
诊断收集:支持远程和本地诊断,可通过诊断协议来获取所需的关键数据
-
数据压缩:对大数据和Log文件进行压缩,提高数据存储和上传效率
-
信息安全:支持数据加密和数据导出及上传的安全认证,保证数据的安全性
VCP大数据和Log架构图
五.应急刷新方案:
OTA作为车载控制器标配,已经让控制器的软件更新更加的便捷,但在某种极端情况下,执行OTA功能的控制器端软件出现损坏或者无法启动时,便无法通过应用软件中的OTA功能来修复自身的系统软件,此时,需要设计额外的应急刷新方法来修复系统。
应急刷新方案通过在MPU端正常启动时加载的boot-loader(u-boot)中,使用TFTP协议来动态下载一个应急刷新系统,在该刷新系统中实现MPU软件刷新功能,该应急刷新系统部署在上位机的TFTP Server中。由于应急刷新系统是采用动态下载的方式,本身存在软件问题可在线下修复后,再次动态下载到控制器中运行,从而保证刷新功能可以成功得到执行。
和主流的微控制器应急刷新方案对比,联合电子的应急刷新方案有如下特点:
◾ 主流的应急刷新需要事先在控制器内刷入包含备份系统的Recovery分区,该备份系统需要具备复杂的刷写功能,一旦出现问题会导致控制器无法复原,而基于联合电子的应急刷新系统采用动态下载方式,避免了因Recovery分区本身问题导致的刷新失败,可靠性得到大幅提升,减少因刷新失败带来的换件成本;
◾ 不需要事先刷入Recovery分区,减少存储区域的占用空间,可用存储空间提升,同时减少工厂产线刷写内容,效率得到提升。
来源:文章来源联合电子微信
推荐阅读
分享不易,恳请点个【?】和【在看】
原文始发于微信公众号(汽车ECU开发):联电的VCP中间件解读
