多核及ADAS ECU的AUTOSAR Safety解決方案

如今，ADAS ECU 是負責 ADAS 功能的專用模塊,在許多汽車中都有使用。分布式 ADAS ECU 正在被集成度更高的 ADAS 域控制器，域控制器其把多個 ECU 的功能集成到一起。ADAS 域控制器是大腦，可融合來自攝像頭，激光雷達，雷達，慣性測量單元（IMU）等傳感器數(shù)據(jù)和地圖數(shù)據(jù)，以進行感知外界環(huán)境并作出最佳的決策。

汽車制造商于 1980 年代首次將電子控制單元（ECU）引入車輛。

他們的目標？改善道路安全，挽救生命。這些功能的保障從曾經(jīng)需要機械零件去實現(xiàn)將會轉(zhuǎn)變成依賴軟件和電子技術(shù)去實現(xiàn)。從安全氣囊到防抱死制動和轉(zhuǎn)向，毫無疑問，這些電子 ECU 的使用和安全功能的軟件策略促成了道路上死亡人數(shù)的廣泛減少。但是隨著技術(shù)的進步，人為錯誤仍然存在。

在現(xiàn)代車輛中，ECU 支持許多旨在進一步提高道路安全性的高級駕駛員輔助系統(tǒng)（ADAS）。隨著汽車生態(tài)系統(tǒng)朝著更高的自動化水平發(fā)展，而全自動駕駛成為最終目標，ADAS ECU 將扮演越來越重要的角色。

本文將通過研究 ADAS ECU 的體系結(jié)構(gòu)，隨著時間的發(fā)展以及將來有望發(fā)揮的作用，來探討 ADAS ECU 的作用和重要性。

要了解 ADAS ECU 如何對安全無人駕駛至關重要，首先要弄明白車輛 ECU 系統(tǒng)架構(gòu)的發(fā)展歷程。

ADAS架構(gòu)的演變

傳統(tǒng)上，用于單個ADAS應用程序的ECU根據(jù)其特定功能分布在車輛周圍。例如，前避撞ECU放置在擋風玻璃中，行人檢測可以放置在整個車身的位置以檢測車輛周圍的危險。

但是，這些分散的系統(tǒng)架構(gòu)不足以實現(xiàn)更高水平的自動駕駛所需的更為復雜的駕駛員輔助系統(tǒng)。將取代分布式架構(gòu)的系統(tǒng)需要高性能的計算能力，并將多種功能組合到一個集成的域控制器或ADAS ECU中。

這種新型ECU具備高性能計算機的特點，具有強大的處理能力和廣泛的內(nèi)存，使系統(tǒng)能夠精確且可靠地處理多個數(shù)據(jù)流。

自適應巡航控制系統(tǒng)可自動控制車輛的加速和制動

對于汽車生態(tài)系統(tǒng)而言，繼續(xù)支持采用半自動駕駛汽車以提供高級駕駛輔助至關重要。隨著車輛中ECU的功能越來越強大，它們具有高性能的處理能力，這為開發(fā)安全ADAS ECU的集中式的架構(gòu)提供了基礎。

遵守汽車安全標準

設計人員需要意識到不斷變化的系統(tǒng)架構(gòu)，才能繼續(xù)遵守嚴格的汽車安全標準。

作為安全性至關重要的系統(tǒng)，ADAS ECU及其組件（包括片上系統(tǒng)（SoC））必須符合電子系統(tǒng)標準ISO 26262的安全性。此國際功能安全標準為公路車輛中與安全相關的系統(tǒng)解決了因任何故障引起的潛在危害。

由于SoC需要更高的自動化水平，并且在諸如轉(zhuǎn)向，制動和加速之類的安全關鍵型應用中發(fā)揮作用，因此SoC還必須符合汽車安全完整性等級（ASIL）并滿足汽車質(zhì)量管理流程（例如ASPICE）。

