智能新能源汽车车载控制基础软硬件关键技术研究进展 *
2023-10-12李兆麟李华伟郑四发王文伟邹广才张永昌
李兆麟,李华伟,郑四发,王文伟,邹广才,张 创,刘 英,张永昌
(1. 清华大学计算机科学与技术系,北京 100084;2. 中国科学院计算技术研究所,北京 100190;3. 清华大学车辆运载学院,北京 100084;4. 北京理工大学机械与车辆学院,北京 100081;5. 北京国家新能源汽车技术创新中心有限公司,北京 100176)
前言
智能新能源汽车是汽车产业的竞争焦点,也是我国建设汽车强国的必由之路。在“新四化”背景下,智能新能源汽车电子电气架构正由分布式向集中式演进,智能控制算法日益复杂,对车载控制基础软硬件提出了巨大挑战[1]。例如,车载核心控制芯片不再是实现单一功能的简单逻辑计算芯片,而须提供强大的算力支持;车控操作系统不再基于某一固定硬件开发,要求具备可配置、可扩展等特性;车载网络必须满足大容量高速可靠数据通信、抗电磁干扰等需求,高速光纤通信已成为必然的发展趋势之一。总之,以车载核心控制芯片、车控操作系统及车载光纤通信网络为核心的车载控制基础软硬件是智能新能源汽车发展的产业焦点,必须满足高性能计算、高安全控制、大数据通信等颠覆性需求,实车验证则是打通技术与产品应用的关键环节。尽管我国在车载控制基础软硬件方面已取得了长足进步,但与国际领先水平相比,在功能与性能、安全性、实时性、传输速率、电磁兼容性等方面存在明显差距。
本文中针对复杂行驶条件恶劣工况下车载控制基础软硬件的高性能与高安全可靠设计的技术需求,围绕车载核心控制芯片、车控操作系统和车载高速分布式光纤通信,介绍了复杂行驶条件下支持智能控制算法的车控操作系统和车载核心控制芯片的架构,恶劣工况下(高温、高寒、高湿、高原等)的车载核心控制芯片的高可靠性设计技术和环境适应性增强技术,车控操作系统和车载核心控制芯片的功能安全性设计与保障技术,以及基于高速分布式光纤通信技术的控制信号传输工具及通信协议故障诊断与自测试技术等方面研究的最新进展。基于上述研究成果实现的车载核心控制器件和车控操作系统均已在北汽集团的新能源汽车完成了实车验证,由此构建的技术攻关、产品研制、标准制定、实车验证的研发体系能够大力推动我国智能新能源汽车车载控制基础软硬件的自主可控。
1 研究背景
与传统燃油车不同,新能源汽车的智能网联化发展趋势为车载控制系统提出了巨大挑战。车载控制系统不仅能够运行日益复杂的智能控制算法,还必须满足智能新能源汽车对零部件的高可靠性与功能安全性要求,能在世界各地最极端的气候(高温、高寒、高湿、高原)和地理环境条件下持续工作,甚至要求实现零缺陷[2]。智能新能源汽车的安全要素包括功能安全与预期功能安全,其中车载核心控制芯片、车控操作系统与车载网络是保障新能源汽车功能安全与预期功能安全的车载控制基础软硬件,负责整车控制、任务管理和数据通信等核心功能,同时需要实现对部件和系统失效、设计不完备等情况下的可靠性保证和冗余设计。因此,车载控制基础软硬件的高性能设计、高安全可靠设计理论与方法是关键科学问题,是当今国际智能汽车领域的前沿技术,也是我国智能新能源汽车产业自主可控发展要解决的瓶颈问题[3]。
