智能新能源汽車是汽車產(chǎn)業(yè)的競爭焦點，也是我國建設(shè)汽車強國的必由之路。在“新四化”背景下，智能新能源汽車電子電氣架構(gòu)正由分布式向集中式演進，智能控制算法日益復(fù)雜，對車載控制基礎(chǔ)軟硬件提出了巨大挑戰(zhàn)［1］。例如，車載核心控制芯片不再是實現(xiàn)單一功能的簡單邏輯計算芯片，而須提供強大的算力支持；車控操作系統(tǒng)不再基于某一固定硬件開發(fā)，要求具備可配置、可擴展等特性；車載網(wǎng)絡(luò)必須滿足大容量高速可靠數(shù)據(jù)通信、抗電磁干擾等需求，高速光纖通信已成為必然的發(fā)展趨勢之一。總之，以車載核心控制芯片、車控操作系統(tǒng)及車載光纖通信網(wǎng)絡(luò)為核心的車載控制基礎(chǔ)軟硬件是智能新能源汽車發(fā)展的產(chǎn)業(yè)焦點，必須滿足高性能計算、高安全控制、大數(shù)據(jù)通信等顛覆性需求，實車驗證則是打通技術(shù)與產(chǎn)品應(yīng)用的關(guān)鍵環(huán)節(jié)。盡管我國在車載控制基礎(chǔ)軟硬件方面已取得了長足進步，但與國際領(lǐng)先水平相比，在功能與性能、安全性、實時性、傳輸速率、電磁兼容性等方面存在明顯差距。

本文中針對復(fù)雜行駛條件惡劣工況下車載控制基礎(chǔ)軟硬件的高性能與高安全可靠設(shè)計的技術(shù)需求，圍繞車載核心控制芯片、車控操作系統(tǒng)和車載高速分布式光纖通信，介紹了復(fù)雜行駛條件下支持智能控制算法的車控操作系統(tǒng)和車載核心控制芯片的架構(gòu)，惡劣工況下（高溫、高寒、高濕、高原等）的車載核心控制芯片的高可靠性設(shè)計技術(shù)和環(huán)境適應(yīng)性增強技術(shù)，車控操作系統(tǒng)和車載核心控制芯片的功能安全性設(shè)計與保障技術(shù)，以及基于高速分布式光纖通信技術(shù)的控制信號傳輸工具及通信協(xié)議故障診斷與自測試技術(shù)等方面研究的最新進展。基于上述研究成果實現(xiàn)的車載核心控制器件和車控操作系統(tǒng)均已在北汽集團的新能源汽車完成了實車驗證，由此構(gòu)建的技術(shù)攻關(guān)、產(chǎn)品研制、標準制定、實車驗證的研發(fā)體系能夠大力推動我國智能新能源汽車車載控制基礎(chǔ)軟硬件的自主可控。

1 研究背景

與傳統(tǒng)燃油車不同，新能源汽車的智能網(wǎng)聯(lián)化發(fā)展趨勢為車載控制系統(tǒng)提出了巨大挑戰(zhàn)。車載控制系統(tǒng)不僅能夠運行日益復(fù)雜的智能控制算法，還必須滿足智能新能源汽車對零部件的高可靠性與功能安全性要求，能在世界各地最極端的氣候（高溫、高寒、高濕、高原）和地理環(huán)境條件下持續(xù)工作，甚至要求實現(xiàn)零缺陷［2］。智能新能源汽車的安全要素包括功能安全與預(yù)期功能安全，其中車載核心控制芯片、車控操作系統(tǒng)與車載網(wǎng)絡(luò)是保障新能源汽車功能安全與預(yù)期功能安全的車載控制基礎(chǔ)軟硬件，負責(zé)整車控制、任務(wù)管理和數(shù)據(jù)通信等核心功能，同時需要實現(xiàn)對部件和系統(tǒng)失效、設(shè)計不完備等情況下的可靠性保證和冗余設(shè)計。因此，車載控制基礎(chǔ)軟硬件的高性能設(shè)計、高安全可靠設(shè)計理論與方法是關(guān)鍵科學(xué)問題，是當今國際智能汽車領(lǐng)域的前沿技術(shù)，也是我國智能新能源汽車產(chǎn)業(yè)自主可控發(fā)展要解決的瓶頸問題［3］。

車載核心控制芯片是最基礎(chǔ)硬件，承載整車控制功能，芯片架構(gòu)已從單核向多核方向發(fā)展，可靠性設(shè)計與功能安全保障技術(shù)也變得十分復(fù)雜。2020年，德國英飛凌公司發(fā)布的車載控制芯片TC39X集成6個處理器核，利用多核精確鎖步技術(shù)支持不間斷處理和不損失數(shù)據(jù)的情況下運行程序［4］。日本瑞薩半導(dǎo)體公司在其最新R-Car系列車載多核控制芯片提供了芯片內(nèi)部電路故障的在線測試方案與診斷反饋機制，保障了系統(tǒng)的可靠性與功能安全性［5］。中科院計算所提出了眾核處理器健康監(jiān)測、在線時延測試方法、自測試和半形式化功能驗證方法［6］；清華大學(xué)提出了異構(gòu)多核芯片動態(tài)重構(gòu)技術(shù)和安全編譯優(yōu)化技術(shù)［7］等。

安全車控操作系統(tǒng)是基礎(chǔ)軟件，須考慮功能安全、實時性能等方面要求。現(xiàn)有安全車控操作系統(tǒng)的標準化架構(gòu)以歐美為主導(dǎo)，主要有兩個標準體系：OSEK/VDX和AUTOSAR。隨著AUTOSAR應(yīng)用越來越成熟，國內(nèi)外整車企業(yè)及配套供應(yīng)商已普遍采用AUTOSAR架構(gòu)，代表企業(yè)有德國Vector、EB和美國Mentor。這些國際企業(yè)產(chǎn)品生態(tài)完善，質(zhì)量穩(wěn)定可靠［8］。國內(nèi)普華在AUTOSAR CLASSIC平臺基礎(chǔ)上提出一種基礎(chǔ)軟件模塊化與高效可配置的車控操作系統(tǒng)；華為、中興等也推出了自研實時內(nèi)核系統(tǒng)；清華大學(xué)車輛學(xué)院與國汽智聯(lián)開展了面向服務(wù)架構(gòu)的車控操作系統(tǒng)關(guān)鍵技術(shù)攻關(guān)［9］。

