1 什么是域控制器

過去十多年的汽車智能化和信息化發(fā)展產(chǎn)生了一個顯著結(jié)果就是ECU芯片使用量越來越多。從傳統(tǒng)的引擎控制系統(tǒng)、安全氣囊、防抱死系統(tǒng)、電動助力轉(zhuǎn)向、車身電子穩(wěn)定系統(tǒng)；再到智能儀表、娛樂影音系統(tǒng)、輔助駕駛系統(tǒng)；還有電動汽車上的電驅(qū)控制、電池管理系統(tǒng)、車載充電系統(tǒng)，以及蓬勃發(fā)展的車載網(wǎng)關(guān)、T-BOX和自動駕駛系統(tǒng)等等。

傳統(tǒng)的汽車電子電氣架構(gòu)都是分布式的（如下圖2-1），汽車?yán)锏母鱾€ECU都是通過CAN和LIN總線連接在一起，現(xiàn)代汽車?yán)锏腅CU總數(shù)已經(jīng)迅速增加到了幾十個甚至上百個之多，整個系統(tǒng)復(fù)雜度越來越大，幾近上限。在今天軟件定義汽車和汽車智能化、網(wǎng)聯(lián)化的發(fā)展趨勢下，這種基于ECU的分布式EEA也日益暴露諸多問題和挑戰(zhàn)。

圖2-1 汽車分布式EEA

為了解決分布式EEA的這些問題，人們開始逐漸把很多功能相似、分離的ECU功能集成整合到一個比ECU性能更強的處理器硬件平臺上，這就是汽車“域控制器（Domain Control Unit，DCU）”。域控制器的出現(xiàn)是汽車EE架構(gòu)從ECU分布式EE架構(gòu)演進(jìn)到域集中式EE架構(gòu)（如圖2-2所示）的一個重要標(biāo)志。

域控制器是汽車每一個功能域的核心，它主要由域主控處理器、操作系統(tǒng)和應(yīng)用軟件及算法等三部分組成。平臺化、高集成度、高性能和良好的兼容性是域控制器的主要核心設(shè)計思想。依托高性能的域主控處理器、豐富的硬件接口資源以及強大的軟件功能特性，域控制器能將原本需要很多顆ECU實現(xiàn)的核心功能集成到進(jìn)來，極大提高系統(tǒng)功能集成度，再加上數(shù)據(jù)交互的標(biāo)準(zhǔn)化接口，因此能極大降低這部分的開發(fā)和制造成本。

對于功能域的具體劃分，各汽車主機廠家會根據(jù)自身的設(shè)計理念差異而劃分成幾個不同的域。比如BOSCH劃分為5個域：動力域（Power Train）、底盤域（Chassis）、車身域（Body/Comfort）、座艙域（Cockpit/Infotainment）、自動駕駛域（ADAS）。

這也就是最經(jīng)典的五域集中式EEA，如下圖2-2所示。也有的廠家則在五域集中式架構(gòu)基礎(chǔ)上進(jìn)一步融合，把原本的動力域、底盤域和車身域融合為整車控制域，從而形成了三域集中式EEA，也即：車控域控制器（VDC，Vehicle Domain Controller）、智能駕駛域控制器（ADC，ADASAD Domain Controller）、智能座艙域控制器（CDC，Cockpit Domain Controller）。大眾的MEB平臺以及華為的CC架構(gòu)都屬于這種三域集中式EEA。

圖2-2 域集中式EE架構(gòu)

2 域控制器市場概述

2018年，基于德爾福提供的域控制器技術(shù)，奧地利TTTech公司開發(fā)的zFAS控制器率先應(yīng)用在奧迪A8當(dāng)中。偉世通公司則推出了SmartCore域控制器，集成信息娛樂、儀表板、信息顯示、HUD、ADAS等功能。這些產(chǎn)品開創(chuàng)了商用功能域控制器產(chǎn)品之先河，全球各大Tier 1供應(yīng)商紛紛跟進(jìn)，整個域控制器市場逐漸發(fā)展起來。