车载核心控制芯片是最基础硬件,承载整车控制功能,芯片架构已从单核向多核方向发展,可靠性设计与功能安全保障技术也变得十分复杂。2020年,德国英飞凌公司发布的车载控制芯片TC39X 集成6 个处理器核,利用多核精确锁步技术支持不间断处理和不损失数据的情况下运行程序[4]。日本瑞萨半导体公司在其最新R-Car 系列车载多核控制芯片提供了芯片内部电路故障的在线测试方案与诊断反馈机制,保障了系统的可靠性与功能安全性[5]。中科院计算所提出了众核处理器健康监测、在线时延测试方法、自测试和半形式化功能验证方法[6];清华大学提出了异构多核芯片动态重构技术和安全编译优化技术[7]等。
安全车控操作系统是基础软件,须考虑功能安全、实时性能等方面要求。现有安全车控操作系统的标准化架构以欧美为主导,主要有两个标准体系:OSEK/VDX 和AUTOSAR。随着AUTOSAR 应用越来越成熟,国内外整车企业及配套供应商已普遍采用AUTOSAR 架构,代表企业有德国Vector、EB 和美国Mentor。这些国际企业产品生态完善,质量稳定可靠[8]。国内普华在AUTOSAR CLASSIC 平台基础上提出一种基础软件模块化与高效可配置的车控操作系统;华为、中兴等也推出了自研实时内核系统;清华大学车辆学院与国汽智联开展了面向服务架构的车控操作系统关键技术攻关[9]。
车载网络被称为车载控制系统的神经,但1 Mbps 车载CAN 网络和100 Mbps 车载以太网无法满足越来越高的通信需求,抗电磁干扰能力差。为提高汽车通信的性能、安全性和稳定性,2013 年IEEE 组织启动1 000 Mbps 的光纤通信汽车以太网规范研究,2016年IEEE组织和美国博通等公司启动多Gbps 汽车以太网的标准化调研和产品研制工作[10]。目前开发多Gbps 级高速光纤车载网络,属于尚待突破的早期阶段,亟需关键技术攻关。北京理工大学电动车辆国家工程实验室提出高速分布式车载网络解决方案,先后牵头研发了三代整车车载网络技术及系统[11]。国科天迅科技有限公司是国内主要从事光纤通信芯片产品的公司,已实现了超2.5 Gbps高可靠高速光纤通信解决方案。
综上所述,国外企业长期掌握车载控制基础软硬件核心技术,在当今复杂多变的国际形势下,制约了我国智能新能源汽车产业的自主发展。但从国内研究现状来看,我国的车载核心控制芯片的计算能力、车控操作系统的管理能力与车载网络的通信能力难以支持智能网联化发展需求,需要架构创新,且车载控制基础软硬件设计基础相对薄弱,尚未形成统一技术框架,缺少必要的技术手段和评测能力,应发展异构多核车载核心控制芯片与复杂恶劣工况下的环境适应性增强技术,满足智能新能源汽车功能安全与预期功能安全需求;发展多内核车控操作系统,解决软件故障的随机性和多业务不确定性问题,满足车控操作系统从边界到纵深的安全需求;发展多Gbps 车载网络分布式光纤通信协议与故障诊断策略,满足智能新能源汽车大容量、高速可靠数据传输需求;发展整车层面、系统层面、软硬件层面的自主产品集成与评测技术,保障自主产品的整车应用及恶劣工况条件下的实车验证。
2 车载核心控制芯片的可靠性与功能安全性关键技术
一方面,智能新能源汽车的电子电气架构向中央计算架构方向发展,融合自动感知、智能计算、车辆控制等计算功能的多域功能集成是车载核心控制芯片的发展方向,但车载核心控制芯片面临着多源异构信息融合带来的性能、可靠性与功能安全问题。另一方面,高温、高寒、高湿、高海拔等恶劣工况以及工艺偏差、电源噪声、串扰效应、老化效应、辐射效应等成为诱发车载核心控制芯片功能失效的复合因素,特别是在多核同时工作时,易诱发电压紧急问题,导致芯片时序故障,威胁车控芯片的功能安全。因此,我国亟需开展车载核心控制芯片的可靠性与功能安全设计理论及方法研究。
2.1 基于环境适应性增强的车控芯片可靠性与功能安全设计理论
