汽车域控技术浅析

汽车安全 2年前 (2022) admin
806 0 0

汽车域控技术浅析

“智能汽车生态群”加微信Time-machine-(备注公司+姓名)


摘要


如今,汽车上的每一个电子控制系统,如仪表盘、信息娱乐系统、防抱死制动系统、发动机管理系统、变速箱控制单元和车身控制管理,都是一个自给自足的单元,有自己的来源,如ROM、RAM存储器、微处理器或微控制器、I/O和电源。汽车域控制器的想法是用一个具有多核的强大中央计算机取代多个分布式ECU。多核处理技术将多个ECU整合到一个单一的芯片中。在多核解决方案中,这些单独的ECU保留了分离和独立的处理空间。然而,很多冗余的部件,如外壳、驱动器、电线和线束以及电源,都可以被消除。这些不仅在很大程度上节省了成本,而且还节省了组件的重量和空间。此外,ECU之间的通信是在处理器本身内部进行,而不是通过外部网络如CAN或LIN进行通信,这将大大减少数据延迟和系统复杂性。 


I.引言

我们需要汽车域控制器主要有以下几点原因。

首先,目前的汽车电气/电子架构在每个单独的控制单元中都集成了一个或几个功能特性。这不仅增加了控制单元和分布式软件功能的数量,而且还分别增加了连接的复杂性。如果一辆车需要一个新的功能,增加一个新的专用ECU和一点电线和线束是常见的解决方案。一辆最先进的中型汽车上已经安装了多达70个来自不同供应商的专用ECU,这已经达到了极限。为每个新功能添加一个新的ECU已不再是可持续的。

第二,汽车域控制器技术是未来汽车工业不可抗拒的趋势,它是未来汽车跟上快速技术变化的根本。对拥有越来越多的安全和面向软件的功能的需求正以前所未有的速度增加。所有这些都需要相应增加计算能力。就像最新的iPhone必须增加更多的计算能力来运行所有的新功能特性一样,我们必须在汽车中增加更多的计算马力来运行所有想要的新功能。目前的架构方式已经无法支持高速的数据交换和复杂的软件算法,没有足够的计算能力来满足内容和复杂性方面不断增长的要求,网络基础设施也无法支持未来的数据带宽和速度。此外,调制解调器车辆的平均年龄超过10年,比智能手机长很多,而且汽车技术正在以前所未有的速度发展。车主越来越希望拥有类似智能手机的升级能力。他们不再接受像我们现在这样,在整个车辆的生命周期内功能和特性保持不变。然而,今天的分布式ECU中的所有特性和功能都必须在车辆推出前设计和实施。无线更新技术是未来车辆的关键需求。OTA更新可以用来提供新的功能和技术,升级现有的功能,修补错误,并提高性能。这些更新可以避免车辆召回,减少客户的保修成本。随着汽车变得更加依赖软件,对OTA更新的需求也变得更加关键。为了实现所有这些目标,我们需要更多的计算性能、嵌入式内存容量和更高的连接带宽,只有带有域控制器的新车辆架构才能满足这些要求,它允许增加车辆发行时没有的功能。

第三,由于高性能汽车类芯片系统(SoC)的可用性,以及SOC成本价格今年急剧下降,越来越接近传统MCU的价格。这是汽车制造商在一个域控制器上集成多种功能的另一个动机。


II.汽车域控制器的优点

与传统的专用ECU相比,域控制器具有以下主要优势。

A.减轻重量,提高工作效率

每一个新功能就增加一个新的ECU和一些线路和线束,导致线束成为汽车中仅次于发动机的第二重的部件。这种趋势不符合另一个轻量级设计规则,以提高能源效率和增强车辆的巡航范围。域控制器可以消除一些冗余的部件,如PCB、外壳、电源、布线和线束。以汽车驾驶舱控制器为例,它结合并取代了传统的仪表盘、信息娱乐系统和HUD显示屏,整个系统的质量可以减少30%以上。

