整车域控制器硬件架构(一文解读汽车域控制器集成化架构的背景)
整车域控制器硬件架构(一文解读汽车域控制器集成化架构的背景)目前汽车的电子架构在每个独立的控制单元中集成了一个或多个功能特性。这不仅增加了控制单元和分布式软件功能的数量,同时也使得单元之间的通信连接变得复杂。当汽车需要增加新功能时,以往的解决方案往往是额外增加一个负责相应功能的ECU模块与电路线束。如今,随着车子电子化程度越来越高,尤其是自动驾驶、主动安全等功能的增加,汽车的 ECU 数量急速增加,一辆汽车里的 ECU 数量平均会达到 50-70 ,一些功能更加复杂的豪华轿车,ECU 数量早就已经破百。2005年的BMW 7系已经配备了65个ECU。到了2010年,奥迪A8上使用的ECU数量更是超过了100个。如此多的ECU错综交错,不仅带来了十分复杂的线束设计,逻辑控制也十分混杂。通过不断增加ECU数量来为汽车增加新功能的方法已不再是可持续的。1.1 汽车功能数量的逐渐增加与复杂化域控制器的发展,一方面是由于整车车载电子的发展需要,能够大大优化整
前言
随着车辆的电子化程度逐渐提高,电子控制单元(ECU)占领了整个汽车。从防抱死制动系统、四轮驱动系统、电控自动变速器、主动悬架系统、安全气囊系统,逐渐延伸到了车身安全、网络、娱乐、传感控制系统等。随着汽车电子功能的丰富性和复杂性不断提高,汽车ECU数量都在逐年递增,一些高端车型的ECU数量已经破百。
汽车电子软件爆炸式增长,对汽车电子电气构架带来了巨大的挑战。如何在愈发复杂的线路中,保证数据处理以及网络安全的最优化成为难题,用一个或几个“大脑”来操控全车的ECU与传感器正逐渐成为汽车电子电气架构公认的未来,以域为单位的域控制器(Domain Controller Unit)集成化架构是当前最佳的解决方案。
所谓“域”就是将汽车电子系统根据功能划分为若干个功能块,每个功能块内部的系统架构由域控制器为主导搭建,用一个高算力的多核中央计算机取代以往的多个分布式ECU架构。目前域控制器的“域”一般是指功能域,按照最典型的分类方法可分为动力总成、底盘控制、车身控制、娱乐系统(座舱域)、ADAS这五个主要的域。在每个域中,域控制器相当于一个高性能ECU,负责处理域内部的功能控制和转发,这就需要控制器本身具备强大的处理功率和超高的实时性能以及大量的通信外设。各个域内部的系统互联仍可使用现如今十分常用的CAN和FlexRay通信总线。而不同域之间的通讯,则需要由更高传输性能的以太网作为主干网络承担信息交换任务。
域控制器的发展,一方面是由于整车车载电子的发展需要,能够大大优化整车电子电器线路。使用域架构同时也能够将传感与处理分开,传感器与ECU不再是一对一的关系,管理起来比较容易。另外可以适当的集成化,减少ECU的数量。平台的可扩展性也会更好。将ECU集中化,车辆通信线束也大幅减少,整车零部件成本的下降也显而易见。随着未来整车电子电器架构的演化,域控制器将会越来越强大。对电子设计的要求也会越来越高。本文接下来将围绕汽车域控制器的优势与应用展开论述。
使用域控制器集成化架构的原因
采用域控制器集成化架构代替以前的多ECU分散式架构主要有以下这些原因:
1.1 汽车功能数量的逐渐增加与复杂化
目前汽车的电子架构在每个独立的控制单元中集成了一个或多个功能特性。这不仅增加了控制单元和分布式软件功能的数量,同时也使得单元之间的通信连接变得复杂。当汽车需要增加新功能时,以往的解决方案往往是额外增加一个负责相应功能的ECU模块与电路线束。如今,随着车子电子化程度越来越高,尤其是自动驾驶、主动安全等功能的增加,汽车的 ECU 数量急速增加,一辆汽车里的 ECU 数量平均会达到 50-70 ,一些功能更加复杂的豪华轿车,ECU 数量早就已经破百。2005年的BMW 7系已经配备了65个ECU。到了2010年,奥迪A8上使用的ECU数量更是超过了100个。如此多的ECU错综交错,不仅带来了十分复杂的线束设计,逻辑控制也十分混杂。通过不断增加ECU数量来为汽车增加新功能的方法已不再是可持续的。
1.2 未来汽车对高速数据处理和复杂软件算法的需求
