如何在多应用的ECU系统中确保系统安全隔离？

区域导向的设计将带给未来的汽车E/E架构巨大的优势（功能更多，但负载更少）。区域架构需要将许多功能整合到少数的区域ECU（即ZCU）中，挑战在于ZCU的性能、时序和安全方面。瑞萨和ETAS联合介绍了他们的通用虚拟化平台，即MCU、Hypervisor和开发工具组成的一整套应用和开发平台。其将简化软件的实现，从而缩短通往新的ZCU时间。

从传统汽车设计到CASE（Connectivity、Automation、Sharing、Electricity）的趋势需要整体计算性能的指数级增长，以及汽车内通信负荷的指数级增长。实现CASE所要求的性能和网络的复杂性无法通过传统的E/E架构来实现。这是因为传统的分布式E/E结构将需要更多的ECU和相应的更复杂、更重的线束。

此外，总的功耗和成本在传统E/E架构中也将大大增加。因此，向CASE过渡的一个关键挑战是在不增加物理ECU数量的情况下扩大功能范围。这就需要一个新的软件架构，由有能力但成本效益高的硬件解决方案来支撑。

架构的改变需要设计上的权衡

开发新的、无历史包袱的ZCU的OEM可以从一开始就采用域（domain）或区域(zonal)架构，如图1。然而，在实践中，许多OEM并不是从零开始，而是需要保留已有的ECU中的软件。这涉及到从他们现有的分布式E/E架构（一个ECU完全对应一个车辆功能）迁移到区域架构。架构和支撑技术的变化总是会带来新的设计的权衡。

主要的挑战是定义哪些ECU应该被整合，以及在软件架构中如何把功能集成在一起。此外，需要确定来自不同方（OEM、Tier-1、第三方）的软件和不同功能安全级别的软件之间的隔离程度。最后，需要决定在哪里重用现有的软件，在哪里进行重新设计。

这种决定受到各种因素的影响，如已有的软件的和计划新开发软件的工作量、供应链结构或量产后的软件维护策略。对于特定的E/E架构，只有通过对不同技术方案的反复对比并且通过从研究型开发中收集数据，才能做出有充分依据的设计选择。



图1. E/E架构对比：今天的分布式架构（左）和未来的面向区域的E/E架构（ 瑞萨）

区域架构的挑战

面向区域的架构将众多功能和服务整合到一个ECU中。网络设计必须要考虑相关的对带宽、确定性和最大延迟的要求。区域控制器ZCU显然需要高计算能力来并行执行多个功能。而且，出于功能安全和信息安全的原因，它们还必须确保不受并发应用程序之间的干扰，并确保时序要求。

大多数现代ECU将运行 Autosar Classic软件架构，这是一个基于软件组件的架构，支持timing和memory的保护，以及许多功能安全和信息安全机制，还能够通过software cluster实现部分更新。

ECU的软件来自多个利益相关者方，包括OEM（应用层），Tier-1（中间件和集成），Tier-2（MCAL）和 第三方（如Autosar BSW、OS、安全固件）。这一组利益相关者的软件集成到一个ECU之内在今天已经成为一项个重要的工程任务。很难想象同样的方法将扩展到未来的ZCU。原因有多个。

谁来负责集成来自多个供应商的应用层？当ECU发生故障时，谁负责？如何在多应用的ECU系统中确保系统安全隔离？各方如何保护知识产权？谁来执行根本原因分析和调试？最后，需要大量的努力来重新测试整个ECU，即使当一个小的软件组件发生变化时。

解决这些挑战的一个办法是基于Hypervisor的软件概念，将一个物理ECU扩展为多个虚拟ECU。用Autosar的话说，这里的每个虚拟ECU是一个独立的ECU，有自己的EcuExtract，通过COM和虚拟网络与其他虚拟ECU进行通信。这种解决方案允许每个虚拟ECU通过松耦合的方式结合到一个物理ECU中。每个虚拟机（VM）可以单独编译和链接，并有自己的运行时环境（RTE）。一个RTE配置的变化并不会引起整个系统的软件被重新构建。