构建一种基于环境适应性增强的车载核心控制芯片可靠性与功能安全设计理论,其中基于核间工艺-电压-温度(PVT)参数偏差模型,设计了支持智能感知的神经网络处理器实现异构多核的协同优化,大幅提升了车载核心控制芯片的可靠性和安全性[12-13]。
图1 中定义了电路时延变化(D(t))与工艺分量(P)、电压分量(V)、温度分量(T)变化的关系方程。基于PVT 分量的理论分析,本文提出了一套芯片的基于智能感知协同优化实现方案:(1)在芯片上设计电压、温度和时延监测sensor,自测试出PVT变化引起的时延变化;(2)由神经网络处理器[14]感知并诊断出各个核的V分量大小,进而协同优化和补偿;(3)通过线程迁移,使不同核各自的PVT分量之和最小,从而提高了系统性能、吞吐量和任务调度公平性。
图1 核间PVT参数偏差的建模
2.2 神经网络处理器混合计算容错架构
神经网络处理器的可靠性对于车载人工智能应用至关重要。为在线检测处理单元阵列中的处理引擎(PE)故障并实现实时容错,本文设计了一个统一的混合计算容错架构HyCA 来容忍PE 的多种故障配置[15]。
如图2 所示,在常规的二维计算阵列外部署了一个点积处理单元DPPU,用于重新计算映射到出现错误的PE 的所有操作,其中出错的PE 可以在计算阵列的任意位置。当DPPU 的大小大于二维计算阵列中故障PE 的数量时,DPPU 总能在新的权重和输入数据就绪之前完成重计算任务。
图2 混合计算容错架构HyCA
HyCA 使用一个故障PE 表来记录故障PE 在二维计算阵列中的坐标,这通常可以通过上电时的自检程序获得。通过改变故障PE 表,依次扫描二维计算阵列中所有PE的计算情况,可以在不影响二维计算阵列处理的情况下,在运行时检测PE 故障。其基本思想是让DPPU 重新计算二维计算阵列中PE 上的操作,然后对比计算结果,检查二维计算阵列中的PE是否存在故障。
进一步通过抗NBTI 老化设计允许制造测试所用的可测试性设计电路被复用到在线的电路老化预测中,可有效预测和容忍复杂环境条件引起的电路时序失效。
2.3 基于统计时序的小时延缺陷和精确小信号串扰源故障分析与测试方法
为提升车载核心控制芯片在恶劣工况下工作的可靠性,须考虑分布式小时延缺陷和互连线串扰噪声引起的最长信号传播路径的分析和时延测试[16]。
针对工艺偏差、电源噪声等引起的小时延缺陷的测试,构建了电路的统计时延模型,在统计时延模型下,小时延缺陷的测试路径选择问题形式化为:从N条电路总通路数选择M条通路进行小时延缺陷测试,使时延失效捕获概率最高,其本质是一个最小集合交集求解问题。国际上基于蒙特卡洛的测试路径选择方法产生Z个电路实例来模拟,计算复杂度为O(Z×M×N)。而将测试路径选择问题转换为了最小集合交集问题,计算复杂度为O(M×N),因此计算时间相比于国际上的蒙特卡洛方法显著降低,且可以获得与前者相当的小时延缺陷测试覆盖率。
进一步,本文基于精确小信号串扰源故障模型PCPDF(p,sp-a, <v,a>)来指导设计与测试,其中p为关键通路,v为关键通路上的一条受害线,a为导致v发生串扰减速效应的侵略线,sp-a是传播侵略跳变到a所用的子通路。为保证准确测试<v,a>串扰效应,线a,v发生跳变的时间窗必须在指定工艺参数下重叠,且两线必须以相反方向跳变。PCPDF模型巧妙地将串扰的逻辑约束和时间约束统一表征,在测试生成中确保侵略跳变和受害跳变是沿着故障模型中指定的路径传播到发生串扰的故障点,从而能保证生成的测试向量一定激活了故障模型中期望的串扰效应。
