当前车辆日益复杂,车联网功能在各个细分领域都在不断增加,而更强大的智能功能也逐步增加。
所有这些高级功能都依赖于线束和控制器才能发挥作用。然而面对日益增加的车辆复杂性和产品开发周期缩短的压力,导致汽车制造商和系统集成商的成本和时间压力增加。
因此汽车制造商纷纷革新现有的的电子电气架构,像国内小鹏的X-EEA3.0中央计算平台+区域控制架构、广汽埃安的中央计算平台架构——星灵架构、长城的计算平台架构GEEP3.0等(如图1所示)。
意在降低电子电气架构的复杂性,对软硬件进行解耦,以及为后续高级的功能落地提供基础,如图2所示。
图1 上汽、广汽、长城的中央计算平台架构(来源网络)
图2 分布式架构与中央架构优缺点对比(来源九章智驾)
在设计电子电气架构的过程中,一个关键的任务是基于整车需求分解出电气/电子需求。整车需求包括机械、电气/电子、软件、热学等。工程师需要从中提取电气/电子方面需求,并且对其进行分解然后协调各下游部门进行开发设计。在整个过程中,涉及电子电气架构的定义、设计和交付的各种工程师必须平衡相互依赖的需求。下面从以下这些方面来聊一聊电子电气架构设计。
网络拓扑
在定义拓扑时,首先是需要各控制器的接口人负责整理出功能清单,然后同一个域的会组织会议讨论功能分配优化,网络连接等,例如:
1.升级 ECU 以在一个或多个连接上支持更高波特率的网络;
2.将二级网络中控制器的功能移至域控制器,以支持更高级的功能实现;
同时不同域之间也会开会讨论功能分配优化,看是否需要将功能划到其他域中去。
从分布式架构到域控制器架构的过渡相对容易,这种升级通常仅是将部分分散于不同控制器的功能整合到一个控制器中(图3)。这些通常在功能域内进行转移,并进行适度更新以使其适应新车型。再下一阶段是将域控制器重组为更通用的计算单元,将大部分功能集中至通用计算单元,而二级或者三级网络中的控制器仅作为执行器。区域控制器是根据车辆的物理布局将其余功能整合在一起。区域控制器的实施通常需要对软件和供应商交互进行很大的更改,这对汽车制造商和供应商都是一个很大的挑战。
图3 网络架构升级示意图
功能安全
在设计电子电气架构时,ISO26262功能安全要求是必须的,分析首先是从整车层面进行功能安全分析,然后再分解到各个域,以及各控制器,如图4所示。
动力域 | 扭矩安全 | 防止整车出现非预期加速/减速 |
热安全 | 防止整车出现过温导致起火冒烟 | |
高压安全 | 防止整车可接触部分出现非预期高压 |
图4 动力域功能安全示例
针对从整车层面提出的功能安全需求,其可以通过多种方式来满足整个系统的功能安全。其一承载车辆功能的硬件和软件平台被开发到特定的完整性级别以支持功能安全。另外是在系统中添加冗余部件。与其增强一个传感器系统来支持 ASIL D 功能,不如使用两个 ASIL B传感器将传感器数据传递给 ASIL D 功能。考虑故障功能行为的需求也在增加,特别是在更高级别的 ADAS 功能 (L3+) 中,这会导致更广泛的系统级考虑,例如围绕电力网络、通信、处理器、传感器等,这些额外的冗余层可能包括技术冗余,如图5所示。
图5 传感器冗余示意图
网络安全
虽然功能安全与系统可靠性有关,但网络安全必须考虑对车辆系统的恶意攻击。现代汽车存在多个潜在攻击面,例如集成的Wi-Fi、蜂窝网络、蓝牙、车载诊断(OBD)、USB及其他连接点都可以提供进入车辆通信系统的潜在路径。甚至网络总线电路也被作为入口点访问。
网络安全是通过分层方法实现的,在架构中的关键点加入安全机制,包括ECU内部和周围的硬件保护,基于软件的车内保护,车内车外的网络监控,以及安全云服务。从而构建安全可靠的电子电气架构,如图6所示。具体的措施包括分域隔离、引入硬件安全模块(HSM)、防火墙、入侵检测/防御系统(IDS /IPS)等,详细介绍可以查阅文章(汽车E/E架构的网络安全分析)。