此外，这些虚拟机有完全的对处理器硬件访问权。而且，对一个虚拟机的改变不一定需要对整个系统进行重新测试，一个虚拟机可以独立于整个系统重新启动，这有助于最大限度地减少同一ECU上其他不相关功能的停机时间。

Zone ECU的硬件

瑞萨RH 850/U2x系列微控制器用于下一代区域/集成ECU，支持各种嵌入式硬件的针对区域应用的关键功能。此外，高性能的NoC（片上网络）结构可以确保每个单独的集成应用在外设和内存访问方面的实时性。



图2. RH 850/U2A：用于单芯片的跨区域平台集成多种车身和底盘应用（ 瑞萨）

RH 850/U2A MCU被设计成一个跨领域的平台，适用于高端车身和底盘应用，以满足日益增长的将多种应用集成到单个芯片的硬件需求，如图2。基于28纳米工艺技术，32位RH 850/U2A MCU建立在瑞萨用于底盘控制的RH 850/Px系列和用于车身控制的RH 850/Fx系列的关键功能之上，以提供更好的性能。



图3. 由于其更高的性能水平和高达32MB的内存，RH 850/U2B系列被定位在RH 850/U2A系列之上，如图3。它旨在成为一个对成本敏感的单片机，以实现所述的区域架构概念。

RH 850/U2x MCU配备了最新的硬件支撑技术以支持多个ASIL-D软件分区的集成。Hypervisor辅助功能使得以高性能方式运行Hypervisor操作系统成为可能，包括快速上下文切换以及灵活适应的Hypervisor中断概念。服务质量（QoS）为所有总线主节点提供延迟监测和主动调节功能，以确保最低带宽始终可用。该功能仅在RH 850/U2B MCU上提供。

存储器保护单元（MPU）实现了总线主节点对存储器和其他资源访问的隔离。一个高度灵活的外围存储器和外围模块的保护系统在资源层面上提供保护。额外的安全功能包括多个单独的错误输出信号，以确保在软件分区层面的单独处理。此外，AES128锁步模块的多个实例确保了无冲突和确定性的安全保障通信。为了涵盖无等待的空中更新（OTA），能够对单个Flash Bank进行背景操作，使个别软件分区能够独立更新。

来自ETAS的ZCU软件

ETAS的Hypervisor RTA-HVR支持Renesas RH 850/U2x，以满足严格的汽车功能安全和信息安全要求。RTA-HVR使用瑞萨RH 850/U2x系列的硬件虚拟化功能来创建多个虚拟机。每个虚拟机都有一个或多个虚拟CPU核、一段内存空间和一组外设。

每个VM是一个独立的可编译和可刷新的ECU软件，可以由第三方构建并交付。RTA-HVR支持Autosar Classic平台，并灵活地将物理CPU核分配给虚拟机。如果一个虚拟机对一个或多个CPU核有唯一的访问权，那么虚拟机之间就没有调度开销。如果多个虚拟机共享一个CPU核，可以应用静态配置的轮流调度或由RH 850/U2x后台中断驱动的动态预约式调度。

RTA-HVR使用MPU和保护概念在虚拟机之间提供空间隔离，为每个虚拟机划分内存和外设空间。

此外，RTA-HVR提供了一种称为虚拟设备扩展（VDE）的机制，允许ECU集成商为ZCU定制虚拟和物理外设之间的绑定。VDE提供了一种在虚拟机之间共享外设的安全方式，例如，当需要一个外设的虚拟机数量超过硬件中的物理外设数量时。这里的典型例子是以太网控制器、硬件安全模块和看门狗，或带有额外CAN通道的扩展，如图4。



