当前车辆日益复杂,车联网功能在各个细分领域都在不断增加,而更强大的智能功能也逐步增加。
所有这些高级功能都依赖于线束和控制器才能发挥作用。然而面对日益增加的车辆复杂性和产品开发周期缩短的压力,导致汽车制造商和系统集成商的成本和时间压力增加。
因此汽车制造商纷纷革新现有的的电子电气架构,像国内小鹏的X-EEA3.0中央计算平台+区域控制架构、广汽埃安的中央计算平台架构——星灵架构、长城的计算平台架构GEEP3.0等(如图1所示)。
意在降低电子电气架构的复杂性,对软硬件进行解耦,以及为后续高级的功能落地提供基础,如图2所示。
图1 上汽、广汽、长城的中央计算平台架构(来源网络)
图2 分布式架构与中央架构优缺点对比(来源九章智驾)
在设计电子电气架构的过程中,一个关键的任务是基于整车需求分解出电气/电子需求。整车需求包括机械、电气/电子、软件、热学等。工程师需要从中提取电气/电子方面需求,并且对其进行分解然后协调各下游部门进行开发设计。在整个过程中,涉及电子电气架构的定义、设计和交付的各种工程师必须平衡相互依赖的需求。下面从以下这些方面来聊一聊电子电气架构设计。
网络拓扑
在定义拓扑时,首先是需要各控制器的接口人负责整理出功能清单,然后同一个域的会组织会议讨论功能分配优化,网络连接等,例如:
1.升级 ECU 以在一个或多个连接上支持更高波特率的网络;
2.将二级网络中控制器的功能移至域控制器,以支持更高级的功能实现;
同时不同域之间也会开会讨论功能分配优化,看是否需要将功能划到其他域中去。
从分布式架构到域控制器架构的过渡相对容易,这种升级通常仅是将部分分散于不同控制器的功能整合到一个控制器中(图3)。这些通常在功能域内进行转移,并进行适度更新以使其适应新车型。再下一阶段是将域控制器重组为更通用的计算单元,将大部分功能集中至通用计算单元,而二级或者三级网络中的控制器仅作为执行器。区域控制器是根据车辆的物理布局将其余功能整合在一起。区域控制器的实施通常需要对软件和供应商交互进行很大的更改,这对汽车制造商和供应商都是一个很大的挑战。
图3 网络架构升级示意图
功能安全
在设计电子电气架构时,ISO26262功能安全要求是必须的,分析首先是从整车层面进行功能安全分析,然后再分解到各个域,以及各控制器,如图4所示。
动力域 | 扭矩安全 | 防止整车出现非预期加速/减速 |
热安全 | 防止整车出现过温导致起火冒烟 | |
高压安全 | 防止整车可接触部分出现非预期高压 |
图4 动力域功能安全示例
针对从整车层面提出的功能安全需求,其可以通过多种方式来满足整个系统的功能安全。其一承载车辆功能的硬件和软件平台被开发到特定的完整性级别以支持功能安全。另外是在系统中添加冗余部件。与其增强一个传感器系统来支持 ASIL D 功能,不如使用两个 ASIL B传感器将传感器数据传递给 ASIL D 功能。考虑故障功能行为的需求也在增加,特别是在更高级别的 ADAS 功能 (L3+) 中,这会导致更广泛的系统级考虑,例如围绕电力网络、通信、处理器、传感器等,这些额外的冗余层可能包括技术冗余,如图5所示。
图5 传感器冗余示意图
网络安全
虽然功能安全与系统可靠性有关,但网络安全必须考虑对车辆系统的恶意攻击。现代汽车存在多个潜在攻击面,例如集成的Wi-Fi、蜂窝网络、蓝牙、车载诊断(OBD)、USB及其他连接点都可以提供进入车辆通信系统的潜在路径。甚至网络总线电路也被作为入口点访问。
网络安全是通过分层方法实现的,在架构中的关键点加入安全机制,包括ECU内部和周围的硬件保护,基于软件的车内保护,车内车外的网络监控,以及安全云服务。从而构建安全可靠的电子电气架构,如图6所示。具体的措施包括分域隔离、引入硬件安全模块(HSM)、防火墙、入侵检测/防御系统(IDS /IPS)等,详细介绍可以查阅文章(汽车E/E架构的网络安全分析)。
图6 网络安全机制
电源模式
车辆通常具有多种电源模式和唤醒状态。带有传统钥匙的车辆通常在点火开关上有四个位置,转换为 4-6 种动力模式,从关闭和锁定到启动(如图7所示),就唤醒源而言,有插枪充电唤醒、钥匙唤醒、开车门唤醒、远程唤醒、诊断唤醒等等。对于电子电气架构设计而言,需要考虑不同电源模式或者唤醒源的情况下,应该唤醒哪些控制器,这里应该是最小化原则。比如在充电的场景下,仅需整车控制器、电池管理系统、DCDC、水泵控制器等处于工作状态,而像电机控制器就无需唤醒了,这样一来可以分区管理,减少电耗,另外也可以延长控制器的使用时间。
图7 不同电源模式下,不同域的工作情况
处理器和网络负载
另一个重要的架构考虑因素是每个控制器的处理器、网络总线以及网关的负载情况。首先说一下控制器处理器负载,这里主要当把功能分配给特定的控制器时,需要考虑这些控制器的处理器是否能够支撑功能的实现,通常功能安全的要求是处理器的最高负载是70~80%左右,假设100s,也就是说处理器有70~80s是在工作的,其余20~30s是空闲的。这样功能不会因为负载过高导致某些低优先级功能卡死,无法执行的情况。
另外网络总线负载也是重要的一方面,随着功能的逐步增加,总线上交互信号也会增加,这样会导致总线负载逐渐增加,在当前的架构中,很多局域的CAN总线负载都很高(CAN总线负载通常任务是不能大于30%),必须对总线进行升级,比如从CAN升级到CANFD,或者通过功能整合,减少交互,或者分割网络等。
复用
车辆特性、功能和系统的可重用性现在至关重要。电子电气架构的优化和有效的系统设计对于最大限度地提高可重用性、减少车辆变体的数量以及提高按时交付车辆的能力至关重要。
在开发新的或改款车型时,控制器的重复使用受到限制,一部分约束是固定的,比如传统上,来自一级供应商的控制器增加功能的范围有限,除非供应商签订了开发此类功能的合同。因此汽车制造商在开发控制器、软件模型甚至完整软件方面需要承担了更多责任。当前也可以看到大部分汽车制造商在做控制器的应用层开发,底层和硬件交给供应商,不过现在也有趋势汽车制造商扩展到战略模块的硬件和芯片设计。
在电子电气架构设计时,架构师需要基于复用原则来确定整个生命周期内的功能分配。
总结
开发全新的电子电气架构对汽车制造商来说面临的挑战多种多样。E/E 系统架构师在开发、更新和优化车辆架构时需要考虑的因素很多,因此有必要借助架构设计工具来根据工程师定义的一组规则和指南来规划和检查架构,将指标可视化。这样更有利于权衡拓扑变化、功能分配和信号分配等,以便在详细设计开始前对电子电气架构架构进行早期优化。