|
如今�,汽車上的每一個(gè)電子控制系統(tǒng),如儀表盤�����、信息娛樂系統(tǒng)�����、防抱死制動(dòng)系統(tǒng)、發(fā)動(dòng)機(jī)管理系統(tǒng)�����、變速箱控制單元和車身控制管理�����,都是一個(gè)自給自足的單元���,有自己的來源,如ROM���、RAM存儲(chǔ)器��、微處理器或微控制器�、I/O和電源�����。汽車域控制器的想法是用一個(gè)具有多核的強(qiáng)大中央計(jì)算機(jī)取代多個(gè)分布式ECU�����。多核處理技術(shù)將多個(gè)ECU整合到一個(gè)單一的芯片中。在多核解決方案中��,這些單獨(dú)的ECU保留了分離和獨(dú)立的處理空間��。然而��,很多冗余的部件��,如外殼���、驅(qū)動(dòng)器��、電線和線束以及電源���,都可以被消除。這些不僅在很大程度上節(jié)省了成本�,而且還節(jié)省了組件的重量和空間。此外�����,ECU之間的通信是在處理器本身內(nèi)部進(jìn)行�����,而不是通過外部網(wǎng)絡(luò)如CAN或LIN進(jìn)行通信,這將大大減少數(shù)據(jù)延遲和系統(tǒng)復(fù)雜性��。 我們需要汽車域控制器主要有以下幾點(diǎn)原因��。 首先�,目前的汽車電氣/電子架構(gòu)在每個(gè)單獨(dú)的控制單元中都集成了一個(gè)或幾個(gè)功能特性。這不僅增加了控制單元和分布式軟件功能的數(shù)量��,而且還分別增加了連接的復(fù)雜性�。如果一輛車需要一個(gè)新的功能���,增加一個(gè)新的專用ECU和一點(diǎn)電線和線束是常見的解決方案��。一輛最先進(jìn)的中型汽車上已經(jīng)安裝了多達(dá)70個(gè)來自不同供應(yīng)商的專用ECU�,這已經(jīng)達(dá)到了極限���。為每個(gè)新功能添加一個(gè)新的ECU已不再是可持續(xù)的�。 第二�,汽車域控制器技術(shù)是未來汽車工業(yè)不可抗拒的趨勢(shì),它是未來汽車跟上快速技術(shù)變化的根本���。對(duì)擁有越來越多的安全和面向軟件的功能的需求正以前所未有的速度增加���。所有這些都需要相應(yīng)增加計(jì)算能力�。就像最新的iPhone必須增加更多的計(jì)算能力來運(yùn)行所有的新功能特性一樣��,我們必須在汽車中增加更多的計(jì)算馬力來運(yùn)行所有想要的新功能��。目前的架構(gòu)方式已經(jīng)無法支持高速的數(shù)據(jù)交換和復(fù)雜的軟件算法���,沒有足夠的計(jì)算能力來滿足內(nèi)容和復(fù)雜性方面不斷增長的要求�����,網(wǎng)絡(luò)基礎(chǔ)設(shè)施也無法支持未來的數(shù)據(jù)帶寬和速度���。此外,調(diào)制解調(diào)器車輛的平均年齡超過10年��,比智能手機(jī)長很多�,而且汽車技術(shù)正在以前所未有的速度發(fā)展。車主越來越希望擁有類似智能手機(jī)的升級(jí)能力�����。他們不再接受像我們現(xiàn)在這樣,在整個(gè)車輛的生命周期內(nèi)功能和特性保持不變���。然而���,今天的分布式ECU中的所有特性和功能都必須在車輛推出前設(shè)計(jì)和實(shí)施。無線更新技術(shù)是未來車輛的關(guān)鍵需求���。OTA更新可以用來提供新的功能和技術(shù)�,升級(jí)現(xiàn)有的功能���,修補(bǔ)錯(cuò)誤,并提高性能�。這些更新可以避免車輛召回,減少客戶的保修成本��。