在國內(nèi)市場，華為、德賽西威、航盛電子、東軟等企業(yè)也推出了DCU解決方案，并得到了國內(nèi)車企的采用。比如，2020年小鵬汽車推出的智能轎跑P7就采用了德賽西威基于英偉達(dá)Xavier打造的自動駕駛域控制器產(chǎn)品——IPU03。

當(dāng)前，整個業(yè)界對DCU市場都有非常樂觀的預(yù)期。據(jù)佐思產(chǎn)研的預(yù)測，2025年全球汽車DCU（座艙+自動駕駛）出貨量將超過1400萬套，2019-2025期間年平均增長高達(dá)50.7%。

圖2-3 全球域控制器市場預(yù)測

整個汽車行業(yè)普遍認(rèn)為，域控制器是汽車電子行業(yè)未來競爭門檻最高的部分，因此利潤也最高，芯片廠商和核心算法供應(yīng)商將會受益。

(一) 域控制器市場快速增長背后的驅(qū)動因素

更多更好的ADAS功能和智能座艙與信息娛樂功能一直是推動域控制器市場快速增長的主要因素，這些新功能能明顯提高整車的科技感和用戶體驗，因此也是主機廠開發(fā)新車型時的投入重點。L1到L2+級別之間的ADAS應(yīng)用是這幾年發(fā)展非常快，很多功能都正在快速普及，比如：停車輔助、車道偏離預(yù)警、自適應(yīng)巡航、碰撞避免、盲點偵測、駕駛員疲勞探測等。

域控制器需要一顆性能更強、集成度越高的主控處理器來作為其大腦，更多原本通過分離ECU實現(xiàn)的功能現(xiàn)在可以放到域主控處理器上來實現(xiàn)，也因此就能更加節(jié)省功能域里所需的ECU用量和其它硬件資源。更高的集成度可以更主機廠供應(yīng)鏈管理實現(xiàn)ADAS域控和相關(guān)零部件平臺化和標(biāo)準(zhǔn)化的要求。

(二) 對域控制器供應(yīng)鏈的影響

汽車E/E架構(gòu)的演進(jìn)和發(fā)展，也深刻影響了主機廠和汽車電子供應(yīng)商的供應(yīng)關(guān)系。主機廠的核心競爭力從以前的機械制造為主，全面轉(zhuǎn)向軟件和算法為重點。預(yù)計未來整車廠與Tier 1供應(yīng)商之間將可能有兩種合作模式：

其一，Tier 1負(fù)責(zé)域控制器硬件設(shè)計和生產(chǎn)，以及中間層Middleware軟件部分。整車廠負(fù)責(zé)自動駕駛軟件部分。Tier 1的優(yōu)勢在于以合理的成本將產(chǎn)品生產(chǎn)出來并且加速產(chǎn)品落地，因此整車廠和Tier 1進(jìn)行合作生產(chǎn)方式是必然，前者負(fù)責(zé)自動駕駛軟件部分，后者負(fù)責(zé)硬件生產(chǎn)、中間層以及芯片方案整合。這種模式下，在項目立項時，整車廠又可能跨過Tier 1直接與芯片廠商確定方案的芯片選型。

其二，Tier 1自己與芯片商合作，做方案整合后研發(fā)中央域控制器并向整車廠銷售，例如大陸ADCU、采埃孚ProAI、麥格納MAX4等。

2.1 智能座艙域控制器

座艙智能化的實質(zhì)是基于汽車駕駛艙中的人機交互場景，將駕駛信息與娛樂信息兩個模塊進(jìn)行集成，為用戶提供高效的、直觀的、充滿未來科技感的駕駛體驗。智能座艙的設(shè)計訴求主要是用于提升用戶的駕乘體驗，同時還要保證用戶駕乘的安全性和舒適性，最終實現(xiàn)汽車作為人們工作和家庭場景以外的第三生活空間這一終極目標(biāo)。