与国际上的CTF[17]和CPDF[18]串扰故障模型相比,基于PCPDF 模型的测试具有更高的串扰故障测试覆盖率,可应用于EDA 流程中进行考虑布线和时延的串扰故障收集、物理设计优化和自动测试生成,如图3 所示,对AECQ-100 标准未能考虑的串扰故障进行精准分析和测试。
图3 串扰设计优化和自动测试生成
2.4 异构多核的轻锁步功能安全保障架构
现有车载核心控制芯片一般通过双核锁步保障功能安全,这种双模冗余机制带来了超过1 倍的设计开销。本文提出一种异构多核的轻锁步功能安全设计架构[19],见图4。该功能安全设计主要由一个香山(XiangShan)处理器核,多个Rocket 处理器核、加载转发单元(load forwarding unit)、加载存储日志组成(load store log)等部件组成。主核主要由取指单元和后端流水线组成,取指单元从指令缓存(instruction cache)中取指,交给后端流水线译码执行。主核运行正常的程序,并将程序划分为多个程序段分别交给各个检查核重复运行以实现差错检测。每一个程序段都为其分配一个空闲的检查核。在程序段的开始,将当前的寄存器状态复制给检查核,使检查核能够以相同的状态开始运行。在程序段的结束,也将当前状态复制给检查核,用于该程序段运行结束后对状态进行检查。该架构采用主从核运行模式控制,考虑关键任务性质动态配置主/从核的安全模式,在运行非关键任务时将从核配置成非锁步模式,从而有效减少了安全机制的性能开销和面积开销,能更有效地利用片上算力来提高系统性能。并可对从核进行裁剪,减少面积和功耗,进一步提升系统可靠性。
图4 芯片功能安全设计架构
基于上述攻关成果,本文采用40 nm车规级工艺实现一款车载核心控制芯片,芯片版图见图5。经第三方测试,该芯片集成4 核功能安全处理器核,计算性能大于3000DMIPS,智能计算能力大于1TOPS,可靠性达AEC-Q100 Grade-1 等级,功能安全满足ISO26262 ASIL-D 等级要求,与现有技术相比,执行效率显著提升近两个数量级,减少多核处理器的吞吐量损失达30%,将安全机制的性能开销和面积开销减少20%以上,在大幅提升计算性能的同时,显著提升芯片的可靠性与功能安全性水平,能够满足未来智能汽车的电子电气架构向集中化演进的技术需求。
图5 芯片原型版图
3 车控操作系统的可靠性与功能安全性关键技术
智能汽车传感器的种类和功能愈加多样,自动化程度越来越高,为保障汽车行驶的安全性与舒适性,对车控操作系统的多任务管理能力和实时性提出了更高的挑战,但传统车控操作系统存在实时性差、随机故障严重、多任务不确定性等瓶颈问题。因此,我国亟需开展车载操作系统的高可靠性与高安全设计和实现技术研究。
3.1 支持安全控制、智能驾驶的一体化操作系统架构
高度变化的需求、智能化的持续演进、车载硬件和软件系统复杂程度的提升对车控操作系统的性能、可扩展性、易用性、系统可靠性提出了严峻的挑战。智能新能源车控操作系统运行基础是异构、分布式计算平台,既须满足安全车控操作系统的高安全(通常安全等级是ASIL-D)等功能和特点,还须提供高性能、高可靠的计算、传感、时间同步、分布式通信等功能以支持自动驾驶感知、规划、决策与控制的实现。车控操作系统总体架构与电子电气架构的革新和对应的车载计算架构相辅相成,因此从整个驾驶闭环角度,将安全车控操作系统与智能驾驶操作系统进行整体架构研究。
