前言

ETAS Deterministic Middleware Solution(EDMS，前身為AOS)確定性中間件解決方案，是一個(gè)中間件框架，旨在面向汽車(chē)領(lǐng)域內(nèi)應(yīng)用程序的獨(dú)特挑戰(zhàn)和需求，尤其是在高級(jí)駕駛輔助系統(tǒng) (ADAS)和自動(dòng)駕駛 (AD)的背景下，為開(kāi)發(fā)人員提供了創(chuàng)建高性能和高安全性應(yīng)用程序所需的工具、運(yùn)行時(shí)環(huán)境和集成能力。

一

嵌入式實(shí)時(shí)系統(tǒng)中的確定性

什么是嵌入式實(shí)時(shí)系統(tǒng)的確定性

嵌入式實(shí)時(shí)系統(tǒng)中的確定性，是指系統(tǒng)行為在特定條件下的可預(yù)測(cè)性和可重復(fù)性。在確定性系統(tǒng)中，給定相同的初始狀態(tài)和輸入，系統(tǒng)將始終產(chǎn)生相同的輸出，并遵循相同的動(dòng)作序列?？深A(yù)測(cè)性在實(shí)時(shí)系統(tǒng)中尤為重要，必須在滿(mǎn)足時(shí)間要求的前提下執(zhí)行任務(wù)，并確?？煽壳艺_的操作。

什么是時(shí)間確定性

時(shí)間確定性是指系統(tǒng)行為相對(duì)于時(shí)間的可預(yù)測(cè)性和可重復(fù)性。當(dāng)時(shí)序行為一致并且可以被精確預(yù)測(cè)時(shí)，系統(tǒng)被認(rèn)為是時(shí)間確定的。

時(shí)間確定的系統(tǒng)行為所依賴(lài)的因素有：

1.固定的執(zhí)行時(shí)間:

(Fixed Execution Time)

系統(tǒng)中的每個(gè)任務(wù)或進(jìn)程都應(yīng)該具有已知的固定執(zhí)行時(shí)間。這確保完成任務(wù)所需的時(shí)間是一致的，并且可以預(yù)測(cè)。

2.可預(yù)測(cè)的任務(wù)調(diào)度:

(Predictable Task Scheduling)

系統(tǒng)中使用的調(diào)度算法應(yīng)該是可預(yù)測(cè)的，任務(wù)的執(zhí)行順序應(yīng)該是確定的。這有助于預(yù)測(cè)每個(gè)任務(wù)的執(zhí)行時(shí)刻點(diǎn)和所需時(shí)長(zhǎng)。

3.最低的中斷延遲：

(Minimal Interrupt Latency)

中斷是可以搶占系統(tǒng)正常執(zhí)行流的事件。在確定性系統(tǒng)中，中斷延遲（中斷發(fā)生和處理開(kāi)始之間的時(shí)間）應(yīng)最小化并可預(yù)測(cè)。

4.一致的硬件性能：

(Consistent Hardware Performance)

系統(tǒng)的硬件組件，包括處理器、內(nèi)存和外圍設(shè)備，應(yīng)表現(xiàn)出一致和可重復(fù)的性能特征。硬件行為的可變性將會(huì)導(dǎo)致不確定的系統(tǒng)行為。

5.實(shí)時(shí)時(shí)鐘精度：

(Real-time Clock Accuracy)

系統(tǒng)中使用的實(shí)時(shí)時(shí)鐘的精度是一個(gè)重要環(huán)節(jié)。確定性系統(tǒng)需要穩(wěn)定的時(shí)鐘源，并提供精確的計(jì)時(shí)，以確保精準(zhǔn)的時(shí)序測(cè)量和任務(wù)調(diào)度。

6.確定性通信：

(Deterministic Communication)

在組件之間需要通信的系統(tǒng)中，通信協(xié)議應(yīng)設(shè)計(jì)為具備確定性。其中包括有保證的遞送時(shí)間、有限的通信延遲和最小的抖動(dòng)。

7.資源預(yù)留和分配：

(Resource Reservation and Allocation)

采用資源預(yù)留機(jī)制，比如為特定任務(wù)分配固定的時(shí)隙，可以確保任務(wù)在已知的時(shí)間范圍內(nèi)接收所需的資源，進(jìn)而有助于確定性行為。

8.避免非確定性延遲：

(Avoidance of Non-deterministic Delays)