域控制器技术是未来汽车发展不可抗拒的趋势,也是未来汽车能够顺应各种技术潮流的硬件基础。随着汽车对面向安全、娱乐等复杂功能的需求正在以前所未有的速度增加,未来汽车必须拥有更高的数据处理和运算能力。很多主机厂都声称要在未来将汽车打造成“车轮上的智能手机”。当汽车逐渐向着大号的移动智能终端发展时,就必须使得汽车像智能手机那样,不断升级换代,通过更多的计算能力和更好的软件算法来满足所需的新特性、新功能。
传统的ECU分布式架构已经无法支持汽车对高速数据交换和复杂的软件算法的需求,同时没有足够的计算能力来满足运算数据不断增长的要求,车载网络也无法支持高速的数据传输需求。相较于手机、平板等设备,汽车的使用周期长得多,随着各大车企推出功能越来越丰富多样的汽车,买家们往往也会希望自己所购买的汽车能够拥有像智能手机那样的升级能力,而不是像以往那样,在汽车的整个使用周期里汽车的功能和特性基本保持不变。基于ECU的分散式电子架构汽车中的所有特性和功能都必须在车辆推出前设计和实现,未来将无法满足消费者对汽车功能快速更新的需求。
在“软件定义汽车”的大趋势下,智能汽车更多地依赖于硬核的高配置硬件和强大的软实力软件,来满足一辆智能汽车所需要的软硬结合部分。现今风靡一时的OTA(Over The Air Technology)空中下载技术正是对汽车软硬件功能的一种远程升级技术,OTA更新可以用来提供新的汽车功能,优化汽车软件系统,修补汽车功能漏洞,提升整体的驾驶体验。OTA具备减少召回成本、快速响应安全需求、提升用户体验,成了未来智能化汽车时代的必然选择
为了实现所有这些目标,我们需要更高的计算能力、嵌入式内存容量和连接带宽,而只有使用域控制器架构的汽车才能满足所需的硬件要求。
1.3 车载SOC成本的降低
在电子产业摩尔定律的影响下,高性能的汽车SOC芯片的价格随着技术进步和大规模量产将会进一步下降。随着汽车智能化的推进,英伟达、高通、MTK等手机芯片玩家也开始进入车用市场,汽车SOC的成本这几年正在急剧下降,越来越接近传统MCU的价格,这也是汽车制造商使用具有集成功能的域控制器的原因之一。
使用域控制器集成化架构的优点
与传统的ECU分布式架构相比,域控制器架构有以下几点主要优势:
2.1 轻量化,高效率
传统ECU架构下,每个额外的新功能都会带来相应的ECU和线束,导致错综复杂的线束成为了汽车中仅次于发动机的第二重的部件。这种设计思想不符合汽车设计中的轻量化规则,会降低汽车的能源效率和行驶里程。采用域控制器,集成了ECU,车辆能够去掉多个微控制器、电源、外壳和铜线,大大简化了汽车电子结构,实现集成和制造自动化,降低了电子部件重量,提高了行驶效率。以汽车驾驶舱域控制器为例,通过集成取代了传统的仪表盘、信息娱乐系统和HUD显示器,整个系统的质量可以减轻30%以上。
2.2 成本降低
为新功能额外增加一个ECU模块是不可持续的,新ECU模块所对应的专用MCU、存储器、电源、PCB和其他电子元件将大大增加生产制造的成本。随着具有强大计算能力的车载SOC芯片的价格持续下降,以集成驾驶舱解决方案为例,每辆车至少可以节省约70美元。随着域控制器的大规模量产和出货量爆发,汽车的生产成本将会进一步降低。
2.3 数据延时
智能汽车往往装载有多个传感器用于感知外界环境,出于安全的原因,车辆需要能够接受和及时处理来自自身传感器、外界其它车辆或基础设施(V2X)的大量数据,所有数据都必须能够以实时或非常接近实时的速度进行处理,这样才能保证行驶过程的安全。
对大量数据的实时处理,保证较低的数据延时需要高性能的计算能力和高带宽的网络通信。在具有高性能计算能力的域控制器中数据只需要被处理一次,并可以在不同的内核中进行共享。而在使用大量ECU模块的架构中数据需要在不同网络中多次进行通信传输,并进行多次运算,传统的ECU架构会导致运算效率低,数据的延迟性高,无法保证汽车在面对各种紧急情况时的快速反应能力,安全性不够高。
2.4 可升级性
