创时智驾:解码智能驾驶域控制器行业发展态势及软硬件内核
焉知知课2022年第20期,主题为:解码智能驾驶域控制器行业发展态势及软硬件内核。本期知课由创时智驾产品专家兼系统需求负责人杨曾博士倾情分享,其专业度、深度得到了听众的一致好评!
杨曾:本科就读于南京大学物理系,博士毕业于中国科学院微系统与信息技术研究所通信与信息系统专业。毕业后在研究所参与3GPP标准化工作,任高级研究员。2011-2018年在哈曼国际担任V2X和自动驾驶资深首席工程师。现任上海创时汽车科技有限公司产品经理兼系统需求负责人。
首先介绍创时智驾正在做的一些重要事情,分享一下智驾行业现状,然后介绍创时成熟的中间件软件平台、MotionWise CarOS和安全组件Safety Copilot,以及创时为中国市场和客户开发的新的自主中间件平台——SILK。
一、创时智驾和行业发展现状
创时智驾是智能驾驶域控制器的先行者,早在2019年3月就实现了公司第一款L3智驾域控制器iECU1.0的整车项目量产,实现最后一公里泊车功能。2019年底公司通过TUV南德认证,获得国内首张智能驾驶域控制器全生命周期流程功能安全ASIL D证书。2020年公司启动基于TDA4的泊车控制器量产项目、基于Xavier的域控制器量产项目和基于地平线J2的智能摄像头量产项目;同年创时第一代iECU1.0控制器硬件获得国内首张ISO26262 2018 ASIL D产品认证证书。2021年公司启动了基于英伟达下一代核心SoC Orin-X的域控制器开发工作,同时也完成了首个搭载德州仪器TDA4VM SoC的泊车控制器的量产开发任务。
创时智驾在维也纳和上海有两个研发中心,维也纳中心拥有二十多年安全软件平台技术研发经验,在上海,我们有十多年控制器设计制造经验。创时将域控制器和安全软件平台组合在一起形成创时自己的核心产品,为客户提供智驾域控安全软硬件平台及智驾域控制器系统解决方案。
智驾行业正在从分布式功能控制器向域控制器,再到进一步域融合和中央集中式方向发展,硬件角度的趋势是控制器集成化程度越来越高,算力的不断提升,通信骨干网也在向以太网方向发展。在软件方面,更多采用平台化软件方案实现软硬件解耦,支持软硬件以不同的速度进行迭代。
智驾领域的供应商在面临一系列的挑战,首先从产品方面看,L2驾驶辅助功能控制器已进入快速渗透期,行泊一体智驾域控制器正在量产前夜,而域融合高性能控制器的开发也开始如火如荼进行中。可以看到,符合不同整车电子电器架构阶段的智驾控制器产品开发都在并行进行中,对智驾行业供应商来说这是非常大的挑战。
智驾控制器的开发难度相对比较高,需要满足的法规要求从最基础的被动安全NCAP到功能安全ISO 26262,再到SOTIF ISO 21448、多体安全IEEE P2846,信息安全ISO/SAE21434,智驾控制器开发几乎都要涉及。因智驾系统的高复杂度,使新平台的开发准备时间会很长。但是从量产项目角度看,客户为了争夺新功能新芯片的首发,量产落地时间反而缩短了,所以平台开发难度和量产落地时间构成了新的矛盾。
功能安全方面的一些基础也在松动。在整体缺芯背景下,硬件方面一些没有流程和功能安全认证的产品也在智驾中使用。操作系统方面,某些量产开发项目中Linux正在取代QNX,但Safe Linux在国际上目前还没有可行方案,所以采用Linux在功能安全方面有一定风险,需要其他方面的能力来补足。
中间件方面,在MCU侧CP已成标准,而SoC侧国内并未形成一致解决方案,通行的做法比如在部分AUTOSAR AP标准模块基础上融合一些互联网/座舱领域的先进技术。这些平台通常开发时间都比较短,成熟度比较低,也谈不上功能安全认证。另外,在软件定义汽车的大背景下,国内车企对于软件平台的灵活性和安全要求两者之间有一定抵触,亟需一些新的解决方案。
此外,智驾领域专业人才不足,投融资市场热度非常高,人员工作强度比较大,流动非常快,人才分散,集中度比较差,这些都会给项目带来一些风险。
