引言:
在智能汽车的世界里,时间同步就像乐团演奏的指挥棒——看似无形,却决定着整体的协调与和谐。当车内上百个ECU(电子控制单元)需要协同工作时,它们之间的“对表精度”直接决定了系统的性能上限。
随着理想汽车电子电气架构向最新即将量产的第三代电子架构演进,我们不仅将授时精度从秒级提升到50毫秒以内,更重要的是通过创新的系统设计,彻底解决了特殊工况下的时间同步中断问题,为L3/L4高阶辅助驾驶提供了可靠的时间基础。
一、高精度与高可靠:时间同步新要求。
1.1 时间同步为何成为车辆系统的“隐形守护者”?
整车时间同步 是指通过特定的硬件、软件和通信协议,在车内多个ECU和传感器之间建立统一的时间基准,使各模块的时间保持高度协同一致。
当我们讨论到汽车的性能时,往往关注传感器精度、控制器执行性能或算力等因素,却忽略了时间同步这个“隐形守护者”。
尤其是在车辆自动驾驶的过程中,系统需要实时感知周围环境、检测障碍物 。这一复杂过程依赖于摄像头、激光雷达等多个ECU控制器的协同工作,这些设备以不同的采集频率和工作原理获取环境信息,任何一个模块的时间偏差,都会导致系统对现实世界理解的错位,进而引发决策失误。
自动驾驶中的传感器融合场景:
自动驾驶车辆依靠多种传感器协同工作来感知环境——雷达测量障碍物距离,摄像头识别物体类型,激光雷达构建3D点云地图。这些传感器数据的融合严重依赖精确的时间同步。举例来说,当车辆需要识别并避让一个横穿马路的行人时:
-
雷达在T时刻检测到30米外有移动物体;
-
摄像头在T+10毫秒识别出这是一个行人;
-
激光雷达在T+20毫秒确定其运动轨迹。
如果没有精确的时间同步,系统无法准确判断这三个数据是否描述的是同一个目标。时间戳偏差可能导致系统误判行人的实际位置和速度,进而做出错误的避让决策。
因此,毫秒级甚至微秒级的时间同步精度,是多传感器融合算法正确工作的基础,直接关系到自动驾驶的安全性。
除此之外,时间同步还影响着底盘控制、动力响应等功能域的协调一致。随着电子电气架构从分布式向域控制再向中央计算演进,系统对时间一致性的要求变得愈发苛刻。
1.2 对时间同步提出的新要求。
时间同步已从基础支持技术演进为实现环境感知、决策规划与控制执行的关键前提,直接决定了车辆的性能上限与安全边界。因此,对时间一致性提出了极高的要求:
- 精度要求提升
车辆中同时使用摄像头、雷达、激光雷达、IMU(惯性测量单元)等多种传感器,它们的工作原理和数据处理延迟各不相同。在关键功能域(如辅助驾驶域),需要更加精确的时间同步单位,才能尽可能缩小误差,以支持多传感器的精确融合,实现不同组件之间的高度协同。
** **
- 系统复杂度增长
车辆会有频繁的休眠、唤醒、OTA升级过程。时间同步必须具备无缝的状态切换能力,跨越这些电源和系统状态变化,保持时间的连续性和单调性(时间只增不减),避免因重启或升级造成时间跳变,导致日志混乱或控制逻辑错乱。
- 可靠性面临严苛环境考验
车辆的实际运行环境复杂多变:在地下车库、隧道等场景中可能会出现信号中断,在峡谷或者高楼林立的城市街道中,信号可能被遮挡,导致延时。所以,系统必须具备极强的环境适应性与抗干扰能力。
- 功能安全 要求贯穿始终
时间同步系统必须内置完善的故障检测、隔离和自愈恢复机制,确保即使在某些组件失效的情况下,系统仍能降级维持基本且可靠的时间同步功能,严格防止因时间错误或跳变引发的系统性功能失效,保障车辆处于安全状态。
为应对这些挑战,理想汽车研发了一套全新的高精度时间同步方案,致力于实现四个核心目标:
-
建立全局统一的时间基准: 在整车内部建立统一的时间参考,所有模块(ECU、传感器等)共享同一时间。
-
实现亚微秒级的高精度: 在关键功能域(如辅助驾驶域)实现时间同步精度通常要求达到微秒级,以支持多传感器的精确融合。
-
确保时间单调递增: 系统时间必须保持单调递增,避免出现时间跳变或回退的情况,尤其在休眠唤醒、OTA升级等状态下尤为重要。
-
维持与真实世界的一致: 整车时间与真实世界UTC时间保持同步,以支持外界通信和数据对接。