智能座艙域包括HUD、儀表盤（Cockpit）和車載娛樂信息系統(tǒng)（In-Vehicle Infotainment，簡稱IVI）三個最主要的組成部分。

HUD是非常實用的功能，將ADAS和部分導(dǎo)航功能投射到擋風(fēng)玻璃上，諸如ACC、行人識別、LDW、路線提示、路口轉(zhuǎn)彎提示、變道提示、剩余電量、可行駛里程等。HUD將很快會演變?yōu)锳R HUD，在L3和L4時代成為標(biāo)配。

進(jìn)入L3時代，駕駛員狀態(tài)監(jiān)測（Driver Status Monitor，DMS）將成為必備的功能，包括：面部識別、眼球追蹤、眨眼次數(shù)跟蹤等將引入機器視覺和深度學(xué)習(xí)算法。而L4時代則必備V2X（Vehicle to everything）。

另外，多模態(tài)交互技術(shù)的蓬勃發(fā)展將會極大改變用戶與汽車的交互模式。基于語音識別功能的語音交互技術(shù)越來越普及，常用于跟IVI系統(tǒng)的交互操作。進(jìn)一步還能通過語音來對駕駛員進(jìn)行情緒狀態(tài)分析。當(dāng)DMS系統(tǒng)檢測到駕駛員昏昏欲睡時，系統(tǒng)可以通過播放音樂或者釋放香味來喚醒駕駛員；基于多場景下的汽車座艙多模態(tài)交互技術(shù)未來一定會重新定義人機交互技術(shù)的發(fā)展。

所有這些智能座艙新技術(shù)的發(fā)展，都將推動對座艙域計算資源需求的暴增。

智能座艙域控制器領(lǐng)域，全球Tier 1廠商主要包括：博世、大陸汽車、哈曼、偉世通和Aptiv（安波福）等。中國本土企業(yè)主要有德賽西威、航盛和東軟睿馳等。

表2-1 全球主要座艙域控制器廠商信息

2.2 ADAS域控制器

ADAS域控制器通常需要連接多個攝像頭、毫米波雷達(dá)、激光雷達(dá)等傳感器設(shè)備，要具備多傳感器融合、定位、路徑規(guī)劃、決策控制、無線通訊、高速通訊的能力，要完成包含圖像識別、傳感器數(shù)據(jù)處理等諸多功能，因此要完成大量運算，域控制器一般都要匹配一個核心運算力強的處理器，能夠提供自動駕駛不同級別算力的支持，目前業(yè)內(nèi)有NVIDIA、華為、瑞薩、NXP、TI、Mobileye、賽靈思、地平線等多個方案。

自動駕駛技術(shù)目前是全球科技行業(yè)最前沿的方向。L1到L2+級別的輔助駕駛技術(shù)和功能已經(jīng)日趨成熟，搭載ADAS功能和應(yīng)用的很多車型開始進(jìn)入大規(guī)模量產(chǎn)。可以遇見L1/L2級別ADAS功能的市場滲透率將快速提升，而L3/L4級別自動駕駛系統(tǒng)仍處于小規(guī)模原型測試階段。

當(dāng)今的自動駕駛行業(yè)，中國市場絕對是主力。今年中國L2的搭載量預(yù)計突破80萬，中國品牌占據(jù)絕大部分份額。未來中國市場ADAS功能的滲透率還將持續(xù)快速提高，中低端汽車所配置的ADAS功能將逐步增多。根據(jù)艾瑞咨詢研究報告顯示，預(yù)計2025年ADAS功能在乘用車市場可以達(dá)到65%左右的滲透率。L3級別的高速自動領(lǐng)航HWP功能和L4級別的AVP自動泊車功能，目前車型滲透率較低，未來提升空間較大。

圖2-4 中國ADAS功能市場滲透率預(yù)測

ADAS域控制器正在從過去的分布式系統(tǒng)架構(gòu)演變到域集中式架構(gòu)。過去一套ADAS系統(tǒng)，要有好幾個獨立的ECU才能實現(xiàn)，比如車道偏移和交通識別ECU、前向碰撞預(yù)警ECU、泊車輔助ECU等。現(xiàn)在有了功能強大的集中式ADAS域控制器后，一個域控制器就實現(xiàn)了所有功能。系統(tǒng)的軟硬件復(fù)雜度大大降低，可靠性也得到了提高。