隨著汽車變得更加依賴軟件���,對(duì)OTA更新的需求也變得更加關(guān)鍵����。為了實(shí)現(xiàn)所有這些目標(biāo)����,我們需要更多的計(jì)算性能����、嵌入式內(nèi)存容量和更高的連接帶寬���,只有帶有域控制器的新車輛架構(gòu)才能滿足這些要求���,它允許增加車輛發(fā)行時(shí)沒有的功能。 第三�,由于高性能汽車類芯片系統(tǒng)(SoC)的可用性,以及SOC成本價(jià)格今年急劇下降�,越來越接近傳統(tǒng)MCU的價(jià)格。這是汽車制造商在一個(gè)域控制器上集成多種功能的另一個(gè)動(dòng)機(jī)����。與傳統(tǒng)的專用ECU相比,域控制器具有以下主要優(yōu)勢(shì)�����。 A.減輕重量����,提高工作效率 每一個(gè)新功能就增加一個(gè)新的ECU和一些線路和線束�����,導(dǎo)致線束成為汽車中僅次于發(fā)動(dòng)機(jī)的第二重的部件��。這種趨勢(shì)不符合另一個(gè)輕量級(jí)設(shè)計(jì)規(guī)則�����,以提高能源效率和增強(qiáng)車輛的巡航范圍�。域控制器可以消除一些冗余的部件����,如PCB、外殼����、電源���、布線和線束�����。以汽車駕駛艙控制器為例��,它結(jié)合并取代了傳統(tǒng)的儀表盤����、信息娛樂系統(tǒng)和HUD顯示屏,整個(gè)系統(tǒng)的質(zhì)量可以減少30%以上���。 B.成本 增加一個(gè)新的ECU以獲得新的功能是不可持續(xù)的��。新ECU的專用MCU�、存儲(chǔ)器�����、電源�����、PCB和其他電子元件將大大增加成本��。 而隨著具有強(qiáng)大計(jì)算能力的SOC價(jià)格持續(xù)下降�����,再以集成駕駛艙解決方案為例,估計(jì)每輛車至少可以節(jié)省70美元���。
C.數(shù)據(jù)延時(shí) 自動(dòng)駕駛車輛和安全功能將需要接收和處理來自內(nèi)部傳感器和外部來源(如其他車輛���、基礎(chǔ)設(shè)施和基于云的來源)的大量數(shù)據(jù)。所有這些數(shù)據(jù)都必須實(shí)時(shí)或接近實(shí)時(shí)地處理����,這就需要高性能的計(jì)算能力和高帶寬的網(wǎng)絡(luò)通信,以最小化數(shù)據(jù)延遲[1]��。由于數(shù)據(jù)只在具有高性能計(jì)算能力的域控制器中處理一次��,而不是使用大量的微控制器�����,數(shù)據(jù)可以在內(nèi)部不同的核心之間共享�,而不是通過不同的網(wǎng)絡(luò)進(jìn)行通信。 D.可升級(jí)性 隨著我們將車輛從機(jī)械平臺(tái)轉(zhuǎn)移到數(shù)字平臺(tái)���,軟件的重要性大大增加,軟件的平均代碼行數(shù)呈指數(shù)級(jí)增長���。因此�,滾雪球式的復(fù)雜性導(dǎo)致越來越多與軟件相關(guān)的質(zhì)量問題和車輛召回[2]。所以無線更新將成為維護(hù)和升級(jí)復(fù)雜軟件的關(guān)鍵能力��。由于汽車的軟件已經(jīng)與硬件分離�����,因此升級(jí)系統(tǒng)變得更容易��。 E.連接性 由于領(lǐng)域控制器所具有的高性能計(jì)算能力和高帶寬通信�����,駕駛員將通過數(shù)字平臺(tái)和5G蜂窩網(wǎng)絡(luò)與周圍的外部環(huán)境相連接���。車對(duì)車�����、車對(duì)基礎(chǔ)設(shè)施和車對(duì)云技術(shù)將允許車輛與其他車輛和周圍的天氣�����、交通�����、路況�����、交通燈���、更新的地圖等進(jìn)行溝通�。