為保持確定性行為，應(yīng)盡量減少或謹(jǐn)慎管理非確定性延遲，例如不可預(yù)測(cè)的I/O訪(fǎng)問(wèn)次數(shù)，或等待外部事件。

實(shí)現(xiàn)時(shí)間確定的系統(tǒng)行為是極為復(fù)雜的，但對(duì)于汽車(chē)控制系統(tǒng)、航空電子設(shè)備、醫(yī)療設(shè)備和工業(yè)自動(dòng)化等領(lǐng)域，時(shí)間精度對(duì)安全和性能意義重大。

什么是數(shù)據(jù)確定性

數(shù)據(jù)確定性是指系統(tǒng)行為在數(shù)據(jù)處理方面的一致性和可預(yù)測(cè)性。具體而言，這意味著給定相同的輸入數(shù)據(jù)集，并假設(shè)在相同的初始條件和執(zhí)行環(huán)境情況下，系統(tǒng)將一致且可預(yù)測(cè)的產(chǎn)生相同的輸出。

嵌入式實(shí)時(shí)系統(tǒng)中所謂的數(shù)據(jù)確定性，包含如下方面：

1.一致的數(shù)據(jù)處理:

(Consistent Data Processing)

嵌入式系統(tǒng)通常處理傳感器數(shù)據(jù)、控制信號(hào)及其他類(lèi)型的輸入。數(shù)據(jù)確定性確保了對(duì)此類(lèi)數(shù)據(jù)處理的一致性，從而在相同情況下對(duì)相同輸入產(chǎn)生相同結(jié)果。

2.確定性算法:

(Deterministic Algorithms)

用于數(shù)據(jù)處理的算法應(yīng)設(shè)計(jì)為具備確定性。假使系統(tǒng)依賴(lài)于非確定性算法，則即使在相同的輸入數(shù)據(jù)下，結(jié)果也可能不同，會(huì)引入不確定性，難于滿(mǎn)足實(shí)時(shí)約束條件。

3.避免不確定元素:

(Avoidance of Non-deterministic Elements)

不確定元素(如隨機(jī)數(shù)生成器、異步外部事件或不可預(yù)測(cè)的中斷處理)，會(huì)在數(shù)據(jù)處理中引入可變性。在嵌入式實(shí)時(shí)系統(tǒng)中，通常試圖最小化或謹(jǐn)慎管理上述不確定元素。

4.可復(fù)現(xiàn)性:

(Reproducibility)

可復(fù)現(xiàn)性是數(shù)據(jù)確定性的關(guān)鍵特性之一。在需要測(cè)試、調(diào)試或驗(yàn)證系統(tǒng)的場(chǎng)景中，數(shù)據(jù)確定性的系統(tǒng)行為能夠?qū)崿F(xiàn)一致的復(fù)現(xiàn)、診斷和驗(yàn)證問(wèn)題。

5.實(shí)時(shí)約束:

(Real-time Constraints)

滿(mǎn)足實(shí)時(shí)約束不僅需要確定的時(shí)序行為，還需要確定的數(shù)據(jù)處理。例如在控制系統(tǒng)中，決策基于傳感器數(shù)據(jù)，數(shù)據(jù)處理的確定性對(duì)于在指定的時(shí)間范圍內(nèi)實(shí)現(xiàn)正確的系統(tǒng)響應(yīng)至關(guān)重要。

6.確定性通信協(xié)議:

(Deterministic Communication Protocols)

嵌入式系統(tǒng)中組件之間的通信可能涉及數(shù)據(jù)交換。使用確定性的通信協(xié)議可以確保可靠且可預(yù)測(cè)的傳輸和接收數(shù)據(jù)，將有助于實(shí)現(xiàn)整個(gè)系統(tǒng)層面的確定性。

7.驗(yàn)證和確認(rèn):

(Validation and Verification)

在安全關(guān)鍵型應(yīng)用中，驗(yàn)證和確認(rèn)過(guò)程依賴(lài)于數(shù)據(jù)處理的可預(yù)測(cè)性和一致性，確保數(shù)據(jù)確定性關(guān)乎于證明系統(tǒng)的正確性。在嵌入式實(shí)時(shí)系統(tǒng)中實(shí)現(xiàn)數(shù)據(jù)確定性需要仔細(xì)考量軟件和硬件兩方面，這需要將算法、數(shù)據(jù)結(jié)構(gòu)和通信機(jī)制設(shè)計(jì)為具備確定性，并且通常還會(huì)涉及處理系統(tǒng)中的不確定性來(lái)源。