创时智驾经过近四年的发展,针对上述市场的挑战已形成规划清晰的应对策略,从产品上我们可以提供基于TDA4VM的泊车控制器和双TDAVM的行泊一体控制器,也可以提供较为高端的基于英伟达Orin-X的面向L3的行泊一体控制器,甚至支持robotaxi功能的双/肆Orin-X。创时正在规划基于地平线J5的新的性价比控制器平台。除此之外,创时也在与国内领先车企合作开发舱驾融合高性域控制器,实现智驾与座舱域功能融合,可以支持更多、更丰富的舱驾一体的功能。
从开发效率角度看,创时一直秉承平台化的开发思路,提供三层平台化的解决方案:硬件平台、软件平台和基于统一可复用的标准客户应用接口。标准接口为客户应用软件的高速迭代开发提供了基础。平台软件让应用和底层硬件隔离,能够实现应用层高速迭代开发,为主机厂提供更多差异化竞争优势。标准接口支持主机厂功能重用,降低功能开发成本。
在功能安全方面,创时已经拿到了ISO26262流程和产品认证证书。所采用的量产成熟的中间件都经过ASIL-D功能安全认证。部分产品采用Linux操作系统,创时会有部署在芯片安全岛的功能安全机制监控Linux分区。创时自主的中间件的发展方向是支持国内软件定义汽车、服务架构的方向,引入一些基于服务的组件,如SomelP/DDS等,同时也会引入确定性SOA的开发方法论,在满足服务架构灵活性的同时,能够保障功能安全。
创时一直在促进生态合作,希望通过主机厂牵头的多方圆桌模式进行合作。创时将在自己的领域——智驾域控制器和软件平台领域精耕细作,在应用算法和核心SoC芯片方面跟合作伙伴互利合作,平衡发展。
2021年,创时全球首发量产基于德州仪器TDA4VM的L2行泊一体控制器,支持泊车自动驾驶功能。2022年即将量产的全球第一个基于英伟达Orin-X的L3行泊一体控制器,支持自主泊车和自动辅助导航驾驶。
智驾发展方向从最早的功能控制器往基于域的架构,以及域融合甚至集中式架构方向发展。创时在这方面已经做了一些前期的规划,包括舱驾一体高性能控制器方向。在软件方面,会考虑采用成熟的中间件软件平台、CarOS及Safety Copilot方案。
二、成熟的中间件软件平台、CarOS及Safety Copilot
这部分主要介绍一些创时量产使用的成熟的中间件软件平台:MotionWise1.5,以及支持多域融合的CarOS软件框架,还有支持应用软件开发的安全组件产品Safety Copilot。
MotionWise1.5平台软件核心价值
MotionWise解决方案最早是在奥迪zFAS控制器上使用的中间件解决方案。作为一个安全软件平台解决方案,它主要适用于ADAS或自动驾驶、底盘、动力总成等域控制器。当然,未来在基于MotionWise的CarOS方案中,安全软件平台和软件集成的理念将拓展到整车。
MotionWise技术的根基来源于创时母公司三十多年来的时间触发理论和技术方面的一些积累,其早期应用于航空航天,如空客、波音、NASA,后来用在一些非道路场合,最后在奥迪zFAS上实现了乘用车领域搭载。
搭载MotionWise产品的zFAS控制器已累计有25个以上车型SOP,上百万辆车量产。MotionWise比较适用于主机厂有大量车型的平台,通过一个平台的开发将它用在很多车型当中。尽管平台开发成本相对较高,但在车型适用方面可以把前期开发成本平摊掉。目前欧洲和亚洲有很多主机厂正在用MotionWise开发量产项目。MotionWise适配的核心芯片包括英伟达、赛灵思、瑞萨等几乎所有国际主流芯片厂商。同时可以看出,MotionWise特别适合高复杂度的智驾域控制器软件平台应用场景。
MotionWise主要由MotionWise Core、MotionWise Extensions和工具链三部分组成。MotionWise Core有四大服务:调度服务(SS)、通信服务(CS),时间同步服务(TS)和安全健康监控服务(SHM)。在调度服务方面,MotionWise不只有时间触发调度,还支持事件触发调度和混合调度方式,将时间触发的好处和效率有效结合在一起。通过计算链把客户的任务在时间维度编排起来,可以做到端到端延时控制,MotionWise也支持一些硬件加速引擎调度,比如英伟达的GPU,在多任务中分配硬件加速资源。