目前業(yè)內(nèi)提供ADAS域控芯片平臺的有NVIDIA、華為、瑞薩、NXP、TI、Mobileye，以及國內(nèi)本土的地平線和黑芝麻等多個方案。下表2-2總結(jié)了全球主要ADAS域控制器廠商及其客戶和伙伴信息。

表2-2 全球主要ADAS域控制器廠商信息

3 域控制器發(fā)展趨勢

域控制器的興起對傳統(tǒng)的汽車MCU廠商造成了極大的挑戰(zhàn)，“因為MCU使用量將大大減少，傳統(tǒng)的MCU產(chǎn)品其演進(jìn)路線將不復(fù)存在”。

在分布式ECU時代，計算和控制的核心是MCU芯片，傳輸?shù)幕A(chǔ)核心是基于傳統(tǒng)的CAN、LIN和FlexRay等低速總線。但在域控制器時代，高性能、高集成度的異構(gòu)SoC芯片作為域的主控處理器，將成為域控制器的計算與控制的核心芯片。而汽車TSN（Time-Sensitive Network）以太網(wǎng)因為具有高帶寬、實時和可靠的數(shù)據(jù)通信能力等特點，必將成為整車通信的核心基礎(chǔ)設(shè)施，尤其是域主控處理器之間的通信主干網(wǎng)。

下面我們來簡單分析一下域控制器以及核心的主控處理器的一些關(guān)鍵技術(shù)和趨勢。

3.1 高性能

總的來說，對算力的需求提升一直是域控制器核心芯片發(fā)展的主要推動力。一方面原本由多個ECU完成的功能，現(xiàn)在需要依靠單一的域主控處理器來完成，并且還需要管理和控制所連接的各種傳感器與執(zhí)行器等。比如：底盤、動力傳動系統(tǒng)和車身舒適電子系統(tǒng)的域主控處理器，其算力需求大約在10000DMIPS-15000DMIPS左右。

圖2-5 汽車域控制器對CPU DMIPS算力的需求預(yù)測

新的智能汽車，除了要更多的與人交互外，更需要大量的對環(huán)境進(jìn)行感知，這就需要計算和處理海量的非結(jié)構(gòu)化數(shù)據(jù)，因此座艙域和自動駕駛域都要求高性能的CPU，比如就座艙儀表的CPU算力而言，它其實跟一部高端智能手機的CPU算力差不多，約為50000DMIPS左右。此外，為了支持L2輔助駕駛功能或者更高級別的自動駕駛功能，需要運行很多視覺DNN模型算法，這就又額外需要上百TOPS的AI算力。

所以，各芯片廠商總是會盡量使用更先進(jìn)的制程工藝、更先進(jìn)的CPU核于與NPU核來盡量提高域主控芯片的CPU核心性能與NPU性能。

3.2 高異構(gòu)性

伴隨著AI技術(shù)在視覺領(lǐng)域的應(yīng)用，基于視覺的自動駕駛方案逐漸興起，這就需要在CPU的基礎(chǔ)上加裝擅長視覺算法的GPU芯片，從而形成“CPU+GPU”的解決方案。不過，“CPU+GPU”組合也并非最優(yōu)解決方案，因為 GPU 雖然具備較強的計算能力，但成本高、功耗大，由此又逐步引入了FPGA和 ASIC 芯片。

總體來看，單一類型的微處理器，無論是 CPU、GPU、FPGA還是ASIC，都無法滿足更高階的自動駕駛需求，域控制器中的主控芯片會走向集成“CPU+xPU”的異構(gòu)式 SoC（xPU 包括 GPU/FPGA/ASIC等），從而能較好的支撐各種場景的硬件加速需求。

