自动驾驶2/3级车辆架构

由于汽车行业的三个最重要的未来问题：自动驾驶、无线软件更新和驱动系统电气化，对汽车系统设计和软件开发的要求越来越高。

车辆中当前的电气/电子 （E/E） 架构为每个控制单元集成了一个或几个车辆功能。这分别增加了控制单元和分布式软件功能的数量以及连接的复杂性。在这种情况下，E/E 架构必须执行越来越多的驾驶员辅助功能。软件复杂度的估计假设当前高级车辆中的 100 多个控制单元包含超过 1 亿行代码。

目前，单个或密切相关的功能均在单独的控制单元上实现。适用于汽车应用的高性能片上系统 （SoC）（例如，瑞萨电子的 R-Car H3、NXP BlueBox 或 NVIDIA DRIVE PX）的可用性以及减轻重量的必要性（例如，通过减少控制单元或布线） 导致希望在域控制器（例如负责车身、底盘或发动机）或更少的中央计算机上集成多种功能。

这种范式转变极大地改变了车辆的 E/E 架构。它涉及引入面向服务的通信和动态操作系统，而后者又必须满足实时、功能安全和安保的要求。此外，动态控制单元的使用允许添加车辆启动时不可用的功能。

未来的E/E架构

E/E 架构核心是一台或几台中央计算机，它们通过车辆内部的以太网骨干网进行通信。车辆的关键元素是网关：它将用户界面域（信息娱乐系统/智能手机连接）与驱动域（驱动系统、制动器、电池管理）分开，并使用一个 so 将车辆连接到 OEM 的后端系统。 - 称为智能天线。智能天线和网关的主要任务是实现防火墙和入侵检测等不同的安全层。此外，该架构将使用控制单元之间的安全车载通信机制。

与后端系统的连接启用了许多新功能。例如，可以为车辆提供环境数据，例如道路状况、免费停车位或车辆制造商的最新报价。这些在线服务和启用功能（例如，驾驶员辅助系统）的选项使汽车制造商有机会在汽车销售时间之后产生收入，即，即使在使用时也是如此。

与车辆的永久在线连接允许 OEM 收集用户数据，从而获得有关所用组件的可靠性和磨损的更多信息。可以通过诊断界面检测硬件和软件的错误来源以及相关的环境数据，可以在制造商处改进软件，并且可以及时将更新下载到汽车——类似于用户已经习惯的智能手机应用程序更新这些年来。

一台中央计算机

自动驾驶或高度自动驾驶要求车辆了解周围环境。环境模型是通过所谓的传感器融合建立的。它将摄像头、雷达、光探测和测距 （LiDAR） 以及超声波数据组合到一个模型中。需要这些不同的传感器技术，因为某些系统具有可以通过其他技术进行补偿的弱点。例如，与雷达不同，相机系统在被太阳遮住时可能无法检测到明亮的物体。

未来，这些复杂的计算将由车辆中的中央计算机进行。所使用的处理器将是异构多核处理器，可能具有多个内核、GPU 和千兆以太网通道。对于合理性检查、监控和结果验证等安全关键功能，额外的安全内核将集成到芯片上，或者第二个处理器将集成到板上。借助 ARM Cortex A50/A57、瑞萨电子的 R-Car H3、Cortex R7 和英飞凌 Aurix，此类系统已经存在。

与这些复杂的多核系统相比，许多控制单元在十年前还是 16 位单核系统。对于供应商而言，这种技术飞跃意味着在软件领域建立能力的艰巨任务。软件过去只是一个成本因素，它是制动器的一部分，包括一个控制单元。未来，软件功能才是真正的价值所在。这将破坏现有的供应链并启用新的商业模式。谁将从这一发展中受益？可能是早期使用集成工具链进行系统设计、时间建模、代码生成和验证以及验证以管理日益增加的软件复杂性和成本的制造商。

目前，大多数控制单元使用根据 AUTOSAR 或 OSEK 标准实施的静态配置操作系统。在配置期间，这些系统定义了在运行期间只能在有限范围内更改的调度和资源利用。静态配置的优点是更容易验证函数是否在某个时间跨度内执行。例如，在侧面安全气囊的情况下，必须在几毫秒内做出决定，并且必须展开安全气囊。

【图2 | 自适应 AUTOSAR，包括经典 AUTOSAR 软件组件的集成］

对于具有更复杂的多核处理器和不同外部交互器（软件更新、用户输入）的时间要求不高的系统，动态操作系统有其优势。最重要的应用场景有：

在运行时支持重新配置

面向服务的服务和通信

部分软件更新

通过使用 POSIX 接口而不是静态生成来简化软件开发

基于 XML 的接口描述

在这种情况下，AUTOSAR 联盟引入了自适应 AUTOSAR（参见图 2）。它包括一个 POSIX 操作系统，如果要并行集成多个操作系统，它可以直接在多核处理器上运行，也可以在管理程序环境中运行。不同 OEM 和供应商的 Adaptive AUTOSAR 工作组定义了用于汽车应用的特殊服务，例如诊断服务、安全服务和 SOME/IP。服务和软件组件（功能）通过共享服务代理进行通信。使用的中间件协议称为 ARA，并受到 Common API 的启发。

以太网和 TSN 作为中介

大多数控制单元通过以太网与传感器和执行器通信。时间敏感网络 （TSN） 是音频视频桥接 （AVB） 协议的扩展，用于实现安全关键的可靠通信。TSN 标准专为安全和实时关键系统开发，例如高级驾驶辅助系统 （ADAS） 和自动驾驶。此外，以太网还用于将信息娱乐系统连接到互联网和汽车制造商的后端系统。