本文设计的车控操作系统采用纵向分层、横向分区式架构如图6 所示。在逻辑层次上包含系统软件和功能软件框架,是车载智能计算基础平台安全、实时、高效的核心和基础。系统软件创建复杂嵌入式系统运行环境,可以实现与Classic 和Adaptive 两个平台的兼容和交互。功能软件根据智能网联汽车应用特点,以及各类辅助驾驶/自动驾驶功能的核心共性需求,明确定义和实现各共性子模块,并进行通用模块定义和实现。
图6 车控操作系统参考架构
上述车控操作系统架构的特色体现在既能够兼容Classic AUTOSAR 平台,基于Classic AUTOSAR 平台的扩展满足高安全、强实时控制要求,又能够与Adaptive AUTOSAR 平台适配,满足新能源汽车复杂行驶场景下感知、决策及控制的要求。
3.2 车控操作系统关键技术
3.2.1 智能新能源汽车高安全决策方法
智能汽车的决策及控制是车辆安全行驶的基础,尤其是复杂交通场景下安全高效的决策及控制方法。基于深度学习、强化学习的智能汽车决策模块中,通常会建立复杂场景下行驶安全模型,并根据安全模型确定或学习安全决策机制。一般采用的方法是建立能量函数形式的安全模型,但满足车辆强安全约束的完美的能量函数安全模型通常难以获得,因此影响到决策的安全性和效率。本文提出了一种在通用复杂场景零状态约束违反的安全控制策略,同时进行安全模型和安全策略学习的智能汽车安全决策方法[20]。
针对难以得到合适的安全模型函数的困难,提出一种基于控制闸函数能量函数的安全模型。能量函数φ是从状态空间到实数集合的映射,对于给定的能量函数,安全动作集合的设计是在系统危险时使系统能量下降:
而一个完备的能量函数要求系统在任意时刻安全动作集合都不为空集,即
因此,建立一个损失函数J(φ),通过最小化损失函数使其在状态空间中任意状态都存在非空安全动作集合:
如果能量函数设计是完备的,该损失函数会降为0。
在安全策略学习的部分,本文建立了一种约束强化学习方法,在最大化期望奖励的同时保证安全控制约束(即使系统安全能量函数下降):
同时提出使用拉格朗日对偶梯度上升法来求解这样的约束型强化学习问题,构建拉格朗日函数并计算其最优值。
本文进一步将安全模型学习和安全决策学习合并为同一优化问题。对于最优的策略和拉格朗日乘子对(π*,λ*),最优条件(KKT 条件)使只有约束一定被违反时,拉格朗日函数的后半部分不为0。因此,可以得到两个优化问题的损失函数实际上线性相关:
进而可以证明两个问题实际上具有相同的极小值:
在此基础上,构建安全状态增强的强化学习型能量函数生成方法[21],以及自动驾驶轨迹规划方法[22],结合周车预测结果动态调整状态约束的不确定性边界,交替迭代更新拉格朗日乘子网络与策略网络,实现了典型多车道场景(包括侧方车辆切入、前车减速、下匝道拥堵等)下安全、灵活、经济的智能决策控制[23]。
3.2.2 车控操作系统功能安全机制
本文研发的车控操作系统须满足ISO 26262 功能安全要求,须据此进行操作系统故障分析及功能安全设计的研究。
首先采用FEMA 方法对车控操作系统的故障进行分析。所研制的安全车控操作系统主要包括以下组件:基本功能、保护功能、平台依赖、配置信息。每个组件包含若干子模块,子模块又包含系统调用接口函数,按层次由高到低划分为:系统—模块—接口函数。对基本功能组件中的各个模块以接口函数为粒度进行软件故障分析,本文结合ISO 26262 标准、行业开发经验等生成软件故障模型。
进一步在软件故障模型的基础上,建立操作系统安全机制。针对系统软件层,设计了系统健康管理、资源管理隔离、数据通信保护等功能安全组件。针对功能软件层,设计了软件冗余、硬件冗余等安全监控组件。