所有這些數(shù)據(jù)和信息必須進(jìn)行實(shí)時(shí)通信和處理�,這就需要高帶寬的通信和高性能的車載計(jì)算能力。很明顯����,傳統(tǒng)的離散MCU沒有能力支持這些技術(shù)。IT和消費(fèi)電子技術(shù)可以轉(zhuǎn)移到汽車領(lǐng)域�����。我們所期望的汽車領(lǐng)域控制器的大多數(shù)技術(shù)�����,如SOC�、嵌入式操作系統(tǒng)�、Hypervisor��、以太網(wǎng)和無線更新����,都是成熟的技術(shù)�,并且已經(jīng)在消費(fèi)電子和其他領(lǐng)域廣泛使用。汽車域控制器將從IT和消費(fèi)電子中受益�����。然而����,仍有一些技術(shù)需要重塑,以便滿足嚴(yán)格的汽車標(biāo)準(zhǔn)和更高的消費(fèi)者需求����。對(duì)安全、安保����、性能和可用性的需求導(dǎo)致了對(duì)質(zhì)量和可靠性的最高期望,而這在消費(fèi)電子中并不是大問題��。汽車電氣和電子結(jié)構(gòu)以及汽車功能安全和保障將成為關(guān)鍵的成功因素,并將在本文中討論����。 A.架構(gòu) 未來汽車電子產(chǎn)品的架構(gòu)正在迅速創(chuàng)新。安全功能和自動(dòng)駕駛需要更高的計(jì)算性能和更高的帶寬通信��。為了支持連通性和信息娛樂�����,車輛有望轉(zhuǎn)變?yōu)橐粋€(gè)具有云訪問的分布式IT系統(tǒng)�;遠(yuǎn)程軟件更新;以及對(duì)數(shù)字地圖��、其他車輛和周圍基礎(chǔ)設(shè)施的高帶寬訪問����。 圖1顯示了未來的汽車E/E架構(gòu),它需要能夠在不同的細(xì)分市場(chǎng)和不同的功能內(nèi)容之間進(jìn)行擴(kuò)展��,并能提供管理和控制不斷增長的功能復(fù)雜性和內(nèi)容的手段���,該架構(gòu)還需要應(yīng)對(duì)隨著時(shí)間推移而變化的需求和期望�,預(yù)計(jì)將提供OTA來更新或升級(jí)現(xiàn)有車輛。 
圖1 域控制器的汽車E/E架構(gòu) 該架構(gòu)的可更新性和可升級(jí)性可以提高原始銷售后的整體發(fā)展速度和控制能力���。軟硬件分離的好處是功能內(nèi)容基本不受硬件影響��,大大提高了系統(tǒng)的可擴(kuò)展性�。 1)特征 面向服務(wù)的架構(gòu):SoA方法已被廣泛地應(yīng)用于IT和消費(fèi)電子領(lǐng)域���。SoA為整個(gè)系統(tǒng)提供了大量的抽象接口, 它的封裝允許使用敏捷的方法進(jìn)行系統(tǒng)設(shè)計(jì)和測(cè)試���,它可以減少不斷增加的復(fù)雜性���,并使軟件組件在各代車輛之間更容易重復(fù)使用。 a)中央網(wǎng)關(guān)服務(wù)器 一個(gè)中央信息服務(wù)器和一個(gè)代理將處理所有的通信信息�����。它將本地域控制與外部環(huán)境隔離���,以維護(hù)其安全和保障�����。物理�����、信息和服務(wù)將被分開�����。這有利于擴(kuò)展性����,并且從基本的車輛到裝備齊全的車輛,其變化較小���。 在未來的汽車架構(gòu)中�,中央網(wǎng)關(guān)作為信息橋梁��,交換信息并隔離車內(nèi)域控制器和外圍通信源���,如移動(dòng)蜂窩���、藍(lán)牙、WiFi�、以太網(wǎng)。