EDMS中的確定性

使用EDMS構(gòu)建的ADAS/AD系統(tǒng)引入了數(shù)據(jù)確定性這一概念，因?yàn)?strong>系統(tǒng)行為在數(shù)據(jù)處理方面的一致性和可預(yù)測(cè)性，對(duì)于驗(yàn)證系統(tǒng)的正確性有突出的意義。

下面將分別介紹ETAS確定性中間件，EDMS中的調(diào)度機(jī)制，以及確定性重算如何加速ADAS/AD開(kāi)發(fā)。

二

EDMS中的調(diào)度機(jī)制

——在延遲和可預(yù)測(cè)性之間實(shí)現(xiàn)最優(yōu)權(quán)衡

什么是調(diào)度

在汽車(chē)嵌入式軟件這個(gè)范疇，調(diào)度是指對(duì)于需要由嵌入式系統(tǒng)執(zhí)行的任務(wù)和進(jìn)程，確定執(zhí)行順序和時(shí)間的過(guò)程。汽車(chē)嵌入式系統(tǒng)通常具有嚴(yán)格的實(shí)時(shí)要求，必須在特定的時(shí)限內(nèi)完成任務(wù)，以確保車(chē)輛功能的正常運(yùn)行。

為什么需要調(diào)度

汽車(chē)嵌入式軟件中的調(diào)度對(duì)于確保系統(tǒng)的安全性、可靠性和可預(yù)測(cè)性有著重要意義。調(diào)度有助于滿(mǎn)足各種汽車(chē)應(yīng)用程序所附加的時(shí)間約束，適當(dāng)?shù)恼{(diào)度技術(shù)對(duì)于確保關(guān)鍵任務(wù)在特定時(shí)間內(nèi)執(zhí)行，以及系統(tǒng)在所有操作條件下的可靠運(yùn)行來(lái)說(shuō)是至關(guān)重要的。

數(shù)據(jù)驅(qū)動(dòng)型調(diào)度

數(shù)據(jù)驅(qū)動(dòng)調(diào)度是一種基于數(shù)據(jù)和運(yùn)行時(shí)信息做出任務(wù)執(zhí)行決策的方法，而不是僅僅依賴(lài)于預(yù)定義的優(yōu)先級(jí)和固定的調(diào)度表。

時(shí)間驅(qū)動(dòng)型調(diào)度

時(shí)間驅(qū)動(dòng)調(diào)度是一種基于預(yù)定義調(diào)度表來(lái)執(zhí)行任務(wù)的調(diào)度方法，通常在運(yùn)行之前就已確定。在時(shí)間驅(qū)動(dòng)的調(diào)度中，任務(wù)被分配特定的時(shí)隙或間隔，在這些時(shí)隙或間隔內(nèi)，期望任務(wù)被執(zhí)行。

ADAS/AD功能的典型架構(gòu)

大量傳感器(例如攝像頭、雷達(dá)、激光雷達(dá)、超聲波傳感器)產(chǎn)生高負(fù)載的測(cè)量數(shù)據(jù)。

處理傳感器數(shù)據(jù)，檢測(cè)和提取對(duì)象，并將數(shù)據(jù)傳輸?shù)阶鴺?biāo)系。這期間需要使用帶有微處理器(uP)和硬件加速器(HWA)的系統(tǒng)級(jí)芯片(SoC)。

之后對(duì)預(yù)處理的傳感器數(shù)據(jù)進(jìn)行融合(Sensor fusion)，形成周?chē)臻g的整體畫(huà)面。并以此，計(jì)算駕駛場(chǎng)景(Planning)。

最終在激活執(zhí)行器之前，同步計(jì)算得出的駕駛動(dòng)作。這通常需要基于微控制器(uC)。

選擇最佳調(diào)度機(jī)制

基于ADAS/AD系統(tǒng)的架構(gòu)，不同的子系統(tǒng)對(duì)其調(diào)度有不同的要求：

包括特征提取的感知是傳感器驅(qū)動(dòng)的。對(duì)于此類(lèi)任務(wù)，事件驅(qū)動(dòng)型調(diào)度最適合，可以提供低延遲。