在通信服务方面,MotionWise可以提供客户应用通信接口,主要是基于信号的接口,也支持基于服务的接口。MotionWise支持CAN/FlexRay、Ethernet等通信;在骨干网通信方面,MotionWise可提供确定性以太网/PCle支持。SoC主芯片Arm核可以支持一些基于零拷贝的共享内存通信机制。
在时间服务方面,提供多个异构芯片间基于以太网GPTP的时间同步,也可以和外部时钟实现全局时间同步。
安全和健康监控服务方面,MotionWise可以实现任务执行监控;时间同步服务可对时间同步状态进行监控,提高功能安全等级;E2E提供端到端数据安全保护;错误处理程序框架可以让应用平台基于失效严重性采用不同应对策略;BIST框架可以为芯片提供逻辑、内存的自检。
MotionWise Extensions可以提供一系列ECU服务,包括ECU生命周期管理、虚拟诊断框架、标定及持久性等服务。在开发服务方面可提供日志记录、跟踪/Profiling和软件更新等服务。
MotionWise工具链可以基于客户输入。包括任务接口、执行频率、周期、最差执行时间等信息,配置MotionWise中间件平台,生成整个平台调度和通信应用接口,方便客户在此基础上实现应用集成。
MotionWise的一个非常重要的功能是确定性调度。智驾应用是从感知、融合处理到执行的周期性循环,从发现障碍物到最后执行避让,智驾应用的执行是有端到端处理时间要求的,超过这个时间对人身安全就会有危害。基于时间触发调度,对从感知到执行做一个处理编排,最后可以通过任务执行监控,保证端到端时延可控,是MotionWise可以保证智驾算法在规定时间内执行完成的确定性,从根本上保证整个系统的功能安全。虽然不能说这是唯一一个实现功能安全的方案,但它确实是目前世界范围内真正经过功能安全认证和量产验证的可实现安全智驾的一个方法。
在MotionWise采用的计算链分析方法中,每个计算链都有若干功能的SWC组成,包括感知处理、融合、预测、规划,到最后控制触发。除了功能层面,中间件服务传递这些数据,以及底层硬件执行都有相应延时,每一个链条都是由这几部分组成。在MotionWise的计算链分析方法中,会给每一个链条预先离线分配时间资源,通过时间触发去调度每一个链条环节执行的实际执行时间,结合任务监控,这样就能保证整个计算链端到端时间是受控的。
在整个智驾域控应用中,这样的计算链应该不止只一条,比如L3/L4应用中类似的链条会有几十个到上百个,如何快速为这些计算链找到一个多核部署的方式,是对MotionWise工具链提出的一个重要要求。事实上,MotionWise不只能在时间维度上为应用SWC做编排,还可以在空间上将不同计算链分布在不同处理器上,有的可以分布在安全处理器上,有的可以分布在性能处理器上。如果安全处理器计算资源不够,还能够通过全局调度方式分配到性能处理上。这样就解决了资源有限情况下的灵活部署的问题,同时又实现了高系统利用效率。
作为一个确定性集成平台,MotionWise可以同时实现多个软件供应商几十上百不同来源软件模块在同一个软件平台上的集成。现在,由一家软件供应商为域控制器提供所有功能软件越来越不可能,因为控制器越来越大,未来中央控制器集成车内所有功能,这些不太可能都来自同一家软件供应商。
如何实现众多不同来源的应用集成,同时又不因为一些接口时序、任务分配等问题造成集成过程中反复进行迭代,大幅增加系统集成时间,导致量产时间推迟?采用Motionwise确定性集成就可以将所有这些可能发生的问题放到项目早期解决,首先对各个供应商的资源进行确定性资源分配,统一协调规划,之后每个供应商都在分配的资源范围内进行自身任务开发和测试,最后在集成过程中互相之间就不会有太多影响。所以,MotionWise通过支持确定性集成框架,支持客户多个应用同步开发和并行集成,提高软件开发效率和质量,降低项目成本。