它還充當(dāng)汽車的中央診斷接口。域控制器還充當(dāng)中央網(wǎng)關(guān)和本地智能傳感器���、執(zhí)行器和ECU之間的網(wǎng)關(guān)��,在以太網(wǎng)和CAN或LIN之間翻譯和交換信息�。 中央網(wǎng)關(guān)將承擔(dān)維護(hù)網(wǎng)絡(luò)安全的主要責(zé)任�����。中央網(wǎng)關(guān)驗(yàn)證通信是否來自批準(zhǔn)的來源��,保護(hù)認(rèn)證不被欺騙�����,并將網(wǎng)絡(luò)通信限制在預(yù)定的正常行為�,限制異?��;虼罅康男畔?����,以避免損害車輛的功能�����。它還需要阻止未經(jīng)批準(zhǔn)和不適當(dāng)?shù)南?���,并警告任何無效的嘗試。這可以極大地提高整個(gè)車輛網(wǎng)絡(luò)的安全性�����,并大大減少車內(nèi)域控制器的安全負(fù)擔(dān)����。 b)車載和后端架構(gòu) 車載系統(tǒng)和后端架構(gòu)之間有越來越多的交互。它將通過Wi-Fi�,以及高帶寬的5G蜂窩網(wǎng)絡(luò)進(jìn)行連接。為了安全功能和自主控制�,車輛將被要求與外部來源,如其他車輛���、基礎(chǔ)設(shè)施和云端來源���,交換數(shù)據(jù)和信息,包括天氣���、交通���、道路建設(shè)�、更新的地圖等信息�����。因?yàn)橹匦戮幊痰乃惴o法實(shí)時(shí)處理因?yàn)槊恳粋€(gè)可能的場(chǎng)景和不斷變化的駕駛條件���,越來越多的汽車功能需要后端系統(tǒng)獲取數(shù)據(jù)和信息����,并在后端部分執(zhí)行���。 B. 功能安全和信息安全 功能安全是指確保系統(tǒng)的安全運(yùn)行,即使它們出故障��。每個(gè)行業(yè)通常都有一個(gè)標(biāo)準(zhǔn)來指導(dǎo)發(fā)展和設(shè)定最低期望值�,對(duì)于汽車電子來說,它是ISO 26262���,它將功能安全定義為:不存在因電氣/電子系統(tǒng)故障行為而導(dǎo)致的不合理風(fēng)險(xiǎn)�����。 在實(shí)踐中��,功能安全指的是一個(gè)系統(tǒng),根據(jù)目標(biāo)標(biāo)準(zhǔn)證獨(dú)立評(píng)估員證明是絕對(duì)安全的��。安全性要求可預(yù)測(cè)的故障模式�,這些故障模式可以是功能完整、功能退化或徹底停機(jī)��,然后是重置并重新啟動(dòng)�。 隨著數(shù)據(jù)連接和車載通信的使用越來越多,車輛容易受到網(wǎng)絡(luò)攻擊���。增加的電子復(fù)雜性和與其他外部組件(如無鑰匙進(jìn)入���、藍(lán)牙、USB��、遠(yuǎn)程信息處理���、無線通信)的整合����,為進(jìn)入已經(jīng)深深嵌入車輛的控制系統(tǒng)提供了門戶。 汽車計(jì)算機(jī)安全用于檢測(cè)���、保護(hù)和糾正可識(shí)別或可避免的威脅�����,并保護(hù)車輛系統(tǒng)免受先前未知或不可避免的威脅����。這種合作方式包括ECU內(nèi)部和周圍的基于硬件的保護(hù)����,基于軟件的車內(nèi)保護(hù),以及車輛中的網(wǎng)絡(luò)監(jiān)控和強(qiáng)制執(zhí)行�����。 計(jì)算機(jī)行業(yè)有許多安全策略和知識(shí)可以應(yīng)用于汽車領(lǐng)域��。這些包括: 安全啟動(dòng):軟件啟動(dòng)器與硬件一起工作�,以確保加載的軟件代碼是有效的���,為系統(tǒng)的其他部分提供一個(gè)信任源����。 