基于MCU的虚拟化解决方案平台的介绍

1.1 简介

从传统汽车设计向C.A.S.E.（代表未来汽车的连接性、自主性、共享性、电气化的缩写）推进的趋势，要求汽车内的整体计算性能和通信负荷呈指数增长。

为了实现C.A.S.E.，必要的计算能力和网络复杂性无法以经济合理的方式通过传统的E/E架构实现，因为分布式E/E结构需要大量的ECU（电子控制单元），相应地增加了电缆线束的复杂性和重量，增加了整体功耗，并提高了成本。

图2 现在和未来的E/E架构

因此，向C.A.S.E过渡的一个关键挑战是如何在不增加物理ECU数量的情况下做更多的事情。解决这一挑战的关键在于由硬件支持的新软件平台。

汽车制造商开发新的、无遗留问题的区域ECU，可以从一开始就采用域/区架构。然而，在实践中，许多汽车制造商并不是从 “空白 ”开始的，他们需要保留对ECU 软件的现有投入，这意味着从他们现有的联合E/E架构（即一个ECU对应一个车辆功能）迁移到Zone架构。

1.2 区域架构的挑战

面向分区的结构将许多功能和服务整合到一个ECU中。网络概念必须处理相关的对带宽、确定性和最大延迟的更高要求，而与分区相关的ECU，根据其作为分区聚合器、控制器或处理器的角色，显然需要高计算性能来运行多种功能。另一方面，它们还必须确保不受并发应用程序之间的干扰，以保证功能安全和信息安全，保持实时并支持内部网络路由加速。

大多数现代ECU将运行AUTOSAR（AUTomotive Open System ARchitecture）经典软件架构，该架构提供了基于软件组件的集成模型、时间和空间分离、大量的功能安全和信息安全机制，以及通过软件集群机制的部分更新等。

ECU软件包括来自多方的部件，包括OEM（应用）、Tier 1（中间件和集成）、Tier 2（MCAL）和第三方（AUTOSAR BSW、操作系统、安全固件等）。今天，将ECU与这组来自多方的部件整合在一起已经是一项重要的工程了。由于以下原因，很难看到同样的方法如何扩展到一个区ECU：

谁负责整合来自多个供应商的应用程序？

当ECU发生故障时，谁来负责？如何保留多ECU系统的安全屏障？多个供应商如何保护IP？

谁来进行调试的根本原因分析？

当一个微小的部件发生变化时，整个ECU的重新测试工作量巨大

解决这些挑战的方法是使用hypervisor，将一个物理ECU变成多个虚拟ECU。在AUTOSAR术语中，每个虚拟ECU是一个单独的ECU（有自己的EcuExtract），通过COM和虚拟网络与其他虚拟ECU进行通信。

这种解决方案允许每个虚拟ECU像今天一样，通过保留建立ECU集成模型的松散耦合来进行集成，并提供以下优势：

每个虚拟机都被单独编译和链接

每个虚拟机都有自己的RTE。一个RTE配置的改变并不要求整个系统被重新构建。

每个虚拟机都有对处理器硬件的完全、虚拟化的访问。

对一个虚拟机的改变不一定需要对整个系统进行重新测试

一个虚拟机可以独立于整个系统重新启动，最大限度地减少同一ECU上其他（不相关）功能的停机时间

1.3 区域架构- 硬件解决方案：RH850 U2A/U2B

瑞萨RH850/U2x高性能微控制器产品线用于下一代区域/集成ECU，支持丰富的嵌入式HW关键功能，这些功能是区域应用所特有的，如Hypervisor HW支持、QoS（仅U2B支持）、功能安全和信息安全，以实现无干扰。最重要的是，高性能的NoC（片上网络）结构可以确保每个单独集成的应用程序在外设和内存访问方面的实时行为。

瑞萨的RH850/U2A MCU（微控制器单元）被设计为高端车身和底盘应用的跨域平台，以满足日益增长的将多种应用集成到单个芯片的需求。基于28纳米工艺技术，32位RH850/U2A MCU建立在瑞萨用于底盘控制的RH850/Px系列和用于车身控制的RH850/Fx系列的关键功能之上，以提供更好的性能。

