技術 | 解鎖L2/3級自動駕駛的汽車架構

駕駛哥

2021年8月30日 09:28

來源 | Elektrobit

汽車系統設計和軟件開發的要求越來越高，這主要歸因于未來汽車行業的三大問題：自動駕駛、在線(OTA)軟件更新，以及驅動系統電氣化。

當前車載E/E（電子/電氣）架構的每個控制單元都會集成一項或幾項汽車功能。這樣就增加了控制單元和分布式軟件功能的數量，以及它們之間交互的復雜度。在此情況下，E/E架構必須執行越來越多的駕駛員輔助功能。軟件復雜性預測假定現在的豪華車型有100多個控制單元，其中包含1億行以上的代碼。

目前，單個或密切相關的功能是在單獨控制單元上實現。適合車載應用運行的更高性能的芯片系統（SoC，如Renesas R-Car H3、NXP BlueBox或NVIDIA DRIVE PX）的出現，以及通過減少控制單元或線束來減輕車身重量的必要性便催生了這樣的需求：將多個功能集成在一個域控制器（例如負責車身、底盤或發動機）或者甚至更少的中央計算機上。

這種模式轉變極大地改變了汽車E/E架構，包括引入面向服務的通信和動態操作系統，而這又必須滿足實時、功能安全和信息安全的要求。此外，使用動態控制單元可支持添加汽車上市時并不具備的功能。

下文探討了用于未來E/E架構的不同技術，并介紹了相關變化、風險和新機會。

未來的E/E架構

圖1顯示未來可能的一種E/E架構。核心是通過車內以太網主干網進行通信的一個或幾個中央計算機。汽車的關鍵要素是網關：將用戶接口域（信息娛樂系統/智能手機連接）與動力域（駕駛系統、制動、電池管理）分離，使用所謂的智能天線將汽車連接到整車廠的后端系統。智能天線和網關的主要任務是實現不同的安全層，如防火墻和入侵檢測。此外，該架構使用板載安全機制用于控制器之間的通信。

與后臺系統的互聯使很多新功能的更新成為可能。例如，可以為汽車提供諸如道路狀況這樣的環境數據，可用停車位或汽車制造商的最新產品。這些在線服務和可選擇的功能激活（如駕駛員輔助系統）可讓汽車制造商在汽車生命周期內不斷獲取收益。

汽車永久在線連接支持整車廠收集用戶數據，從而獲得關于所用組件可靠性和使用情況的更多信息。可以通過診斷接口檢測硬件和軟件錯誤來源及產生錯誤時的環境信息，從而使軟件可在制造商端改進并快速更新下載到車輛端——類似于多年以來用戶已經習慣的智能手機的App更新。

圖 1：未來的汽車E/E架構

中央計算機

自動或高度自動駕駛要求汽車能感知周圍的環境。環境模型通過傳感器融合創建，它將攝像頭、雷達、LiDAR（激光雷達）和超聲波數據整合在同一個模型中。因為單一傳感器系統都有各自的技術弱點，需要整合這些不同的傳感器技術來補償單一傳感器系統技術的不足。例如，與雷達不同，攝像頭系統在陽光下會致盲，導致無法檢測明亮的物體。

未來將由車內的中央計算機來執行這些復雜計算。中央計算機將使用異構多核的處理器，可能同時具有多個內核、GPU和千兆以太網通道。針對合理性檢查、監控和結果驗證等與功能安全有關的關鍵功能，將把更多安全內核集成在芯片上，或者將另一個具有安全內核的處理器集成在主板上。諸如ARM Cortex A50/A57、Renesas R-Car H3、Cortex R7和Infineon Aurix，此類已經存在于市面上的系統。

與這些復雜的多核系統不同，許多控制單元是十年前才推出的16位單核系統。對于供應商而言，這種技術飛躍意味著他們迫切需要培養軟件方面的能力。過去，軟件曾經只是制動部件（包括一個控制單元）的成本因素。未來，軟件功能將具有真正的價值。這將打破現有供應鏈，實現新的業務模式。誰將從這項發展中獲益？可能是預先將集成工具鏈用于系統設計、時間建模、代碼生成和檢驗以及驗證，從而應對不斷增加的軟件復雜程度和成本的制造商。