B.成本

增加一个新的ECU以获得新的功能是不可持续的。新ECU的专用MCU、存储器、电源、PCB和其他电子元件将大大增加成本。

而随着具有强大计算能力的SOC价格持续下降,再以集成驾驶舱解决方案为例,估计每辆车至少可以节省70美元。

C.数据延时

自动驾驶车辆和安全功能将需要接收和处理来自内部传感器和外部来源(如其他车辆、基础设施和基于云的来源)的大量数据。所有这些数据都必须实时或接近实时地处理,这就需要高性能的计算能力和高带宽的网络通信,以最小化数据延迟[1]。由于数据只在具有高性能计算能力的域控制器中处理一次,而不是使用大量的微控制器,数据可以在内部不同的核心之间共享,而不是通过不同的网络进行通信。

D.可升级性

随着我们将车辆从机械平台转移到数字平台,软件的重要性大大增加,软件的平均代码行数呈指数级增长。因此,滚雪球式的复杂性导致越来越多与软件相关的质量问题和车辆召回[2]。所以无线更新将成为维护和升级复杂软件的关键能力。由于汽车的软件已经与硬件分离,因此升级系统变得更容易。

E.连接性

由于领域控制器所具有的高性能计算能力和高带宽通信,驾驶员将通过数字平台和5G蜂窝网络与周围的外部环境相连接。车对车、车对基础设施和车对云技术将允许车辆与其他车辆和周围的天气、交通、路况、交通灯、更新的地图等进行沟通。所有这些数据和信息必须进行实时通信和处理,这就需要高带宽的通信和高性能的车载计算能力。很明显,传统的离散MCU没有能力支持这些技术。


III.汽车域控制器设计

IT和消费电子技术可以转移到汽车领域。我们所期望的汽车领域控制器的大多数技术,如SOC、嵌入式操作系统、Hypervisor、以太网和无线更新,都是成熟的技术,并且已经在消费电子和其他领域广泛使用。汽车域控制器将从IT和消费电子中受益。然而,仍有一些技术需要重塑,以便满足严格的汽车标准和更高的消费者需求。对安全、安保、性能和可用性的需求导致了对质量和可靠性的最高期望,而这在消费电子中并不是大问题。汽车电气和电子结构以及汽车功能安全和保障将成为关键的成功因素,并将在本文中讨论。 

A.架构

未来汽车电子产品的架构正在迅速创新。安全功能和自动驾驶需要更高的计算性能和更高的带宽通信。为了支持连通性和信息娱乐,车辆有望转变为一个具有云访问的分布式IT系统;远程软件更新;以及对数字地图、其他车辆和周围基础设施的高带宽访问。

图1显示了未来的汽车E/E架构,它需要能够在不同的细分市场和不同的功能内容之间进行扩展,并能提供管理和控制不断增长的功能复杂性和内容的手段,该架构还需要应对随着时间推移而变化的需求和期望,预计将提供OTA来更新或升级现有车辆。

汽车域控技术浅析

图1 域控制器的汽车E/E架构

该架构的可更新性和可升级性可以提高原始销售后的整体发展速度和控制能力。软硬件分离的好处是功能内容基本不受硬件影响,大大提高了系统的可扩展性。

1)特征

面向服务的架构:SoA方法已被广泛地应用于IT和消费电子领域。SoA为整个系统提供了大量的抽象接口, 它的封装允许使用敏捷的方法进行系统设计和测试,它可以减少不断增加的复杂性,并使软件组件在各代车辆之间更容易重复使用。

a)中央网关服务器

一个中央信息服务器和一个代理将处理所有的通信信息。它将本地域控制与外部环境隔离,以维护其安全和保障。物理、信息和服务将被分开。这有利于扩展性,并且从基本的车辆到装备齐全的车辆,其变化较小。

在未来的汽车架构中,中央网关作为信息桥梁,交换信息并隔离车内域控制器和外围通信源,如移动蜂窝、蓝牙、WiFi、以太网。它还充当汽车的中央诊断接口。域控制器还充当中央网关和本地智能传感器、执行器和ECU之间的网关,在以太网和CAN或LIN之间翻译和交换信息。

