手机贤集

工业平台

返回贤集网

自动驾驶E/E架构应考虑哪些因素?AV的安全性和可靠性将是关键挑战

美人独凭栏 2021-04-08 13:15:27

经过100多年的发展,汽车产业即将进入电动和自动驾驶时代。是什么力量在驱动着汽车行业和汽车电子的变革?下图显示出四大驱动力:技术推动力、客户吸引力、软件定义汽车,以及商业模型的颠覆。


自动驾驶E/E架构应考虑哪些因素?AV的安全性和可靠性将是关键挑战


图一:汽车电子系统变革的驱动力量。(来源:Egil Juliussen)


技术推动力


位于图一底部的黑色部分是技术推动因素,包括芯片技术、有线和无线连接、电动车(BEV)技术,以及自动驾驶(AV)技术。这些技术正在推进和颠覆传统的汽车系统架构。


芯片技术是迄今为止是最重要的因素,而且仍会持续下去。所有汽车电子技术都会受到芯片技术进步的推动,虽然现在的进展比十年前要慢,但是其他技术领域正在为芯片创造新的进步机会,比如芯片封装技术的创新,系统级封装(SiP)就是这种趋势的一个典型例子。


传感器的快速发展也主要归功于IC技术的进步。摄像头和雷达是ADAS/AV不断发展的重要产品,激光雷达和远红外技术在成本和性能方面都在快速演进,而且对自动驾驶汽车将越来越重要。


自1996年第一个远程信息处理系统问世以来,联网汽车技术的发展已接近25年。联网确实花费了很长时间才成为主流,但如今它已成为必不可少的技术,并且催生出许多功能扩展。


电动车(BEV)是目前最具颠覆性的技术,其发展速度比几年前的预期要快得多。因此,所有汽车制造商都在竭力进行正确的战略规划、产品计划和电池供应链建设,并确保从内燃机顺利过渡到新能源车,虽然对于“正确”含义的理解还有很多不确定性。


自动驾驶是新兴技术,将在未来几十年极大地影响全球汽车和运输行业。新兴初创公司、高科技巨头和汽车厂商都在竞相开发自动驾驶软件平台,力争成为最终的赢家。随着新标准和法规的出现,AV的安全性和可靠性将是关键挑战。


软件定义的汽车


图一左侧的蓝色部分总结了关键的软件技术和平台,这是“软件定义的汽车”的主要因素。域控制器ECU正在扩展软件定义的汽车,因为它需要更高级的软件和中间件平台。智能座舱域ECU是当前的热门,而ADAS域ECU将成为下一个增长热点。


联网汽车应用程序一直在发展,但随着智能手机应用程序成为汽车信息娱乐系统的重要部分,它正在成为一块新的高科技细分市场。大多数汽车用户更喜欢跟智能手机类似的信息娱乐用户界面,因为它们通常比汽车OEM厂商开发的界面更为友好。智能手机赢得了这场竞争,高科技公司现在已经主导了汽车信息娱乐内容。


空中更新(OTA)和网络安全已成为必需的功能。汽车厂商接受OTA和网络安全的进度一直很慢,但是现在这种情况已经发生了变化,至少对OTA而言。OTA既可以节省软件更新的成本,又可以通过功能性软件更新产生新的收入。


网络安全的步伐比OTA慢,但是所有汽车厂商迟早都会部署网络安全。网络安全标准UNECE WP.29已通过审核,并将在许多地区部署。Arm的新架构V9具有一些内置的网络安全功能,这些对将来的汽车网络安全很有帮助。


汽车厂商都制定了雄心勃勃的内部开发软件的策略。但到目前为止,做到这一点比预期的要困难得多,我相信建立内部软件专业知识库将需要一些时间。但是汽车厂商必须改进其长期软件功能,这是正确的策略。