車載網(wǎng)絡(luò)被稱為車載控制系統(tǒng)的神經(jīng)，但1 Mbps車載CAN網(wǎng)絡(luò)和100 Mbps車載以太網(wǎng)無法滿足越來越高的通信需求，抗電磁干擾能力差。為提高汽車通信的性能、安全性和穩(wěn)定性，2013年IEEE組織啟動1 000 Mbps 的光纖通信汽車以太網(wǎng)規(guī)范研究，2016年IEEE組織和美國博通等公司啟動多Gbps汽車以太網(wǎng)的標準化調(diào)研和產(chǎn)品研制工作［10］。目前開發(fā)多Gbps級高速光纖車載網(wǎng)絡(luò)，屬于尚待突破的早期階段，亟需關(guān)鍵技術(shù)攻關(guān)。北京理工大學(xué)電動車輛國家工程實驗室提出高速分布式車載網(wǎng)絡(luò)解決方案，先后牽頭研發(fā)了三代整車車載網(wǎng)絡(luò)技術(shù)及系統(tǒng)［11］。國科天迅科技有限公司是國內(nèi)主要從事光纖通信芯片產(chǎn)品的公司，已實現(xiàn)了超2.5 Gbps高可靠高速光纖通信解決方案。

綜上所述，國外企業(yè)長期掌握車載控制基礎(chǔ)軟硬件核心技術(shù)，在當今復(fù)雜多變的國際形勢下，制約了我國智能新能源汽車產(chǎn)業(yè)的自主發(fā)展。但從國內(nèi)研究現(xiàn)狀來看，我國的車載核心控制芯片的計算能力、車控操作系統(tǒng)的管理能力與車載網(wǎng)絡(luò)的通信能力難以支持智能網(wǎng)聯(lián)化發(fā)展需求，需要架構(gòu)創(chuàng)新，且車載控制基礎(chǔ)軟硬件設(shè)計基礎(chǔ)相對薄弱，尚未形成統(tǒng)一技術(shù)框架，缺少必要的技術(shù)手段和評測能力，應(yīng)發(fā)展異構(gòu)多核車載核心控制芯片與復(fù)雜惡劣工況下的環(huán)境適應(yīng)性增強技術(shù)，滿足智能新能源汽車功能安全與預(yù)期功能安全需求；發(fā)展多內(nèi)核車控操作系統(tǒng)，解決軟件故障的隨機性和多業(yè)務(wù)不確定性問題，滿足車控操作系統(tǒng)從邊界到縱深的安全需求；發(fā)展多Gbps車載網(wǎng)絡(luò)分布式光纖通信協(xié)議與故障診斷策略，滿足智能新能源汽車大容量、高速可靠數(shù)據(jù)傳輸需求；發(fā)展整車層面、系統(tǒng)層面、軟硬件層面的自主產(chǎn)品集成與評測技術(shù)，保障自主產(chǎn)品的整車應(yīng)用及惡劣工況條件下的實車驗證。

2 車載核心控制芯片的可靠性與功能安全性關(guān)鍵技術(shù)

一方面，智能新能源汽車的電子電氣架構(gòu)向中央計算架構(gòu)方向發(fā)展，融合自動感知、智能計算、車輛控制等計算功能的多域功能集成是車載核心控制芯片的發(fā)展方向，但車載核心控制芯片面臨著多源異構(gòu)信息融合帶來的性能、可靠性與功能安全問題。另一方面，高溫、高寒、高濕、高海拔等惡劣工況以及工藝偏差、電源噪聲、串擾效應(yīng)、老化效應(yīng)、輻射效應(yīng)等成為誘發(fā)車載核心控制芯片功能失效的復(fù)合因素，特別是在多核同時工作時，易誘發(fā)電壓緊急問題，導(dǎo)致芯片時序故障，威脅車控芯片的功能安全。因此，我國亟需開展車載核心控制芯片的可靠性與功能安全設(shè)計理論及方法研究。

2.1 基于環(huán)境適應(yīng)性增強的車控芯片可靠性與功能安全設(shè)計理論

構(gòu)建一種基于環(huán)境適應(yīng)性增強的車載核心控制芯片可靠性與功能安全設(shè)計理論，其中基于核間工藝-電壓-溫度（PVT）參數(shù)偏差模型，設(shè)計了支持智能感知的神經(jīng)網(wǎng)絡(luò)處理器實現(xiàn)異構(gòu)多核的協(xié)同優(yōu)化，大幅提升了車載核心控制芯片的可靠性和安全性［12-13］。圖1中定義了電路時延變化（）與工藝分量（）、電壓分量（）、溫度分量（）變化的關(guān)系方程。基于PVT分量的理論分析，本文提出了一套芯片的基于智能感知協(xié)同優(yōu)化實現(xiàn)方案：（1）在芯片上設(shè)計電壓、溫度和時延監(jiān)測sensor，自測試出PVT變化引起的時延變化；（2）由神經(jīng)網(wǎng)絡(luò)處理器［14］感知并診斷出各個核的分量大小，進而協(xié)同優(yōu)化和補償；（3）通過線程遷移，使不同核各自的PVT分量之和最小，從而提高了系統(tǒng)性能、吞吐量和任務(wù)調(diào)度公平性。

2.2 神經(jīng)網(wǎng)絡(luò)處理器混合計算容錯架構(gòu)

神經(jīng)網(wǎng)絡(luò)處理器的可靠性對于車載人工智能應(yīng)用至關(guān)重要。為在線檢測處理單元陣列中的處理引擎（PE）故障并實現(xiàn)實時容錯，本文設(shè)計了一個統(tǒng)一的混合計算容錯架構(gòu)HyCA來容忍PE的多種故障配置［15］。

