功能安全
在设计电子电气架构时,ISO26262功能安全要求是必须的,分析首先是从整车层面进行功能安全分析,然后再分解到各个域,以及各控制器,如图4所示。
动力域 | 扭矩安全 | 防止整车出现非预期加速/减速 |
热安全 | 防止整车出现过温导致起火冒烟 | |
高压安全 | 防止整车可接触部分出现非预期高压 |
图4 动力域功能安全示例
针对从整车层面提出的功能安全需求,其可以通过多种方式来满足整个系统的功能安全。其一承载车辆功能的硬件和软件平台被开发到特定的完整性级别以支持功能安全。另外是在系统中添加冗余部件。与其增强一个传感器系统来支持 ASIL D 功能,不如使用两个 ASIL B传感器将传感器数据传递给 ASIL D 功能。考虑故障功能行为的需求也在增加,特别是在更高级别的 ADAS 功能 (L3+) 中,这会导致更广泛的系统级考虑,例如围绕电力网络、通信、处理器、传感器等,这些额外的冗余层可能包括技术冗余,如图5所示。
图5 传感器冗余示意图
网络安全
虽然功能安全与系统可靠性有关,但网络安全必须考虑对车辆系统的恶意攻击。现代汽车存在多个潜在攻击面,例如集成的Wi-Fi、蜂窝网络、蓝牙、车载诊断(OBD)、USB及其他连接点都可以提供进入车辆通信系统的潜在路径。甚至网络总线电路也被作为入口点访问。
网络安全是通过分层方法实现的,在架构中的关键点加入安全机制,包括ECU内部和周围的硬件保护,基于软件的车内保护,车内车外的网络监控,以及安全云服务。从而构建安全可靠的电子电气架构,如图6所示。具体的措施包括分域隔离、引入硬件安全模块(HSM)、防火墙、入侵检测/防御系统(IDS /IPS)等,详细介绍可以查阅文章(汽车E/E架构的网络安全分析)。
图6 网络安全机制
电源模式
车辆通常具有多种电源模式和唤醒状态。带有传统钥匙的车辆通常在点火开关上有四个位置,转换为 4-6 种动力模式,从关闭和锁定到启动(如图7所示),就唤醒源而言,有插枪充电唤醒、钥匙唤醒、开车门唤醒、远程唤醒、诊断唤醒等等。对于电子电气架构设计而言,需要考虑不同电源模式或者唤醒源的情况下,应该唤醒哪些控制器,这里应该是最小化原则。比如在充电的场景下,仅需整车控制器、电池管理系统、DCDC、水泵控制器等处于工作状态,而像电机控制器就无需唤醒了,这样一来可以分区管理,减少电耗,另外也可以延长控制器的使用时间。
图7 不同电源模式下,不同域的工作情况
处理器和网络负载
另一个重要的架构考虑因素是每个控制器的处理器、网络总线以及网关的负载情况。首先说一下控制器处理器负载,这里主要当把功能分配给特定的控制器时,需要考虑这些控制器的处理器是否能够支撑功能的实现,通常功能安全的要求是处理器的最高负载是7080%左右,假设100s,也就是说处理器有7080s是在工作的,其余20~30s是空闲的。这样功能不会因为负载过高导致某些低优先级功能卡死,无法执行的情况。
另外网络总线负载也是重要的一方面,随着功能的逐步增加,总线上交互信号也会增加,这样会导致总线负载逐渐增加,在当前的架构中,很多局域的CAN总线负载都很高(CAN总线负载通常任务是不能大于30%),必须对总线进行升级,比如从CAN升级到CANFD,或者通过功能整合,减少交互,或者分割网络等。
复用
车辆特性、功能和系统的可重用性现在至关重要。电子电气架构的优化和有效的系统设计对于最大限度地提高可重用性、减少车辆变体的数量以及提高按时交付车辆的能力至关重要。
在开发新的或改款车型时,控制器的重复使用受到限制,一部分约束是固定的,比如传统上,来自一级供应商的控制器增加功能的范围有限,除非供应商签订了开发此类功能的合同。因此汽车制造商在开发控制器、软件模型甚至完整软件方面需要承担了更多责任。当前也可以看到大部分汽车制造商在做控制器的应用层开发,底层和硬件交给供应商,不过现在也有趋势汽车制造商扩展到战略模块的硬件和芯片设计。
在电子电气架构设计时,架构师需要基于复用原则来确定整个生命周期内的功能分配。
总结
开发全新的电子电气架构对汽车制造商来说面临的挑战多种多样。E/E 系统架构师在开发、更新和优化车辆架构时需要考虑的因素很多,因此有必要借助架构设计工具来根据工程师定义的一组规则和指南来规划和检查架构,将指标可视化。这样更有利于权衡拓扑变化、功能分配和信号分配等,以便在详细设计开始前对电子电气架构架构进行早期优化。