为什么混合关键级部署会成为 DMS 进入中央计算平台前必须跨过的门槛？

关键词：mixed-criticality、central ECU、ASIL、freedom from interference、INTEGRITY RTOS、Smart Eye、Green Hills

2026 年一个非常值得重视的信号，是 Smart Eye 与 Green Hills 在 CES 展示了 安全关键 DMS 与数字仪表同跑单 ECU 的 mixed-criticality 架构。

这件事真正重要的地方，不是“又一个联合演示”，而是它把未来 DMS 量产的关键门槛讲透了：

DMS 想真正进入中央计算平台，必须证明自己能在与 infotainment、cluster、gateway 等任务共存时，仍保持可验证的安全隔离和时延确定性。

---

一、为什么这件事突然变得重要

过去 DMS 很多时候跑在相对独立的 ECU 上，边界清晰，功能安全论证相对直接。

但 2026 往后，OEM 更倾向：

• ECU 合并
• 域控制器集中
• 软硬件平台化
• OTA 和跨域协同

于是 DMS 不再只是“一个安全小盒子”，而会成为中央平台中的一个安全工作负载。

真正的新问题也就来了：

• 当 cluster 负载上升时，DMS 会不会掉帧？
• 当 gateway/cloud 诊断同时运行时，告警链路是否被拖慢？
• 非安全任务崩溃时，DMS 是否仍能保持 freedom from interference？
• 调试和 OTA 时，怎么证明没有破坏安全路径？

这些问题不解决，DMS 就很难真正混部上车。

---

二、这次演示说明了什么

根据公开材料，这个方案强调了几件很关键的事：

• Smart Eye 的 DMS 软件 与 digital instrument cluster 运行在同一个 automotive ECU
• 基于 ASIL-certified INTEGRITY RTOS
• 强调 mixed-criticality 下的 isolation 与 freedom from interference
• 事件还能通过车内网络广播给 cluster / gateway / cloud
• 同时提供跨 ECU、跨应用的统一调试和时序视图

这说明行业正在把 DMS 的量产难点，从“模型能不能跑”转向“系统如何安全共存”。

---

三、对 IMS 开发的直接启示

1）以后必须交付平台画像

不只是精度，还要能回答：

• 峰值 CPU / NPU / 内存是多少
• 最坏时延是多少
• 资源争抢时如何退化
• 哪些链路必须硬实时
• 哪些功能可降级

2）DMS 软件结构要分层

建议拆成：

• 安全核心层：driver state、核心告警、最小输出链路
• 增强层：认知分心、损伤检测、丰富语义
• 诊断与分析层：日志、云端分析、数据闭环

这样才适合 mixed-criticality 平台治理。

3）调试和验证会变成主成本项

中央计算不是“搬过去就行”，而是要验证：

• 任务优先级
• 网络事件链路
• 跨 ECU 交互
• OTA 后一致性
• 负载抖动下的安全性

---

四、路线判断

未来 DMS / OMS 的一个核心分水岭，不再是“独立 ECU 还是中央 ECU”，而是：

谁能先把 mixed-criticality 运行、验证、调试体系做成熟，谁就更有机会进入下一代中央计算量产平台。

这对 IMS 的启示很直接：

• 提前建立资源/时延画像
• 做安全核心与增强能力拆分
• 把 mixed-criticality 验证列入平台规划主线

否则算法再好，也可能卡在系统集成门口。

---

参考来源

1. Smart Eye × Green Hills Software, CES 2026 mixed-criticality demo
2. Anyverse CES 2026 in-cabin monitoring summary