下面将详细介绍我们让时间同步“永不掉线”的方案是如何实现的。
二、理想汽车的创新方案:让时间同步“永不掉线”。
2.1 核心理念:从单点依赖到多重保障。
解决方案的核心理念是构建一个具有多重保障的授时机制:
-
卫星授时优先: 系统首先尝试通过全球导航卫星系统( GNSS ) 获取时间信息,如GPS、北斗等。
-
网络授时备用: 如果GNSS超时,则自动切换为网络时间协议(NTP) 服务器授时。
-
本地时钟续联: 如果NTP也超时,系统会启用实时时钟( RTC ) 维持时间基准。
-
人工校准兜底: 极端情况下支持用户手动介入,确保时间系统始终可用。
通过引入该机制,在隧道、地库等GNSS信号缺失的场景中,系统可迅速自动降级至NTP授时;若网络同时不可用,则由RTC接管,继续提供时间基准输出,从而真正实现“永不掉线”的多重保障。
2.2 精密分工:多域划分的时间管理体系。
为构建高精度的时间同步方案,我们创新性地采用了多域划分的时间管理体系,不仅解决了传统架构中单点负载过重的问题,也通过精准的域划分实现了不同精度需求的针对性满足 ,为高阶辅助驾驶提供了坚实的时间基准保障。
在协议层面,我们采用了一种核心的时间同步技术:
广域精密时间协议(gPTP,IEEE 802.1AS) :在精密时间协议(PTP,IEEE 1588)的基础上,采用了主时钟和从时钟的架构,通过计算二者之间的网络传输延迟,校准设备间的时间差,可实现纳秒级同步。而且面向时间敏感网络(TSN)进行了优化,协议更精简高效,适合车载系统。
基于gPTP协议,为减轻主节点的负担,并确保各域内时间一致性,我们将整车时间域划分为四个层级,采用类似企业组织的分级管理体系:由“总部”统一协调,逐级分发至各“职能部门” ,既分散了主节点压力,又保障了各域的高精度同步。具体划分为:外部域、智能座舱域、辅助驾驶域以及CAN域,如下图所示:
- 外部域——获取标准时间的部门
作为整车的“时间大门”,外部域负责从外部获取标准时间 。系统会通过5G网络获取GNSS卫星信号,作为主要时钟源,同时获取NTP时间作为备份;在车辆上电期间,MCU通过RPS通道(UART)将获得的标准时间更新在RTC上。确保车辆行驶在隧道、地库等容易失去卫星信号的场景中,也能持续获得高精度的时间基准。
- 智能座舱域——公司总部
智能座舱域的MCU作为整车时间同步的核心,被配置为主节点(master) ,其他节点被配置为从节点(slave) ,通过gPTP协议实现主从节点的时间同步。此外,辅助驾驶域的MCU也作为从节点接入该域,接受来自主节点的时间同步信息。这样就能保证智能座舱域主节点作为唯一权威时间源,为全车提供统一的时间基准 ,避免了多个时钟源之间的偏差和同步复杂度。
- 辅助驾驶域——对时间要求极其苛刻的部门
辅助驾驶域中的MCU作为主节点,会在系统正常运行期间,根据智能座舱域的时间基准进行实时微调,并同步给域内其他节点(lidar、ZCU、SOC)。这样,辅助驾驶域就拥有了独立的时间管理能力 ,既能满足高阶辅助驾驶对于时间同步的严苛要求,同时不过度依赖智能座舱域,并减少其他域的时间调整对辅助驾驶域产生的影响,让系统更可靠,兼顾了性能和成本。
- CAN 域——对时间要求不高的普通部门
辅助驾驶域的主节点会通过ZCAN将时间同步给CAN域内的ECU节点。虽然CAN总线是相对传统的车载网络,但在车身控制、动力系统等领域仍扮演着重要角色,这样设置可以确保传统ECU也能享受到高精度时间同步的好处。
2.3 双保险:引入冗余机制。
单一的时间同步链路就像走钢丝,看似稳定但随时可能因为意外而中断,比如硬件故障、信号干扰或者系统老化等。为此,我们设计了链路和节点的双重冗余机制 ,为时间同步加上了双保险,如下图所示:
1. 链路冗余——两条路总有一条能走通。
在智能座舱域和辅助驾驶域之间,我们部署了基于VLAN1和VLAN2的两条完全独立的通信链路。
-