如圖2所示，在常規(guī)的二維計算陣列外部署了一個點積處理單元DPPU，用于重新計算映射到出現(xiàn)錯誤的PE的所有操作，其中出錯的PE可以在計算陣列的任意位置。當DPPU的大小大于二維計算陣列中故障PE的數(shù)量時，DPPU總能在新的權(quán)重和輸入數(shù)據(jù)就緒之前完成重計算任務(wù)。

2.3 基于統(tǒng)計時序的小時延缺陷和精確小信號串擾源故障分析與測試方法

為提升車載核心控制芯片在惡劣工況下工作的可靠性，須考慮分布式小時延缺陷和互連線串擾噪聲引起的最長信號傳播路徑的分析和時延測試［16］。

針對工藝偏差、電源噪聲等引起的小時延缺陷的測試，構(gòu)建了電路的統(tǒng)計時延模型，在統(tǒng)計時延模型下，小時延缺陷的測試路徑選擇問題形式化為：從條電路總通路數(shù)選擇條通路進行小時延缺陷測試，使時延失效捕獲概率最高，其本質(zhì)是一個最小集合交集求解問題。國際上基于蒙特卡洛的測試路徑選擇方法產(chǎn)生個電路實例來模擬，計算復(fù)雜度為。而將測試路徑選擇問題轉(zhuǎn)換為了最小集合交集問題，計算復(fù)雜度為，因此計算時間相比于國際上的蒙特卡洛方法顯著降低，且可以獲得與前者相當?shù)男r延缺陷測試覆蓋率。進一步，本文基于精確小信號串擾源故障模型來指導(dǎo)設(shè)計與測試，其中為關(guān)鍵通路，為關(guān)鍵通路上的一條受害線，為導(dǎo)致發(fā)生串擾減速效應(yīng)的侵略線，是傳播侵略跳變到所用的子通路。為保證準確測試串擾效應(yīng)，線，發(fā)生跳變的時間窗必須在指定工藝參數(shù)下重疊，且兩線必須以相反方向跳變。PCPDF模型巧妙地將串擾的邏輯約束和時間約束統(tǒng)一表征，在測試生成中確保侵略跳變和受害跳變是沿著故障模型中指定的路徑傳播到發(fā)生串擾的故障點，從而能保證生成的測試向量一定激活了故障模型中期望的串擾效應(yīng)。與國際上的CTF［17］和CPDF［18］串擾故障模型相比，基于PCPDF模型的測試具有更高的串擾故障測試覆蓋率，可應(yīng)用于EDA流程中進行考慮布線和時延的串擾故障收集、物理設(shè)計優(yōu)化和自動測試生成，如圖3所示，對AECQ-100標準未能考慮的串擾故障進行精準分析和測試。

2.4 異構(gòu)多核的輕鎖步功能安全保障架構(gòu)

現(xiàn)有車載核心控制芯片一般通過雙核鎖步保障功能安全，這種雙模冗余機制帶來了超過1倍的設(shè)計開銷。本文提出一種異構(gòu)多核的輕鎖步功能安全設(shè)計架構(gòu)［19］，見圖4。該功能安全設(shè)計主要由一個香山（XiangShan）處理器核，多個Rocket處理器核、加載轉(zhuǎn)發(fā)單元（load forwarding unit）、加載存儲日志組成（load store log）等部件組成。主核主要由取指單元和后端流水線組成，取指單元從指令緩存（instruction cache）中取指，交給后端流水線譯碼執(zhí)行。主核運行正常的程序，并將程序劃分為多個程序段分別交給各個檢查核重復(fù)運行以實現(xiàn)差錯檢測。每一個程序段都為其分配一個空閑的檢查核。在程序段的開始，將當前的寄存器狀態(tài)復(fù)制給檢查核，使檢查核能夠以相同的狀態(tài)開始運行。在程序段的結(jié)束，也將當前狀態(tài)復(fù)制給檢查核，用于該程序段運行結(jié)束后對狀態(tài)進行檢查。該架構(gòu)采用主從核運行模式控制，考慮關(guān)鍵任務(wù)性質(zhì)動態(tài)配置主/從核的安全模式，在運行非關(guān)鍵任務(wù)時將從核配置成非鎖步模式，從而有效減少了安全機制的性能開銷和面積開銷，能更有效地利用片上算力來提高系統(tǒng)性能。并可對從核進行裁剪，減少面積和功耗，進一步提升系統(tǒng)可靠性。

基于上述攻關(guān)成果，本文采用40 nm車規(guī)級工藝實現(xiàn)一款車載核心控制芯片，芯片版圖見圖5。經(jīng)第三方測試，該芯片集成4核功能安全處理器核，計算性能大于3000DMIPS，智能計算能力大于1TOPS，可靠性達AEC-Q100 Grade-1等級，功能安全滿足ISO26262 ASIL-D 等級要求，與現(xiàn)有技術(shù)相比，執(zhí)行效率顯著提升近兩個數(shù)量級，減少多核處理器的吞吐量損失達30%，將安全機制的性能開銷和面積開銷減少20%以上，在大幅提升計算性能的同時，顯著提升芯片的可靠性與功能安全性水平，能夠滿足未來智能汽車的電子電氣架構(gòu)向集中化演進的技術(shù)需求。

3 車控操作系統(tǒng)的可靠性與功能安全性關(guān)鍵技術(shù)

智能汽車傳感器的種類和功能愈加多樣，自動化程度越來越高，為保障汽車行駛的安全性與舒適性，對車控操作系統(tǒng)的多任務(wù)管理能力和實時性提出了更高的挑戰(zhàn)，但傳統(tǒng)車控操作系統(tǒng)存在實時性差、隨機故障嚴重、多任務(wù)不確定性等瓶頸問題。因此，我國亟需開展車載操作系統(tǒng)的高可靠性與高安全設(shè)計和實現(xiàn)技術(shù)研究。

3.1 支持安全控制、智能駕駛的一體化操作系統(tǒng)架構(gòu)

