解鎖L2、L3級(jí)自動(dòng)駕駛的汽車架構(gòu)

1、汽車系統(tǒng)設(shè)計(jì)和軟件開發(fā)的要求越來越高，這主要?dú)w因于未來汽車行業(yè)的三大問題：自動(dòng)駕駛、在線（OTA）軟件更新，以及驅(qū)動(dòng)系統(tǒng)電氣化。當(dāng)前車載E/E （電子/電氣）架構(gòu)的每個(gè)控制單元都會(huì)集成一項(xiàng)或幾項(xiàng)汽車功能。這樣就增加了控制單元和分布式軟件功能的數(shù)量，以及它們之間交互的復(fù)雜度。在此情況下，E/E架構(gòu)必須執(zhí)行越來越多的駕駛員輔助功能。軟件復(fù)雜性預(yù)測(cè)假定現(xiàn)在的豪華車型有 100多個(gè)控制單元，其中包含 1億行以上的代碼。目前，單個(gè)或密切相關(guān)的功能是在單獨(dú)控制單元上實(shí)現(xiàn)。適合車載應(yīng)用運(yùn)行的更高性能的芯片系統(tǒng)（SoC,如Renesas R-CarH3、NXP BlueBox或NVIDIA DRIVE PX

2、）的出現(xiàn)，以及通過減少控制單元或線束來減輕車身重量的必要性便催生了這樣的需求：將多個(gè)功能集成在一個(gè)域控制器（例如負(fù)責(zé)車身、底盤或發(fā)動(dòng)機(jī)）或者甚至更少的中央計(jì)算機(jī)上。這種模式轉(zhuǎn)變極大地改變了汽車E/E架構(gòu)，包括引入面向服務(wù)的通信和動(dòng)態(tài)操作系統(tǒng)，而這又必須滿足實(shí)時(shí)、功能安全和信息安全的要求。止匕外，使用動(dòng)態(tài)控制單元可支持添加汽車上市時(shí)并不具備的功能。下文探討了用于未來E/E架構(gòu)的不同技術(shù)，并介紹了相關(guān)變化、風(fēng)險(xiǎn)和新機(jī)會(huì) 未來的E/E架構(gòu)圖1顯示未來可能的一種E/E架構(gòu)。核心是通過車內(nèi)以太網(wǎng)主干網(wǎng)進(jìn)行通信的一個(gè)或幾個(gè)中央計(jì)算機(jī)。汽車的關(guān)鍵要素是網(wǎng)關(guān)：將用戶接口域（信息娛樂系統(tǒng)/智能手機(jī)連接）與動(dòng)力域

3、（駕 駛系統(tǒng)、制動(dòng)、電池管理）分離，使用所謂的智能天線將汽車 連接到整車廠的后端系統(tǒng)。智能天線和網(wǎng)關(guān)的主要任務(wù)是實(shí)現(xiàn)不同的安全層，如防火墻和入侵檢測(cè)。止匕外，該架構(gòu)使用板載安全機(jī)制用于控制器之間的通信。與后臺(tái)系統(tǒng)的互聯(lián)使很多新功能的更新成為可能。例如，可以為汽車提供諸如道路狀況這樣的環(huán)境數(shù)據(jù)，可用停車位或汽車制造商的最新產(chǎn)品。這些在線服務(wù)和可選擇的功能激活（如駕駛員輔助系統(tǒng)）可讓汽車制造商在汽車生命周期內(nèi)不斷獲取收 益。汽車永久在線連接支持整車廠收集用戶數(shù)據(jù)，從而獲得關(guān)于所用組件可靠性和使用情況的更多信息。可以通過診斷接口檢測(cè)硬件和軟件錯(cuò)誤來源及產(chǎn)生錯(cuò)誤時(shí)的環(huán)境信息，從而使軟件可 在制造商端改

4、進(jìn)并快速更新下載到車輛端一一類似于多年以來 用戶已經(jīng)習(xí)慣的智能手機(jī)的 App更新。圖1 :未來的汽車E/E架構(gòu)中央計(jì)算機(jī)自動(dòng)或高度自動(dòng)駕駛要求汽車能感知周圍的環(huán)境。環(huán)境模型通過傳感器融合創(chuàng)建，它將攝像頭、雷達(dá)、 LiDAR （激光雷達(dá)）和超聲波數(shù)據(jù)整合在同一個(gè)模型中。因?yàn)閱我粋鞲衅飨到y(tǒng)都有各自的技術(shù)弱點(diǎn)，需要整合這些不同的傳感器技術(shù)來補(bǔ)償單一傳感器系統(tǒng)技術(shù)的不足。例如，與雷達(dá)不同，攝像頭系統(tǒng)在陽光下會(huì)致盲，導(dǎo)致無法檢測(cè)明亮的物體。未來將由車內(nèi)的中央計(jì)算機(jī)來執(zhí)行這些復(fù)雜計(jì)算。中央計(jì)算機(jī)將使用異構(gòu)多核的處理器，可能同時(shí)具有多個(gè)內(nèi)核、GPU和千兆以太網(wǎng)通道。針對(duì)合理性檢查、監(jiān)控和結(jié)果驗(yàn)證等與功能安全