确定性集成框架还有一个额外好处,可以支持不同功能安全等级的应用的安全集成,因为作为域控制器或未来的中央控制器,不可能所有的任务都有功能安全等级,也会有一些QM的应用,这些应用之间如果不进行一些资源区隔,就无法确保不同功能安全等级的应用之间不会互相影响。利用MotionWise集成框架,通过时间触发调度可以实现不同功能模块在时间上的资源区隔。
通过内存保护结合一些时间触发以太网技术还可以实现空间即内存、通信上的资源区隔。这样的方式可以确保每个MotionWise平台上托管的应用都有资源封装,不同应用之间的增删修改基本上都不会影响其他已经集成好的应用。这样的机制有助于实现不同功能安全等级软件模块的无缝集成。
使用确定性集成框架的用例如奥迪zFAS,其应用由8个软件供应商的35个SWC组成,估计到L4应用模块达到上百个,肯定没法用手工计算链配置方式来实现,需要使用MotionWise工具链来辅助。自动驾驶功能算法需要经过上亿公里的测试,我们不能因为应用部署的变化导致整个功能算法的重新验证,浪费大量的资源,所以要尽量通过确定性集成框架预分配资源,让算法的集成过程不会出现需要改动算法的要求。这样,测过的软件模块都可以直接集成,不需要重新进行测试。
另一个用例是在域控制器最后量产过程中会不停地增加一些新功能。为了让新功能不对已集成好的功能产生影响,MotionWise可以基于区隔好的资源在新资源上将新应用集成上去。比如MCU上资源不够,可以通过全局调度将资源挪到另一个性能处理器上,并调度配置好相应的底层通信。以这样方式,功能增加、变更也不会影响系统的可靠性。
软硬件解耦主要是为了加快软件迭代速度。因为按照摩尔定律,现在智驾域控领域芯片基本上两年迭代一代,而客户应用软件的开发迭代速度更快。国内功能软件成熟度一般需要随项目进展逐渐提高,所以对迭代速度要求更高,通过软件分离可以实现应用的高速迭代。
MotionWise还支持高扩展平台架构,平台控制器可以由多颗芯片组成,但实际上最后部署在不同车型时可能是其中一部分,在不同芯片组合的硬件变化过程中,通过上层中间件平台抽象化底层差异,就能够实现整个控制器的可伸缩设计。通过平台一次性开发,能够将其用在不同的高中低配车型中,实现平台一次性投入多个车型部署。
创时智驾拥有很多智驾量产项目的经验,有顶级功能安全团队,有先进的系统集成。我们在国内已经建立团队,MotionWise平台和工具链基本上已经实现本土化配置,无需依赖国外团队。另外,MotionWise技术本源来自于航空航天领域的先进技术,开放平台和与客户的深度合作是最大的价值。
CarOS
SW架构正在从功能控制器向域控制器,以及域融合和中央控制器方向发展,软件平台需要支持这一发展趋势。
整个软件平台可以定义成三层,第一层是操作系统层,由芯片厂商为某个智驾域控SoC提供相应的操作系统;第二层是在ECU维度层次部署AUTOSAR等一些常用基础服务,比如存储、诊断、信息、记录日志,还有网络管理;第三层是跨ECU做一些服务架构、全局资源调度规划,保证跨多个ECU的安全应用,能够按照分配的资源进行确定性时间调度。
一个例子是整车会涉及多个高性能计算或域控制器,这些域控制器由不同SoC和MCU芯片组成,芯片上可以部署不同的操作系统,包括AUTOSAR OS、Classic AUTOSAR等,甚至是安卓操作系统,在更上层次可以部署MotionWise中间件。这些组件通过以太网通信,通过工具实现跨ECU的整车软件模块的调度和部署。
L3级MotionWise全局资源调度规划的好处体现在哪里?第一是功能安全,它是一个确定性功能安全平台,在涉及功能安全服务时,即使是跨多个ECU,也能够确保端到端时延;第二是复杂功能集成,它是一个集成框架,来自不同供应商的不同应用能够以非常工整的方式集成在整车中,而不会在集成过程中出现很多问题。
Safety Copilot
