需求分析
- 未来汽车上可以部署娱乐功能、智驾功能、底盘功能、车身控制功能、动力等。如果不同类型的功能都需要增加一个控制器,那么无论从成本上还是扩展角度都是不可持续的;
- 但如果把这些功能部署在一个控制器上,不同功能对软件底层生态和不一致的安全需求如何满足;
- 安全敏感的系统需要和对安全不敏感的系统从硬件层面隔离;
- 对于底层生态不一致,也可以在当前的硬件资源上通过hypervisor拆分一块实现独立的系统;
- 娱乐等对安全不敏感的系统扩展速度是很快的,可能当前的控制器很快就资源不够了,但汽车电子对于成本是敏感的,不可能预留很大的硬件资源。是否可以灵活的扩容,硬件资源可以共享,服务可以共享,功能可以动态部署将是控制器很重要的竞争力。
解决方案
- 在硬件和操作系统之间增加A型hypervisor,用来切分soc的硬件资源,支撑不同安全需求或者软件环境的系统。切分后的系统间通讯需要考虑。
- 在对安全性不敏感的操作系统之上,可以增加B型hypevisor,支撑功能的动态部署。
- 在对安全敏感的os之上,需要部署冗余功能APP*N;
- 当然APP*(N+I+J)可以构建高性能的功能完整态;
- 出于安全的考虑需要soc异构;
- 出于安全考虑,mcu上可以部署网络和对手件健康度管理模块。服务的分布式管理对此应该敏感;
- 也需要部署ad等有安全需求的监控着,在发生mcu敏感功能降级时,上报mcu,由mcu和两个soc协调,亦或和其他冗余系统协调降级策略;
- 对手件可以抽象成服务,提高可用性和灵活性;
- 对手件需要从硬件topo和服务topo两个维度来管理,并存在节点依赖;