高度變化的需求、智能化的持續(xù)演進、車載硬件和軟件系統(tǒng)復(fù)雜程度的提升對車控操作系統(tǒng)的性能、可擴展性、易用性、系統(tǒng)可靠性提出了嚴峻的挑戰(zhàn)。智能新能源車控操作系統(tǒng)運行基礎(chǔ)是異構(gòu)、分布式計算平臺，既須滿足安全車控操作系統(tǒng)的高安全（通常安全等級是ASIL-D）等功能和特點，還須提供高性能、高可靠的計算、傳感、時間同步、分布式通信等功能以支持自動駕駛感知、規(guī)劃、決策與控制的實現(xiàn)。車控操作系統(tǒng)總體架構(gòu)與電子電氣架構(gòu)的革新和對應(yīng)的車載計算架構(gòu)相輔相成，因此從整個駕駛閉環(huán)角度，將安全車控操作系統(tǒng)與智能駕駛操作系統(tǒng)進行整體架構(gòu)研究。

本文設(shè)計的車控操作系統(tǒng)采用縱向分層、橫向分區(qū)式架構(gòu)如圖6所示。在邏輯層次上包含系統(tǒng)軟件和功能軟件框架，是車載智能計算基礎(chǔ)平臺安全、實時、高效的核心和基礎(chǔ)。系統(tǒng)軟件創(chuàng)建復(fù)雜嵌入式系統(tǒng)運行環(huán)境，可以實現(xiàn)與Classic和Adaptive兩個平臺的兼容和交互。功能軟件根據(jù)智能網(wǎng)聯(lián)汽車應(yīng)用特點，以及各類輔助駕駛/自動駕駛功能的核心共性需求，明確定義和實現(xiàn)各共性子模塊，并進行通用模塊定義和實現(xiàn)。

上述車控操作系統(tǒng)架構(gòu)的特色體現(xiàn)在既能夠兼容Classic AUTOSAR平臺，基于Classic AUTOSAR平臺的擴展?jié)M足高安全、強實時控制要求，又能夠與Adaptive AUTOSAR平臺適配，滿足新能源汽車復(fù)雜行駛場景下感知、決策及控制的要求。

3.2 車控操作系統(tǒng)關(guān)鍵技術(shù)

3.2.1 智能新能源汽車高安全決策方法

智能汽車的決策及控制是車輛安全行駛的基礎(chǔ)，尤其是復(fù)雜交通場景下安全高效的決策及控制方法。基于深度學(xué)習(xí)、強化學(xué)習(xí)的智能汽車決策模塊中，通常會建立復(fù)雜場景下行駛安全模型，并根據(jù)安全模型確定或?qū)W習(xí)安全決策機制。一般采用的方法是建立能量函數(shù)形式的安全模型，但滿足車輛強安全約束的完美的能量函數(shù)安全模型通常難以獲得，因此影響到?jīng)Q策的安全性和效率。本文提出了一種在通用復(fù)雜場景零狀態(tài)約束違反的安全控制策略，同時進行安全模型和安全策略學(xué)習(xí)的智能汽車安全決策方法［20］。

針對難以得到合適的安全模型函數(shù)的困難，提出一種基于控制閘函數(shù)能量函數(shù)的安全模型。能量函數(shù)??是從狀態(tài)空間到實數(shù)集合的映射，對于給定的能量函數(shù)，安全動作集合的設(shè)計是在系統(tǒng)危險時使系統(tǒng)能量下降：

而一個完備的能量函數(shù)要求系統(tǒng)在任意時刻安全動作集合都不為空集，即

因此，建立一個損失函數(shù)，通過最小化損失函數(shù)使其在狀態(tài)空間中任意狀態(tài)都存在非空安全動作集合：

如果能量函數(shù)設(shè)計是完備的，該損失函數(shù)會降為0。

在安全策略學(xué)習(xí)的部分，本文建立了一種約束強化學(xué)習(xí)方法，在最大化期望獎勵的同時保證安全控制約束（即使系統(tǒng)安全能量函數(shù)下降）：

同時提出使用拉格朗日對偶梯度上升法來求解這樣的約束型強化學(xué)習(xí)問題，構(gòu)建拉格朗日函數(shù)并計算其最優(yōu)值。

本文進一步將安全模型學(xué)習(xí)和安全決策學(xué)習(xí)合并為同一優(yōu)化問題。對于最優(yōu)的策略和拉格朗日乘子對，最優(yōu)條件（KKT條件）使只有約束一定被違反時，拉格朗日函數(shù)的后半部分不為0。因此，可以得到兩個優(yōu)化問題的損失函數(shù)實際上線性相關(guān)：

進而可以證明兩個問題實際上具有相同的極小值：

在此基礎(chǔ)上，構(gòu)建安全狀態(tài)增強的強化學(xué)習(xí)型能量函數(shù)生成方法［21］，以及自動駕駛軌跡規(guī)劃方法［22］，結(jié)合周車預(yù)測結(jié)果動態(tài)調(diào)整狀態(tài)約束的不確定性邊界，交替迭代更新拉格朗日乘子網(wǎng)絡(luò)與策略網(wǎng)絡(luò)，實現(xiàn)了典型多車道場景（包括側(cè)方車輛切入、前車減速、下匝道擁堵等）下安全、靈活、經(jīng)濟的智能決策控制［23］。

3.2.2 車控操作系統(tǒng)功能安全機制

本文研發(fā)的車控操作系統(tǒng)須滿足ISO 26262功能安全要求，須據(jù)此進行操作系統(tǒng)故障分析及功能安全設(shè)計的研究。

首先采用FEMA方法對車控操作系統(tǒng)的故障進行分析。所研制的安全車控操作系統(tǒng)主要包括以下組件：基本功能、保護功能、平臺依賴、配置信息。每個組件包含若干子模塊，子模塊又包含系統(tǒng)調(diào)用接口函數(shù)，按層次由高到低劃分為：系統(tǒng)—模塊—接口函數(shù)。對基本功能組件中的各個模塊以接口函數(shù)為粒度進行軟件故障分析，本文結(jié)合ISO 26262標準、行業(yè)開發(fā)經(jīng)驗等生成軟件故障模型。

