 前言本文中针对复杂行驶条件恶劣工况下车载控制基础软硬件的高性能与高安全可靠设计的技术需求,围绕车载核心控制芯片、车控操作系统和车载高速分布式光纤通信,介绍了复杂行驶条件下支持智能控制算法的车控操作系统和车载核心控制芯片的架构,恶劣工况下(高温、高寒、高湿、高原等)的车载核心控制芯片的高可靠性设计技术和环境适应性增强技术,车控操作系统和车载核心控制芯片的功能安全性设计与保障技术,以及基于高速分布式光纤通信技术的控制信号传输工具及通信协议故障诊断与自测试技术等方面研究的最新进展。1 研究背景与传统燃油车不同,新能源汽车的智能网联化发展趋势为车载控制系统提出了巨大挑战。车载控制系统不仅能够运行日益复杂的智能控制算法,还必须满足智能新能源汽车对零部件的高可靠性与功能安全性要求,能在世界各地最极端的气候(高温、高寒、高湿、高原)和地理环境条件下持续工作,甚至要求实现零缺陷[2]。智能新能源汽车的安全要素包括功能安全与预期功能安全,其中车载核心控制芯片、车控操作系统与车载网络是保障新能源汽车功能安全与预期功能安全的车载控制基础软硬件,负责整车控制、任务管理和数据通信等核心功能,同时需要实现对部件和系统失效、设计不完备等情况下的可靠性保证和冗余设计。因此,车载控制基础软硬件的高性能设计、高安全可靠设计理论与方法是关键科学问题,是当今国际智能汽车领域的前沿技术,也是我国智能新能源汽车产业自主可控发展要解决的瓶颈问题[3]。车载核心控制芯片是最基础硬件,承载整车控制功能,芯片架构已从单核向多核方向发展,可靠性设计与功能安全保障技术也变得十分复杂。2020年,德国英飞凌公司发布的车载控制芯片TC39X集成6个处理器核,利用多核精确锁步技术支持不间断处理和不损失数据的情况下运行程序[4]。日本瑞萨半导体公司在其最新R-Car系列车载多核控制芯片提供了芯片内部电路故障的在线测试方案与诊断反馈机制,保障了系统的可靠性与功能安全性[5]。中科院计算所提出了众核处理器健康监测、在线时延测试方法、自测试和半形式化功能验证方法[6];清华大学提出了异构多核芯片动态重构技术和安全编译优化技术[7]等。安全车控操作系统是基础软件,须考虑功能安全、实时性能等方面要求。现有安全车控操作系统的标准化架构以欧美为主导,主要有两个标准体系:OSEK/VDX和AUTOSAR。随着AUTOSAR应用越来越成熟,国内外整车企业及配套供应商已普遍采用AUTOSAR架构,代表企业有德国Vector、EB和美国Mentor。这些国际企业产品生态完善,质量稳定可靠[8]。国内普华在AUTOSAR CLASSIC平台基础上提出一种基础软件模块化与高效可配置的车控操作系统;华为、中兴等也推出了自研实时内核系统;清华大学车辆学院与国汽智联开展了面向服务架构的车控操作系统关键技术攻关[9]。车载网络被称为车载控制系统的神经,但1 Mbps车载CAN网络和100 Mbps车载以太网无法满足越来越高的通信需求,抗电磁干扰能力差。为提高汽车通信的性能、安全性和稳定性,2013年IEEE组织启动1 000 Mbps 的光纤通信汽车以太网规范研究,2016年IEEE组织和美国博通等公司启动多Gbps汽车以太网的标准化调研和产品研制工作[10]。目前开发多Gbps级高速光纤车载网络,属于尚待突破的早期阶段,亟需关键技术攻关。北京理工大学电动车辆国家工程实验室提出高速分布式车载网络解决方案,先后牵头研发了三代整车车载网络技术及系统[11]。国科天迅科技有限公司是国内主要从事光纤通信芯片产品的公司,已实现了超2.5 Gbps高可靠高速光纤通信解决方案。综上所述,国外企业长期掌握车载控制基础软硬件核心技术,在当今复杂多变的国际形势下,制约了我国智能新能源汽车产业的自主发展。但从国内研究现状来看,我国的车载核心控制芯片的计算能力、车控操作系统的管理能力与车载网络的通信能力难以支持智能网联化发展需求,需要架构创新,且车载控制基础软硬件设计基础相对薄弱,尚未形成统一技术框架,缺少必要的技术手段和评测能力,应发展异构多核车载核心控制芯片与复杂恶劣工况下的环境适应性增强技术,满足智能新能源汽车功能安全与预期功能安全需求;发展多内核车控操作系统,解决软件故障的随机性和多业务不确定性问题,满足车控操作系统从边界到纵深的安全需求;发展多Gbps车载网络分布式光纤通信协议与故障诊断策略,满足智能新能源汽车大容量、高速可靠数据传输需求;发展整车层面、系统层面、软硬件层面的自主产品集成与评测技术,保障自主产品的整车应用及恶劣工况条件下的实车验证。