综上所述,本文提出了一种多业务解耦的新能源汽车安全可靠操作系统架构与功能安全机制,研发了一个车控操作系统原型,支持对内核、通信、诊断、存储、网络管理等基础软件模块的图形化配置功能,相关工具链软件ORIENTAIS-Studio 应用于ECU软件开发过程。
该操作系统原型可支持智能控制与安全控制,将ADP 计算时间降至6 ms 内,提高了安全车控操作系统的安全、实时性,与AUTOSAR 标准兼容,支持CAN、CAN-FD、LIN、FlexRay、以太网等5 种主流通信协议,中断响应时间达2.396 μs,任务实时调度时间达4.956 μs;实现了安全监控、软件冗余、数据通信保护,满足ASIL-D安全等级要求,已在量产BMS、整车、车身域等多种控制器上验证,有望实现国产操作系统的产业化上车应用。
3.2.3 车控操作系统调度算法
智能新能源汽车的控制涉及感知、决策、控制等多种算法。根据算法的复杂程度,实现单个节点的多线程,并监视每个节点进程的CPU 利用率;通过Linux 核心分配的工作原理(调度API),根据不同的CPU利用率,动态绑定节点进程与CPU的核数,实现算力的动态分配。
在进行资源调度前,需要对算法的任务集进行确定。多处理器系统的任务集S={s1,s2,···,sn}描述如下。
(1)任 意si∈S可表示为一个多元组si={at(i),st(i),pt(i),dt(i),et(i)}。其中:at(i)为任务si的到达时间;st(i)为任务si开始处理的时间;pt(i)为任务si所需的处理时间;dt(i)为任务si的截止期;et(i)为任务si对资源Res的需求,有专用和共 享2种使用方式,et(i) ={et(i)1,···,et(i)k},k∈{1,2,···,K},K为资源数。
(2)任务是不可抢占的,且是相互独立的(任务间无先后顺序约束关系)。
(3)任务不具有并行性,即任务是不可再分的。
任务集确定之后,针对不同的任务集,需要通过一定的指标来衡量任务集在多处理器系统中占有的资源,如图7 所示,本文使用调度成功率、平均响应时间、处理器利用率、调度长度作为评价调度算法的性能指标[24]。
图7 调度算法体系框架
一般情况下,一个调度算法不能使上述指标同时达到最优。对于实时性要求较高的系统,调度成功率最重要,应在保证调度成功率的前提下,尽可能提高其他指标,以使系统的整体性能得到优化。
指标确认后,研究优化调度算法实现算法任务的优化运行。设系统中每个资源对应一个入口,拥有两个记录变量。其中一个记录变量负责记录访问该资源的任务数,另一个则负责记录以互斥方式访问该资源的任务数。当生成一个新任务时,根据任务使用资源的情况来修改各资源所对应的这两个记录变量。以该方式分别记录该资源的被访问任务数及访问模式(专用或共享),并用资源列表记录所有资源的信息。优化的目标函数为
式中:EST(i)为任务的理想最早可用时间;W1和W2为权值,分别表征任务的理想最早可用时间和运行时间对目标函数的影响程度。
总的来说,根据任务集与处理器处理能力之间的匹配关系构建任务及处理器的一般模型,分析任务数量与系统处理能力之间的关系,实现多处理器系统的动态调度。
4 车载高速光纤通信的功能安全性关键技术
智能化和电气化快速发展使汽车内部需要传输的数据量愈发增多,作为数据传输的媒介,车载网络起着关键的作用。但是传统的车载网络协议和介质具有通信带宽小、延时高和稳定性差等诸多问题,难以满足智能电动汽车的要求。目前,车载高速光纤通信是核心解决方案之一,亟需开展相关技术攻关。