中央网关将承担维护网络安全的主要责任。中央网关验证通信是否来自批准的来源,保护认证不被欺骗,并将网络通信限制在预定的正常行为,限制异常或大量的信息,以避免损害车辆的功能。它还需要阻止未经批准和不适当的消息,并警告任何无效的尝试。这可以极大地提高整个车辆网络的安全性,并大大减少车内域控制器的安全负担。

b)车载和后端架构

车载系统和后端架构之间有越来越多的交互。它将通过Wi-Fi,以及高带宽的5G蜂窝网络进行连接。为了安全功能和自主控制,车辆将被要求与外部来源,如其他车辆、基础设施和云端来源,交换数据和信息,包括天气、交通、道路建设、更新的地图等信息。因为重新编程的算法无法实时处理因为每一个可能的场景和不断变化的驾驶条件,越来越多的汽车功能需要后端系统获取数据和信息,并在后端部分执行。

B. 功能安全和信息安全

功能安全是指确保系统的安全运行,即使它们出故障。每个行业通常都有一个标准来指导发展和设定最低期望值,对于汽车电子来说,它是ISO 26262,它将功能安全定义为:不存在因电气/电子系统故障行为而导致的不合理风险。

在实践中,功能安全指的是一个系统,根据目标标准证独立评估员证明是绝对安全的。安全性要求可预测的故障模式,这些故障模式可以是功能完整、功能退化或彻底停机,然后是重置并重新启动。

随着数据连接和车载通信的使用越来越多,车辆容易受到网络攻击。增加的电子复杂性和与其他外部组件(如无钥匙进入、蓝牙、USB、远程信息处理、无线通信)的整合,为进入已经深深嵌入车辆的控制系统提供了门户。

汽车计算机安全用于检测、保护和纠正可识别或可避免的威胁,并保护车辆系统免受先前未知或不可避免的威胁。这种合作方式包括ECU内部和周围的基于硬件的保护,基于软件的车内保护,以及车辆中的网络监控和强制执行。

计算机行业有许多安全策略和知识可以应用于汽车领域。这些包括:

安全启动:软件启动器与硬件一起工作,以确保加载的软件代码是有效的,为系统的其他部分提供一个信任源。

分区的操作系统:通过使用嵌入式操作系统的虚拟化和分区技术来隔离不同的应用或功能。这大大降低了将多个功能系统合并到一个单一的SOC上的复杂性。这也使得更新或刷新一个单独的功能而不影响任何其他组件成为可能。而且,如果一个单一的模块发生故障或崩溃,整体操作也不会受到影响。 

认证:认证是验证数据发送者身份的过程。对于一个嵌入式应用,认证被用来验证通过不同ECU或SOC之间的外部接口传输的数据来源。它也可用于在执行软件图像之前,或在从一个外部内存存储器下载期间,确认该软件图像的可信度。在实践中,需要对电子钥匙、密码和生物识别技术进行管理,并授权其访问一些重要信息,如身份、电话簿、位置和金融交易。同样,汽车中的各种ECU或SOC也需要进行认证,以防止攻击者伪造信息或命令。

强制执行经批准的适当行为:为了防止网络攻击试图从一个系统向另一个组件发送消息,我们需要检测和纠正意外的或恶意的威胁。


IV.应用和讨论

A.域控制器实例–信息娱乐域控制器

传统上,我们至少有两个专门的ECU来分别处理仪表盘信息显示、平视显示器(HUD)和信息娱乐系统,如图2所示。它们有自己的PCB和软件包,并通过CAN和MOST连接来交换一些车辆信息,如速度和燃料消耗,以及一些信息娱乐系统信息,如电话簿、导航和媒体。

