內(nèi)容提要：在本文中，我們介紹了異構(gòu)平臺的關(guān)鍵點(diǎn)，并重點(diǎn)介紹了自適應(yīng)AUTOSAR平臺標(biāo)準(zhǔn)及其最新版本。我們研究了經(jīng)典AUTOSAR和自適應(yīng)AUTOSAR之間的主要區(qū)別。我們舉了一個經(jīng)典和自適應(yīng)AUTOSAR之間通信的場景案例。我們提供了功能安全前提，以安全地建立汽車應(yīng)用。

網(wǎng)聯(lián)化和智能化將對下一代汽車的網(wǎng)絡(luò)架構(gòu)和ECU之間的互連產(chǎn)生重要影響。汽車行業(yè)開始制定新的有效戰(zhàn)略來提高全球化系統(tǒng)的性能。AUTOSAR組織作為行業(yè)的一部分，試圖提出整體解決方案，尤其是新技術(shù)領(lǐng)域的軟件架構(gòu)。在本文中，我們將介紹新E/E架構(gòu)與即將到來的技術(shù)的各個方面。重點(diǎn)討論AUTOSAR組織提出的新解決方案，以實(shí)現(xiàn)下一代汽車的新軟件要求。該解決方案旨在為需要復(fù)雜數(shù)據(jù)處理以及與AUTOSAR和非AUTOSAR平臺通信的功能提供安全的環(huán)境。我們在功能和應(yīng)用領(lǐng)域方面總結(jié)了自適應(yīng)AUTOSAR和經(jīng)典AUTOSAR之間的全面比較。我們?yōu)槿駿/E架構(gòu)提供功能安全預(yù)備。

1.簡介

最近，聯(lián)網(wǎng)和自動駕駛成為汽車領(lǐng)域的最新技術(shù)行業(yè)。這直接導(dǎo)致汽車中電子元件和嵌入式系統(tǒng)的百分比增加。此外，汽車本質(zhì)上安全性至關(guān)重要。現(xiàn)代汽車中ECU的使用呈指數(shù)級增長，每個都有特定的功能。目前的信息娛樂、Car-to-X技術(shù)、自動駕駛汽車等都需要高水平的計算能力。這意味著網(wǎng)絡(luò)架構(gòu)要在短時間內(nèi)處理和傳輸大量數(shù)據(jù)。

為了在軟件架構(gòu)上實(shí)現(xiàn)這些新技術(shù)，除了現(xiàn)有的安全和保障要求外，還需要一個動態(tài)的軟件環(huán)境。在這種情況下，由OEM和供應(yīng)商組成的AUTOSAR組織認(rèn)識到，這些新要求無法通過現(xiàn)有的軟件架構(gòu)來實(shí)現(xiàn)。一般來說，AUTOSAR為整個分層架構(gòu)中的不同軟件需求提供解決方案，該架構(gòu)將軟件與微控制器分開，軟件組件可重用于其他應(yīng)用程序，如圖1所示。AUTOSAR聯(lián)盟提供了兩個標(biāo)準(zhǔn)，稱為經(jīng)典平臺和自適應(yīng)平臺，用于不同的目標(biāo)和要求。經(jīng)典平臺已在業(yè)界建立，旨在使用低成本的處理器滿足嚴(yán)格的實(shí)時要求。另一方面，最近推出了自適應(yīng)AUTOSAR平臺，以處理對性能有特別要求的應(yīng)用程序，例如高級別自動駕駛。這些趨勢的結(jié)合將為即將到來的E/E架構(gòu)鋪平道路。

圖1. 應(yīng)用軟件與硬件分離

在本文中，我們介紹了異構(gòu)平臺的關(guān)鍵點(diǎn)，并重點(diǎn)介紹了自適應(yīng)AUTOSAR平臺標(biāo)準(zhǔn)及其最新版本。我們研究了經(jīng)典AUTOSAR和自適應(yīng)AUTOSAR之間的主要區(qū)別。我們舉了一個經(jīng)典和自適應(yīng)AUTOSAR之間通信的場景案例。我們提供了功能安全前提，以安全地建立汽車應(yīng)用。

2.未來E/E架構(gòu)概述

2.1不同軟件平臺的組合

如今，可以在不同的域看到新的網(wǎng)絡(luò)架構(gòu)，例如網(wǎng)聯(lián)、信息娛樂、電氣化等。每個域都有一個特定的ECU，具有特定的開發(fā)方法。除了使用Linux或其他操作系統(tǒng)的信息娛樂ECU之外，經(jīng)典AUTOSAR平臺是深度嵌入式ECU的標(biāo)準(zhǔn)，另一種類型的ECU必須具有不同的特性，必須與現(xiàn)有的E/E架構(gòu)相匹配并互連，以響應(yīng)來自新的嵌入式應(yīng)用程序的需求。