分區(qū)的操作系統(tǒng):通過使用嵌入式操作系統(tǒng)的虛擬化和分區(qū)技術(shù)來隔離不同的應(yīng)用或功能。這大大降低了將多個(gè)功能系統(tǒng)合并到一個(gè)單一的SOC上的復(fù)雜性��。這也使得更新或刷新一個(gè)單獨(dú)的功能而不影響任何其他組件成為可能�。而且,如果一個(gè)單一的模塊發(fā)生故障或崩潰��,整體操作也不會(huì)受到影響��。 認(rèn)證:認(rèn)證是驗(yàn)證數(shù)據(jù)發(fā)送者身份的過程�。對(duì)于一個(gè)嵌入式應(yīng)用,認(rèn)證被用來驗(yàn)證通過不同ECU或SOC之間的外部接口傳輸?shù)臄?shù)據(jù)來源�����。它也可用于在執(zhí)行軟件圖像之前����,或在從一個(gè)外部內(nèi)存存儲(chǔ)器下載期間,確認(rèn)該軟件圖像的可信度���。在實(shí)踐中���,需要對(duì)電子鑰匙�、密碼和生物識(shí)別技術(shù)進(jìn)行管理����,并授權(quán)其訪問一些重要信息,如身份����、電話簿、位置和金融交易����。同樣,汽車中的各種ECU或SOC也需要進(jìn)行認(rèn)證����,以防止攻擊者偽造信息或命令。
強(qiáng)制執(zhí)行經(jīng)批準(zhǔn)的適當(dāng)行為:為了防止網(wǎng)絡(luò)攻擊試圖從一個(gè)系統(tǒng)向另一個(gè)組件發(fā)送消息���,我們需要檢測(cè)和糾正意外的或惡意的威脅�。A.域控制器實(shí)例--信息娛樂域控制器 傳統(tǒng)上���,我們至少有兩個(gè)專門的ECU來分別處理儀表盤信息顯示��、平視顯示器(HUD)和信息娛樂系統(tǒng)��,如圖2所示�����。它們有自己的PCB和軟件包�����,并通過CAN和MOST連接來交換一些車輛信息�,如速度和燃料消耗����,以及一些信息娛樂系統(tǒng)信息,如電話簿����、導(dǎo)航和媒體。 圖2 傳統(tǒng)的信息娛樂系統(tǒng)框圖 對(duì)于信息娛樂領(lǐng)域的控制器���,如圖3所示���,我們使用一個(gè)集中式控制器來取代這兩個(gè)獨(dú)立的ECU和相關(guān)的PCB ,這可以通過減少大量的線束來節(jié)省車輛成本達(dá)70美元以及減少車輛重量。該方法具有更多的計(jì)算性能和嵌入式內(nèi)存容量以及更高的通信帶寬連接���。信息娛樂領(lǐng)域的控制器框圖如下所示��。 圖3 信息娛樂域控制器系統(tǒng)框圖 如圖4所示�����,這個(gè)信息娛樂領(lǐng)域的系統(tǒng)包括在一個(gè)共同的系統(tǒng)架構(gòu)和人機(jī)界面下的幾個(gè)顯示屏���。顯示信息內(nèi)容不再分配給專門的顯示器。所有的顯示信息都由集中式控制器處理�,它們可以在處理器內(nèi)進(jìn)行通信,以交換車輛和信息娛樂系統(tǒng)本身的信息�,而不是通過外部網(wǎng)絡(luò)(如CAN總線)進(jìn)行通信,提高了速度����,降低了復(fù)雜性。所有信息都是靈活的�����,可以在儀表盤��、抬頭顯示器、中央顯示器上顯示�����,甚至可以根據(jù)駕駛情況在智能手機(jī)等連接終端上顯示�。這大大提高了靈活性并減少了延遲��。此外�,他們可以共享和重復(fù)使用巨大的基本軟件,如CAN����、LIN、UART����、定時(shí)器、A/D采樣��、HMI等����,這大大節(jié)省了內(nèi)存空間和計(jì)算能力,同時(shí)也大大減少了必須開發(fā)和驗(yàn)證的軟件數(shù)量�。 