現在，大多數控制單元使用按照AUTOSAR或OSEK標準實施的靜態配置的操作系統。配置時，這些系統定義的調度和資源利用配置在系統運行時只能進行有限的擴展。這種靜態配置的系統優勢在于更容易驗證某項功能是否在特定時間跨度內執行。例如，對于側面安全氣囊，系統必須能在幾毫秒內完成展開安全氣囊的決定。

對于采用更復雜的多核處理器和不同外部交互（軟件更新、用戶輸入），這類時間要求不太嚴格的系統來說，動態操作系統更具有一定的優勢。這類系統最重要的應用場景包括：

支持運行時的重新配置
面向服務的服務和通信
部分軟件更新
用POSIX接口代替靜態生成的基于XML的接口描述，簡化軟件開發過程

在這種情況下，AUTOSAR聯盟推出了Adaptive AUTOSAR（參見圖2），它包括一個POSIX操作系統，可直接在多核處理器上運行，或者在一個需要并行集成多個操作系統的Hypervisor環境中運行。來自不同整車廠和供應商的Adaptive AUTOSAR工作組定義了用于車載應用的特別服務，如診斷服務、安全服務和SOME/IP。服務和軟件組件（功能模塊）通過共享服務代理進行通信。使用的中間件協議稱為ARA，其靈感來源于Common API。

圖 2：自適應AUTOSAR，包括經典AUTOSAR軟件組件集成

以太網和作為中介的TSN

大多數控制單元通過以太網與傳感器和執行機構通信。通過基于音頻視頻橋接（AVB）協議擴展的時間敏感網絡（TSN），用于實現安全性第一的可靠通信。TSN標準專為對安全和實時性有嚴格要求的系統開發，如ADAS（高級駕駛員輔助系統）和自動駕駛。此外，以太網可用于將信息娛樂系統連接到互聯網和汽車制造商的后端系統。

FlexRay是這場技術變革的失敗者。現在只有少數幾家整車廠采用現場總線系統，并且很快就將被取代。CAN和CAN FD（具有靈活數據傳輸速率的CAN）仍將繼續用于連接傳感器和執行機構或小型的IO（輸入/輸出）控制單元。

IO設備和中央計算機通過由BMW集團在2011年提出的面向服務的通信接口進行通信：“scalable service-oriented middleware over IP”，縮寫為SOME/IP。它基于Ethernet和TCP/IP協議系列。其關鍵點在于SOME/IP可以將已定義的應用接口自動映射到數據包。SOME/IP的優勢在于它甚至可以集成到小型設備中，并實現快速啟動整個系統。

功能架構

除了上面介紹的主要由AUTOSAR聯盟提出，并在Elektrobit的AUTOSAR產品系列EB tresos中已經實施的基礎軟件需求之外，行業對功能模塊之間采用已定義接口的功能架構的需求也越來越明確。通用標準化接口的優勢在于可以靈活地替換某些模塊，可以將其作為產品進行購買或出售。

圖3顯示Elektrobit的EB robinos產品的架構。左側顯示包括用于車輛定位和目標物融合的軟件模塊，將不同傳感器系統檢測到的目標物融合到一個完整的駕駛環境視圖中。然后根據當前的駕駛環境進行軌跡規劃，進而完成對車輛加減速及轉向的控制。

圖 3：Elektrobit的EB robinos架構

項目的目標是開發一種開放參考架構，定義軟件組件、接口和控制機制。Elektrobit網站免費提供架構規范，項目針對OEM、供應商和合作伙伴開放。此方法目標是可以將此架構集成到不同的高級駕駛員輔助系統平臺中。在這個情況下，平臺可以是集成了市面上已有的不同操作系統，如自適應AUTOSAR、QNX或類Unix操作系統的不同硬件產品的一部分。

基礎設施即挑戰

汽車移動依靠的基礎設施是自動駕駛汽車面臨的主要技術挑戰。目前汽車配備了盡可能多的傳感器，以便它們能夠在無數的不同交通場景中自動找到路線。與在外部可控的受保護區域內移動的火車和飛機相比，這種方法顯然成本高昂而且極為復雜。例如，飛機飛行的海拔和路線是由空中交通管制服務指引，火車在進入未開放區域時會自動停止。

