《汽车嵌入式系统手册》一书旨在为读者提供一个全面的、对现有和未来汽车电子系统的概述。本书突出显示了汽车世界在需求、技术和商业模式方面的鲜明特征，并在以下领域呈现了先进的方法论和技术解决方案：

•车载架构；

•多方面开发流程（子系统集成、产品线管理等）；

•软件工程方法；

•嵌入式通信；

•安全性和可靠性评价：确认、验证和测试。

本书主要针对汽车工程专业人士，可以作为超出他们专业知识领域技术问题的参考书，及处于实践或研究阶段工程师的参考书。另一方面，本书也针对来自学术界的研究型科学家、博士和硕士研究生，因为本书不仅全面介绍了该领域的相关知识，还指出了该领域面临的主要科学挑战。

在过去的10年里，嵌入到汽车中、基于计算机的功能数量呈指数增加。开发流程、技术和工具已经改变，以适应变革。一系列的电子功能，如导航、自适应控制、交通信息、牵引控制、稳定控制和主动安全系统已经在今天的车辆上实现。这些新功能并不是独立的，言下之意它们需要信息交换——有时有严格的时间限制、有时要用到其他功能。例如，通过发动机控制器或者车轮转速传感器估计的车辆速度信息，可以用于调整方向、控制悬架，或仅为简单地选择正确的刮水器速度。嵌入式体系结构的复杂性正在不断增加。今天，多达2500个信号（如车速这样的基本信息）通过70多个电子控制单元（ECU）或通过5种不同类型的网络来交换。

汽车工业的主要挑战之一就是想出方法和工具，加快将来自各种供应商的不同电子子系统集成到汽车的全球电子架构。在过去10年里，几个行业项目已经在这个方向上进行（AEE、EAST、AUTOSAR OSEK/VDX等）^[1]，且已经取得重要成果（例如，标准组件如操作系统、网络和中间件、“好做法”等）。下一步是构建一个接受开放的软件体系架构以及相关的开发流程和工具，它们应该允许容易整合不同的汽车制造商和第三方供应商提供的功能和ECU。这是AUTOSAR项目正在进行的工作。

因为嵌入在汽车上的所有子系统没有相同的功能或可靠性，所以不同子系统有不同的服务质量。在通常情况下，一个车载嵌入式系统分为几个功能域，它们对应于不同的特性和约束。其中有两个特别与车辆行为的实时控制和安全有关：“动力总成”（控制发动机和变速器）和“底盘”（控制悬架、转向和制动）域。对于这些对安全性至关重要的域，技术解决方案必须确保该系统是可靠的（即能够提供值得信任的服务），且同时具有成本效益。

这些技术问题非常具有挑战性，特别是线控功能——它利用电子系统取代机械或液压系统，比如制动系统或转向系统。设计范式（时间触发、“构建的安全”）、通信网络（FlexRay、TTP/C）和中间件层（AUTOSAR COM）目前正在积极发展，目的是为了解决对可靠性的需求。

汽车工业中的主要成员可以分为：

•汽车制造商；

•汽车第三方供应商；

•工具和嵌入式软件供应商。

他们之间的关系是非常复杂的。例如，提供关键技术的供应商有时处在一个非常强势的位置，他们可能把技术方案强加给汽车制造商。由于汽车制造商和供应商之间的竞争非常激烈，所以保守公司的技术机密是至关重要的。这已经在技术领域产生了巨大的影响。例如，可能需要进行的系统的验证（即验证系统满足其约束）所使用的技术，不需要公开设计基本原理和实施细节的全部信息。

缩短上市时间将给汽车制造商添加附加压力，这是因为汽车制造商必须能够提出自己的创新——这通常依赖于电子系统在一个时间框架内。涉及的成员努力缩短开发时间，而与此同时，系统的整体复杂性增加——这要求更多的时间。这就解释了为什么尽管存在经济竞争，但他们仍然同意一起工作，来定义标准组件和参考架构——这将有助于缩短总的研发时间。

本书包括了15章内容，主要由来自工业与学术界直接参与工程和研究活动的权威专家撰写。在汽车领域处于前沿的工业或工业研究机构也为本书做出了许多贡献，他们是：西门子（德国）、ETAS（德国）、沃尔沃（瑞典）、Elektrobit（芬兰）、Carmeq（德国）、MathWorks有限公司（美国）、奥迪（德国）。还有一些世界著名机构展示了它们对学术界和研究机构的贡献，这些机构有：柏林理工大学（德国）、LORIA-南锡大学（法国）、INRIA（法国）、南特中央理工大学（法国）、KTH（瑞典）、梅拉达伦大学（瑞典）、凯特林大学（美国）、阿威罗大学（葡萄牙）和乌尔姆大学（德国）。