傳感器數(shù)據(jù)融合和規(guī)劃是執(zhí)行器驅(qū)動(dòng)的。對(duì)于此類(lèi)任務(wù)，時(shí)間觸發(fā)激活最適合,因?yàn)榭梢源_保執(zhí)行的高可預(yù)測(cè)性，這對(duì)于預(yù)期功能的安全性(SOTIF)至關(guān)重要。

基于EDMS的系統(tǒng)中的調(diào)度

為了滿(mǎn)足ADAS/AD系統(tǒng)的調(diào)度需求，EDMS支持時(shí)間和數(shù)據(jù)兩種類(lèi)型觸發(fā)的活動(dòng)(Activities)。

確保數(shù)據(jù)一致性

為了確保數(shù)據(jù)一致性，EDMS實(shí)施了如下概念：

活動(dòng)開(kāi)始時(shí)凍結(jié)輸入數(shù)據(jù)：活動(dòng)的輸入數(shù)據(jù)是固定的，并且在活動(dòng)開(kāi)始后保持不變。

延遲到活動(dòng)結(jié)束時(shí)輸出數(shù)據(jù)：活動(dòng)生成的輸出數(shù)據(jù)將被保留，并且在活動(dòng)完成之前不會(huì)對(duì)外釋放。

一個(gè)活動(dòng)中的全部數(shù)據(jù)或無(wú)數(shù)據(jù)對(duì)另一個(gè)活動(dòng)可見(jiàn)：活動(dòng)之間的數(shù)據(jù)可見(jiàn)性遵循全有或全無(wú)的方式，這意味著一個(gè)活動(dòng)的所有數(shù)據(jù)都可以被另一個(gè)活動(dòng)訪(fǎng)問(wèn)，又或者是任何數(shù)據(jù)都不能被訪(fǎng)問(wèn)。

如果活動(dòng)正在運(yùn)行，則延遲激活(無(wú)并行執(zhí)行)：如果當(dāng)前有另一個(gè)活動(dòng)正在運(yùn)行，活動(dòng)的激活將延遲，以確?；顒?dòng)不會(huì)并行執(zhí)行。

基于EDMS的系統(tǒng)的特性

基于EDMS的系統(tǒng)在延遲和可預(yù)測(cè)性之間提供了最優(yōu)折中，

狀態(tài)比純數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)少得多：與純數(shù)據(jù)驅(qū)動(dòng)的系統(tǒng)相比，基于EDMS構(gòu)建的系統(tǒng)具有明顯少的可能狀態(tài)。

延遲比純時(shí)間驅(qū)動(dòng)的系統(tǒng)低得多：基于EDMS構(gòu)建的系統(tǒng)中的延遲比完全由時(shí)間驅(qū)動(dòng)的系統(tǒng)要低很多。

基于EDMS的系統(tǒng)中的確定性

由于調(diào)度和計(jì)算的抖動(dòng)，活動(dòng)組成的系統(tǒng)不是完全時(shí)間確定的：調(diào)度和計(jì)算的抖動(dòng)在系統(tǒng)中引入了非時(shí)間確定性行為。

然而，基于EDMS的系統(tǒng)能夠?qū)σ韵路矫嫣峁┛蓮?fù)現(xiàn)的行為：

軟件鎖步(實(shí)時(shí))：系統(tǒng)可以在運(yùn)行中實(shí)現(xiàn)同步、鎖步執(zhí)行軟件中的活動(dòng)(軟件鎖步)。

完全相同的重新計(jì)算：系統(tǒng)可以通過(guò)重算來(lái)復(fù)現(xiàn)完全相同的結(jié)果，確保開(kāi)發(fā)相關(guān)場(chǎng)景的一致性，例如使用取證重算(Forensic Recompute)或驗(yàn)證，進(jìn)行問(wèn)題分析和調(diào)試。

三

確定性重算和仿真駕駛

——加速AD開(kāi)發(fā)的革命性概念

自動(dòng)駕駛(AD)系統(tǒng)在充滿(mǎn)挑戰(zhàn)的復(fù)雜地形中導(dǎo)航，開(kāi)發(fā)和測(cè)試依賴(lài)精度和可靠性。具有革命性的“確定性重新計(jì)算”(Deterministic Recompute)，配合具有創(chuàng)新性的“仿真駕駛”(Virtual Drives)，為驗(yàn)證階段面臨的難題提供了強(qiáng)大的解決方案。