3.3 高集成度

從功能層面上，域控制器會整合集成越來越多的功能。比如動力系統(tǒng)域可能把發(fā)動機的控制、電機控制、BMS、車載充電機的控制組合在一起。有些主機廠甚至直接一步到位，將底盤、動力傳動以及車身三大功能域直接整合成一個“整車控制域（Vehicle Domain Controller，VDC）”。

要支持這些功能的整合，作為域控制器的大腦，域主控處理器SoC就需要集成盡可能多的接口類型，比如：USB、Ethernet、I2C、SPI、CAN、LIN以及FlexRay等等，從而能連接和管理各種各樣的ECU、傳感器和執(zhí)行器。

3.4 硬件虛擬化

對硬件虛擬化技術(shù)的需要主要來自兩方面：（1）硬件資源的分區(qū)與隔離；（2）支持混合安全等級。

原本需要多個ECU實現(xiàn)的多個功能都整合到域控制器上后，勢必會導(dǎo)致域控制器的軟件更為復(fù)雜，這勢必會導(dǎo)致整個軟件系統(tǒng)的出錯概率增加、可靠性下降。而且多個應(yīng)用混合運行在同一個操作系統(tǒng)上，經(jīng)常會出現(xiàn)故障傳播（Failure Propagation），也就是一個應(yīng)用出現(xiàn)問題后，會使得整個系統(tǒng)底層軟件和硬件都處于紊亂狀態(tài)，從而導(dǎo)致其它原本正常的應(yīng)用也會開始出現(xiàn)故障。因此通過硬件虛擬化技術(shù)對硬件資源進(jìn)行分區(qū)（Partition），使得各個功能對應(yīng)的軟硬件之間互相隔離（Isolation），以此保證整個系統(tǒng)的可靠性。

另一方面，在汽車電子系統(tǒng)中，通常不同的應(yīng)用其對實時性要求和功能安全等級要求都不同。例如，根據(jù)ISO 26262標(biāo)準(zhǔn)，汽車儀表系統(tǒng)與娛樂信息系統(tǒng)屬于不同的安全等級，具有不同的處理優(yōu)先級。汽車儀表系統(tǒng)與動力系統(tǒng)密切相關(guān)，要求具有高實時性、高可靠性和強安全性，要求運行在底層實時操作系統(tǒng)上（比如QNX）。而信息娛樂系統(tǒng)主要為車內(nèi)人機交互提供控制平臺，追求多樣化的應(yīng)用與服務(wù)，以Linux和Android為主。為了實現(xiàn)混合安全等級的應(yīng)用，實現(xiàn)不同的操作系統(tǒng)運行在同一個系統(tǒng)上，這就需要虛擬化技術(shù)的支持。

車載硬件虛擬化技術(shù)的核心是Hypervisor，它是一種運行在物理服務(wù)器和操作系統(tǒng)之間的中間層軟件，可以允許多個不同虛機上的操作系統(tǒng)和應(yīng)用共享一套基礎(chǔ)物理硬件。當(dāng)系統(tǒng)啟動時，首先運行Hypervisor，由它來負(fù)責(zé)給每一臺虛擬機分配適量的內(nèi)存、CPU、網(wǎng)絡(luò)、存儲以及其它硬件資源等等（也就是對硬件資源進(jìn)行分區(qū)），最后加載并啟動所有虛擬機的客戶操作系統(tǒng)。

一句話總結(jié)一下基于Hypervisor的優(yōu)點：它提供了在同一硬件平臺上承載異構(gòu)操作系統(tǒng)的靈活性，同時實現(xiàn)了良好的高可靠性和故障控制機制, 以保證關(guān)鍵任務(wù)、硬實時應(yīng)用程序和一般用途、不受信任的應(yīng)用程序之間的安全隔離，實現(xiàn)了車載計算單元整合與算力共享。

3.5 ISO 26262功能安全

功能安全是汽車研發(fā)流程中非常關(guān)鍵的要素之一。隨著系統(tǒng)復(fù)雜性的提高，來自系統(tǒng)失效和隨機硬件失效的風(fēng)險日益增加。ISO 26262標(biāo)準(zhǔn)制定的目的就是更好的規(guī)范和標(biāo)準(zhǔn)化汽車全生命周期中的功能安全管理和要求，包括：概念階段、系統(tǒng)研發(fā)、硬件研發(fā)、軟件研發(fā)、生產(chǎn)和操作過程、售后等環(huán)節(jié)，尤其重點在產(chǎn)品設(shè)計階段如何定義和實現(xiàn)功能安全的目標(biāo)。