随着汽车从机械产品向数字化电子产品的不断发展,软件水平愈发成为了汽车的核心竞争力。十年前,一辆汽车仅包含约1000万行软件代码。现如今,一辆汽车拥有约1亿行软件代码。在未来,自动驾驶汽车的软件代码量将达到3亿至5亿行。汽车软件的代码量正在成指数级别地增加,由于代码的不断累加,出现的安全漏洞更需要及时修补。对汽车的功能维护和复杂软件升级将变得更加重要。相较于传统的分布式ECU架构,域控制器具备的算力可扩展、更灵活的整车OTA以及软件比重的加大,使得汽车制造商有能力为用户提供不断迭代升级的功能体验。也就是说,车企可以在不增加额外ECU的情况下,仅仅通过对软件算法进行更新就可以实现汽车功能的升级。
2.5 万物互联
由于域控制器具有高性能计算能力和高带宽通信,驾驶员可以通过数字平台和5G网络与周围的外部环境相连接。V2X技术将允许车辆与其它车辆以及道路基础设施进行联络通信,以获得环境信息。所有这些数据必须进行实时通信和处理,这需要高带宽的通信和高性能的车载计算能力。很明显,传统的分立式MCU难以支持高速的通讯和计算能力。
汽车域控制器的设计
IT行业以及消费者电子领域的很多技术可以被迁移运用到未来的智能汽车领域。运用在未来汽车上的车载SOC,嵌入式操作系统、虚拟机监视器以及OTA升级技术都已经比较成熟,并被广泛应用在消费电子以及其它领域。汽车电子框架可以从其它电子产品上借鉴经验。
然而出于汽车对安全性的高要求,汽车电子设计需要满足严格的安全标准和标准需求。对安全性、稳定性、耐用性的要求使得汽车域控制器的设计要有极高的质量和可靠性。保障汽车的安全和稳定性将成为设计汽车电子电气架构时需要考虑的关键因素。
图1 未来汽车基本架构
3.1 基本架构
未来的汽车电子架构正在迅速革新。安全特性以及对自动驾驶功能需要有更好的计算能力以及更高带宽的通讯能力。为了使汽车具有更好的连接能力以及信息娱乐功能,汽车将会被改造一个分布式IT系统,能够与云端进行通信以远程更新软件,同时实时更新数字地图信息与交通路况。
图1展示了未来的汽车电子电气架构,该架构需要具备在不同部件以及不同功能模块之间进行交互的能力,并能够管理和控制不断增多的功能和复杂软件算法。此外,该框架还应该具备良好的扩展性,以应对随着时间推移所增加的对汽车功能的需求和期望。OTA也应该是该架构所必须的功能之一。
汽车电子架构的可更新性和可升级性使得OEM在汽车销售后仍能够对汽车的升级进程加以控制。软硬件分离使得汽车的软件功能独立于硬件,大大提高了系统功能的可扩展性和更新的便捷性。
3.1.1 框架特性
SOA(Service-oriented Architecture)面向服务框架:SOA方法已经广泛运用于IT以及消费者电子领域。SOA为汽车电子系统提供了大量的抽象接口。它的封装可以使用敏捷开发方法进行系统设计和测试,以减少系统功能不断增加所带来的复杂性,并使得软件组在不同的车辆上更容易实现复用。
3.1.2 中央网关服务器
使用中央信息服务器和代理服务器处理所有的通信信息,将本地控制域与外界环境隔绝开,以保证系统的安全性和保密性。将系统划分成物理层,信息层,服务层,使得系统具有良好的扩展性,同时使得系统运用在不同类型车辆上时的变化较小,可迁移性较高。
在未来的汽车电子电气架构中,中央网关将作为信息桥梁,交换信息并隔离车内域控制器和外围通信源,如移动网络、蓝牙、WiFi、以太网等,它还将同时充当汽车的中央诊断接口用于系统漏洞的诊断。域控制器可被用作中央网关与本地智能传感器、执行器和ECU之间的网关,在以太网和CAN或LIN之间编译和传递信息。
中央网关将承担维护网络安全的主要责任。中央网关检验来自合法源的消息,并保护身份验证不受欺骗,将网络通信限制到预定义的正常范围内,限制异常或过多消息的通信,以避免损害车辆的功能。它还需要阻止未经批准的非法消息,并对无效尝试给出警告。这可以大大提高整车的网络安全性,并显着降低车载域控制器的安全功能负载。
3.1.3 车载以及后端架构