然而，人們無法在所有路面周圍設立柵欄和攔截自行車。但是，路面基礎設施的變化，比如汽車行駛至閘道的入口或出口處，可以知道汽車正行駛在高速公路上而非行駛在與高速公路距離幾米之外的平行鄉村道路上，這樣可以簡化位置檢測的問題。另一個例子是停車設施，它可以遠程控制汽車并將其引導到可用的停車位。這種概念比尋找免費停車位，在停車設施自動巡航的汽車更簡單。

此類用例的前提條件是在全國范圍內鋪設高速移動數據網絡(5G)，以促進與后端和基礎設施交換數據，以及人們能夠為自動駕駛而調整路面基礎設施。

有哪些新興的開發流程？

如何在高度復雜的整體系統中滿足對功能安全（尤其是在汽車連接性日益增長的情況下）以及信息安全的要求？為了滿足汽車軟件開發的高質量標準，行業制定了Automotive SPICE流程模型，它構成了功能安全和信息安全的基礎。

ISO 26262標準定義了在系統開發過程中，如何在流程層面和方法層面確保功能安全。對于軟件架構而言，功能安全是一個關鍵因素。現在已有用于監測系統完整性、分區、時間和流程監測或者安全通信等方面的基本集成機制，并且已經應用于多個系列項目。

信息安全機制將長期在汽車開發中占據重要的一席之地。防盜報警器、安全電子鑰匙或里程表安全存儲等系統已經成為標準功能。但是，隨著汽車連接性的增加，行業正面臨新的挑戰。根據信息技術的基本定律，“哪里有聯網，哪里就會有攻擊”，汽車行業中系統的信息安全和隱私方面的重要性也在與日俱增。

第一次利用遠程訪問或互聯網成功攻擊系統的事件被公眾知曉，并且產生了廣泛的反響。為應對這種攻擊，SAE International于2016年初發布了安全系統開發手冊（SAE J3061，“Cybersecurity Guidebook for Cyber-Physical Systems”）。該手冊介紹了相關流程和方法并遵循了ISO 26262對汽車產品生命周期的規定。該文件并非標準，但它總結了重要的舉措，如研究計劃或現有的標準和出版物。因此該文件很有價值，可以作為了解信息安全流程和方法的入門指南。

總結

自動駕駛架構的要求的復雜度顯著提升。但是，結合標準架構、功能安全、信息安全、多核系統和可用性等方面，有助于設計出可靠的系統，并根據用例很好地評估并組合各個系統方面。

汽車供應鏈的所有相關方應培養一個核心能力：系統工程，從而形成對物理、電子和軟件的跨學科認知和理解。

未來，（軟件）開發人員必須更好地理解系統，這樣才能用合適的工具和關聯代碼生成工具進行系統建模。經典軟件開發側重于工具、代碼生成工具和標準功能的開發，以及作為可重用產品出售的標準功能。集成軟件仍將需要能夠理解、分析和修復各層級（無論是深度嵌入還是面向服務的行為）錯誤的專家。

未來幾年，汽車市場將出現新的汽車制造商和供應商。特別是IT公司，它們已在其他領域多年運用這些技術，其愿景是讓汽車像安裝了車輪的智能手機一樣運行。理由是自動駕駛可以讓汽車用戶獲得更多時間，這些時間可以用于社交網絡、在線購物或者辦公等。將“駕駛時間”轉化為“互聯網使用時間”，產生了全新的業務模式。

整車廠的業務案例不僅將由銷售汽車決定，還將越來越傾向于由汽車的運行情況決定。新的租賃概念就是行業熱議的創意之一，其主體不再是將汽車作為產品，而是將駕駛出行作為服務。未來，帶您去上班的自動駕駛艙的租賃價格可能要取決于一天之中的不同時間。

作者：Rudolf Grave，在漢堡工業大學學習電氣工程，他從2005年開始在Elektrobit工作，負責AUTOSAR項目。他的研究重點是多核和功能安全。

登錄后免費查看全文

立即登錄