載汽車功能安全標(biāo)準(zhǔn)ISO26262-5 2018 “產(chǎn)品開發(fā)：硬件層面附錄D”中對處理器單元的診斷覆蓋率推薦的安全技術(shù)措施中，雙核鎖步(dual-core lockstep)、非對稱冗余和編碼計算是三種典型的硬件冗余技術(shù)措施。除此之外，硬件BIST、軟硬件Self-Test技術(shù)、ECC等也是常見的提高處理器安全特性的設(shè)計措施。

圖2-6 ISO26262標(biāo)準(zhǔn)中的功能安全芯片設(shè)計技術(shù)

雙核鎖步CPU是一種CPU冗余技術(shù)，在一個芯片中包含兩個相同的處理器，一個作為master core，一個作為slave core，它們執(zhí)行相同的代碼并嚴(yán)格同步，master可以訪問系統(tǒng)內(nèi)存并輸出指令，而slave不斷執(zhí)行在總線上的指令（即由主處理器獲取的指令）。

slave產(chǎn)生的輸出，包括地址位和數(shù)據(jù)位，發(fā)送到比較邏輯模塊，由master和slave總線接口的比較器電路組成，檢查它們之間的數(shù)據(jù)、地址和控制線的一致性。檢測到任何總線的值不一致時，就會發(fā)現(xiàn)其中一個CPU 上存在故障，但不會確定是哪個CPU故障。

這種CPU架構(gòu)使得CPU自檢獨立于應(yīng)用軟件，不需要執(zhí)行專門的指令集自檢，實際運行的軟件指令在每個時鐘都進(jìn)行比較，只需要測試軟件用到的CPU資源，但這種架構(gòu)不會對內(nèi)存和總線進(jìn)行檢測，需要增加單獨的檢測方法以避免兩個CPU的共模故障。

3.7 網(wǎng)絡(luò)卸載引擎

汽車網(wǎng)絡(luò)會存在多種通信總線。骨干網(wǎng)未來勢必會基于TSN以太網(wǎng)來構(gòu)建，但是從域主控處理器到ECU或者傳感器之間的通信則仍然是基于傳統(tǒng)的車載低速總線，比如：CAN、FlexRay等。域主控處理器作為域控制器的核心，是所有ECU和傳感器通信的匯聚中心。因此如果要依靠CPU的算力來完成不同總線間的協(xié)議轉(zhuǎn)換，以及跨域通信的網(wǎng)絡(luò)包處理的話，勢必會占用寶貴的CPU算力資源。

因此基于硬件來實現(xiàn)網(wǎng)絡(luò)協(xié)議轉(zhuǎn)換處理的網(wǎng)絡(luò)卸載引擎，對于各個域（包括中央網(wǎng)關(guān)）的域主控處理器是非常重要的技術(shù)。

3.7 Security引擎

連接性（Connectivity）是汽車智能化發(fā)展的一個很重要的趨勢，未來的汽車一定會像今天的手機一樣隨時保持連接到互聯(lián)網(wǎng)中。因此如何阻止未經(jīng)授權(quán)的網(wǎng)絡(luò)訪問，以保護(hù)汽車免于受到黑客的攻擊，對未來的智能汽車而言就會變得極為重要。下一代硬件安全模塊（Hardware Security Module，HSM）正在成為下一代車載網(wǎng)絡(luò)通信的重要基礎(chǔ)設(shè)施之一。

HSM對于完全的安全車載通信（Secure Onboard Communication，SecOC）是必不可少的。HSM能確保所接收到的數(shù)據(jù)的真實性，防止攻擊者繞過相關(guān)的安全接口，入侵車載網(wǎng)絡(luò)。