進一步在軟件故障模型的基礎(chǔ)上，建立操作系統(tǒng)安全機制。針對系統(tǒng)軟件層，設(shè)計了系統(tǒng)健康管理、資源管理隔離、數(shù)據(jù)通信保護等功能安全組件。針對功能軟件層，設(shè)計了軟件冗余、硬件冗余等安全監(jiān)控組件。

綜上所述，本文提出了一種多業(yè)務(wù)解耦的新能源汽車安全可靠操作系統(tǒng)架構(gòu)與功能安全機制，研發(fā)了一個車控操作系統(tǒng)原型，支持對內(nèi)核、通信、診斷、存儲、網(wǎng)絡(luò)管理等基礎(chǔ)軟件模塊的圖形化配置功能，相關(guān)工具鏈軟件ORIENTAIS-Studio應(yīng)用于ECU軟件開發(fā)過程。

該操作系統(tǒng)原型可支持智能控制與安全控制，將ADP計算時間降至6 ms內(nèi)，提高了安全車控操作系統(tǒng)的安全、實時性，與AUTOSAR標準兼容，支持CAN、CAN-FD、LIN、FlexRay、以太網(wǎng)等5種主流通信協(xié)議，中斷響應(yīng)時間達2.396 μs，任務(wù)實時調(diào)度時間達4.956 μs；實現(xiàn)了安全監(jiān)控、軟件冗余、數(shù)據(jù)通信保護，滿足ASIL-D安全等級要求，已在量產(chǎn)BMS、整車、車身域等多種控制器上驗證，有望實現(xiàn)國產(chǎn)操作系統(tǒng)的產(chǎn)業(yè)化上車應(yīng)用。

3.2.3 車控操作系統(tǒng)調(diào)度算法

智能新能源汽車的控制涉及感知、決策、控制等多種算法。根據(jù)算法的復(fù)雜程度，實現(xiàn)單個節(jié)點的多線程，并監(jiān)視每個節(jié)點進程的CPU利用率；通過Linux核心分配的工作原理（調(diào)度API），根據(jù)不同的CPU利用率，動態(tài)綁定節(jié)點進程與CPU的核數(shù)，實現(xiàn)算力的動態(tài)分配。在進行資源調(diào)度前，需要對算法的任務(wù)集進行確定。多處理器系統(tǒng)的任務(wù)集描述如下。?（1）任意可表示為一個多元組。其中：為任務(wù)的到達時間；為任務(wù)開始處理的時間；為任務(wù)所需的處理時間；為任務(wù)的截止期；為任務(wù)?對資源Res的需求，有專用和共享2種使用方式，，?K為資源數(shù)。（2）任務(wù)是不可搶占的，且是相互獨立的（任務(wù)間無先后順序約束關(guān)系）。（3）任務(wù)不具有并行性，即任務(wù)是不可再分的。任務(wù)集確定之后，針對不同的任務(wù)集，需要通過一定的指標來衡量任務(wù)集在多處理器系統(tǒng)中占有的資源，如圖7所示，本文使用調(diào)度成功率、平均響應(yīng)時間、處理器利用率、調(diào)度長度作為評價調(diào)度算法的性能指標［24］。

一般情況下，一個調(diào)度算法不能使上述指標同時達到最優(yōu)。對于實時性要求較高的系統(tǒng)，調(diào)度成功率最重要，應(yīng)在保證調(diào)度成功率的前提下，盡可能提高其他指標，以使系統(tǒng)的整體性能得到優(yōu)化。

指標確認后，研究優(yōu)化調(diào)度算法實現(xiàn)算法任務(wù)的優(yōu)化運行。設(shè)系統(tǒng)中每個資源對應(yīng)一個入口，擁有兩個記錄變量。其中一個記錄變量負責(zé)記錄訪問該資源的任務(wù)數(shù)，另一個則負責(zé)記錄以互斥方式訪問該資源的任務(wù)數(shù)。當生成一個新任務(wù)時，根據(jù)任務(wù)使用資源的情況來修改各資源所對應(yīng)的這兩個記錄變量。以該方式分別記錄該資源的被訪問任務(wù)數(shù)及訪問模式（專用或共享），并用資源列表記錄所有資源的信息。優(yōu)化的目標函數(shù)為

式中：為任務(wù)的理想最早可用時間；和為權(quán)值，分別表征任務(wù)的理想最早可用時間和運行時間對目標函數(shù)的影響程度。

總的來說，根據(jù)任務(wù)集與處理器處理能力之間的匹配關(guān)系構(gòu)建任務(wù)及處理器的一般模型，分析任務(wù)數(shù)量與系統(tǒng)處理能力之間的關(guān)系，實現(xiàn)多處理器系統(tǒng)的動態(tài)調(diào)度。

4 車載高速光纖通信的功能安全性關(guān)鍵技術(shù)

智能化和電氣化快速發(fā)展使汽車內(nèi)部需要傳輸?shù)臄?shù)據(jù)量愈發(fā)增多，作為數(shù)據(jù)傳輸?shù)拿浇椋囕d網(wǎng)絡(luò)起著關(guān)鍵的作用。但是傳統(tǒng)的車載網(wǎng)絡(luò)協(xié)議和介質(zhì)具有通信帶寬小、延時高和穩(wěn)定性差等諸多問題，難以滿足智能電動汽車的要求。目前，車載高速光纖通信是核心解決方案之一，亟需開展相關(guān)技術(shù)攻關(guān)。