图3 RH850/U2A方框图

瑞萨RH850/U2B系列以RH850/U2A的优势为基础，为解决未来几代汽车的创新E/E架构的挑战而定制。凭借其新的性能水平和高达32MB的内存集成度，RH850/U2B的定位高于RH850/U2A系列，以满足未来汽车集成平台概念的更多要求，同时与系统级芯片（SoC）相比，仍然提供具有成本优势的MCU解决方案。

图4 RH850/U2B方框图

RH850/U2x MCU配备了最新的HW支持技术，以实现多个ASIL-D SW分区的集成：

Hypervisor HW辅助功能，以高性能方式启用Hypervisor-OS（快速上下文切换，HV中断概念）。

QoS：对所有总线主站的延迟监测和主动调节功能，通过防止一个总线主站消耗所有的带宽，确保提供最小的带宽（仅U2B支持）。

内存保护单元（MPU）：对总线主站访问内存和其他资源进行细粒度的分离

Guard概念：外围存储器和外围模块的高度灵活的从属保护系统

功能安全：多个单独的错误输出信号，以确保在SW-分区层面的单独处理

信息安全：多个AES128锁步模块实例，用于无冲突和确定的安全保障通信

No-wait OTA：闪存库的后台操作，确保独立更新各个SW-分区

1.4 区域架构- 软件解决方案：RTA-HVR

ETAS的hypervisor程序RTA-HVR为瑞萨RH850/U2x HW提供了免费的软件，以满足严格的汽车功能安全和信息安全要求。RTA-HVR使用瑞萨RH850/U2x系列的硬件虚拟化功能来创建多个虚拟机。每个虚拟机都有一个或多个虚拟CPU内核、一段内存空间和一组外设。

每个虚拟机 “guest”是一个独立的可兼容和可闪存的ECU图像，可以由第三方建立和运送。RTA-HVR支持 “bare metal” 和AUTOSAR经典平台guests。

RTA-HVR支持灵活的虚拟机与物理CPU核分配。当一个虚拟机对一个（或多个）CPU核有唯一的访问权时，那么虚拟机的调度开销为零。当多个虚拟机共享一个CPU核心时，可以选择以下其中之一：

一个静态配置的轮流调度器；或

一个由RH850U2x后台中断驱动的基于预约的动态调度器。

RTA-HVR使用MPU和Guard概念来提供虚拟机之间的空间隔离，为每个虚拟机划分内存和外设空间。

此外，RTA-HVR提供了一种称为 “虚拟设备扩展”（VDE）的机制，允许ECU集成商为特定的Zone ECU定制虚拟和物理外设之间的绑定。VDE提供了一种在虚拟机之间共享外设的安全方式（例如，当需要一个外设的虚拟机数量超过硬件中的物理外设数量时）。这里的典型例子是以太网控制器、HW安全模块和看门狗或增加额外的CAN通道，如下图所示：

图5 VDEs还允许创建完全虚拟的外围设备，以优化虚拟机之间的通信渠道

1.5 Zone-ECU 虚拟化解决方案平台概览

为了支持汽车用户的概念性Zone-ECU开发，重点是整合多种应用，ETAS和瑞萨已经实现了Zone-ECU虚拟化解决方案平台。

该平台将瑞萨的RH850/U2x硬件能力与ETAS的RTA-HVR软件相结合，一套虚拟机，每个虚拟机都使用ETAS的RTA-CAR AUTOSAR经典平台和PC托管的交互工具来承载ECU图像。

Zone-ECU虚拟化解决方案平台为RH850/U2x MCU提供了一个预配置和预构建的SW，作为一个易于启动的开发平台，包含一个演示SW和一个基准环境，使汽车用户能够快速开始为他们的Zone-ECU项目进行设计探索。Zone-ECU虚拟化解决方案平台使用户能够从减少开发工作、成本和风险中受益。

2. 总结/展望

Zone-ECU虚拟化解决方案平台是一个全面的工具包，支持客户开发、展示和针对新E/E架构开发或研究的ECU基准测试。

审核编辑：郭婷