2 车载核心控制芯片的可靠性与功能安全性关键技术一方面,智能新能源汽车的电子电气架构向中央计算架构方向发展,融合自动感知、智能计算、车辆控制等计算功能的多域功能集成是车载核心控制芯片的发展方向,但车载核心控制芯片面临着多源异构信息融合带来的性能、可靠性与功能安全问题。另一方面,高温、高寒、高湿、高海拔等恶劣工况以及工艺偏差、电源噪声、串扰效应、老化效应、辐射效应等成为诱发车载核心控制芯片功能失效的复合因素,特别是在多核同时工作时,易诱发电压紧急问题,导致芯片时序故障,威胁车控芯片的功能安全。因此,我国亟需开展车载核心控制芯片的可靠性与功能安全设计理论及方法研究。2.1 基于环境适应性增强的车控芯片可靠性与功能安全设计理论
构建一种基于环境适应性增强的车载核心控制芯片可靠性与功能安全设计理论,其中基于核间工艺-电压-温度(PVT)参数偏差模型,设计了支持智能感知的神经网络处理器实现异构多核的协同优化,大幅提升了车载核心控制芯片的可靠性和安全性[12-13]。图1中定义了电路时延变化(
|
)与工艺分量(
)、电压分量(
)、温度分量(
)变化的关系方程。基于PVT分量的理论分析,本文提出了一套芯片的基于智能感知协同优化实现方案:(1)在芯片上设计电压、温度和时延监测sensor,自测试出PVT变化引起的时延变化;(2)由神经网络处理器[14]感知并诊断出各个核的
分量大小,进而协同优化和补偿;(3)通过线程迁移,使不同核各自的PVT分量之和最小,从而提高了系统性能、吞吐量和任务调度公平性。
条电路总通路数选择
条通路进行小时延缺陷测试,使时延失效捕获概率最高,其本质是一个最小集合交集求解问题。国际上基于蒙特卡洛的测试路径选择方法产生
个电路实例来模拟,计算复杂度为
。而将测试路径选择问题转换为了最小集合交集问题,计算复杂度为
,因此计算时间相比于国际上的蒙特卡洛方法显著降低,且可以获得与前者相当的小时延缺陷测试覆盖率。进一步,本文基于精确小信号串扰源故障模型
来指导设计与测试,其中
为关键通路,
为关键通路上的一条受害线,
为导致
发生串扰减速效应的侵略线,
是传播侵略跳变到
所用的子通路。为保证准确测试
串扰效应,线
,
发生跳变的时间窗必须在指定工艺参数下重叠,且两线必须以相反方向跳变。PCPDF模型巧妙地将串扰的逻辑约束和时间约束统一表征,在测试生成中确保侵略跳变和受害跳变是沿着故障模型中指定的路径传播到发生串扰的故障点,从而能保证生成的测试向量一定激活了故障模型中期望的串扰效应。与国际上的CTF[17]和CPDF[18]串扰故障模型相比,基于PCPDF模型的测试具有更高的串扰故障测试覆盖率,可应用于EDA流程中进行考虑布线和时延的串扰故障收集、物理设计优化和自动测试生成,如图3所示,对AECQ-100标准未能考虑的串扰故障进行精准分析和测试。
,通过最小化损失函数使其在状态空间中任意状态都存在非空安全动作集合:
,最优条件(KKT条件)使只有约束一定被违反时,拉格朗日函数的后半部分不为0。因此,可以得到两个优化问题的损失函数实际上线性相关:
描述如下。 (1)任意
可表示为一个多元组
。其中:
为任务
的到达时间;
为任务
开始处理的时间;
为任务
所需的处理时间;
为任务
的截止期;
为任务
对资源Res的需求,有专用和共享2种使用方式,
, K为资源数。(2)任务是不可抢占的,且是相互独立的(任务间无先后顺序约束关系)。(3)任务不具有并行性,即任务是不可再分的。任务集确定之后,针对不同的任务集,需要通过一定的指标来衡量任务集在多处理器系统中占有的资源,如图7所示,本文使用调度成功率、平均响应时间、处理器利用率、调度长度作为评价调度算法的性能指标[24]。
为任务的理想最早可用时间;
和
为权值,分别表征任务的理想最早可用时间和运行时间对目标函数的影响程度。
以内。分数型基本周期的网络调度策略实现了网络流量的主动管控,提高了系统的实时性和稳定性。