4.1 车载光纤通信协议栈及调度机制设计
对于智能电动汽车而言,其搭载的网络既需要满足实时音视频的传输需求,又需要满足实时运动控制要求。然而现有通信协议及协议栈机制难以保证带宽资源和节点之间通信的实时性。本文中提出采用分层和实时调度机制结合构建光纤车载通信协议栈思路,以保证高速、实时、确定性数据传输,车载光纤通信技术的关键点是光纤、元器件和拓扑、网络协议。光纤的性能直接影响通信速率,采用光纤通信技术后元件和拓扑结构也需要相应改变。要保证信息传输的实时性和安全性,网络协议也必不可少。考虑到消息传输的实时性、公平性和安全性,光纤网络的通信协议必须有相应的消息调度机制。所构建的分层+调度融合车载光纤通信协议栈结构设计[25]如图8 所示,通过在传统的以太网通信协议栈引入实时调度机制,以及将分层协议簇规范化,实现构建车载高安全性光纤通信协议栈。
图8 分层+调度融合车载光纤通信协议栈结构
4.2 多协议通信网关及其管理调度方法
网络信息的传输与通信协议栈有关,因此网关在其中扮演的角色非常重要。特别是近年来汽车电子电气架构快速发展,传输的数据量快速增加,网关起着愈发重要的作用,但是现有的网关因缺乏合适的调度方法,网络通信的实时性难以保证。
本文提出一种多协议通信网关[26],如图9 所示。该网关原理上主要包括:主干网、子网、管理核心以及多个转发管理核心。管理核心用于接收主干网以及子网输入的消息,将所述消息分配至相应的转发管理核心中的消息队列。转发调度核心用于发送访问内存请求至管理核心,并当接收管理核心发送的访问内存许可之后,将消息队列中的消息按照队列顺序复制消息,再发送消息至相应的主干网或子网。
图9 多核多通信协议网关结构示意图
如图10 所示,各消息队列调度算法首先根据消息的最早截止时间确定消息的优先级,使用优先级排队,在排队过程中发生延迟时(消息队列不能即进即出,发生排队即产生延时,因为消息较多在队列中累积就会发生延时,延迟的后果将会导致汽车的实时性和安全性下降),需要不断更新(例如消息队列中出现了两个具有相同ID 的消息,该消息的优先级为3,将前一个消息删除,后一个消息的优先级升级为2,重新插入队列中优先级为2 的消息的首位)及删除现有消息(现有消息与队列中已存在消息重复,进一步增多在队列中排队的消息,所以将重复的具有相同ID 的消息删除可以减少延迟,且删除已发送消息,这里的删除消息是删除队列中的重复消息),从而避免消息的长期累积。当消息更新时,具有相同ID 的消息可以适当提升其优先级(提升的程度是可以将该消息的优先级提升一级,且置于同等优先级之首),以此避免低优先级始终处于消息队列,无法转发甚至丢失的情况,使低优先级的消息也可以尽快传输。当有紧急消息时,可直接设定为最高优先级传输该消息,避免延时带来的损失。
图10 调度方法示意图
4.3 基于分数型基本周期的网络调度策略
网络信息的传输质量直接影响车辆的运动控制性能,因此须尽可能降低网络诱导延时和不同步对控制系统的消极影响。本文提出了一种分数型基本周期的网络调度策略[27],并将其应用到横摆力矩控制中。图11 显示融合分数型基本周期理论的直接横摆力矩的混合调度-控制框架。在该框架下,分数型基本周期的柔性时间触发的调度策略,用以消除多包传输带来的不同步问题,并将延时组织到更小的范围,控制回路中的延时被减少到0.5T以内。分数型基本周期的网络调度策略实现了网络流量的主动管控,提高了系统的实时性和稳定性。
图11 混合调度-控制框架
4.4 系统学-结构学-最值公式回路时滞分析法