图4. VDE能够创建完全虚拟的外设，以实现虚拟机之间对通信通道的优化（ 瑞萨）

ZCU的虚拟化方案

为了支持ZCU的概念开发，集成多个应用，ETAS和瑞萨已经开发了ZCU的虚拟化解决方案平台。它结合了RH 850/U2x MCU和RTA-HVR的功能，包括预配置的虚拟机，每个虚拟机都包含使用ETAS的Autosar Classic平台RTA-CAR的ECU软件。另外还提供了一个基于PC的设计工具包，用于观察实验室环境下的运行行为，如图5。



图5. ZCU虚拟化实验环境（ 瑞萨）

ZCU虚拟化解决方案平台为RH 850/U2x MCU提供了一个预配置和预构建的软件实现，作为一个易于启动的开发平台。它包含演示软件和benchmark环境，使汽车客户能够快速开始为他们的ZCU项目进行设计探索。图6显示了两种可供选择的硬件。

ZCU PoC软件栈包括一个RTA-HVR配置和四个虚拟机。每个虚拟机都被配置为在完整的ETAS RTA-CAR Autosa CP软件栈上运行一套简单的Autosar SWC（软件组件模板）。虚拟机之间的通信使用RTA-HVR，VDE用于虚拟CAN，虚拟看门狗，以及访问RH 850/U2x硬件资源。

RTA-HVR被配置为三个不同的有代表性的虚拟机配置，如下所示：

VM A：分配一个单独的CPU核，单独运行一个系统软件 VM B0和VM B1：各分配一个单独的CPU核，两个虚拟机上运行一个系统软件 VM C与VM D：共享一个CPU核，并各自单独运行一个系统软件，如图7。



图7. 设计探索工具中的虚拟机结构（ 瑞萨） 提供了两种可供选择的RTA-HVR配置，可以探索虚拟机调度策略的差异。

实时虚拟机状态数据

ZCU虚拟化解决方案平台提供了一个名为 "Design Exploration Tool "的PC应用程序，可以捕捉和显示实时虚拟机状态数据。运行所提供的不同的RTA-HVR调度策略，可以使开发人员轻松地与将嵌入式硬件和软件集成起来。同时，可以使用ZCU虚拟化解决方案平台研究故障注入虚拟机等功能，如触发内存非法访问，测量性能和系统时间、以及RH 850/U2x硬件功能，如 OTA 或 QoS。

ZCU 虚拟化解决方案平台与RH 850/U2x硬件一起发售，RH 850/U2A启动套件或RH 850/U2B小板，RTA-HVR的二进制Flash软件镜像和每个虚拟机已构建好的镜像，以研究调度和片上刷新，以及设计工具。

想了解更多信息的用户可以申请三个月的评估许可证。包括Renesas RH 850 MCAL与配置工具，ETAS RTA-CAR工具用于配置和代码生成，RTA-HVR的原型软件，以及所有配置文件、源代码和调试器脚本，使用户能够扩展或创建ZCU。

ETAS RTA-CAR工具又包括用于系统和应用软件配置的ISOLAR-A以及用于基础软件配置的ISOLAR-B、RTA-RTE（Autosar RTE的代码生成器），RTA-OS，以及RTA-BSW（Autosar基本软件模块的代码生成器，包括CAN通信）。其他开发工具，如GreenHills RH 850/U2x编译器（2019.1.5）和Lauterbach Trace32调试器或RH 850/U2x的瑞萨E2调试器。

总结

未来E/E架构的开发者面临的任务是在不增加物理ECU数量的情况下扩展功能。解决方案是一个新的软件架构和功能强大但成本低廉的硬件。区域架构要求ECU具有足够的处理能力，以并行地运行各种应用程序，软件通常来自不同的开发方，要求没有干扰，而且每个软件都确保实时性。

RH 850/U2A和RH 850/U2B微控制器，连同RTA-HVR Hypervisor，被设计用来支持这种集成控制器的开发。通过ZCU虚拟化解决方案平台，瑞萨和ETAS提供了一套软件包，支持客户分析、开发、评估测试和展示未来E/E架构的ECU。


审核编辑：刘清