4.1 車載光纖通信協(xié)議棧及調(diào)度機制設(shè)計

對于智能電動汽車而言，其搭載的網(wǎng)絡(luò)既需要滿足實時音視頻的傳輸需求，又需要滿足實時運動控制要求。然而現(xiàn)有通信協(xié)議及協(xié)議棧機制難以保證帶寬資源和節(jié)點之間通信的實時性。本文中提出采用分層和實時調(diào)度機制結(jié)合構(gòu)建光纖車載通信協(xié)議棧思路，以保證高速、實時、確定性數(shù)據(jù)傳輸，車載光纖通信技術(shù)的關(guān)鍵點是光纖、元器件和拓撲、網(wǎng)絡(luò)協(xié)議。光纖的性能直接影響通信速率，采用光纖通信技術(shù)后元件和拓撲結(jié)構(gòu)也需要相應(yīng)改變。要保證信息傳輸?shù)膶崟r性和安全性，網(wǎng)絡(luò)協(xié)議也必不可少。考慮到消息傳輸?shù)膶崟r性、公平性和安全性，光纖網(wǎng)絡(luò)的通信協(xié)議必須有相應(yīng)的消息調(diào)度機制。所構(gòu)建的分層+調(diào)度融合車載光纖通信協(xié)議棧結(jié)構(gòu)設(shè)計［25］如圖8所示，通過在傳統(tǒng)的以太網(wǎng)通信協(xié)議棧引入實時調(diào)度機制，以及將分層協(xié)議簇規(guī)范化，實現(xiàn)構(gòu)建車載高安全性光纖通信協(xié)議棧。

4.2 多協(xié)議通信網(wǎng)關(guān)及其管理調(diào)度方法

網(wǎng)絡(luò)信息的傳輸與通信協(xié)議棧有關(guān)，因此網(wǎng)關(guān)在其中扮演的角色非常重要。特別是近年來汽車電子電氣架構(gòu)快速發(fā)展，傳輸?shù)臄?shù)據(jù)量快速增加，網(wǎng)關(guān)起著愈發(fā)重要的作用，但是現(xiàn)有的網(wǎng)關(guān)因缺乏合適的調(diào)度方法，網(wǎng)絡(luò)通信的實時性難以保證。

本文提出一種多協(xié)議通信網(wǎng)關(guān)［26］，如圖9所示。該網(wǎng)關(guān)原理上主要包括：主干網(wǎng)、子網(wǎng)、管理核心以及多個轉(zhuǎn)發(fā)管理核心。管理核心用于接收主干網(wǎng)以及子網(wǎng)輸入的消息，將所述消息分配至相應(yīng)的轉(zhuǎn)發(fā)管理核心中的消息隊列。轉(zhuǎn)發(fā)調(diào)度核心用于發(fā)送訪問內(nèi)存請求至管理核心，并當接收管理核心發(fā)送的訪問內(nèi)存許可之后，將消息隊列中的消息按照隊列順序復(fù)制消息，再發(fā)送消息至相應(yīng)的主干網(wǎng)或子網(wǎng)。

如圖10所示，各消息隊列調(diào)度算法首先根據(jù)消息的最早截止時間確定消息的優(yōu)先級，使用優(yōu)先級排隊，在排隊過程中發(fā)生延遲時（消息隊列不能即進即出，發(fā)生排隊即產(chǎn)生延時，因為消息較多在隊列中累積就會發(fā)生延時，延遲的后果將會導(dǎo)致汽車的實時性和安全性下降），需要不斷更新（例如消息隊列中出現(xiàn)了兩個具有相同ID的消息，該消息的優(yōu)先級為3，將前一個消息刪除，后一個消息的優(yōu)先級升級為2，重新插入隊列中優(yōu)先級為2的消息的首位）及刪除現(xiàn)有消息（現(xiàn)有消息與隊列中已存在消息重復(fù)，進一步增多在隊列中排隊的消息，所以將重復(fù)的具有相同ID的消息刪除可以減少延遲，且刪除已發(fā)送消息，這里的刪除消息是刪除隊列中的重復(fù)消息），從而避免消息的長期累積。當消息更新時，具有相同ID的消息可以適當提升其優(yōu)先級（提升的程度是可以將該消息的優(yōu)先級提升一級，且置于同等優(yōu)先級之首），以此避免低優(yōu)先級始終處于消息隊列，無法轉(zhuǎn)發(fā)甚至丟失的情況，使低優(yōu)先級的消息也可以盡快傳輸。當有緊急消息時，可直接設(shè)定為最高優(yōu)先級傳輸該消息，避免延時帶來的損失。

4.3 基于分數(shù)型基本周期的網(wǎng)絡(luò)調(diào)度策略

網(wǎng)絡(luò)信息的傳輸質(zhì)量直接影響車輛的運動控制性能，因此須盡可能降低網(wǎng)絡(luò)誘導(dǎo)延時和不同步對控制系統(tǒng)的消極影響。本文提出了一種分數(shù)型基本周期的網(wǎng)絡(luò)調(diào)度策略［27］，并將其應(yīng)用到橫擺力矩控制中。圖11顯示融合分數(shù)型基本周期理論的直接橫擺力矩的混合調(diào)度-控制框架。在該框架下，分數(shù)型基本周期的柔性時間觸發(fā)的調(diào)度策略，用以消除多包傳輸帶來的不同步問題，并將延時組織到更小的范圍，控制回路中的延時被減少到以內(nèi)。分數(shù)型基本周期的網(wǎng)絡(luò)調(diào)度策略實現(xiàn)了網(wǎng)絡(luò)流量的主動管控，提高了系統(tǒng)的實時性和穩(wěn)定性。

4.4 系統(tǒng)學(xué)-結(jié)構(gòu)學(xué)-最值公式回路時滯分析法

車載網(wǎng)絡(luò)的廣泛應(yīng)用使車輛控制系統(tǒng)成為網(wǎng)絡(luò)化控制系統(tǒng)。近年來國內(nèi)外學(xué)者對車輛網(wǎng)絡(luò)化系統(tǒng)做了一定程度的研究，然而大多數(shù)研究止步于對某一特定系統(tǒng)中的網(wǎng)絡(luò)延時進行分析，這導(dǎo)致其分析方法的應(yīng)用場景大大受限。基于此，本文中提出了一種針對車輛網(wǎng)絡(luò)化控制系統(tǒng)的系統(tǒng)學(xué)-結(jié)構(gòu)學(xué)-最值公式回路時滯分析方法［26， 28-29］，如圖12所示。