车载网络的广泛应用使车辆控制系统成为网络化控制系统。近年来国内外学者对车辆网络化系统做了一定程度的研究,然而大多数研究止步于对某一特定系统中的网络延时进行分析,这导致其分析方法的应用场景大大受限。基于此,本文中提出了一种针对车辆网络化控制系统的系统学-结构学-最值公式回路时滞分析方法[26,28-29],如图12所示。
图12 系统学-结构学-最值公式回路时滞分析法
具体来讲,系统学是从系统的角度描述回路信息的传递路径,结构学是从结构角度分解并定义节点服务时间、链路服务时间和聚合多服务回路延时的概念,推导各构件数学公式及其求和公式,最值公式是从最值计算角度推导寻求聚合多服务回路延时上确界的公式。该分析方法分别在电动车辆的传动系统控制和域架构下自适应巡航系统和紧急制动系统的设计上进行验证。
基于上述理论研究,研制了车载高速分布式光纤通信接口芯片初样,支持车载高速分布式光纤通信接口的SERDES 串化解串功能,支持1.25、2.5、4.25 Gbps 等速率光模块,支持波长850、1 310、1 550 nm 等不同规格的光模块,具有体积小、功耗低等优点,非常适合于功耗、体积以及电磁兼容性要求苛刻的车载应用。
5 实车验证
在上述技术攻关成果的基础上,研制了集成车载核心控制芯片和车控操作系统的整车控制器(图13),通过在高温(环境平均温度不低于35 ℃,最高温度不低于50 ℃)、高寒(环境平均温度不高于-15 ℃,最低温度不高于-40 ℃)、高湿(环境平均温度不低于20 ℃,平均湿度不低于50%,最大湿度不低于95%)、高原(平均海拔不低于3 000 m,最高海拔不低于4 700 m)等典型极端环境条件下的实车(图14)道路验证,构建了支持自主车载核心控制芯片和自主车控操作系统的软硬件一体化集成评测的新能源汽车新技术开放整车验证平台,支持自主车载核心控制芯片、自主车控操作系统、自主车载高速光纤通信系统的快速搭载验证,为正向开发奠定了坚实的基础。
图13 集成车载核心控制芯片和车控操作系统的整车控制器
图14 用于验证车载核心控制芯片和车控操作系统的实验样车
在芯片机制允许访问、不影响芯片正常运行功能和性能的前提下,对车载控制芯片进行实车验证过程中的数据采集,架构如图15 所示。当接口通信速率足够大时(比如采用以太网),可支持直接对芯片上寄存器数据的同步采集传送,如图中红色线示意。当接口通信速率较低时,则须增加一个存储器做为数据的存储缓存,分时上传,如图中黑色和褐色线示意。
图15 车载核心控制芯片数据采集系统功能架构图
将车载芯片采集和评价的数据分为芯片运行数据和环境数据两大类,如表1 所示。分别采集核心关键指标,对极值、均值、标准差、时间序列等指标进行分析,评价车载芯片的运行状态是否正常。
表1 芯片数据采集分析列表
6 结论
以车载核心控制芯片、车控操作系统与车载高速光纤通信系统为核心的车载控制基础软硬件负责整车控制功能,是保障系统可靠性与功能安全性的关键。我国企业尚未全部掌握车载核心控制芯片及车控操作系统的可靠性设计与安全性评测关键技术,严重制约了我国新能源汽车的自主安全发展。
本文针对国产基础软硬件与整车产品高安全性和高可靠性要求的巨大差距,介绍了车载核心控制芯片可靠性与功能安全性、车控操作系统可靠性与功能安全性、车载高速分布式光纤通信功能安全性、车载核心软硬件集成与评测等关键技术的最新研究成果,并基于北汽集团的新能源汽车完成了自主研制的车载核心控制器件和车控操作系统的实车验证,为我国新能源汽车车载控制基础软硬件的自主可控奠定了坚实的基础。