5、有關(guān)的關(guān)鍵功能，將把更多安全內(nèi)核集成在芯片上，或者將另一個(gè)具有安全內(nèi)核的處理器集成在主板上。諸如ARM CortexA50/A57 Renesas R-Car H3 、Cortex R7 和 Infineon Aurix , 此類已經(jīng)存在于市面上的系統(tǒng)。與這些復(fù)雜的多核系統(tǒng)不同，許多控制單元是十年前才推出的16位單核系統(tǒng)。對(duì)于供應(yīng)商而言，這種技術(shù)飛躍意味著他們迫切需要培養(yǎng)軟件方面的能力。過去，軟件曾經(jīng)只是制動(dòng)部件（包括一個(gè)控制單元）的成本因素。未來，軟件功能將具有真正的 價(jià)值。這將打破現(xiàn)有供應(yīng)鏈，實(shí)現(xiàn)新的業(yè)務(wù)模式。誰將從這項(xiàng) 發(fā)展中獲益？可能是預(yù)先將集成工具鏈用于系統(tǒng)設(shè)計(jì)、時(shí)間建 模、代碼生成

6、和檢驗(yàn)以及驗(yàn)證，從而應(yīng)對(duì)不斷增加的軟件復(fù)雜 程度和成本的制造商?，F(xiàn)在，大多數(shù)控制單元使用按照AUTOSA哦OSEK標(biāo)準(zhǔn)實(shí)施的靜態(tài)配置的操作系統(tǒng)。配置時(shí)，這些系統(tǒng)定義的調(diào)度和資源利用 配置在系統(tǒng)運(yùn)行時(shí)只能進(jìn)行有限的擴(kuò)展。這種靜態(tài)配置的系統(tǒng) 優(yōu)勢(shì)在于更容易驗(yàn)證某項(xiàng)功能是否在特定時(shí)間跨度內(nèi)執(zhí)行。例 如，對(duì)于側(cè)面安全氣囊，系統(tǒng)必須能在幾毫秒內(nèi)完成展開安全 氣囊的決定。對(duì)于采用更復(fù)雜的多核處理器和不同外部交互（軟件更新、用 戶輸入），這類時(shí)間要求不太嚴(yán)格的系統(tǒng)來說，動(dòng)態(tài)操作系統(tǒng) 更具有一定的優(yōu)勢(shì)。這類系統(tǒng)最重要的應(yīng)用場景包括：1.支持運(yùn)行時(shí)的重新配置2.面向服務(wù)的服務(wù)和通信部分軟件更新用POSIX接口代

7、替靜態(tài)生成的基于XML的接口描述，簡化軟件開發(fā)過程在這種情況下，AUTOSA聯(lián)盟推出了 Adaptive AUTOSAR （參見圖2）,它包括一個(gè) POSIX操作系統(tǒng)，可直接在多核處理器上運(yùn)行，或者在一個(gè)需要并行集成多個(gè)操作系統(tǒng)的Hypervisor環(huán)境中運(yùn)行。來自不同整車廠和供應(yīng)商的Adaptive AUTOSAR：作組定義了用于車載應(yīng)用的特別服務(wù)，如診斷服務(wù)、安全服務(wù)和SOME/IP。服務(wù)和軟件組件（功能模塊）通過共享服務(wù)代理進(jìn)行通信。使用的中間件協(xié)議稱為ARA,其靈感來源于 CommonAPI。POSIX-like Q5Processor / Multi-Core圖2:自適應(yīng)AUTOSA