FlexRay 是这种技术变革的失败者。现场总线系统现在只有少数 OEM 使用，应该很快就会被替换。CAN 和具有灵活数据速率 （CAN FD） 的 CAN 仍将用于连接传感器和执行器或更小的输入/输出 （IO） 控制单元。

IO 设备和中央计算机通过 BMW 集团在 2011 年指定的面向服务的接口进行通信——可扩展的面向服务的 IP 中间件，缩写为 SOME/IP。它基于以太网和 TCP/IP 协议族。基本方面是 SOME/IP 自动将定义的应用程序接口映射到数据包。SOME/IP 的优势在于它甚至可以集成到小型设备中，并能够快速启动整个系统。

功能架构

除了上面提到的基础设施问题（主要由 AUTOSAR 联盟指定并在 Elektrobit 的 AUTOSAR 产品线 EB tresos 中实现）之外，对功能块之间具有定义接口的功能架构的需求变得越来越明确。通用标准化接口的优点是可以交换某些块，并且可以选择购买或提供它们作为产品。

图 3 展示了 Elektrobit 的“open robinos”项目的架构。左侧显示了用于车辆定位和对象融合的组件，将各种传感器检测到的对象组合成一个整体图像。然后根据当前驾驶情况确定轨迹规划、加速度和转向角。

【图 3：Elektrobit 的“open robinos”架构】

该项目的目标是开发一个定义软件组件、接口和控制机制的开放参考架构。该规范可在 Elektrobit 网站上免费获取，该项目对 OEM、供应商和合作伙伴开放。这种方法对市场来说是新的；然而，它的目标是集成到不同的 ADAS 平台中。在这种情况下，该平台是具有不同操作系统的不同硬件产品的一部分，例如市场上可用的自适应 AUTOSAR、QNX 或类 Unix 操作系统。

基础设施是一个挑战

车辆移动的基础设施是自动驾驶汽车的主要技术挑战。目前，车辆配备了尽可能多的传感器，以便它们在无数不同的交通情况下自主找到自己的道路。与在受外部控制的保护区内移动的火车和飞机相比，这种方法既昂贵又复杂。例如，高度和路线由空中交通管制服务指示，当列车进入不开放的区域时会自动停止。

但是，不能在所有道路和骑自行车的人周围设置栅栏。但是道路基础设施的修改告诉汽车，例如在入口/出口坡道上，它是在高速公路上而不是在几米外的平行乡村道路上，这将简化位置检测问题。另一个例子是远程控制车辆并将其引导至可用停车位的停车结构。这个概念比那些寻找免费停车位、自动在停车结构中漫游的车辆更简单。

这些用例的先决条件是在全国范围内快速部署移动数据网络 （5G），以便与后端和基础设施进行数据交换，以及让道路基础设施迅速适应自动驾驶的选项。

哪个发展进程正在出现？

在这些高度复杂的整体系统中，如何同时满足对功能安全和信息安全的要求——尤其是在车辆连接性不断提高的方面——信息安全？为满足汽车软件开发的高质量标准，Automotive SPICE 流程模型已在整个行业中建立起来。它构成了安全和保障的基础。

ISO 26262 标准定义了如何在过程级别和方法级别的系统开发中实现功能安全方面。对于软件架构，功能安全是一个关键因素。监控系统完整性、分区、时间和过程监控或安全通信等基本完整性机制已经可用，并且已经在系列项目中使用。

很长一段时间以来，安全机制一直与汽车开发相关。诸如防盗锁、安全电子钥匙或里程表的安全存储等系统通常已经是标准功能。然而，由于车辆的互联性不断提高，该行业面临着新的挑战。根据信息技术的基本规律，“凡是连接的，就会受到攻击”，安全和隐私等系统方面在汽车行业也越来越重要。

对使用远程访问或 Internet 的系统的第一次成功攻击已经公开，并引起了广泛的反响。作为回应，SAE International 在 2016 年初发布了一份安全系统开发手册（SAE J3061，“Cybersecurity Guidebook for Cyber-Physical Systems”）。它描述了过程和方法，并在生命周期方面遵循 ISO 26262。该文件不是标准。但是，它总结了研究计划或现有标准和出版物等基本工作。因此，它是一项宝贵的贡献，可以作为引入安全流程和方法的切入点。

结论

对自动驾驶架构的要求变得更加复杂。然而，通过结合标准架构、功能安全、安全、多核系统和可用性等方面，可以设计可靠的系统，并根据用例理想地评估和组合各个系统方面。

所有参与汽车供应链的人都需要培养一种核心能力：系统工程，因此对物理、电子和软件的跨学科理解。

将来，（软件）开发人员必须对系统有更好的理解，以便在具有链接代码生成器的适当工具中对系统行为进行建模。经典软件开发侧重于作为可重用产品购买的工具、代码生成器和标准功能的开发。集成该软件仍然需要能够理解、分析和修复从深度嵌入到面向服务的行为的各个级别的错误的专家。

未来几年，汽车市场上将出现新的汽车制造商和供应商。特别是 IT 公司多年来一直在其他领域使用这些技术，并遵循将汽车作为轮子上的智能手机运行的愿景。其原因是自动驾驶为车辆乘员提供了更多的时间。例如，这段时间可以用于使用社交网络、进行在线购物或工作。将“驾驶时间”转换为“互联网使用时间”会产生全新的商业模式。

原始设备制造商的商业案例也将越来越多地不仅取决于销售，还取决于车辆的运行。正在讨论的想法包括新颖的租赁和租赁概念，其主题不再是作为产品的汽车，而是作为服务的移动性。将来，带您上班的自动运输胶囊的租金可能会根据一天中的时间而有所不同。

审核编辑：郭婷