云端SaaS平台正在多个阶段影响着汽车软件的发展,Amazon AWS和Microsoft Azure已经赢得了汽车客户的信任。SaaS云计算平台已在许多行业蓬勃发展,现在是进入汽车行业的时候了。我最近关于“AWS在汽车领域的动向“的文章很好地唤醒了人们对云平台的兴趣和重视。


商业模式的颠覆


图一右侧的红色部分显示了商业模式颠覆的影响。移动即服务(MaaS)的模式正在美国和中国一些地方进行多个用例测试,尽管进展缓慢。四个AV用例场景正在受到风投的热捧,分别是自动驾驶卡车、无人驾驶出租车(robotaxis)、短途和长途货物运输,以及小范围的固定路线AV(由于新冠疫情流行期间共享乘车次数很少)。


随着云计算平台成为必不可少的技术,软件即服务(SaaS)模式正在增加汽车行业的软件机会。某些汽车功能甚至开始由SaaS实施或付费,或者按使用量付费。按使用量付费类似于SaaS,但仍然单独列出来,因为它可以增加收入潜力,并且有助于公司股票的市场估值。


新的后装市场业务模式也在汽车使用阶段开始出现,数据变现或数据即服务(DaaS)是一个很好的例子。功能性软件更新也是汽车制造商的一个新机遇,并且是加快OTA部署的关键原因。


3D打印零部件正在汽车行业兴起,并将成为节省成本和增加新收入的重要策略。3D打印可能是汽车行业中最重要的非电子领域。随时打印所需零部件而不是储存备件,这将是非常可取的长期策略。随着3D打印技术的不断发展,原配零部件很可能在十年或更短的时间内升级为更好的3D打印零部件。


客户吸引力


图一顶部的绿色部分显示了“客户拉动因素”。应该引起重视的是要意识到一些影响来自安全和相关法规。


价格和成本始终都很重要,尤其是BEV和内燃机技术(ICEV)之间的竞争,比如购买价格、运营成本和维护成本。BEV会导致运营和维护成本上升,到2025年,许多汽车细分市场的购车价格将与ICEV达到类似水平。BEV可能会在2030年之前,或在绝大多数BEV使用模式可以接受充电基础设施的情况下,充分发挥其所有优势。


随着NCAP(新车评估计划)和IIHS(公路安全保险协会)的评级不断提高并影响购车决策,安全对购车者的重要性日益提高。看起来这种趋势将继续,并可能在未来五年内引入更多的安全法规。


召回已成为汽车安全性中越来越重要的因素,尤其是基于软件的召回。OTA将成为从召回流程中获得更好结果的重要帮助。最好能通过汽车型号查看所有召回的完成率,以了解有多少辆汽车没有获得所需的硬件和软件维修。但我在任何地方都找不到这类数据。


任何人都可以下载NHTSA召回数据库,这会令人大开眼界。它是一个大型数据库,可以追溯到1967年,包括所有车辆和轮胎型号。


由于对简单任务的复杂操作,HMI-UX质量问题继续成为销售杀手。汽车厂商在向新车购买者提供信息娱乐的竞争中失败了,因为用户倾向于使用智能手机APP那样的HMI来获取信息娱乐和相关内容。


自动驾驶E/E架构的考虑因素


自动驾驶车辆的设计涉及很多方面的建模,其中电气/电子(E/E)系统架构尤其重要。顶层的多域建模涵盖了构成最终车辆的各个方面,包括机械、E/E、软件、散热和其他域。工程师可以从此模型中提取E/E部分,以构建E/E体系结构,并进一步向下游延展。在整个过程中,工程师必须平衡与现代E/E体系架构相关的定义、设计和交付等许多相互依赖的需求。


本文简要介绍这些相互依赖的要求和设计技术,以帮助工程师在不同设计阶段对E/E架构有更好的理解。主要考虑因素包括:


拓扑结构


功能安全


网络安全


供电模式


处理器、网络和网关负载


组件和软件复用


拓扑结构


在此阶段,大多数工程任务都集中在对拓扑和功能分配的优化上,比如:


在以域为中心的网络之间移动ECU的辅助网络连接,并在ECU的子集之间移动专用链接;


升级ECU以便在一个或多个连接上支持更高的波特率网络;


迁移到新域以支持高级或额外的功能。


过去几年来,我们看到从中央网关或多总线体系结构向功能域控制器体系结构的转换趋势,这种功能域控制器结构可以将很多功能整合到更少的ECU中(如图二所示)。ECU通常在一个功能域内工作,适度更新就可以使其适应新的车辆设计。下一阶段是将ECU重新组织为更通用的计算单元,并将具有最多功能和最强大功能的单元集中在一起。区域性ECU根据车辆的物理布局将其余功能组合在一起。实施这些区域性ECU通常需要对软件和供应商的交互进行较大的更改。


自动驾驶E/E架构应考虑哪些因素?AV的安全性和可靠性将是关键挑战


图二:E/E架构的主要类型展示。多总线网关结构已逐渐被域控制器体系结构替代,最终形成具有集中式计算的区域体系结构。(来源:Siemens Digital)


功能安全


在E/E体系结构的定义中,功能安全要求多方面考虑。具体考虑因素因功能而异,但是行业目前已采用ISO 26262作为功能安全性的标准。ISO 26262将功能分为质量管理(QM)或汽车安全完整性等级(ASIL),从A到D。


整个系统的功能安全性可以通过多种方式实现。执行车辆功能的硬件和软件平台已发展到特定的完整性级别,以支持必要的功能性安全。另一种方法是向系统添加冗余部件。与其增强一个传感器系统以支持ASIL D功能,不如使用两个ASIL B(D)传感器将传感器数据传递给ASIL D功能,这可能是更可取的选择。另外,还需要考虑故障-功能行为,尤其是在更高级别的ADAS功能(L3+)中,这种行为会导致更广泛的系统级别的考虑,例如围绕电源网络、通信、处理、传感器和电源设置更多层冗余。这些额外的冗余层可能包括技术冗余。图三展示出用于实现高级ADAS功能的各种传感器类型。


自动驾驶E/E架构应考虑哪些因素?AV的安全性和可靠性将是关键挑战


图三:重叠式冗余传感器可让ADAS和自动驾驶系统实现更高水平的功能安全完整性。(来源:Siemens Digital)


网络安全


功能安全与系统可靠性有关,而网络安全则考虑如何防止针对车辆系统的恶意攻击。现代车辆具有多个潜在漏洞(称为攻击面)。集成的Wi-Fi、蜂窝通信、蓝牙、车载诊断(OBD)、USB和其他连接点均提供了进入车辆通信系统的潜在入口。甚至将网络总线电路用作访问入口,这通常会被盗贼利用。在设计防盗系统时需要考虑这些攻击面,某些系统可以使不法行为者无法物理访问,而其他系统则可以使用额外的软件身份验证检查来防止未经授权的访问。网络安全和防盗系统的选择通过包含安全功能的逻辑系统将安全要求扩展到3D电气系统设计中。


网络安全可通过分层的方法来实现,其机制会在体系结构的关键点重复。带有特定功能的ECU可能需要包含集成的硬件安全模块(HSM)。虽然HSM可以通过软件仿真,但要耗费计算资源,但是基于硬件的安全措施越来越普遍。还可将分类为与网络安全相关的数据进行特定保护,以便为整个网络安全系统增加更多层次。


供电模式


当今的车辆通常具有多种供电模式来控制通电和/或唤醒状态。具有传统钥匙的车辆通常在点火开关上有四个位置,从关闭和锁定到起动都可以转换为4-6种动力模式。


当需要某项功能时,支持该功能的ECU必须通电启动。因此,ECU上集成的功能会影响ECU何时需要加电或唤醒,从而影响ECU的耐用性要求。如果在电动车充电期间需要某个功能,则与充电相关的功能所承载的ECU可靠性必须比仅在车辆行驶时使用的ECU可靠性高10倍之多。当考虑到服务和诊断功能(例如车辆软件更新)时,这会进一步扩展。


