基于VCP的关键中间件解决方案

随着汽车电子电气架构由分布式向集中式的演变，以及汽车电动化、智能化、网联化、共享化的技术变革，对于控制器的计算能力、存储能力、通信能力的需求也逐渐增加，传统的基于MCU控制器已经无法满足以上需求。联合电子顺应市场需求，研发推出全新一代整车计算平台VCP。

VCP分为MCU(uC)实时控制核和MPU(ARM A，uP)高性能计算核。对于传统基于MCU的控制器，市场已经有了一套完整的基于classic Autosar的软件基础和开发体系，在MPU的开发体系中，Adaptive Autosar也为我们提供了一些基础的开发组件，但是一方面Adaptive Autosar昂贵的价格让很多客户望而却步，另一方面Adaptive Autosar并不能完全满足客户的定制需求，因此我们额外开发了VCP上的关键中间件，一方面可以作为Adaptive Autosar的补充，另一方面可以为客户提供定制化需求。

VCP上下电管理示意图

在此背景下，联合电子开发了基于VCP的关键中间件，且已经在多个客户项目上量产。中间件作为基础软件的重要组成部分，为整个系统的运行、更新、安全提供基础的保障，具备如下功能需求：

上下电管理功能，协调控制器整体供电和运行状态;

健康管理功能，实时监控系统运行状态，确保功能有效运转;

OTA刷新功能，提供便捷的软件更新方案;

大数据和Log功能，为数据挖掘和控制器维护提供渠道;

应急刷新功能，为控制器的更新提供最后一道保障;

一.上下电管理方案：

目前域控制器多采用MCU + MPU的多核处理器方案，现有的独立供电、各自管理运行状态的方案不能满足整车电源管理的要求;上下电管理功能可以更好的协调两块处理器的供电和运行状态，保证系统稳定运行。考虑到MCU具备更高的功能安全等级，将MCU作为主控节点，如下图所示，在MCU侧开发Power Management,电源管理模块，在MPU侧开发SM(State Management,状态管理)模块和EM(Execution Management,运行管理)模块，用于实现MCU对MPU的供电管理和MPU运行期间的状态管理。在系统下电过程中，Power Management协调MCU和MPU的下电顺序，防止MPU因不期望的掉电导致数据丢失。

VCP上下电管理示意图

二.健康管理方案：

Posix OS本身仅对系统的基本运行做基础的监控，无法满足车载控制器对于系统状态监控的需求;健康管理模块针对系统关键健康指标进行实时监控和预警，对于可能损坏元器件的状态采取合理的应对措施，使系统进入安全状态，保证系统的稳定运行。

健康管理模块对如下指标进行监控：

MPU/eMMC温度，根据不同温度范围采取分级响应机制;

CPU负荷，当CPU负荷超过阈值及时报警，且将当时对CPU负荷贡献最大的三个进程记录到日志，便于后续分析;

DDR使用率，当DDR使用率超过阈值及时报警，且将当时对DDR使用率贡献最大的三个进程记录到日志，便于后续分析;

eMMC使用率和寿命，当eMMC使用率超过阈值或寿命评估低于阈值及时报警;

VCP健康管理框架图

三.OTA软件升级方案：

随着汽车新四化的推进，软件定义汽车已经成为汽车的发展趋势，对于软件故障的修复以及个性化定制需求的更新，仅通过传统的4S店升级难以给予用户最佳的体验，因此OTA功能已经逐渐成为了控制器标配。联合电子的OTA软件升级方案具备如下特点：

支持全分区独立A/B备份，将MPU分为kernel、rootfs、app分区，各分区完全解耦，均可独立升级和回退;

支持对同控制器内的MCU进行安全备份和软件升级;

集成更新软件的信息安全签名和验签功能，提供信息安全保障;

支持多种文件下载方式，包含DoIP、HTTPs等主流车载控制器文件传输协议;

支持当前各平台的自动化测试;

支持各硬件平台无缝移植;

VCP OTA自动测试示意图

四.大数据和Log方案：

VCP强大的计算、通信和存储能力，使得收集和上传大量车载数据到云端成为可能。有了这些关键的车载数据信息，OEM和第三方数据分析机构就可以基于此做大数据挖掘，建立各种汽车应用模型，从而发现更多的商机。此外，这些关键的数据和日志，还为后续的维护工作提供了便捷的通道，工程师可以据此分析车上的一些故障原因，加速问题的解决。当前大数据和Log方案支持的主要模式和功能有：

完整收集：能够记录下车上所有的CAN/LIN总线报文和系统运行日志

触发收集：在车辆发生事故前后记录下关键运行数据，支持黑匣子功能

诊断收集：支持远程和本地诊断，可通过诊断协议来获取所需的关键数据

数据压缩：对大数据和Log文件进行压缩，提高数据存储和上传效率

信息安全：支持数据加密和数据导出及上传的安全认证，保证数据的安全性

VCP大数据和Log架构图

五.应急刷新方案：

OTA作为车载控制器标配，已经让控制器的软件更新更加的便捷，但在某种极端情况下，执行OTA功能的控制器端软件出现损坏或者无法启动时，便无法通过应用软件中的OTA功能来修复自身的系统软件，此时，需要设计额外的应急刷新方法来修复系统。

应急刷新方案通过在MPU端正常启动时加载的boot-loader(u-boot)中，使用TFTP协议来动态下载一个应急刷新系统，在该刷新系统中实现MPU软件刷新功能，该应急刷新系统部署在上位机的TFTP Server中。由于应急刷新系统是采用动态下载的方式，本身存在软件问题可在线下修复后，再次动态下载到控制器中运行，从而保证刷新功能可以成功得到执行。

和主流的微控制器应急刷新方案对比，联合电子的应急刷新方案有如下特点：

主流的应急刷新需要事先在控制器内刷入包含备份系统的Recovery分区，该备份系统需要具备复杂的刷写功能，一旦出现问题会导致控制器无法复原，而基于联合电子的应急刷新系统采用动态下载方式，避免了因Recovery分区本身问题导致的刷新失败，可靠性得到大幅提升，减少因刷新失败带来的换件成本;

不需要事先刷入Recovery分区，减少存储区域的占用空间，可用存储空间提升，同时减少工厂产线刷写内容，效率得到提升。

除上述提到的中间件以外，联合电子还开发了功能安全，信息安全，SOA，诊断服务等相关的多个关键中间件。随着汽车行业加速变革与发展，联合电子将继续发力，为新一代VCP整车计算平台开发中间件等软件模块，为客户与合作伙伴提供更多更优质的产品和服务。

原文标题：VCP功能的正确打开方式——关键中间件

文章出处：【微信公众号：联合电子】欢迎添加关注!文章转载请注明出处。

　　审核编辑：汤梓红