軟件定義汽車將需要多種機制，保證汽車在各種情況下的安全和正常行駛。這些機制的專有解決方案需要大量的驗證工作，并且很難與不同的軟件架構集成。安全關鍵型分布式通信是否有標準化軟件框架？

向軟件定義汽車轉變

多年來，傳統車身系統中執行分立功能的電子控制單元（ECU）數量一直在增加，這些單元的可編程性較弱。然而，目前先進的汽車設計開始有所轉變，逐步轉向只分布在幾個（域）處理器上的靈活且可互操作的軟件。分布式軟件執行自動駕駛、娛樂中控、動力和車身控制等協調任務，同時共享處理器、網絡和傳感器，能夠降低系統成本。轉向軟件定義汽車是汽車行業最重要的趨勢之一，軟件功能將成為重要的差異化優勢。

要在這個領域贏得競爭，汽車制造商需實現快速輕松構建模塊化分布式應用，而運行這些應用需要可編程、可靠且低成本的半導體設備。因此，具有易于使用的應用編程接口（API）的標準化軟件平臺（如POSIX和AUTOSAR）日益受到歡迎。這些軟件平臺的一個關鍵組件是中間件，它是各種操作系統和高級應用之間的軟件層（見下圖）。簡單地說，中間件是一個軟件庫，它使分布式系統組件能夠相互通信。軟件定義汽車的安全性在很大程度上取決于中間件和底層網絡處理器，依靠這兩者才能實現分布式進程之間可靠的實時數據通信。

面向自動駕駛的S32G處理器上的安全檢查工具原型

一流的自動駕駛（AD）系統通常采用雙通道架構來實現冗余，即在正常情況下控制AD系統的主通道旁邊部署備用通道。如果主通道出現故障，汽車控制將切換回備用通道。這樣能夠同時提高AD系統的安全性和可用性。這種架構需要一個安全檢查工具來驗證主通道的運行狀態，并在必要時觸發安全機制，如安全停車。顯然，安全檢查工具的計算和通信功能非常關鍵，這對其容錯和可靠性提出了很高的要求。

恩智浦S32G汽車網絡處理器非常適合執行具有各種安全機制的高度可靠的AD系統。S32G中的Arm? Cortex?-A53內核提供高性能計算能力，ASIL D Cortex-M7安全內核鎖步模式適合運行安全關鍵型功能。此外，面向服務型網關的S32G GoldBox參考設計上集成的SJA1110以太網交換機提供了時間敏感網絡（TSN）功能，可與網絡上分布的高級AD應用進行實時可靠的通信。

除了完整性較高的硬件外，在S32G中的Cortex-A53和Cortex-M7內核上運行的數據分發服務（DDS）中間件軟件負責管理分布式系統的數據和通信。DDS中間件協議基于對象管理組織?（OMG?）標準化的發布-訂閱模式。DDS已集成到各種關鍵的汽車平臺生態合作體系中，例如AUTOSAR Adaptive和ROS2。DDS提供低延遲數據連接、可靠性和可擴展的以數據為中心的通信。此外，DDS附帶了一組豐富的內置服務質量（QoS）策略，可控制DDS行為，如資源消耗和通信可靠性。如需了解DDS的基本原理和QoS策略，可以嘗試互動式Shape演示應用或觀看演示視頻。

請注意，面向資源極度受限環境的DDS通過使用OMG DDS-XRCE協議實現。這是客戶端到代理協議，意味著DDS-XRCE客戶端節點通過外部代理節點與DDS網絡通信。DDS-XRCE非常適合為物聯網設備開發輕量級DDS應用，但在安全關鍵型系統中使用時，該代理可能會成為單點故障。然而，運行在S32G Cortex-M7上的RTI Connext?DDS Micro無需任何橋接或代理，可直接與功能齊全的DDS網絡進行通信，從而消除了單點故障。ISO 26262汽車安全環境中也可構建集成RTI Connext DDS Micro，其安全等級最高可達ASIL D級。

以下是對實施冗余自動駕駛通道特別有意義的DDS QoS策略：

?“截止日期”表示是否滿足數據發送和接收時間要求。每當不滿足發送和/或接收時間限制時，數據寫入器和數據讀取器都會通知應用。

?“活躍度”表示新的數據寫入器（DDS發布者節點）是否加入或仍然存在于網絡中。

?“獨占所有權”和“所有權強度”規定，只有具有最高強度值的數據寫入器才能寫入特定實例。

?“傳輸優先級”表明數據寫入器或數據讀取器發送的數據具有特定優先級。要了解此QoS策略如何將DDS主題鏈接到TSN流的更多信息，請查看我們關于DDS和TSN集成的在線研討會以及我們在GitHub上集成DDS-TSN的開源示例項目。

一旦DDS中間件層就緒，就可以使用DDS內置QoS策略。這簡化了開發過程，極大地提高了軟件組件的互操作性和可重用性。DDS多種發行版本，可滿足分布式AD組件的不同系統要求。在分布式AD系統中實施DDS既設立了一個通用的通信和數據管理框架，也毫不費力地增加了系統多樣性。此外，基于DDS構建的系統可以使用單個DDS XML文件輕松建模和配置。XML文件格式使系統開發更加容易，可幫助架構師和應用開發人員在系統層面設計軟件定義汽車。

使用DDS QoS策略的安全機制

如果組合得當，DDS QoS策略可啟用各種故障處理機制和安全措施，應對性能限制。DDS中間件層為在其上運行的所有AD組件設立了一個通用框架。無需太多工程工作即可實現不同規模的各種安全機制，例如故障切換到完全冗余的AD通道或組件的無縫接管。下面將詳細介紹在概念驗證演示設置中實現的安全機制。