本书编排内容介绍如下：

（1）汽车架构

这部分内容对汽车嵌入式系统及其设计约束，以及新兴的、事实上的标准——AUTOSAR进行了全面介绍。第1章“车辆功能域和它们的需求”介绍了嵌入在汽车上的主要功能，及如何将这些功能分为功能域（底盘、动力总成、车身、多媒体、安全和人机接口）。并介绍了开发过程的特点，以及需要考虑的安全、舒适、性能和成本上的要求。

在第2章“AUTOSAR标准的应用”中，作者解决了车载嵌入式电子架构的标准化问题。他们分析了汽车行业的软件现状，提出了在AUTOSAR联盟中标准化规范的详细说明。对AUTOSAR必须特别注意，因为它正在成为一个标准，每个人都必须理解和应对它。

接着在第3章“智能车辆技术”中，提出的关键技术也已经被开发出来，它们用以满足今天的、明天的汽车的挑战——更安全、更好地利用能源、更好地利用空间（尤其是在城市中）。这些技术，如先进的传感器（雷达、立体视觉等）、无线网络或智能辅助驾驶等，将提升部分或全部自动车辆的概念，它们将重塑交通景观和上班一族在21世纪的旅行经验。(www.daowen.com)

（2）嵌入式通信

越来越复杂的电子架构嵌入车辆以及传感器和执行器位置约束，使得汽车行业采用分布式方法实现功能集成。在这种背景下，网络和协议是最重要的。它们在集成功能、减少布线的成本和复杂性、装备容错工具方面，提供关键的支持。其性能和可靠性的影响是至关重要的，因为大量的数据是通过网络提供给嵌入式功能。这部分包括第4、第5和第6章内容——专门研究网络和协议。

第4章“嵌入式汽车协议综述”概述了用于汽车系统的主要协议；如CAN、J1850、FlexRay、TTCAN的特点和功能方案，并介绍了传感器/执行器网络（LIN、TTP/A）和多媒体网络（MOST、IDB1394）的基本概念，总结了对通常由中间件层提供的通信相关的服务识别以及AUTOSAR对策建议的概述。

CAN是目前在车辆上实施最广泛的网络。然而，尽管CAN拥有较高的效率和较好性能，但它并不拥有关键安全性应用程序所需的特征。第6章“可靠的汽车CAN网络”的目的是指出它的局限性（它减少了可靠性），并提出技术解决方案来克服或减少这些局限性。特别的是，作者介绍了基于CAN的技术、协议和架构，它们可以在某些方面提高原始协议的可靠性，而同时仍然维持高水平的灵活性，即（Re）CANcentrate、CANELy、FTT-CAN和FlexCAN。

随着技术的发展，越来越多的功能对数据带宽方面有强烈需求。此外，对安全的要求变得越来越严格。在2000年，为了解决这两个限制，汽车工业开始开发一种新的协议——FlexRay。第5章“FlexRay协议”解释了FlexRay的基本原理，并对它的特点和功能方案给出了一个全面的概述。最后，以评估FlexRay对开发过程的影响对该章进行了总结。

（3）嵌入式软件与研发流程

嵌入式电子系统的设计流程依赖于在一个特定的并行工程的方法下汽车制造商与供应商之间的紧密合作。通常情况下，汽车制造商提供子系统的规范给供应商；供应商负责这些子系统的设计与实现——包括软件组件和硬件组件，以及机械或液压部分，然后将结果（产品）提供给制造商；制造商依次将它们集成到汽车上，并对它们进行测试。然后是“校准”阶段，包括调谐控制和参数调节，以满足控制系统所需的性能。在集成阶段检测到任何错误，都会导致在规范或设计步骤代价高昂的修正。因此，为了提高开发过程的效率，新的设计方法正在崛起，特别的是虚拟平台的概念目前在汽车电子系统设计中获得认可。

虚拟平台的概念需要适合开发过程每一步设计和验证活动的建模技术。在这种背景下，基于模型的开发（MBD）已经被汽车制造商和供应商进行了广泛的研究。汽车工业如何适应这种方法将在第10章“基于模型的汽车嵌入式系统开发”中讨论。这一章确定了基于模型开发的优点，探索了实践状态，并探究汽车工业的主要挑战。

汽车系统的一个主要问题是缩短上市时间，复用组件或子系统是实现这一目标的途径之一。第8章“汽车电子中软件的复用”中，概述了在汽车行业复用软件时所面临的挑战，介绍了制造商和供应商在复用问题上的不同观点，并介绍了多合作伙伴开发方法的影响。