具體來講，系統(tǒng)學(xué)是從系統(tǒng)的角度描述回路信息的傳遞路徑，結(jié)構(gòu)學(xué)是從結(jié)構(gòu)角度分解并定義節(jié)點服務(wù)時間、鏈路服務(wù)時間和聚合多服務(wù)回路延時的概念，推導(dǎo)各構(gòu)件數(shù)學(xué)公式及其求和公式，最值公式是從最值計算角度推導(dǎo)尋求聚合多服務(wù)回路延時上確界的公式。該分析方法分別在電動車輛的傳動系統(tǒng)控制和域架構(gòu)下自適應(yīng)巡航系統(tǒng)和緊急制動系統(tǒng)的設(shè)計上進行驗證。

基于上述理論研究，研制了車載高速分布式光纖通信接口芯片初樣，支持車載高速分布式光纖通信接口的SERDES串化解串功能，支持1.25、2.5、4.25 Gbps等速率光模塊，支持波長850、1 310、1 550 nm等不同規(guī)格的光模塊，具有體積小、功耗低等優(yōu)點，非常適合于功耗、體積以及電磁兼容性要求苛刻的車載應(yīng)用。

5 實車驗證

在上述技術(shù)攻關(guān)成果的基礎(chǔ)上，研制了集成車載核心控制芯片和車控操作系統(tǒng)的整車控制器（圖13），通過在高溫（環(huán)境平均溫度不低于35 ℃，最高溫度不低于50 ℃）、高寒（環(huán)境平均溫度不高于-15 ℃，最低溫度不高于-40 ℃）、高濕（環(huán)境平均溫度不低于20 ℃，平均濕度不低于50%，最大濕度不低于95%）、高原（平均海拔不低于3 000 m，最高海拔不低于4 700 m）等典型極端環(huán)境條件下的實車（圖14）道路驗證，構(gòu)建了支持自主車載核心控制芯片和自主車控操作系統(tǒng)的軟硬件一體化集成評測的新能源汽車新技術(shù)開放整車驗證平臺，支持自主車載核心控制芯片、自主車控操作系統(tǒng)、自主車載高速光纖通信系統(tǒng)的快速搭載驗證，為正向開發(fā)奠定了堅實的基礎(chǔ)。

在芯片機制允許訪問、不影響芯片正常運行功能和性能的前提下，對車載控制芯片進行實車驗證過程中的數(shù)據(jù)采集，架構(gòu)如圖15所示。當接口通信速率足夠大時（比如采用以太網(wǎng)），可支持直接對芯片上寄存器數(shù)據(jù)的同步采集傳送，如圖中紅色線示意。當接口通信速率較低時，則須增加一個存儲器做為數(shù)據(jù)的存儲緩存，分時上傳，如圖中黑色和褐色線示意。

將車載芯片采集和評價的數(shù)據(jù)分為芯片運行數(shù)據(jù)和環(huán)境數(shù)據(jù)兩大類，如表1所示。分別采集核心關(guān)鍵指標，對極值、均值、標準差、時間序列等指標進行分析，評價車載芯片的運行狀態(tài)是否正常。

6 結(jié)論

以車載核心控制芯片、車控操作系統(tǒng)與車載高速光纖通信系統(tǒng)為核心的車載控制基礎(chǔ)軟硬件負責(zé)整車控制功能，是保障系統(tǒng)可靠性與功能安全性的關(guān)鍵。我國企業(yè)尚未全部掌握車載核心控制芯片及車控操作系統(tǒng)的可靠性設(shè)計與安全性評測關(guān)鍵技術(shù)，嚴重制約了我國新能源汽車的自主安全發(fā)展。

本文針對國產(chǎn)基礎(chǔ)軟硬件與整車產(chǎn)品高安全性和高可靠性要求的巨大差距，介紹了車載核心控制芯片可靠性與功能安全性、車控操作系統(tǒng)可靠性與功能安全性、車載高速分布式光纖通信功能安全性、車載核心軟硬件集成與評測等關(guān)鍵技術(shù)的最新研究成果，并基于北汽集團的新能源汽車完成了自主研制的車載核心控制器件和車控操作系統(tǒng)的實車驗證，為我國新能源汽車車載控制基礎(chǔ)軟硬件的自主可控奠定了堅實的基礎(chǔ)。

參考文獻?

[1]王會杰， 楊燕紅， 李志強. 我國智能網(wǎng)聯(lián)汽車發(fā)展現(xiàn)狀及策略分析［J］. 汽車實用技術(shù)，2023，48（6）：53-57.WANG H J， YANG Y H， LI Z Q. Analysis on the development status and strategy of intelligent connected vehicles in China［J］. Automobile Technology， 2023， 48（6）：53-57.

[2]李寒洋. 淺談智能網(wǎng)聯(lián)汽車發(fā)展現(xiàn)狀及趨勢［J］. 汽車工業(yè)研究，2020（1）：2-9.LI H Y. Discussion on the development status and trends of intelligent connected vehicles ［J］. Auto Industry Research， 2020（1）：2-9.

[3]崔明陽，黃荷葉，許慶，等.智能網(wǎng)聯(lián)汽車架構(gòu)、功能與應(yīng)用關(guān)鍵技術(shù)［J］.清華大學(xué)學(xué)報（自然科學(xué)版）， 2022，62（3）：493-508.CUI M Y，HUANG H Y， XU Q， et al. Survey of intelligent and connected vehicle technologies：architectures， functions and applications ［J］. Journal of Tsinghua University（Science and Technology）， 2022，62（3）：493-508.

[4]英飛凌科技股份公司. TC397器件數(shù)據(jù)手冊［G］. 2020.Infineon Technologies Co.， Ltd. TC397 device data manual［G］. 2020.

[5]朱敏慧.瑞薩R-Car系列助力自動駕駛研發(fā)［J］. 汽車與配件，2021（8）：56.ZHU H M. Reza R-Car series assists in the development of autonomous driving ［J］. Automobile & Parts， 2021（8）：56.

[6]XU Dawen， HE Meng， LIU Cheng， et al. R2F：a remote retraining framework for AIoT processors with computing errors［J］. IEEE Transactions on Very Scale Integration（VLSI） System， 2021， 29（11）：1955-1966.

