當(dāng)前車輛日益復(fù)雜，車聯(lián)網(wǎng)功能在各個細(xì)分領(lǐng)域都在不斷增加，而更強大的智能功能也逐步增加。

所有這些高級功能都依賴于線束和控制器才能發(fā)揮作用。然而面對日益增加的車輛復(fù)雜性和產(chǎn)品開發(fā)周期縮短的壓力，導(dǎo)致汽車制造商和系統(tǒng)集成商的成本和時間壓力增加。

因此汽車制造商紛紛革新現(xiàn)有的的電子電氣架構(gòu)，像國內(nèi)小鵬的X-EEA3.0中央計算平臺+區(qū)域控制架構(gòu)、廣汽埃安的中央計算平臺架構(gòu)——星靈架構(gòu)、長城的計算平臺架構(gòu)GEEP3.0等（如圖1所示）。

意在降低電子電氣架構(gòu)的復(fù)雜性，對軟硬件進行解耦，以及為后續(xù)高級的功能落地提供基礎(chǔ)，如圖2所示。

圖1 上汽、廣汽、長城的中央計算平臺架構(gòu)（來源網(wǎng)絡(luò)）

圖2 分布式架構(gòu)與中央架構(gòu)優(yōu)缺點對比（來源九章智駕）

在設(shè)計電子電氣架構(gòu)的過程中，一個關(guān)鍵的任務(wù)是基于整車需求分解出電氣/電子需求。整車需求包括機械、電氣/電子、軟件、熱學(xué)等。工程師需要從中提取電氣/電子方面需求，并且對其進行分解然后協(xié)調(diào)各下游部門進行開發(fā)設(shè)計。在整個過程中，涉及電子電氣架構(gòu)的定義、設(shè)計和交付的各種工程師必須平衡相互依賴的需求。下面從以下這些方面來聊一聊電子電氣架構(gòu)設(shè)計。

1

網(wǎng)絡(luò)拓?fù)?/p>

在定義拓?fù)鋾r，首先是需要各控制器的接口人負(fù)責(zé)整理出功能清單，然后同一個域的會組織會議討論功能分配優(yōu)化，網(wǎng)絡(luò)連接等，例如：

1.升級 ECU 以在一個或多個連接上支持更高波特率的網(wǎng)絡(luò)；

2.將二級網(wǎng)絡(luò)中控制器的功能移至域控制器，以支持更高級的功能實現(xiàn)；

同時不同域之間也會開會討論功能分配優(yōu)化，看是否需要將功能劃到其他域中去。

從分布式架構(gòu)到域控制器架構(gòu)的過渡相對容易，這種升級通常僅是將部分分散于不同控制器的功能整合到一個控制器中（圖3）。這些通常在功能域內(nèi)進行轉(zhuǎn)移，并進行適度更新以使其適應(yīng)新車型。再下一階段是將域控制器重組為更通用的計算單元，將大部分功能集中至通用計算單元，而二級或者三級網(wǎng)絡(luò)中的控制器僅作為執(zhí)行器。區(qū)域控制器是根據(jù)車輛的物理布局將其余功能整合在一起。區(qū)域控制器的實施通常需要對軟件和供應(yīng)商交互進行很大的更改，這對汽車制造商和供應(yīng)商都是一個很大的挑戰(zhàn)。

圖3 網(wǎng)絡(luò)架構(gòu)升級示意圖

2

功能安全

在設(shè)計電子電氣架構(gòu)時，ISO26262功能安全要求是必須的，分析首先是從整車層面進行功能安全分析，然后再分解到各個域，以及各控制器，如圖4所示。

圖4 動力域功能安全示例 針對從整車層面提出的功能安全需求，其可以通過多種方式來滿足整個系統(tǒng)的功能安全。其一承載車輛功能的硬件和軟件平臺被開發(fā)到特定的完整性級別以支持功能安全。另外是在系統(tǒng)中添加冗余部件。與其增強一個傳感器系統(tǒng)來支持 ASIL D 功能，不如使用兩個 ASIL B傳感器將傳感器數(shù)據(jù)傳遞給 ASIL D 功能?？紤]故障功能行為的需求也在增加，特別是在更高級別的 ADAS 功能 （L3+） 中，這會導(dǎo)致更廣泛的系統(tǒng)級考慮，例如圍繞電力網(wǎng)絡(luò)、通信、處理器、傳感器等，這些額外的冗余層可能包括技術(shù)冗余，如圖5所示。

圖5 傳感器冗余示意圖

3

網(wǎng)絡(luò)安全

雖然功能安全與系統(tǒng)可靠性有關(guān)，但網(wǎng)絡(luò)安全必須考慮對車輛系統(tǒng)的惡意攻擊?，F(xiàn)代汽車存在多個潛在攻擊面，例如集成的Wi-Fi、蜂窩網(wǎng)絡(luò)、藍(lán)牙、車載診斷（OBD）、USB及其他連接點都可以提供進入車輛通信系統(tǒng)的潛在路徑。甚至網(wǎng)絡(luò)總線電路也被作為入口點訪問。