基于硬件的安全模塊主要解決兩個問題：

密鑰泄漏問題：如果密鑰存儲在應(yīng)用程序的代碼或數(shù)據(jù)中，很容易被泄漏。所以有必要增加一個硬件模塊，專門存儲密鑰。

Crypto算法加速：通過內(nèi)核來直接進(jìn)行加密或解密運算會占用大量CPU算力資源。因此，有必要通過硬件模塊來進(jìn)行加密解密算法的加速。

SHE（Secure Hardware Extension）標(biāo)準(zhǔn)是由奧迪和寶馬公司合作制定的、針對硬件安全模塊HSM的規(guī)范，它主要包括密碼模塊的硬件、硬件軟件接口。這個規(guī)范已被廣泛接受，很多針對汽車行業(yè)的微處理器都支持這個規(guī)范。

3.8 面向服務(wù)的軟件架構(gòu)SOA

ECU原先運行的軟件大多數(shù)是按照Classic AutoSAR規(guī)范開發(fā)的軟件系統(tǒng)，其中的應(yīng)用軟件一般都是靜態(tài)調(diào)度（Static Scheduling）模式的，也即在系統(tǒng)運行時，程序中不同功能的函數(shù)按照事先定義好的排序文件依次調(diào)用、逐個運行。靜態(tài)調(diào)度的優(yōu)點是資源分配問題都是事先安排好的，車輛量產(chǎn)后就不會再改變，每個功能對應(yīng)的函數(shù)代碼具體運行時間也被提前鎖定，是確定性的。

因此這種設(shè)計對于汽車上很多對功能安全要求苛刻的場景是非常適合的。比如：決定安全氣囊是否打開的功能函數(shù)就是固定地每隔幾毫秒運行一次，以便緊急情況下可以及時打開。

承載計算和控制的底層硬件從分散的多個ECU集中到多核、異構(gòu)的高性能域主控處理器后，相應(yīng)的軟件也會從分散向集中、從簡單向復(fù)雜、從靜態(tài)向動態(tài)進(jìn)化。下圖2-7顯示了以后汽車域控制器上的典型軟件架構(gòu)：

圖2-7 域控制器上基于空分虛擬化技術(shù)的典型軟件架構(gòu)

操作系統(tǒng)層：最底層利用Hypervisor虛擬化技術(shù)對硬件資源進(jìn)行分區(qū)(partition)，從而可以在每個虛機運行不同的操作系統(tǒng)。比如在上圖中，虛機VM1中運行兼容POSIX實時操作系統(tǒng)標(biāo)準(zhǔn)（比如PSE 52）的RTOS，RTOS上通常要承載功能安全相關(guān)的應(yīng)用和服務(wù)；虛機VM2中運行Linux這種完全POSIX標(biāo)準(zhǔn)的分時操作系統(tǒng)，上面通常運行管理相關(guān)的功能和服務(wù)；虛機VM3中運行的可能是原來在ECU上運行的Legacy應(yīng)用。

中間件層：操作系統(tǒng)是不做任何與“車”特定相關(guān)工作的。為了讓域主控處理器在汽車場景下使用，需要有很多軟件或者中間件用于讓域控制器滿足汽車的電源管理標(biāo)準(zhǔn)、網(wǎng)絡(luò)管理標(biāo)準(zhǔn)以及診斷標(biāo)準(zhǔn)等；車載域控制器需要比一般工業(yè)嵌入式系統(tǒng)有更高的可靠性要求，這樣就需要在計算機OS基礎(chǔ)上再附加對存儲和通訊等各方面的安全保護(hù)和容錯機制；同時，位了讓車載域控制器能夠在整車EE架構(gòu)下運行，還需要提供時鐘同步、日志跟蹤以及服務(wù)管理和發(fā)現(xiàn)等功能。Adaptive AutoSAR規(guī)范定義了運行在Linux或者完全兼容POSIX 1003.1標(biāo)準(zhǔn)RTOS上的這一層與“車”相關(guān)的中間件標(biāo)準(zhǔn)；而傳統(tǒng)運行在POSIX子集的RTOS或者BareMetal模式的中間件規(guī)范則由Classic AutoSAR標(biāo)準(zhǔn)定義。