处理器、网络和网关负载


另一个重要的体系结构考虑是每个ECU处理器、网络或网络分支以及网络之间网关上的相对负载。在将功能分配给特定的ECU时,它们的关联信号会给连接到ECU的网络增加了额外的负担。如果信号的源和目的地之间不存在直接连接,则需要网关进行连接。每个新网关都会增加发送信号的负载和频率,以传递给定的时序。在面向功能的域体系结构中,状态和模式信息信号的路由可能需要穿越网络主干,从而产生两个网关。网络之间的交叉链接是不可取的,因为随着体系结构周围更多路由可供恶意行为访问,网络安全功能难以防御这些恶意行为。


可以利用特定的设计工具研究多个分配,以预测每个分配的结果,从而可以节省大量时间并在第一时间支持正确的体系结构。对于分配给ECU的功能,至关重要的是要考虑每个ECU的特定处理类型(见下表)。每个域中的主要处理ECU具有不同的特性。在更新期间将功能添加到体系结构时,必须将其拆分并适当分配给适合于运行每种功能的ECU。


自动驾驶E/E架构应考虑哪些因素?AV的安全性和可靠性将是关键挑战


表一:按功能域划分的典型ECU处理类型。(来源:Siemens Digital)


硬实时过程对时间极为敏感,必须在较小的时间范围内以规则的处理周期执行。可以高频率调度该过程,并由发动机曲柄角或电动机转子位置触发。示例包括从直接喷射汽油和柴油发动机上的燃料喷射控制到主动悬架组件,防侧倾和防倾杆以及减震器的控制等。


典型的车体功能(例如降低车窗)可以在数十毫秒内做出响应,从而获得令人满意的用户体验。但是,某些功能可能会将ASIL和严格的实时要求引入这些车体功能。如果具有防夹功能(比如检测到儿童的手臂,则自动关闭车窗),窗户的功能操作必须包括与安全相关的功能。必须考虑在具有足够完整性和定时能力的体系结构部分中支持自动开关窗功能。通常,车身功能是高度分布式的,需要使用围绕座舱放置的传感器和执行器来建立复杂的舒适性和便利性。


复用


现在,车辆特性、功能和系统的可重用性至关重要。电气和电子架构优化和有效的系统设计对于最大化可重用性、减少车辆变化数量以及提高按时交付车辆的能力至关重要。


当开发新的或更新的车辆型号时,围绕车辆内容的重用存在很多约束。有些约束是确定的,而其他约束则需要根据相关成本进行评估。传统上,除非供应商已签约开发此类功能,否则一级供应商的ECU很难增加功能。整车厂商在开发ECU、软件模型甚至完整软件方面承担了更多责任。如今,这一趋势已扩展到针对关键模块和芯片设计的硬件。


一旦架构师确定了可以分配功能的位置,便要考虑ECU类型、已安装的软件及其来源。理想情况下,当整车厂商决定哪个ECU在ECU和体系结构的整个生命周期内对功能分配具有战略重要性时,就可以确定这些考虑因素。


结语


软件和硬件创新、用户需求和法规要求,以及新兴的商业模式正在驱动着汽车电子系统的变化。整车厂商在开发针对ADAS/AV的电子/电气系统架构时面临的挑战很多,而且种类繁多,复杂性不断提高。E/E系统架构师在开发、更新和优化车辆架构时必须考虑无数的注意事项。因此,需要使用特殊的工具,以便根据工程师定义的规则和准则来计划和检查体系结构。借助可扩展的规则,系统架构师可以根据定义的规则自动执行功能分配。

来源:电子工程专辑

注:文章内的所有配图皆为网络转载图片,侵权即删!

免责声明

最新回答

还没有人评论哦,抢沙发吧~

为您推荐