在参与研发的不同合作伙伴之间共享相同的建模语言是简化合作开发过程的一种有效手段。（建立）这样一种语言的主要目的是：一方面根据不同的观点支持描述研发不同阶段（需求规范、功能规范、设计、实施和调谐等）的系统；另一方面，以确保这些不同观点之间的一致性。另一个重要方面是能够把嵌入式系统的结构映射成组件（硬件组件、功能组件、软件组件）架构。由架构描述语言（ADL）带来的思想和原则完全适合这些目标。什么是ADL？为什么需要ADL？现有的ADL及其相关的主要内容是什么？现在汽车行业中正在进行的主要工程是什么？这些问题的答案都可以在第9章“汽车架构描述语言”中找到。

产品线的引进和管理在汽车行业中具有重要意义。这些产品线与机械系统的变化、某些客户视觉变化联系起来，并在新车上提供。第7章“汽车电子产品生产线”呈现了整个开发过程中系统规划和持续管理的差异性。本章为研发的不同阶段提供了如何建立可变性模型的一些技术以及可追溯性准则。

（4）验证、测试和时间分析

汽车上的一些功能从安全的角度来说是至关重要的，例如底盘或动力总成域的某些功能。因此，确认和验证是最重要的。

测试可能是汽车行业最常用的验证技术。第11章“汽车控制软件测试”介绍了一般测试方法。特别的是该章描述了与当前测试活动有关的几种方法，如分类树方法、测试场景选择法和黑盒/白盒测试法。正如早已提及的，通信网络和协议是一个嵌入式系统可靠性和性能的关键因素。因此，通信架构的特定属性必须验证。第12章“基于FlexRay应用模块的测试和监控”讨论了如何将测试技术应用到FlexRay协议中。作者总结了在汽车应用程序的开发过程中验证步骤的约束，并解释了为什么故障注入和监测技术可以用于测试FlexRay。

CAN是嵌入在汽车上最受欢迎的网络，因此其相关内容是（大家）长时间的研究主题。第13章“基于CAN网络的汽车通信系统的时序分析”总结了过去15年在CAN时序分析领域取得的主要成就。特别的是它解释了如何计算帧在到达接收端之前所经历的时间延迟界限（即帧的响应时间）。本章还将考虑出现的传输错误，如电磁干扰。由于CAN的介质访问控制协议是基于帧的优先级，因此CAN拥有良好的实时特性。然而，正变得越来越有问题的一个缺点是其有限的带宽。汽车制造商正在研究的一个解决方案，就是使用偏移来调度信息——它将导致信息帧的去同步化。正如第14章“主要性能提升方式：使用偏移方式调度CAN信息”所述，这种“交通塑造”在最差工况响应时间方面的策略是非常有益的。试验结果表明：合理的偏移可以进一步延长CAN的寿命，并可以推迟引入FlexRay和额外的CAN。

第15章“汽车域的形式化方法：TTA时间触发架构概况”介绍了在时间触发架构（TTA）方面进行的形式化验证研究，以及更具体的涉及时间触发协议（TTP/C）的工作。该协议是TTA底层通信网络的核心。这些形式化验证工作都集中在分布式系统的关键算法：时钟同步、组成员算法或启动算法，并在可靠性保证方面带来了出色表现。据我们所知，TTA不再被汽车考虑或在汽车上实施。尽管如此，使用TTA形式化验证的多年经验对于比如FlexRay这样的汽车通信协议，肯定被证明是非常宝贵的——尤其是在认证程序将对汽车系统强制执行的视角来看。现在对航空电子系统是强制执行TTA的。

我们衷心感谢所有作者在致力展示本书内容时所付出的时间和精力。我们也非常感谢工业信息技术系列丛书编辑——理查德·拉夫斯基博士一直以来的支持和鼓励。最后，我们要感谢CRC出版社同意出版本书，并感谢他们在编辑过程中的帮助。

我们希望本书读者能为自己的研究或应用找到有趣的灵感源泉，并希望本书能成为汽车嵌入式系统一个可靠的、完整的、齐全的信息来源。

尼古拉斯·纳威特

弗朗西斯·西蒙-莱昂

[1]Architecture Electronique Embarquee（AEE，1997—2000）是一个法国项目，得到了法国工业部的支持，且有标致和雷诺、萨基姆、西门子、法雷奥作为主要工业合作伙伴。它的主要目标是找到应用级软件的可移植性的解决方案。嵌入式电子架构（EAST-EEA，2001—2004，参见http：//www.east-eea.net/）是一个欧洲ITEA项目，它涉及最主要的欧洲汽车制造商、汽车第三方供应商、汽车工具、中间供应商和研究机构。汽车开放式体系架构（AUTOSAR，2004—2007.参见http：//www.auto sar.org）是一项正在进行的针对EAST-EEA的持续行动，它旨在建立开放的汽车嵌入式架构标准。开放系统和相应的汽车电子接口（OSEK，参见http：//www.osek-vdx.org）是德国的一个汽车工业项目，它定义用于通信、网络管理和操作系统的软件组件标准。OSEK的一些成果（如OSEK/OS）已经广泛应用于汽车产品上。