[7]WANG Mingyu， LI Zhaolin. A spatial and temporal locality-aware adaptive cache design with network optimization for tiled many-core architectures［J］. IEEE Transactions on Very Large Scale Integration Systems，2017， 25（9）：2419-2433.

[8]潘妍，張也，周瑞坤，等.我國智能網(wǎng)聯(lián)汽車操作系統(tǒng)研究［J］. 電子元器件與信息技術(shù)，2022（5）：142-146.PAN Y， ZHANG Y， ZHOU R K， et al. Research on the intelligent connected vehicle operating system in China ［J］. Electronic Components and Information Technology， 2022（5）：142-146.

[9]李魯苗，周瑋.全球車用操作系統(tǒng)發(fā)展現(xiàn)狀［J］.汽車縱橫， 2022（1）：39-42.LI L M， ZHOU W. Current situation of global automotive operating system development ［J］. Auto Review， 2022（1）：39-42.

[10]盛煒杰， 陳錦云， 王雅思， 等. 車載網(wǎng)絡(luò)發(fā)展趨勢和車載光纖傳輸研究進展［J］. 激光與光電子學(xué)進展，2023， 60（5）：1-11.SHENG W J， CHEN J Y， WANG Y S， et al. Development trend of in-vehicle networks and research progress of in-vehicle optical fiber transmission ［J］. Laser & Optoelectronics Progress， 2023， 60（5）：1-11.

[11]鄭志超，南金瑞，南江峰.車載網(wǎng)絡(luò) CAN FD 總線的應(yīng)用前景和技術(shù)研究［J］. 現(xiàn)代電子技術(shù)， 2021， 44（1）：5-9.ZHENG Z C， NAN J R， NAN J F. Research on application prospect and technology of CAN FD bus of vehicle network ［J］. Modern Electronics Technique， 2021， 44（1）：5-9.

[12]HE Yintao， WANG Ying， LIU Cheng， et al. TARe：task-adaptive in-situ ReRAM computing for graph learning［C］. ACM/IEEE Design Automation Conference （DAC）， 2021：577-582.

[13]HE Lei， LIU Cheng， WANG Ying， et al. GCiM：a near-data processing accelerator for graph construction［C］. ACM/IEEE Design Automation Conference， 2021：205-210.

[14]HAN Jianhui， FEI Xiang， LI Zhaolin， et al. Polyhedral-based compilation framework for in-memory neural network accelerators［J］. ACM Journal on Emerging Technology in Computing Systems， 2021， 18（1）：1-23.

[15]LIU Cheng， CHU Cheng， XU Dawen， et al. HyCA：a hybrid computing architecture for fault tolerant deep learning［J］. IEEE Transactions on Computer-Aided Design of Integrated Circuits and Systems， 2021， 41（10）：3400-3413.

[16]ZHANG Ying， DING Yi， PENG Zebo， et al. BMC-based temperature-aware SBST for worst-case delay fault testing under high temperature［J］. IEEE Trans. Very Large Scale Integration Systems， 2022， 30（11）：1677-1690.

[17]LI Huawei， LI Xiaowei. Selection of crosstalk-induced faults in enhanced delay test［J］. Journal of Electronic Testing：Theory and Applications， 2005， 21（2）：181-195.

[18]KRSTIC A， LIOU Jingjia， JIANG Yimin， et al. Delay testing considering crosstalk-induced effects［C］. Proceedings of IEEE International Test Conference， 2001：558-567.

[19]LI Wen， WANG Ying， LIU Cheng， et al. On-line fault protection for reram-based neural networks［J］. IEEE Transactions on Computers， 2023，72（2）：423-437.

[20]MA Haitong， LIU Changliu， LI Shengbo Eben， et al. Joint synthesis of safety certificate and safe control policy using constrained reinforcement learning［J］. PMLR， 2022， 144：97-109.

[21]ZHENG Haotian， CHEN Chaoyi， LI Shuai， et al. Learning-based safe control for robot and autonomous vehicle using efficient safety certificate［J］. IEEE Open Journal of Intelligent Transportation Systems， 2023，4：419-430.

[22]GU Ziqing， GAO Lingping， MA Haitong， et al. Safe-state enhancement method for autonomous driving via direct hierarchical reinforcement learning［C］. IEEE Transactions on Intelligent Transportation Systems， 2023.

[23]GU Ziqing， YIN Yuming， LI Shengbo Eben， et al. Integrated eco-driving automation of intelligent vehicles in multi-lane scenario via model-accelerated reinforcement learning［J］. Transportation Research Part C，2022，144：1-14.

[24]王遵彤，李彩，吳啟迪.多處理器系統(tǒng)動態(tài)調(diào)度負載均衡節(jié)約算法［J］.控制與決策， 2011， 26（11）：5.WANG Z T， LI C， WU Q D. Load-balancing thrift algorithm for dynamic scheduling of multiprocessor systems ［J］. Control and Decision， 2011， 26（11）：5.

[25]CAO Wanke， WANG Lecheng， LI Jianwei，et al. Analysis and design of drivetrain control for the AEV with network-induced compounding-construction loop delays［J］. IEEE Transactions on Vehicular Technology， 2021， 70（6）：5578-5591.

[26]CAO Wanke， LU Jizhi， LI Jianwei， et al. Networked motion control for smart EV with multiple-package transmissions and time-varying［J］. IEEE Transactions on Industrial Electronics， 2022， 69（4）：4076-4086.

[27]CAO Wanke， LIU Shao， LI Jianwei， et al. Analysis and design of adaptive cruise control for smart electric vehicle with domain-based poly-service loop delay［J］. IEEE Transactions on Industrial Electronics， 2023， 70（1）：866-877.

[28]WANG Wenwei， YU Shiyao， CAO Wanke. Review of in-vehicle optical fiber communication technology［J］. Automotive Innovation， 2022，5（3）：272-284.

[29]CAO Wanke， YANG Mengchao， WEI Zhongbao， et al. Autonomous emergency braking of electric vehicles with high robustness to cyber-physical uncertainties for enhanced braking stability［J］. IEEE Transactions on Vehicular Technology， 2022， 72（4）：4426-4441.? ?

編輯：黃飛

?