引言
和友人一起交流Zonal架构这样未来5-10年才会普及的架构到底有多少好处,我觉得这个问题是可以理一理的,特别是之前在EE架构方面比较沉默的丰田,也很明确会在2025年以后导入Zonal架构并且围绕座舱和自动驾驶两个核心的计算平台进行大幅度的改动。特别是今天在读BMW的Florian Oszwald有关于《Evaluation Methodologies in the Development of Dynamically Reconfigurable Systems in the Automotive Industry》,围绕着动态可重新配置的系统,如果可以满足安全性要求,也就是在Zonal控制器层面可以进行动态的配置,使得这些作为网关中转的模块可以快速和之前的围绕硬件设计的ECU进行兼容,并且予以替换。
01 Zonal 架构的基本好处
总的来说,EE架构是从分布式架构到域集中架构,从域集中到跨域融合,从跨域融合再到最终的中央计算平台。Zonal架构有别于目前MEB以传统Domain和后续PPE的多个HPC下Domain的进化,主要的优化空间阐述来看,有以下的好处:
1)整车线束在电源需求增加和网络复杂度增加方面,可以达到简化线束复杂度和减少线束用量效果,有助于线缆的重量和成本的下降。随着车辆智能化的要求,还有电子化的配置越来越多,车上不断增加的执行器和传感器,和相应不断增加的算力和数据传输带宽,正在不断挑战集中式配电单元和整车输送电源的难度,通过Zonal在物理上可以减小这些的困扰。
2)整车制造方面:Model Y的100米的牛,可能是需要Zonal架构的线束整体层面简化来实现的,在Zonal架构下,线束可以往产线自动化方向去考虑,在整体的空间和安装位置也会大大节约。软件层面不多说了,这个后续都是发展的重点。
图1 丰田有关于Zonal架构的好处
这些好处其实不足以让我们抛弃原有的东西,剩下来的配线和林林总总的,其实在汽车的成本和投入面前都是小钱。这里的核心问题还是可动态配置,可以在复杂性和安全方面做平衡,大量算力和功能涌入车里面,一个不好就是开发上的灾难。在完全集中控制的Zonal架构里面,绝对的中心是车载计算平台,Zonal 控制器所扮演的角色主要是充当网关的角色,提供并分配数据和电力,并实现车辆特定区域的功能,如下图所示的对应关系,器最重要的特性是承上启下,和中央计算平台完成基于服务的功能,然后和我们熟悉的ECU和执行器协同工作完成任务。Zonal架构里面的Zonal ECU的作用,是保证功能在不同ECU或区之间的可移植性;增加软件的复用性;传统通信机制得以保留;比如关键任务ECU能够保留,并仍旧使用基于信号的通信,保留Classic-AUTOSAR,但是把服务映射到传统的ECU中。
图2 Zonal 控制器
02 可进行动态配置的安全系统
在下图里面,动态可重配置系统(DRS)由以下所组成: 1) 最底下的部分是依赖于硬件设计的HDS,主要代表制动和转向模块,由三个与Zonal控制器进行CAN通信的ECU所组成 2) 面向服务的架构(SOA)系统代表面向服务架构,基于以太网进行通信,基于(SOME /IP) 3) 最顶层是控制系统:这个我们不多说了,目前是2-3个,以后变成一个中央的计算平台 Dynamic Simplex Architecture(DSA)概念的目标是实现基于处理器的Fail Operational,目标是检测下面HDS和zonal ECU本身的故障,然后采取措施予以处理。
图3 DRS 动态重构的EE系统概览
从控制框图的角色来看,这些Zonal控制器在任务层面是起到执行和备份的作用,当一个复杂系统出现问题的时候,对应的Fallback System可以实施动态的重新分配和替代。这里也是把IT系统里面,集中运算分布可替代重构实施的定义拿了出来,如下图所示。
图4 考虑故障的系统
这里动态的概念,最主要是自我检测是否有问题,然后实施动态的切换,单个Zonal的算力也不算低,它能承担一定的逻辑执行的任务,主要兼容控制平台的输出检查。
The Control System entity is implemented on the PMU of the Xilinx ZCU 102, which provides fault tolerance by applying a triple-redundant processor and error correction check (ECC) on the RAM interface. In response to lockstep error notifications from the Real-time Processing Unit (RPU), it performs a context switch from c_complex to c_fallback.
SOA系统的主要功能是提供冗余管控,在管理和控制两个DSA切换过程中。在原文中,重点使用蒙特卡洛的方法模拟多个问题,基于这种管控,可以在系统层面得到一个很高的安全性。
The main functionality of the SOA system is to provide redundancy in terms of managing and control the context switch between two DSAs. Its functionalities can be extended to provide services for each DSA or even allow the implementation of new functionalities during run-time through reconfiguration.
小结:我觉得印象最深刻的还是,除了特别重要特别分不开的比如ESP这样和整车安全不能换的,大部分的ECU的设计在未来都是要重新去考虑的,特别是当大量的软件给拿走以后,真的是可以实现一个汽车平台的软件大部分用于下个汽车平台。汽车上之前由于复杂性解决不了的安全性问题,可以通过类似的动态重构来实现,这个差异化还是我们仔细去探索的。