盡管目前存在這些挑戰(zhàn)，但滿足這些關鍵的安全要求有助于確保駕駛員及其周圍人員的安全。

ADAS ECU及其與傳感器的關系

ADAS ECU除了具備更加智能地控制車輛能力，還具有對采集的原始數(shù)據(jù)進行處理的功能。它融合了來自多個數(shù)據(jù)源的原始數(shù)據(jù)，包括照相機，短程和遠程雷達，激光雷達，超聲傳感器以及地圖數(shù)據(jù)。

可以通過ECU中的微控制器單元（MCU）處理大量的傳感器數(shù)據(jù)。車輛使用它來生成周圍環(huán)境的高精度360度地圖，其中包括識別道路標記，盲點或障礙物。

然后，ADAS ECU分析采樣數(shù)據(jù)的情況并采取最佳和最安全的措施，并通過一個集成的功能強大的域控制器控制整個車輛的特定目標動作。

ADAS ECU的體系結(jié)構(gòu)安全特征之一是，車輛可以及時做出安全決策，例如緊急制動，行人檢測和前方碰撞警告。來自外部來源的數(shù)據(jù)，實時地圖和交通數(shù)據(jù)以及傳感器可以預測未來道路上的變化，來為ADAS算法應用算法（例如自適應巡航控制（ACC）和高速公路輔助系統(tǒng)）提供基礎。

為了使這些駕駛自動化應用程序安全運行，必須考慮使用ADAS域控制器。強大的計算能力，帶寬和內(nèi)存使車輛能夠?qū)崟r處理大量原始傳感器和地圖數(shù)據(jù)，從而像人一樣做出決策，甚至比人的決策更好，因為人總會犯錯誤的。

針對上面的介紹，下面分析一下幾種ADAS ECUD 安全架構(gòu)方法.架構(gòu)設計的前提是基于安全需求的確立，需求從是三個方面進行闡述，依賴的硬件的平臺，需要的性能需求及AUTOSAR標準提供的軟件及開發(fā)方法需求

ADAS ECU的安全需求

• Dependability，為了開發(fā)安全的ADAS ECU，需滿足以下幾條假設前提 -- Functional Safety (ASIL-D)
  -- Safety Microcontroller
  --Security, Reliability, Availability, Maintainability
• Performance，要求具備以下特定的性能需求 --Advanced ADAS Algorithms
  --AUTOSAR SWC
  --Realtime Requirements
  --High Performance Multi-Core Microcontroller
  --Multi-Microcontroller ECUs
  --Support for hardware acceleration (e.g. OpenCL)
• Compatibility，從軟件架構(gòu)和開發(fā)過程并行且配合地保證ECU開發(fā)的安全性
• Software Features
  --Can, Flexray, Ethernet support --Standard Diagnostic capabilities (e.g. OBD)
  --Network Management (e.g. Partial Network)
• Development Process
  --Use of standard AUTOSAR formats e.g. ECU Extract, Diagnostic Extract

ADAS ECU的不同的架構(gòu)方案及比較

下面是四種方案的overview：

• Full AUTOSAR architecture

  ? Safety Microcontroller
  ? AUTOSAR Multi-Core Safety OS
  ? ADAS algorithms as SWC
  ? Advanced hardware drivers integration as Complex Device Drivers
  ? e.g. OpenCL, AVB
  ? Proprietary video bus systems

• Microcontroller partitioning architecture
  ? Partitioning in Safety and Performance Microcontroller
  ? Separated applications treated as different ECUs during development
  ? Private Network for communication

• Core partitioning architecture
  ? One Microcontroller with several performance cores  and one safety core (typically Lockstep)

• Hypervisor architecture

  ? Host OS with AUTOSAR guest system on one Microcontroller
  ? Hypervisor could be part of Guest OS

• Compare and contrast each architecture 從安全額性能上可以看出每個架構(gòu)的異同點

AUTOSAR is part of each architecture as a common standard for

• Basic Software, Safety and Security in ECUs
• Synchronized development process between OEM and T1

點擊文章開頭上方藍字關注微信公眾號『糖果Autosar』，喜歡的朋友點個贊或者在看，支持鼓勵一下小編的辛勤創(chuàng)作。微信『cloud2sunshine』備注“加群”備注“汽車電子資料”領取技術(shù)資料。