汽车域控技术浅析

图2 传统的信息娱乐系统框图

对于信息娱乐领域的控制器,如图3所示,我们使用一个集中式控制器来取代这两个独立的ECU和相关的PCB ,这可以通过减少大量的线束来节省车辆成本达70美元以及减少车辆重量。该方法具有更多的计算性能和嵌入式内存容量以及更高的通信带宽连接。信息娱乐领域的控制器框图如下所示。

汽车域控技术浅析

图3 信息娱乐域控制器系统框图

如图4所示,这个信息娱乐领域的系统包括在一个共同的系统架构和人机界面下的几个显示屏。显示信息内容不再分配给专门的显示器。所有的显示信息都由集中式控制器处理,它们可以在处理器内进行通信,以交换车辆和信息娱乐系统本身的信息,而不是通过外部网络(如CAN总线)进行通信,提高了速度,降低了复杂性。所有信息都是灵活的,可以在仪表盘、抬头显示器、中央显示器上显示,甚至可以根据驾驶情况在智能手机等连接终端上显示。这大大提高了灵活性并减少了延迟。此外,他们可以共享和重复使用巨大的基本软件,如CAN、LIN、UART、定时器、A/D采样、HMI等,这大大节省了内存空间和计算能力,同时也大大减少了必须开发和验证的软件数量。

我们选择Renesas R-Car H3 SOC作为信息娱乐领域控制器的中心计算机,它有4个内核,内存从512M DDR3L到4G LPDDR4,CPU和内存带宽都可以扩展。我们使用第三方嵌入式操作系统QNX Hypervisor对安全相关环境和非安全环境进行可靠和安全的分区、分离和隔离。该系统配备了以太网网络,以连接外部组件和云。它可以进行无线升级,最终将通过4G与云端通信。我们可以在这个单一的硬件和软件架构平台上运行具有不同安全和安保要求的仪表盘和信息娱乐系统应用。为了与消费电子和市场动态保持同步,信息娱乐功能的寿命比仪表盘的要短,这也使得只为信息娱乐部门更新专用软件功能成为可能。同时,与安全相关的驾驶员信息和长期功能仍然不受影响。这种方法有足够的处理能力和灵活性,可以在未来增加今天不存在的功能。最重要的是,这种系统解决方案可以提供灵活的模块化冗余,如果一个核心或应用程序崩溃,其他核心和应用程序将不会受到影响,而是可以作为冗余进行替代。

B.主要优点的测定

信息娱乐系统模块整合是一种技术趋势,通过使用调制解调器、多核处理器来操作多个传统ECU仪表盘和信息娱乐系统。域控制器可以消除一些冗余的部件,如PCB、外壳、电源、电线和线束,以及ECU本身。

汽车域控技术浅析

图4 信息娱乐域控制器方框图

此外,ECU在处理器本身内部交换数据,而不是通过外部网络如CAN或LIN总线进行通信,这将大大减少数据延迟和系统的复杂性。尽管域控制器有更多的功能安全和网络安全问题,但这种问题也有一些优点,包括远程软件升级能力、连接性和灵活性。信息娱乐系统域控制器和专用ECU之间的主要优点比较如下表所示。

汽车域控技术浅析


V.结论
消费者对安全和面向软件的功能的需求正以前所未有的速度增长。这一趋势正在从分布式电子控制器单元(ECU)转向具有集中式ECU的更集成的域控制器。当然,这需要对计算能力和数据存储器的大小都有特别高的要求。然而,带有域控制器的新车辆架构将提供快速、安全和可靠的数据和电力分配。带有域控制器的新车辆平台可以很容易地利用消费电子产品的最新技术水平,如云计算、互联网连接和无线软件更新。显然,强大的多核处理器、支持可视化的专业嵌入式操作系统、创新的汽车架构和高带宽以太网是实现汽车域控制器概念的四个主要基本要素。
END
    

分享不易,恳请点个【?】和【在看】

原文始发于微信公众号(智能汽车设计):汽车域控技术浅析

版权声明:admin 发表于 2022年8月8日 上午7:01。
转载请注明:汽车域控技术浅析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...