2.2.面向服務(wù)的通信

ECU之間使用傳統(tǒng)協(xié)議（如CAN、LIN、FlexRay和MOST）通過信號進(jìn)行通信，非常適合汽車內(nèi)的數(shù)據(jù)傳輸。同時，信息娛樂和Car-to-X等先進(jìn)技術(shù)需要更高的帶寬，但由于性能有限，這些協(xié)議并不能支持這些技術(shù)。

面向服務(wù)的通信，是一種基于在通信網(wǎng)絡(luò)上提供服務(wù)的應(yīng)用程序，是連接系統(tǒng)及其用戶的靈活有效的方式。未來的E/E架構(gòu)將是面向服務(wù)的范式與現(xiàn)有傳統(tǒng)通信的組合。AUTOSAR作為一個由原始設(shè)備制造商及其供應(yīng)商組成的聯(lián)合體，基于現(xiàn)有標(biāo)準(zhǔn)標(biāo)準(zhǔn)化了一個新平臺，稱為自適應(yīng)AUTOSAR平臺。

3.自適應(yīng)AUTOSAR平臺

自適應(yīng)AUTOSAR平臺是一種標(biāo)準(zhǔn)化架構(gòu)，用于高性能ECU構(gòu)建安全系統(tǒng)，例如高級輔助駕駛和自動駕駛系統(tǒng)。圖2描繪了該平臺的整體架構(gòu)。

從版本1.0.0到最后一個版本R20-11，引入了自適應(yīng)平臺的幾個概念，為平臺添加了新功能，該自適應(yīng)平臺的核心功能之一，叫做自適應(yīng)應(yīng)用程序的AUTOSAR Runtime(ARA)。ARA為用戶提供了在系統(tǒng)中進(jìn)行通信和執(zhí)行自適應(yīng)應(yīng)用程序所需的所有接口和基礎(chǔ)設(shè)施，并允許在ECU之間進(jìn)行數(shù)據(jù)交換，而不管其內(nèi)部架構(gòu)如何。此外，它還提供了對操作系統(tǒng)功能的直接訪問，稱為“最小實(shí)時系統(tǒng)配置文件”（PSE51）。

基于POSIX子集的模塊操作系統(tǒng)接口負(fù)責(zé)運(yùn)行時資源管理，例如信號、定時器和線程處理，用于建立平臺的所有自適應(yīng)應(yīng)用程序和功能集群。

在自適應(yīng)AUTOSAR平臺中，應(yīng)用程序并不完全受靜態(tài)調(diào)度和內(nèi)存管理的限制，而是可以根據(jù)當(dāng)前需要自由分配內(nèi)存，并通過面向?qū)ο缶幊虂矸纸馄淙蝿?wù)。

運(yùn)行管理模塊是架構(gòu)的一個元素，負(fù)責(zé)啟動和停止自適應(yīng)AUTOSAR應(yīng)用程序，并負(fù)責(zé)在應(yīng)用程序執(zhí)行期間提供必要的資源。為了確保本地應(yīng)用程序和其他ECU上的應(yīng)用程序之間的通信，包括與自適應(yīng)平臺服務(wù)的交互，必須定義中間件協(xié)議。自適應(yīng)AUTOSAR使用中最顯著的變化，是基于以太網(wǎng)的通信系統(tǒng)的普遍使用。R20-11版本，增加的支持以太網(wǎng)協(xié)議的新技術(shù)與IEEE802.3cg指定的10BASE-T1S相關(guān)。這項(xiàng)新功能允許使用多點(diǎn)配置輕松將設(shè)備集成到汽車以太網(wǎng)中。此外，它位于OSI模型的第1層和第2層，經(jīng)典平臺和自適應(yīng)平臺都支持。

圖2.自適應(yīng)AUTOSAR平臺

AUTOSAR 組織有一個廣泛的自適應(yīng) AUTOSAR 發(fā)布計劃。最新發(fā)布日期為 2020 年 11 月。此版本的重點(diǎn)是向平臺添加新功能來增強(qiáng)安全性和通信（10BASE-T1S、ara 通信組）。此外，還有針對經(jīng)典和自適應(yīng)平臺的一些概念，加強(qiáng)了兩個平臺之間的交互。