無縫故障切換

故障切換是安全關鍵型系統中廣泛使用的安全機制。它通常依賴故障靜默組件，這些組件在發生故障時停止產生輸出。通常，當主AD通道發生靜默故障時，系統應退回到冗余安全通道，操縱汽車進入安全狀態。該機制可以使用DDS活躍度和所有權QoS策略來實現。如果主通道中的汽車控制數據寫入者發生靜默故障或失去與系統其余部分的通信，那么由所有權強度較低的安全通道的數據寫入者生成的樣本將自動對汽車執行器可見，并開始無縫控制車輛。同時，使用安全檢查工具來監測由于數據寫入者故障而導致的DDS網絡活躍度變化。系統可以根據此類診斷信息實施恢復機制，例如重啟。

無縫接管

即使發生故障的AD組件不是故障靜默的，系統也可以實施接管安全機制，在不影響系統可用性的情況下主動否決故障或不可靠的組件。可以使用DDS獨占所有權和所有權強度QoS策略來實現接管。這些QoS策略控制允許哪個數據寫入者向數據讀取者發送數據。當安全檢查工具檢測到主數據寫入者未正常運行（例如錯過截止日期或發送越界數據）時，會觸發所有權強度更高的健康數據寫入者將數據發送到數據讀取者。

故障切換與接管相結合的混合方法

DDS截止日期、活躍度、獨占所有權和所有權強度可以結合在一起，實現同時利用故障切換和接管機制的混合機制。例如，通過監測DDS網絡的活躍度，安全檢查工具可以在節點靜默故障時靈活地觸發故障切換機制，或者在運行的節點未故障靜默并發布錯誤數據或錯過截止日期時激活接管機制。由于所有權強度QoS值不同，系統在主通道和安全通道之間無縫切換時，也可以輕松處理系統中的過渡故障。

安全機制評估

為了在真實環境中評估在S32G上實施的基于DDS的安全機制，恩智浦與RTI（Real-Time Innovations）公司的汽車工程專家團隊合作。RTI是一家領先的自動駕駛系統軟件框架提供商，經營名為Connext DDS的DDS產品和工具組合。我們攜手將恩智浦安全檢查工具集成到基于Auoware.Auto的自動代客停車（AVP）演示中，Auoware.Auto是Autware基金會的一個開源項目。該演示展示了汽車如何自動駛入代客停車場。Autoware.Auto是一個基于ROS2的成熟的端到端自動駕駛框架，它使用DDS作為底層中間件。

演示設置架構

硬件在環評估演示設置的架構如下圖所示：

?大多數Autoware.Auto AD堆棧（如定位、感知、預測、路徑規劃）都運行在恩智浦BlueBox汽車高性能計算開發平臺Layerscape處理器的ROS2/DDS上。本例中的DDS中間件是RTI的Connext Pro，通過RTI的rmw_connextdds RMW層組件與ROS2集成。

?恩智浦車聯網GoldBox中的S32G在演示中充當區域控制器，其中線控驅動軟件接口在S32G Cortex-A53內核的ROS2/DDS上運行。在真實汽車中，該接口用于將以太網數據包中的車輛控制命令轉換為執行器的CAN消息。在模擬環境中，使用它將數據在Autoware.Auto和開源LG SVL端到端模擬平臺使用的格式之間進行轉換。安全檢查工具帶有安全接管和故障切換機制，基于運行在S32G Cortex-M7內核上的RTI DDS Connext Micro。

?外部模擬PC上運行的LG SVL模擬器可模擬道路使用者、自主車輛執行器和傳感器的數據。

使用基于DDS的安全機制處理故障的演示視頻

在評估設置中，我們將類似于現實問題的故障注入AD系統，并觀察基于DDS的安全機制如何處理這種情況。下面的演示視頻展示了安全檢查工具是如何監測、檢測和應對系統故障的，如軟件崩潰、掉電和網絡連接中斷。

結論

為了順應向軟件定義汽車轉變的發展趨勢，汽車系統軟件需要模塊化、可靠和可擴展。正如Autoware.Auto AVP實驗所示，恩智浦S32G ASIL D Cortex-M7處理器內核能夠很好地在自動駕駛系統中充當安全檢查工具。RTI Connext DDS中間件為整個汽車系統的強大處理器和資源受限的微控制器提供了一個通信框架，從而促進了這一進程。DDS憑借其豐富的服務質量策略，在軟件定義汽車中實現了多種安全機制，其工程工作量低，互操作性強。

作者：

Jochen Seemann是恩智浦半導體的嵌入式軟件架構師。他畢業于巴登-沃爾滕堡合作州立大學應用計算機科學專業，在工業PC接口全棧軟件開發方面擁有5年經驗。Jochen還擔任過5年的汽車領域一級軟件工程師和架構師，主要致力于IVI和自動駕駛產品的工作。此外，他還促進了開源Qt框架的開發。

Yuting Fu是恩智浦半導體公司的系統工程師。她擁有埃因霍溫理工大學和柏林理工大學嵌入式系統碩士學位。Yuting編寫了3本與自動駕駛系統車輛安全機制有關的科學出版物。此外，她還是經過認證的IEC 61508功能安全專家。

Andrei Terechko是恩智浦半導體公司的高級首席架構師。Andrei擁有15年跨國公司工作經驗，10年初創公司工作經驗。目前，他致力于自動駕駛的安全機制和架構工作。Andrei與他人合作申請了15項專利、合著了20多本國際出版物和公開演講稿。

Emilio Guijarro是Real-Time Innovations （RTI）的高級汽車應用工程師，在國防和汽車行業（包括汽車娛樂中控系統）方面擁有超過15年的工作經驗。他于2019年加入RTI，致力于將DDS集成到汽車用例和特定開發環境（包括AUTOSAR生態系統）。