應(yīng)用層：上層應(yīng)用基于AutoSAR標(biāo)準(zhǔn)的中間件來進(jìn)行開發(fā)。隨著汽車智能化和網(wǎng)聯(lián)化相關(guān)的功能越來多，上層應(yīng)用軟件也越來越復(fù)雜。位了降低單個應(yīng)用的整體復(fù)雜性，我們可以借鑒互聯(lián)網(wǎng)的面向服務(wù)架構(gòu)（SOA）的軟件設(shè)計思想，將一個復(fù)雜應(yīng)用拆分多個服務(wù)。每個服務(wù)實現(xiàn)得盡可能小，盡量實現(xiàn)成無狀態(tài)方式的服務(wù)，以利于整個系統(tǒng)的開發(fā)、測試和軟件重用。

服務(wù)與服務(wù)之間通過事件或者消息總線（發(fā)布/訂閱工作模式）來進(jìn)行通信，并降低互相之間的耦合度。通過服務(wù)配置來管理服務(wù)之間的依賴性、服務(wù)的部署和啟動，以及服務(wù)的健康狀態(tài)檢測等。

汽車以太網(wǎng)給車載系統(tǒng)通信帶來一個革命性的變化，在中央計算式汽車EE架構(gòu)下，整個車載系統(tǒng)可以被看作是一個分布式網(wǎng)絡(luò)系統(tǒng)：中央計算平臺是一個小型服務(wù)器集群，區(qū)域計算平臺是邊緣計算節(jié)點。在互聯(lián)網(wǎng)或者大型分布式系統(tǒng)中，SOA架構(gòu)設(shè)計理念已經(jīng)被廣泛使用了。因此當(dāng)IP網(wǎng)絡(luò)技術(shù)被廣泛應(yīng)用于汽車后，很多在互聯(lián)網(wǎng)或者分布式計算中已經(jīng)很成熟的軟件技術(shù)，自然會被借鑒到新的汽車軟件架構(gòu)設(shè)計中來，比如：RPC技術(shù)、事件/消息總線、RESTful API設(shè)計等。

大型互聯(lián)網(wǎng)數(shù)據(jù)中心中的服務(wù)器集群動輒幾百、上千臺服務(wù)器，每秒百萬、千萬級別的并發(fā)。車載系統(tǒng)盡管可以被看作是一個分布式網(wǎng)絡(luò)系統(tǒng)，但是它卻沒有互聯(lián)網(wǎng)大型服務(wù)器系統(tǒng)的高并發(fā)特征，相反，它更注重通信的實時性和可靠性。

車載系統(tǒng)在物理上是向集中式發(fā)展的，也就是原來通過多個分散ECU來實現(xiàn)的功能，漸漸集中到幾個主要的高性能域控制器上。因此，盡管在軟件設(shè)計上，我們會盡量按照SOA的思路拆分成一個一個小的服務(wù)，但是這些服務(wù)在部署上其實是集中式的。鑒于這種物理部署上的“集中”與運行時的“分布式”并存的特點，因此我們可以通過一系列技術(shù)手段來優(yōu)化服務(wù)與服務(wù)之間的通信延遲（比如：通過共享內(nèi)存技術(shù)）。這是車載分布式系統(tǒng)與互聯(lián)網(wǎng)強調(diào)高并發(fā)特性的分布式系統(tǒng)之間另一個顯著的差別。

4 小結(jié)

域集中式EE架構(gòu)會是未來相當(dāng)長一段時間占主要地位的汽車EE架構(gòu)，域控制器作為域集中式EE架構(gòu)的核心，會在整個汽車產(chǎn)業(yè)鏈中占據(jù)越來越重要的地位。其相應(yīng)的芯片和硬件方案、操作系統(tǒng)和算法等將會成為整個產(chǎn)業(yè)鏈各上下游廠家的爭奪焦點。

審核編輯：劉清