未来,汽车车载系统以及云后端架构之间将会有越来越多的交互。两者可以通过WIFI或者高带宽的5G网络进行连接。处于对安全以及自动驾驶功能的需求,车辆需要具备与外界信息进行交互的能力,如周围车辆、新一代基础设施、天气、道路信息以及实时高精度地图等。由于汽车的软件算法以及基础的硬件算力会受到一定程度的限制,随着数据量的加大,对不断变化的场景以及驾驶条件做出实时分析与决策的难度会逐渐增加,所以未来汽车越来越多地需要与高处理能力的后端(比如云端服务器)进行交互,以获取驾驶场景下的相关信息和数据。
3.2 汽车功能安全性
所谓的“功能安全”,就是通过安全功能和安全措施来避免不可容许的功能风险的技术总称。功能安全(Function Safety)的“功能”指的是监控受控对象和控制器的安全装置起的作用。通常我们将计算机作为安全装置,如果控制器发生故障,则该计算机将会关闭受控对象,并向用户发出危险警告。安全装置所实现的这种安全性作用,被称为“功能安全”。功能安全可以说是通过使用计算机等的安全装置所设计出的安全措施。
汽车行驶关乎乘客的生命安全,安全也是汽车设计准则的第一要义。每个行业都有所对应的技术标准来约束产品的最低性能。汽车行业所采用的ISO26262标准是从电子、电气及可编程器件功能安全基本标准IEC61508派生出来的,主要定位在汽车行业中特定的电气器件、电子设备、可编程电子器件等专门用于汽车领域的部件,旨在提高汽车电子、电气产品功能安全的国际标准。ISO 26262标准是针对汽车电子电气系统的功能安全标准,使用 ASIL 来指定相应器件必需符合的可接受的驻留风险级别的安全性需求,涉及汽车电子电气系统的整个安全生命周期及其管理过程,其最终目的便是确保“安全”,避免因汽车电子电气系统故障而导致的不合理风险。
随着数据连接和车内通信的使用越来越多,车辆愈发容易受到恶意网络攻击。智能网联汽车中的威胁风险点可能有:恶意攻击者可以利用 CAN 总线广播机制,实施数据包窃听、伪造及数据重放等。可以劫持 ECU 设备制造厂商的访问机制,对源代码进行逆向破解,对芯片内固件代码进行提取、篡改、分析等操作。
由于汽车电动化、智能化和网联化的发展趋势,特殊的多场景使用状态和研发、生产、使用、维修、报废全生命周期的现状,相较于传统的信息安全体系,智能网联汽车的信息安全研究方向需要解决:如何进行高可靠的入侵检测和防护,防止对车辆控制单元的直接控制造成生命财产方面的损失;如何保障复杂通信环境信息安全,提升车辆的防护能力。这将是未来汽车功能安全研究的重点方向。
结论
消费者对汽车安全特性和软件功能的需求正以前所未有的速度增长。这种趋势使得汽车的电子电气架构正在从分布式电子控制器单元 (ECU) 转向集成度更高的域控制器。汽车对计算能力和存储能力的要求也越来越高。以域控制器为代表的电子电气框架可以提供更快速,更安全,更可靠的数据处理和能源分配能力。带有域控制器的未来汽车平台可以轻松利用云计算、互联网、大数据以及OTA升级等最新技术。强大的多核处理能力、专用的车载嵌入式操作系统、创新的电子电气架构以及高带宽的通信能力是未来域控制器架构汽车的基本组成要素。
随着域控制器的出现,汽车的智能化演进越来越迅猛。随着图二所示汽车电子架构的集中化进程,未来最理想的状态是,汽车能够拥有一个整车计算平台——中央大脑。中央域控制器可能会成为一台计算机的形态,其中最核心的难点会来源于汽车的操作系统,这个系统需要同时跟上层的软件应用、底层的硬件资源进行衔接。因为汽车的座舱域、智驾域、动力域、车身域等几大“域”对操作系统的需求其实并不一致。比如座舱系统对于屏幕的色彩处理和渲染要求比较高,而智驾功能则对系统的安全要求特别高。目前还有没一种芯片或者一个嵌入式的硬件平台,既有高算力能够支撑丰富图像处理,又有高性能、高存储,同时还具有非常丰富的IO接口。
图2 从域控制器到中央大脑
除了硬件层面的挑战,汽车行业的软件产业链也面临着重构的可能。软件能力愈发成为产业链玩家的核心竞争力。而主 机厂对软件能力的集中把控,可能会带来产业链关系的重建。任何行业变革的伊始,总是伴随着利益的冲突与规则的破立,在这场由ECU消亡引发的变革里亦是如此。域控制器的出现,只是一个中场战事。可以确定的是,汽车的“中央大脑”形态变革,以及背后的智能汽车时代话语权争夺,会让汽车产业链上的各种玩家前赴后继,未来十年汽车行业一定会发生天翻地覆的大变革。