網(wǎng)絡(luò)安全是通過分層方法實現(xiàn)的，在架構(gòu)中的關(guān)鍵點加入安全機制，包括ECU內(nèi)部和周圍的硬件保護，基于軟件的車內(nèi)保護，車內(nèi)車外的網(wǎng)絡(luò)監(jiān)控，以及安全云服務(wù)。從而構(gòu)建安全可靠的電子電氣架構(gòu)，如圖6所示。具體的措施包括分域隔離、引入硬件安全模塊（HSM）、防火墻、入侵檢測/防御系統(tǒng)（IDS /IPS）等，詳細(xì)介紹可以查閱文章（汽車E/E架構(gòu)的網(wǎng)絡(luò)安全分析）。

圖6 網(wǎng)絡(luò)安全機制

4

電源模式

車輛通常具有多種電源模式和喚醒狀態(tài)。帶有傳統(tǒng)鑰匙的車輛通常在點火開關(guān)上有四個位置，轉(zhuǎn)換為 4-6 種動力模式，從關(guān)閉和鎖定到啟動（如圖7所示），就喚醒源而言，有插槍充電喚醒、鑰匙喚醒、開車門喚醒、遠(yuǎn)程喚醒、診斷喚醒等等。對于電子電氣架構(gòu)設(shè)計而言，需要考慮不同電源模式或者喚醒源的情況下，應(yīng)該喚醒哪些控制器，這里應(yīng)該是最小化原則。比如在充電的場景下，僅需整車控制器、電池管理系統(tǒng)、DCDC、水泵控制器等處于工作狀態(tài)，而像電機控制器就無需喚醒了，這樣一來可以分區(qū)管理，減少電耗，另外也可以延長控制器的使用時間。

圖7 不同電源模式下，不同域的工作情況

5

處理器和網(wǎng)絡(luò)負(fù)載

另一個重要的架構(gòu)考慮因素是每個控制器的處理器、網(wǎng)絡(luò)總線以及網(wǎng)關(guān)的負(fù)載情況。首先說一下控制器處理器負(fù)載，這里主要當(dāng)把功能分配給特定的控制器時，需要考慮這些控制器的處理器是否能夠支撐功能的實現(xiàn)，通常功能安全的要求是處理器的最高負(fù)載是70~80%左右，假設(shè)100s，也就是說處理器有70~80s是在工作的，其余20~30s是空閑的。這樣功能不會因為負(fù)載過高導(dǎo)致某些低優(yōu)先級功能卡死，無法執(zhí)行的情況。

另外網(wǎng)絡(luò)總線負(fù)載也是重要的一方面，隨著功能的逐步增加，總線上交互信號也會增加，這樣會導(dǎo)致總線負(fù)載逐漸增加，在當(dāng)前的架構(gòu)中，很多局域的CAN總線負(fù)載都很高（CAN總線負(fù)載通常任務(wù)是不能大于30%），必須對總線進行升級，比如從CAN升級到CANFD，或者通過功能整合，減少交互，或者分割網(wǎng)絡(luò)等。

6

復(fù)用

車輛特性、功能和系統(tǒng)的可重用性現(xiàn)在至關(guān)重要。電子電氣架構(gòu)的優(yōu)化和有效的系統(tǒng)設(shè)計對于最大限度地提高可重用性、減少車輛變體的數(shù)量以及提高按時交付車輛的能力至關(guān)重要。

在開發(fā)新的或改款車型時，控制器的重復(fù)使用受到限制，一部分約束是固定的，比如傳統(tǒng)上，來自一級供應(yīng)商的控制器增加功能的范圍有限，除非供應(yīng)商簽訂了開發(fā)此類功能的合同。因此汽車制造商在開發(fā)控制器、軟件模型甚至完整軟件方面需要承擔(dān)了更多責(zé)任。當(dāng)前也可以看到大部分汽車制造商在做控制器的應(yīng)用層開發(fā)，底層和硬件交給供應(yīng)商，不過現(xiàn)在也有趨勢汽車制造商擴展到戰(zhàn)略模塊的硬件和芯片設(shè)計。

在電子電氣架構(gòu)設(shè)計時，架構(gòu)師需要基于復(fù)用原則來確定整個生命周期內(nèi)的功能分配。

7

總結(jié)

開發(fā)全新的電子電氣架構(gòu)對汽車制造商來說面臨的挑戰(zhàn)多種多樣。E/E 系統(tǒng)架構(gòu)師在開發(fā)、更新和優(yōu)化車輛架構(gòu)時需要考慮的因素很多，因此有必要借助架構(gòu)設(shè)計工具來根據(jù)工程師定義的一組規(guī)則和指南來規(guī)劃和檢查架構(gòu)，將指標(biāo)可視化。這樣更有利于權(quán)衡拓?fù)渥兓?、功能分配和信號分配等，以便在詳?xì)設(shè)計開始前對電子電氣架構(gòu)架構(gòu)進行早期優(yōu)化。

審核編輯 ：李倩