8、胸括經(jīng)典AUTOSAR件組件集成以太網(wǎng)和作為中介的 TSN大多數(shù)控制單元通過以太網(wǎng)與傳感器和執(zhí)行機(jī)構(gòu)通信。通過基于音頻視頻橋接（AVE5）協(xié)議擴(kuò)展的時(shí)間敏感網(wǎng)絡(luò)（TSN）,用于實(shí)現(xiàn)安全性第一的可靠通信。TSN標(biāo)準(zhǔn)專為對(duì)安全和實(shí)時(shí)性有嚴(yán)格要求的系統(tǒng)開發(fā)，如ADAS （高級(jí)駕駛員輔助系統(tǒng)）和自動(dòng)駕駛。止匕外，以太網(wǎng)可用于將信息娛樂系統(tǒng)連接到互聯(lián)網(wǎng)和 汽車制造商的后端系統(tǒng)。FlexRay是這場技術(shù)變革的失敗者?，F(xiàn)在只有少數(shù)幾家整車廠采用現(xiàn)場總線系統(tǒng)，并且很快就將被取代。CAN和CAN FD （具有靈活數(shù)據(jù)傳輸速率的CAN仍將繼續(xù)用于連接傳感器和執(zhí)行機(jī)構(gòu)或小型的IO （輸入/輸出）控制單元。IO設(shè)備和

9、中央計(jì)算機(jī)通過由BMV、集團(tuán)在2011年提出的面向服務(wù)的通信接口進(jìn)行通信： “ scalable service -oriented middleware over IP ，縮寫為SOME/IP。它基于 Ethernet 和TCP/IP協(xié)議系列。其關(guān)鍵點(diǎn)在于SOME/IP可以將已定義的應(yīng)用接口自動(dòng)映射到數(shù)據(jù)包。SOME/IP的優(yōu)勢(shì)在于它甚至可以集成到小型設(shè)備中，并實(shí)現(xiàn)快速啟動(dòng)整個(gè)系統(tǒng)。功能架構(gòu)除了上面介紹的主要由AUTOSA瞅盟提出，并在Elektrobit 的AUTOSA*品系列EB tresos中已經(jīng)實(shí)施的基礎(chǔ)軟件需求之外， 行業(yè)對(duì)功能模塊之間采用已定義接口的功能架構(gòu)的需求也越來越明確。通

10、用標(biāo)準(zhǔn)化接口的優(yōu)勢(shì)在于可以靈活地替換某些模塊,可以將其作為產(chǎn)品進(jìn)行購買或出售。圖3顯示Elektrobit 的EB robinos 產(chǎn)品的架構(gòu)。左側(cè)顯示包 括用于車輛定位和目標(biāo)物融合的軟件模塊，將不同傳感器系統(tǒng) 檢測(cè)到的目標(biāo)物融合到一個(gè)完整的駕駛環(huán)境視圖中。然后根據(jù) 當(dāng)前的駕駛環(huán)境進(jìn)行軌跡規(guī)劃，進(jìn)而完成對(duì)車輛加減速及轉(zhuǎn)向 的控制。ONhIm疝1里sfniorDita FvsfvtiBhivior Arbitration|ii*WWPwh*川曜pi：h曲山5 Ll甲胃育3fhM 時(shí)Uoti1 麗加evnent4值!ll 口/4UMrviVrtikic CMRgxpHMI Uanagrnnt圖 3

11、 : Elektrobit 的 EB robinos 架構(gòu)項(xiàng)目的目標(biāo)是開發(fā)一種開放參考架構(gòu)，定義軟件組件、接口和控制機(jī)制。日ektrobit網(wǎng)站免費(fèi)提供架構(gòu)規(guī)范，項(xiàng)目針對(duì) OEM供應(yīng)商和合作伙伴開放。此方法目標(biāo)是可以將此架構(gòu)集成到不同的高級(jí)駕駛員輔助系統(tǒng)平臺(tái)中。在這個(gè)情況下，平臺(tái)可以是集成了市面上已有的不同操作系統(tǒng)，如自適應(yīng)AUTOSARQNX或類Unix操作系統(tǒng)的不同硬件產(chǎn)品的一部分?；A(chǔ)設(shè)施即挑戰(zhàn)汽車移動(dòng)依靠的基礎(chǔ)設(shè)施是自動(dòng)駕駛汽車面臨的主要技術(shù)挑 戰(zhàn)。目前汽車配備了盡可能多的傳感器，以便它們能夠在無數(shù) 的不同交通場景中自動(dòng)找到路線。與在外部可控的受保護(hù)區(qū)域 內(nèi)移動(dòng)的火車和飛機(jī)相比，這種方