正常情况下,辅助驾驶域内的主节点(如图中的MCU1)会选择VLAN1,如果在一定周期内未收到来自VLAN1的报文,会自动切换到VLAN2进行时间同步。
-
在该运行周期内,即使出故障的VLAN1在短时间内恢复正常,系统也不会立即切换回去,而是继续使用VLAN2,有效避免了链路频繁切换导致的不稳定。
2. 节点冗余——主角病了,替补立即上场。
在辅助驾驶域内部,我们部署了多个节点作为主节点的备份。
-
正常情况下,MCU1会作为辅助驾驶域内的主节点,传递接收到的时间同步信息,此时,MCU2作为从节点运行。当MCU1无法正常工作时,MCU2会自动切换为辅助驾驶域的主节点。
-
在该运行周期内,即使MCU1恢复,也会继续作为从节点接受时间同步信息。只有在下一个运行周期开始后,才会重新评估MCU1的主节点资格,确保切换对系统影响的最小化。
通过上述链路和节点的双重冗余,我们的方案显著提升了系统在复杂场景下的容错与鲁棒性,即使同时出现链路故障和节点故障这样的极端情况,系统仍能保持基本的时间同步功能 ,为整车时间同步服务的稳定运行提供了坚实基础。
2.4 精细化解决方案:特殊工况处理。
针对在特殊工况下时间同步易中断的问题,我们同样开发了一套完整的应对方案,确保系统在各种极端情况下依然保持可靠的时间同步。
1. 上下电管理——让每次启动都快人一步。
车辆上电时,系统通过并行处理方式快速建立时间同步,智能座舱域MCU通过5G网络获取最新时间并更新RTC,同时辅助驾驶域从智能座舱域获取时间并分发给域内其他节点。下电前系统会自动保存当前时间至RTC,确保即使长期断电后再次启动,时间仍然保持连续。用户几乎感受不到启动过程,所有功能立即可用。
2. 休眠唤醒优化——醒得更加及时。
传统方案中,车辆唤醒后需要数秒才能恢复时间同步,这期间许多功能无法正常工作。我们通过在休眠前预先将最新时间保存至各级RTC,确保在唤醒时可以提供一个较为准确的时间参考。车辆唤醒后,立即进行授时,同时更新RTC时间,用户打开车门时,系统已经完成时间同步,真正实现“即醒即用”的体验。
3. OTA 升级不中断——升级进行时,功能不打烊。
OTA升级是智能汽车的重要特性,但如果依靠传统方案,每次升级都意味着时间同步的中断,我们通过多域划分的设计,使得某些OTA升级过程中时间同步也持续可用。如果是智能座舱域的SOC升级,由于不涉及时间同步功能,整车完全不受影响;当辅助驾驶域升级时,整车时间会由智能座舱域MCU来保证。
4. 启动时序容错——谁先醒来都不怕。
在实际运行的过程中,各个域的启动顺序并不是固定的,特别是在冷启动时,辅助驾驶域可能会先于智能座舱域完成初始化,我们的方案支持各域控制器的非顺序启动。当辅助驾驶域先于智能座舱域启动时,可先基于RTC时间自主运行,让各系统能够快速进入工作状态,待智能座舱域启动完成后,辅助驾驶域再平滑地切换到智能座舱域提供的标准时间。这消除了传统方案中必须等待智能座舱域主节点就绪的限制,显著缩短系统的启动时间。
5. 运行中断自愈——断了还能自己接上。
车辆运行过程中,可能因为各种原因导致域间通信中断。当辅助驾驶域收不到智能座舱域的时间同步信息时,会自动切换到本地RTC维持时间同步。通信恢复后,系统会判断是否可以安全地重新同步——如果时间没有出现回跳,就会平滑切换回正常的时间同步;如果时间出现回跳,为了安全起见,本运行周期内不会同步智能座舱域的时间,避免时间混乱导致的系统错误。这种“宁可保守,不可冒进”的策略,最大程度保证了系统的稳定性。
三、总结
高精度时间同步已成为了保障功能安全与可靠性的核心基石。理想汽车创新性地构建了一套“永不掉线”的时间同步方案:通过具有多重保障的授时机制、多域划分的时间管理体系,以及链路与节点的双重冗余设计,不仅把授时精度精度从秒级提升到毫秒级,更是做到了让时间同步“永不掉线” ,为每一位理想汽车用户的出行保驾护航。
在通往高阶辅助驾驶的道路上,时间同步或许是最不起眼的基础技术,但正是这些细节的不断完善,才让“创造移动的家,创造幸福的家”的使命一步步成为现实。