我們選擇Renesas R-Car H3 SOC作為信息娛樂領(lǐng)域控制器的中心計(jì)算機(jī),它有4個(gè)內(nèi)核,內(nèi)存從512M DDR3L到4G LPDDR4���,CPU和內(nèi)存帶寬都可以擴(kuò)展���。我們使用第三方嵌入式操作系統(tǒng)QNX Hypervisor對(duì)安全相關(guān)環(huán)境和非安全環(huán)境進(jìn)行可靠和安全的分區(qū)、分離和隔離��。該系統(tǒng)配備了以太網(wǎng)網(wǎng)絡(luò)�,以連接外部組件和云。它可以進(jìn)行無線升級(jí)�,最終將通過4G與云端通信。我們可以在這個(gè)單一的硬件和軟件架構(gòu)平臺(tái)上運(yùn)行具有不同安全和安保要求的儀表盤和信息娛樂系統(tǒng)應(yīng)用��。為了與消費(fèi)電子和市場(chǎng)動(dòng)態(tài)保持同步�,信息娛樂功能的壽命比儀表盤的要短,這也使得只為信息娛樂部門更新專用軟件功能成為可能��。同時(shí)�,與安全相關(guān)的駕駛員信息和長期功能仍然不受影響。這種方法有足夠的處理能力和靈活性����,可以在未來增加今天不存在的功能。最重要的是�����,這種系統(tǒng)解決方案可以提供靈活的模塊化冗余,如果一個(gè)核心或應(yīng)用程序崩潰����,其他核心和應(yīng)用程序?qū)⒉粫?huì)受到影響,而是可以作為冗余進(jìn)行替代���。 B.主要優(yōu)點(diǎn)的測(cè)定 信息娛樂系統(tǒng)模塊整合是一種技術(shù)趨勢(shì),通過使用調(diào)制解調(diào)器��、多核處理器來操作多個(gè)傳統(tǒng)ECU儀表盤和信息娛樂系統(tǒng)�。域控制器可以消除一些冗余的部件,如PCB����、外殼、電源�����、電線和線束���,以及ECU本身��。 
圖4 信息娛樂域控制器方框圖 此外�����,ECU在處理器本身內(nèi)部交換數(shù)據(jù)���,而不是通過外部網(wǎng)絡(luò)如CAN或LIN總線進(jìn)行通信�����,這將大大減少數(shù)據(jù)延遲和系統(tǒng)的復(fù)雜性�。盡管域控制器有更多的功能安全和網(wǎng)絡(luò)安全問題�����,但這種問題也有一些優(yōu)點(diǎn)���,包括遠(yuǎn)程軟件升級(jí)能力���、連接性和靈活性。信息娛樂系統(tǒng)域控制器和專用ECU之間的主要優(yōu)點(diǎn)比較如下表所示����。 消費(fèi)者對(duì)安全和面向軟件的功能的需求正以前所未有的速度增長�。這一趨勢(shì)正在從分布式電子控制器單元(ECU)轉(zhuǎn)向具有集中式ECU的更集成的域控制器�����。當(dāng)然����,這需要對(duì)計(jì)算能力和數(shù)據(jù)存儲(chǔ)器的大小都有特別高的要求。然而�����,帶有域控制器的新車輛架構(gòu)將提供快速�、安全和可靠的數(shù)據(jù)和電力分配����。帶有域控制器的新車輛平臺(tái)可以很容易地利用消費(fèi)電子產(chǎn)品的最新技術(shù)水平,如云計(jì)算��、互聯(lián)網(wǎng)連接和無線軟件更新�。顯然,強(qiáng)大的多核處理器���、支持可視化的專業(yè)嵌入式操作系統(tǒng)��、創(chuàng)新的汽車架構(gòu)和高帶寬以太網(wǎng)是實(shí)現(xiàn)汽車域控制器概念的四個(gè)主要基本要素�。
|
