Zonal架構(gòu)下動態(tài)配置切換

引言：和友人一起交流 Zonal 架構(gòu)這樣未來 5-10 年才會普及的架構(gòu)到底有多少好處，我覺得這個問題是可以理一理的，特別是之前在 EE 架構(gòu)方面比較沉默的豐田，也很明確會在 2025 年以后導入 Zonal 架構(gòu)并且圍繞座艙和自動駕駛兩個核心的計算平臺進行大幅度的改動。特別是今天在讀 BMW 的 Florian Oszwald 有關(guān)于《Evaluation Methodologies in the Development of Dynamically Reconfigurable Systems in the Automotive Industry》，圍繞著動態(tài)可重新配置的系統(tǒng)，如果可以滿足安全性要求，也就是在 Zonal 控制器層面可以進行動態(tài)的配置，使得這些作為網(wǎng)關(guān)中轉(zhuǎn)的模塊可以快速和之前的圍繞硬件設(shè)計的 ECU 進行兼容，并且予以替換。

01?Zonal 架構(gòu)的基本好處

總的來說，EE 架構(gòu)是從分布式架構(gòu)到域集中架構(gòu)，從域集中到跨域融合，從跨域融合再到最終的中央計算平臺。Zonal 架構(gòu)有別于目前 MEB 以傳統(tǒng) Domain 和后續(xù) PPE 的多個 HPC 下 Domain 的進化，主要的優(yōu)化空間闡述來看，有以下的好處：?

1）整車線束在電源需求增加和網(wǎng)絡(luò)復雜度增加方面，可以達到簡化線束復雜度和減少線束用量效果，有助于線纜的重量和成本的下降。隨著車輛智能化的要求，還有電子化的配置越來越多，車上不斷增加的執(zhí)行器和傳感器，和相應(yīng)不斷增加的算力和數(shù)據(jù)傳輸帶寬，正在不斷挑戰(zhàn)集中式配電單元和整車輸送電源的難度，通過 Zonal 在物理上可以減小這些的困擾。?

2）整車制造方面：Model Y 的 100 米的牛，可能是需要 Zonal 架構(gòu)的線束整體層面簡化來實現(xiàn)的，在 Zonal 架構(gòu)下，線束可以往產(chǎn)線自動化方向去考慮，在整體的空間和安裝位置也會大大節(jié)約。軟件層面不多說了，這個后續(xù)都是發(fā)展的重點。?

圖 1 豐田有關(guān)于 Zonal 架構(gòu)的好處

這些好處其實不足以讓我們拋棄原有的東西，剩下來的配線和林林總總的，其實在汽車的成本和投入面前都是小錢。這里的核心問題還是可動態(tài)配置，可以在復雜性和安全方面做平衡，大量算力和功能涌入車里面，一個不好就是開發(fā)上的災難。在完全集中控制的 Zonal 架構(gòu)里面，絕對的中心是車載計算平臺，Zonal 控制器所扮演的角色主要是充當網(wǎng)關(guān)的角色，提供并分配數(shù)據(jù)和電力，并實現(xiàn)車輛特定區(qū)域的功能，如下圖所示的對應(yīng)關(guān)系，器最重要的特性是承上啟下，和中央計算平臺完成基于服務(wù)的功能，然后和我們熟悉的 ECU 和執(zhí)行器協(xié)同工作完成任務(wù)。Zonal 架構(gòu)里面的 Zonal ECU 的作用，是保證功能在不同 ECU 或區(qū)之間的可移植性；增加軟件的復用性；傳統(tǒng)通信機制得以保留；比如關(guān)鍵任務(wù) ECU 能夠保留，并仍舊使用基于信號的通信，保留 Classic-AUTOSAR，但是把服務(wù)映射到傳統(tǒng)的 ECU 中。?

圖 2 Zonal 控制器?

02 動態(tài)配置

??

第二部分 可進行動態(tài)配置的安全系統(tǒng) 在下圖里面，動態(tài)可重配置系統(tǒng)（DRS）由以下所組成：?1） 最底下的部分是依賴于硬件設(shè)計的 HDS，主要代表制動和轉(zhuǎn)向模塊，由三個與 Zonal 控制器進行 CAN 通信的 ECU 所組成 2） 面向服務(wù)的架構(gòu)（SOA）系統(tǒng)代表面向服務(wù)架構(gòu)，基于以太網(wǎng)進行通信，基于（SOME /IP） 3） 最頂層是控制系統(tǒng)：這個我們不多說了，目前是 2-3 個，以后變成一個中央的計算平臺 Dynamic Simplex Architecture（DSA）概念的目標是實現(xiàn)基于處理器的 Fail Operational，目標是檢測下面 HDS 和 zonal ECU 本身的故障，然后采取措施予以處理。?

圖 3 DRS 動態(tài)重構(gòu)的 EE 系統(tǒng)概覽?

從控制框圖的角色來看，這些 Zonal 控制器在任務(wù)層面是起到執(zhí)行和備份的作用，當一個復雜系統(tǒng)出現(xiàn)問題的時候，對應(yīng)的 Fallback System 可以實施動態(tài)的重新分配和替代。這里也是把 IT 系統(tǒng)里面，集中運算分布可替代重構(gòu)實施的定義拿了出來，如下圖所示。?

圖 4?考慮故障的系統(tǒng)?

這里動態(tài)的概念，最主要是自我檢測是否有問題，然后實施動態(tài)的切換，單個 Zonal 的算力也不算低，它能承擔一定的邏輯執(zhí)行的任務(wù)，主要兼容控制平臺的輸出檢查。?

The Control System entity is implemented on the PMU of the Xilinx ZCU 102, which provides fault tolerance by applying a triple-redundant processor and error correction check (ECC) on the RAM interface. In response to lockstep error notifications from the Real-time Processing Unit (RPU), it performs a context switch from c_complex to c_fallback.?

SOA 系統(tǒng)的主要功能是提供冗余管控，在管理和控制兩個 DSA 切換過程中。在原文中，重點使用蒙特卡洛的方法模擬多個問題，基于這種管控，可以在系統(tǒng)層面得到一個很高的安全性。?

The main functionality of the SOA system is to provide redundancy in terms of managing and control the context switch between two DSAs. Its functionalities can be extended to provide services for each DSA or even allow the implementation of new functionalities during run-time through reconfiguration.?

?

小結(jié)：我覺得印象最深刻的還是，除了特別重要特別分不開的比如 ESP 這樣和整車安全不能換的，大部分的 ECU 的設(shè)計在未來都是要重新去考慮的，特別是當大量的軟件給拿走以后，真的是可以實現(xiàn)一個汽車平臺的軟件大部分用于下個汽車平臺。汽車上之前由于復雜性解決不了的安全性問題，可以通過類似的動態(tài)重構(gòu)來實現(xiàn)，這個差異化還是我們仔細去探索的。