4.AUTOSAR Foundation

未來汽車的ECU由不同的架構(gòu)平臺組成，以提供所需的功能，例如高度自動駕駛、聯(lián)網(wǎng)系統(tǒng)、底盤和信息娛樂。請注意，每個系統(tǒng)都可能被歸類為安全關(guān)鍵部分或非安全關(guān)鍵部分。為了實(shí)現(xiàn)全局系統(tǒng)的完整功能，平臺之間需要中間件通信。為此，AUTOSAR組織定義了一個單獨(dú)的標(biāo)準(zhǔn)，稱為AUTOSAR Foundation。Foundation標(biāo)準(zhǔn)（“基礎(chǔ)版本概述”，n.d.）的主要目標(biāo)是加強(qiáng)AUTOSAR平臺之間的互操作性，并確保以下平臺之間的兼容性：

?經(jīng)典和自適應(yīng)平臺。

?非AUTOSAR平臺到AUTOSAR平臺。

5.經(jīng)典AUTOSAR與自適應(yīng)AUTOSAR

經(jīng)典AUTOSAR是ECU標(biāo)準(zhǔn)化軟件架構(gòu)的第一個成就，自適應(yīng)AUTOSAR剛剛提供了一個新架構(gòu)來滿足新的OEM要求。在經(jīng)典平臺中，應(yīng)用層在操作系統(tǒng)的幫助下，通過運(yùn)行時環(huán)境（RTE）處理軟件組件之間的通信。RTE充當(dāng)ECU之間的抽象層，并通過特定的通信網(wǎng)絡(luò)建立ECU間的通信。在自適應(yīng)平臺中，應(yīng)用程序利用“自適應(yīng)應(yīng)用程序的AUTOSAR Runtime”，也稱為ARA。

這個運(yùn)行時環(huán)境為用戶提供了標(biāo)準(zhǔn)化的接口，以有效地將不同應(yīng)用程序集成到系統(tǒng)中。ARA為ECU內(nèi)部和網(wǎng)絡(luò)間通信，以及對診斷和網(wǎng)絡(luò)管理等基本服務(wù)的訪問提供機(jī)制。自適應(yīng)AUTOSAR應(yīng)用程序由通過服務(wù)進(jìn)行通信的軟件組件構(gòu)成。可能會要求或提供這些服務(wù)。此外，應(yīng)用程序員可以直接訪問操作系統(tǒng)功能的子集。在通信方面，自適應(yīng)AUTOSAR定義了一個名為ara::com的新功能。ara::com是基于SOA的標(biāo)準(zhǔn)C++API，更具體地說是基于SOME/IP。對應(yīng)的，經(jīng)典AUTOSAR包含了使用RTE信號的軟件組件之間的通信。

圖3.自適應(yīng)AUTOSAR和經(jīng)典AUTOSAR中的應(yīng)用程序之間的差異

該操作系統(tǒng)展示了自適應(yīng)AUTOSAR平臺和經(jīng)典AUTOSAR平臺之間的一些關(guān)鍵區(qū)別。在自適應(yīng)AUTOSAR中，應(yīng)用程序不再依賴于非常嚴(yán)格的靜態(tài)調(diào)度和內(nèi)存管理，而是可以根據(jù)需要自由地創(chuàng)建和銷毀任務(wù)以及分配內(nèi)存，包括使用C++作為編程語言，這與經(jīng)典平臺中的C不同。

圖4.示例說明RTE和ARA::COM的代碼實(shí)現(xiàn)

AUTOSAR平臺的一個重點(diǎn)是更新和配置管理。自適應(yīng)平臺現(xiàn)在提供刪除、更新或添加單個應(yīng)用程序的選項(xiàng)，而經(jīng)典平臺只能在更新期間替換整個ECU代碼。

自適應(yīng)平臺的另一個特性是它向?qū)ｉT面向服務(wù)的架構(gòu)范式過渡，這為系統(tǒng)設(shè)計提供了更大的靈活性。應(yīng)用程序通過自適應(yīng)平臺將其功能作為服務(wù)提供，并且它們可以使用所提供的服務(wù)。另一方面，經(jīng)典平臺的重點(diǎn)主要是面向信號的通信。盡管如此，也能以基于服務(wù)的方式使用經(jīng)典AUTOSAR在多個ECU之間進(jìn)行通信。在實(shí)踐中，自適應(yīng)AUTOSAR和經(jīng)典平臺的主要屬性是相輔相成的。因此，可以假設(shè)基于這兩種標(biāo)準(zhǔn)的ECU將在未來的車輛中使用，從而形成異構(gòu)架構(gòu)。