12、法顯然成本高昂而且極為復(fù) 雜。例如，飛機(jī)飛行的海拔和路線是由空中交通管制服務(wù)指引， 火車在進(jìn)入未開放區(qū)域時(shí)會(huì)自動(dòng)停止。然而，人們無法在所有路面周圍設(shè)立柵欄和攔截自行車。但是， 路面基礎(chǔ)設(shè)施的變化，比如汽車行駛至閘道的入口或出口處， 可以知道汽車正行駛在高速公路上而非行駛在與高速公路距離 幾米之外的平行鄉(xiāng)村道路上，這樣可以簡化位置檢測(cè)的問題。 另一個(gè)例子是停車設(shè)施，它可以遠(yuǎn)程控制汽車并將其引導(dǎo)到可 用的停車位。這種概念比尋找免費(fèi)停車位，在停車設(shè)施自動(dòng)巡 航的汽車更簡單。此類用例的前提條件是在全國范圍內(nèi)鋪設(shè)高速移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)(5G),以促進(jìn)與后端和基礎(chǔ)設(shè)施交換數(shù)據(jù)，以及人們能夠?yàn)樽?動(dòng)駕駛而調(diào)整路面

13、基礎(chǔ)設(shè)施。有哪些新興的開發(fā)流程？如何在高度復(fù)雜的整體系統(tǒng)中滿足對(duì)功能安全(尤其是在汽車 連接性日益增長的情況下)以及信息安全的要求？為了滿足汽 車軟件開發(fā)的高質(zhì)量標(biāo)準(zhǔn)，行業(yè)制定了Automotive SPICE流程模型，它構(gòu)成了功能安全和信息安全的基礎(chǔ)。ISO 26262標(biāo)準(zhǔn)定義了在系統(tǒng)開發(fā)過程中，如何在流程層面和 方法層面確保功能安全。對(duì)于軟件架構(gòu)而言，功能安全是一個(gè) 關(guān)鍵因素?，F(xiàn)在已有用于監(jiān)測(cè)系統(tǒng)完整性、分區(qū)、時(shí)間和流程 監(jiān)測(cè)或者安全通信等方面的基本集成機(jī)制，并且已經(jīng)應(yīng)用于多 個(gè)系列項(xiàng)目。信息安全機(jī)制將長期在汽車開發(fā)中占據(jù)重要的一席之地。防盜 報(bào)警器、安全電子鑰匙或里程表安全存儲(chǔ)等系統(tǒng)已經(jīng)

14、成為標(biāo)準(zhǔn) 功能。但是，隨著汽車連接性的增加，行業(yè)正面臨新的挑戰(zhàn)。 根據(jù)信息技術(shù)的基本定律，“哪里有聯(lián)網(wǎng)，哪里就會(huì)有攻擊”， 汽車行業(yè)中系統(tǒng)的信息安全和隱私方面的重要性也在與日俱 增。第一次利用遠(yuǎn)程訪問或互聯(lián)網(wǎng)成功攻擊系統(tǒng)的事件被公眾知曉，并且產(chǎn)生了廣泛的反響。為應(yīng)對(duì)這種攻擊，SAEInternational 于2016年初發(fā)布了安全系統(tǒng)開發(fā)手冊(cè)( SAE J3061 , “ Cybersecuri ty Guidebook for Cyber-PhysicalSystems”)。該手冊(cè)介紹了相關(guān)流程和方法并遵循了ISO 26262對(duì)汽車產(chǎn)品生命周期的規(guī)定。該文件并非標(biāo)準(zhǔn)，但它總結(jié)了重 要的舉措

15、，如研究計(jì)劃或現(xiàn)有的標(biāo)準(zhǔn)和出版物。因此該文件很 有價(jià)值，可以作為了解信息安全流程和方法的入門指南?？偨Y(jié)自動(dòng)駕駛架構(gòu)的要求的復(fù)雜度顯著提升。但是，結(jié)合標(biāo)準(zhǔn)架構(gòu)、 功能安全、信息安全、多核系統(tǒng)和可用性等方面，有助于設(shè)計(jì) 出可靠的系統(tǒng)，并根據(jù)用例很好地評(píng)估并組合各個(gè)系統(tǒng)方面。汽車供應(yīng)鏈的所有相關(guān)方應(yīng)培養(yǎng)一個(gè)核心能力：系統(tǒng)工程，從而形成對(duì)物理、電子和軟件的跨學(xué)科認(rèn)知和理解。未來，（軟件）開發(fā)人員必須更好地理解系統(tǒng)，這樣才能用合適的工具和關(guān)聯(lián)代碼生成工具進(jìn)行系統(tǒng)建模。經(jīng)典軟件開發(fā)側(cè)重于工具、代碼生成工具和標(biāo)準(zhǔn)功能的開發(fā)，以及作為可重用產(chǎn)品出售的標(biāo)準(zhǔn)功能。集成軟件仍將需要能夠理解、分析和修復(fù)各層級(jí)（無論是深度嵌入還是面向服務(wù)的行為）錯(cuò)誤的專家。未來幾年，汽車市場將出現(xiàn)新的汽車制造商和供應(yīng)商。特別是