最后介绍Safety Copilot产品。创时母公司在MotionWise之外开发了一个针对失效可操作架构下软件支持的框架。在智驾应用中失效可操作架构一般可以拆解成一个Fail-silent ASIL D和一个Fallback AD ASIL B(D)。其中Fail-silent ASIL D部分实现可能比较麻烦,因为要满足ASIL D软件,设计复杂度非常高。通常做法是将它拆成两部分,每部分满足ASIL B,实现就相对容易一些。但如果两个ASIL B使用不同算法实现,碰到一个算法决策要往左拐,另一个算法要右拐,怎么来实现不同决策融合?所以实现两条线的智驾算法应该是一个主智驾功能再加上另一个checker组成,前者基于一个主传感器组合能够实现一些比较高级的功能,后者利用另一组冗余传感器对主功能产生的轨迹做一个检查。主功能因为功能通常会比较繁复,而且经常会用一些深度学习算法,所以可以采用较低的功能安全等级,如ASIL A来实现。
因为checker功能通常比较简单,在满足功能安全时相对容易些,可以将功能安全等级做得稍微高些,比如按照ASIL C来实现。通过这种方式也能够实现一个Fail-Operational ASIL D的功能,同时也可以比较简单的方式实现主功能算法;也可以使用一些目前在功能安全方面还没有完全确定答案的算法,比如深度学习。通过这种方式降低整个客户系统的开发复杂度。
三、SILK平台
在创时智驾的软件平台中,MotionWise1.5目前依然暂时是基于信号的接口,跟国内现在整个软件定义汽车的发展方向并不是特别匹配。国内主机厂也渐渐想参与一部分中间件的开发,有些会基于AUTOSAR标准做一些模块,希望能够集成到自己的中间件中,也有客户考虑用ROS2降低项目前期应用软件算法开发难度。如果客户关注功能软件开发,需要一个高功能安全等级的软件平台,创时始终有一条产品线能够支持MotionWise集成,提供成熟的量产软件平台。
另外,为了针对国内新的中间件和应用软件发展趋势,创时也在中国自研一个新的软件平台,目前定义为SILK软件平台。它和MotionWise不是直接冲突的关系,SILK更多是一个ECU服务底座,把构成ECU的多个异构芯片通过上层软件有机组合,提供智驾所需的时间同步等基础服务;还会把集成MotionWise过程中掌握的功能安全相关机制集成到SILK平台中,作为整个平台安全健康监控服务,另外进一步支持软件定义汽车所需的服务接口和通信中间件(DDS)。
打造好这些ECU底层基座服务后,就为上层客户集成自己的中间件组件、AUTOSAR AP、ROS2,或直接集成客户应用提供了一个基础。这种方式更方便客户在早期中间件投资决策不确定的情况下,能够先把我们的硬件应用起来;然后SILK也可以作为一个导引平台,在ECU服务底座基础上不断引入我们在MotionWise平台已经成熟使用的一些安全软件技术,以及近几年业界不断推陈出新的中间件技术组件,以及一些新芯片引入的功能安全软件。这样,既方便客户早期在硬件平台上做一些早期工作,也可满足面向未来量产和安全认证的要求。
创时智驾
创时智驾是全球智能驾驶域控制器的先行者。我们塑造安全与便利的自主出行生活方式。致力于通过平台与服务的创建,我们使整车厂和合作伙伴能够基于最先进的技术和流程,在中国为世界设计复杂而安全的汽车解决方案。
创时智驾成立于2018年,由联创汽车电子有限公司与奥地利TTTech Auto AG合资成立。专注于智能驾驶域控制器与云管端一体化舱驾融合HPC的研发与技术创新,并在国内最早实现智能驾驶域控制器的量产。
-
汽车测试网V课堂
-
微信公众号
-
汽车测试网手机站
编辑推荐
最新资讯
-
用于高压电池测试的加速度计
2024-11-05 14:44
-
卡特彼勒新一代240吨电动矿卡投入使用
2024-11-05 14:43
-
[法规] 欧盟发布重型车辆事件数据记录仪(E
2024-11-05 14:43
-
城无界野无疆 柴油混动火星9越野版曝时尚越
2024-11-05 12:02
-
L2和L3级智能驾驶车辆驾驶员的角色转变研究
2024-11-05 10:34