確定性重算和仿真駕駛

重算的核心任務(wù)，是由AD系統(tǒng)處理已記錄的或人工生成的數(shù)據(jù)。確定性重算能夠保證在給定相同輸入的情況下，輸出保持一致。基于這一功能特性，仿真駕駛提供了一個(gè)模擬環(huán)境來(lái)復(fù)制真實(shí)世界的駕駛場(chǎng)景，創(chuàng)建一個(gè)用于測(cè)試的受控?cái)?shù)字空間，而無(wú)需進(jìn)行廣泛的真實(shí)道路驗(yàn)證。

ROS中的非確定性行為

機(jī)器人操作系統(tǒng)(Robot Operating System, ROS)是一個(gè)開(kāi)源中間件框架，旨在開(kāi)發(fā)機(jī)器人系統(tǒng)。在自動(dòng)駕駛應(yīng)用領(lǐng)域，ROS通常用于預(yù)開(kāi)發(fā)車(chē)輛系統(tǒng)的各個(gè)組件，如感知系統(tǒng)(攝像頭、激光雷達(dá)、雷達(dá)）、控制系統(tǒng)或路徑規(guī)劃算法。

雖然ROS提供了開(kāi)發(fā)ADAS/AD系統(tǒng)所需的諸多關(guān)鍵功能，但使用相同的輸入數(shù)據(jù)進(jìn)行重新計(jì)算，系統(tǒng)可能會(huì)輸出不同結(jié)果。

EDMS中的確定性行為

作為ETAS確定性中間件解決方案，EDMS是專(zhuān)為ADAS/AD系統(tǒng)的開(kāi)發(fā)而設(shè)計(jì)的。

使用相同的輸入數(shù)據(jù)重新計(jì)算將提供相同結(jié)果。

確定性與非確定性系統(tǒng)行為示例對(duì)比

確定性重新計(jì)算的應(yīng)用

通常來(lái)說(shuō)，確定性重新計(jì)算有三個(gè)主要應(yīng)用：

問(wèn)題分析/調(diào)試(Problem Analysis / Debugging)

功能開(kāi)發(fā)(Function Development)

基于仿真的驗(yàn)證(Simulation-based Validation)

問(wèn)題分析/調(diào)試：

在發(fā)生現(xiàn)場(chǎng)問(wèn)題時(shí)，確定性重算和仿真駕駛的聯(lián)合使用，允許開(kāi)發(fā)人員在其桌面電腦的開(kāi)發(fā)環(huán)境上即可復(fù)現(xiàn)問(wèn)題缺陷。這種取證功能簡(jiǎn)化了問(wèn)題調(diào)查，有助于調(diào)試和快速故障定位。

功能開(kāi)發(fā)：

在仿真駕駛的環(huán)境下，確定性重算使開(kāi)發(fā)人員能夠快速分析新功能以及軟件更改，縮短反饋周期并加速開(kāi)發(fā)過(guò)程。這種組合確保了與虛擬環(huán)境的無(wú)縫集成，以進(jìn)行精確測(cè)試。

基于仿真的驗(yàn)證

持續(xù)驗(yàn)證依賴(lài)于穩(wěn)健的回歸測(cè)試。確定性重算和仿真駕駛協(xié)作，以便于對(duì)每個(gè)軟件更改進(jìn)行大規(guī)模、可重復(fù)的回歸測(cè)試。這不僅確保了軟件可靠性，還可與更廣泛的驗(yàn)證和確認(rèn)(V&V)策略無(wú)縫協(xié)同。

確定性重算和仿真駕駛的意義

在安全關(guān)鍵型的汽車(chē)行業(yè)，遵守ISO 26262和ASIL–D標(biāo)準(zhǔn)是毋庸置疑的。確定性重算和仿真駕駛?cè)娼鉀Q了這一需求。實(shí)時(shí)執(zhí)行，配合大量數(shù)據(jù)的處理和長(zhǎng)時(shí)間的記錄，這些都是仿真測(cè)試不可或缺的工具。

確定性重算和仿真駕駛協(xié)同的意義將不僅限于滿(mǎn)足仿真測(cè)試的要求。通過(guò)再現(xiàn)系統(tǒng)內(nèi)部數(shù)據(jù)取代了存儲(chǔ)大量數(shù)據(jù)集，不僅優(yōu)化了測(cè)試過(guò)程，還最大限度的減少了數(shù)據(jù)存儲(chǔ)需求，在加速AD系統(tǒng)開(kāi)發(fā)領(lǐng)域這是一個(gè)關(guān)鍵里程碑。

審核編輯：劉清