表1：自適應(yīng)AUTOSAR和經(jīng)典AUTOSAR之間的比較

6.AUTOSAR平臺之間的通信

通過以太網(wǎng)互連的ECU使用SOME/IP上的面向服務(wù)的通信。在此示例中，經(jīng)典AUTOSAR ECU1連接到多個總線系統(tǒng)上，其他ECU再和這些總線系統(tǒng)連接（圖5）。

ECU1在此配置中作為網(wǎng)關(guān)運(yùn)行，它負(fù)責(zé)將消息信號從總線端傳輸?shù)椒?wù)中，以便自適應(yīng)AUTOSAR平臺可以直接訪問它們。通信矩陣是AUTOSAR ECU設(shè)計的固定組件，無論是經(jīng)典平臺還是自適應(yīng)平臺。由于兩個平臺的配置格式不同，需要以轉(zhuǎn)換的形式映射服務(wù)配置。對于與經(jīng)典AUTOSAR ECU（其操作完全基于信號）通信而言，情況更為復(fù)雜。在這種情況下，ECU1被設(shè)計為信號網(wǎng)關(guān)，它將消息信號直接轉(zhuǎn)換為以太網(wǎng)上的UDP幀（“UDP網(wǎng)絡(luò)管理規(guī)范”，n.d.）。自適應(yīng)AUTOSAR ECU再將信號從UDP幀轉(zhuǎn)換為ECU2中可用的服務(wù)。

圖5.一個示例說明RTE和ARA::COM的代碼實(shí)現(xiàn)

7.E/E架構(gòu)的安全準(zhǔn)備

7.1.功能安全概述

在汽車行業(yè)，我們更傾向于將安全定義為免受可能對汽車和道路上的人員造成物理或財產(chǎn)傷害的危險情況。

在實(shí)現(xiàn)汽車應(yīng)用的過程中，保證安全始終是前提。根據(jù)ISO 26262中的定義，功能安全是指沒有因危險而導(dǎo)致的不可預(yù)測故障。E/E架構(gòu)的故障行為帶來的風(fēng)險（“ISO-標(biāo)準(zhǔn)”，n.d.）。標(biāo)準(zhǔn)ISO 26262有兩個版本，第一個版本是于2011年推出，最近于2018年12月推出（“ISO 26262-1:2018(en)。

7.2.ASIL 定義

在ISO 26262中，汽車安全完整性等級(ASIL)是一種風(fēng)險分類方法，可幫助開發(fā)人員滿足安全應(yīng)用的功能安全要求。ASIL基于危害分析和風(fēng)險評估，通過估計每個硬件/軟件組件行為的嚴(yán)重性、暴露度和可控性。ISO 26262確定了四個ASIL級別A、B、C和D以及不被視為ASIL的質(zhì)量管理(QM)，ASIL D代表最高程度的危險，而ASIL A代表最低程度。

要確定ASIL，我們需要綜合考慮嚴(yán)重性、暴露度和可控性。暴露表示造成傷害的概率，嚴(yán)重性表示傷害的程度，可控性表示通過駕駛員的及時反應(yīng)避免傷害的能力。表2說明了基于嚴(yán)重程度的ASIL判定、曝光度和可控性。

表2：ISO 26262中的ASIL確定

8.結(jié)論

目前，自動駕駛和聯(lián)網(wǎng)汽車技術(shù)正在發(fā)展，并提出更多挑戰(zhàn)，尤其是在安全方面。在軟件部分，AUTOSAR作為一個組織提供了非常適合這些挑戰(zhàn)的解決方案。

自適應(yīng)AUTOSAR的設(shè)計目的不是在功能上取代經(jīng)典AUTOSAR，但我們需要它們共存和合作，以滿足汽車行業(yè)的需求和挑戰(zhàn)。要確定在特定應(yīng)用中使用哪一個，我們需要從回答以下問題開始：我們需要多少計算能力？我們的時間要求是什么？我們的應(yīng)用程序有多動態(tài)？

需要了解更多關(guān)于自適應(yīng)AUTOSAR和經(jīng)典AUTOSAR的朋友，可關(guān)注牛喀學(xué)城AUTOSAR實(shí)訓(xùn)培訓(xùn)。添加VX：NewCarRen

作者：牛喀網(wǎng)專欄作者
牛喀網(wǎng)文章，未經(jīng)授權(quán)不得轉(zhuǎn)載！