智能汽车架构SVA学习笔记(8) | 芯片厂商视角

汽车安全 2年前 (2022) admin
518 0 0
智能汽车架构SVA学习笔记(8) | 芯片厂商视角
作者 | 东晓一家@知乎
备注 | 点击”阅读原文”阅读更多东晓一家的文章
知圈 进“滑板底盘群”请加微yanzhi-6,备注底盘

无论大国博弈还是企业战略,芯片产业的相关咨询对智能汽车产业的影响可谓是日益彰显,汽车缺芯甚至导致整个供应链的断裂。那么在“软件定义汽车”的发展趋势中,芯片厂商又是怎么看领域架构(Zone Architecture)的呢?找了一篇德州仪器(英语:Texas Instruments, TI)的分析文章《区域架构如何为完全的软件定义汽车铺平道路(How a Zone Architecture Paves the Way to a Fully Software -Defined Vehicle)》。

个人翻译如下,有助于我们了解从芯片厂商的视角是如何看待 “软件定义汽车”的,从芯片的角度看,在设计和制造方面又有哪些值得关注的地方。



区域架构如何为完全的软件定义车辆铺平道路

原文链接:
https://www.ti.com/lit/wp/spry345/spry345.pdf
概览

本文着眼于软件定义汽车的转型,以及向区域电子/电气(E/E)架构移动如何解决电力分配、传感器和执行器以及数据通信的挑战。
  1. 克服E/E架构挑战:探索新的区域架构对汽车配电的影响。
  2. 电源分配的挑战和解决方案:了解物理和逻辑IO功能的分离以及对传感器和执行器的影响。
  3. 电源分配去中心化:了解所需数据类型的混合以及它们的共存,同时维护通信安全。

介绍

在过去的几十年里,电子在汽车系统创新中发挥了关键作用。新型半导体器件具有新颖的功能,增强了车辆机械系统提供的功能。

虽然半导体解决方案和电子产品将继续在汽车电子产品中发挥关键作用,但展望未来,汽车创新将更多地以软件的创新和整合为特征。软件架构的这种变化反过来将通过相关硬件和半导体解决方案的开发实现。

克服E/E架构的挑战

当今的E/E架构主要采用域架构,将电子控制单元(ECU)组织起来,并将它们连接到特定的领域,如动力系统领域。相比之下,区域架构根据它们在车内的地理位置或区域对许多(如果不是全部的话)域功能进行分组。

图1说明了对车辆功能进行分组的域和区域方法,而图2显示了区域体系结构的更详细视图,其中包括图中称为vehicle compute的中心计算节点。图1说明了对车辆功能进行分组的域和区域方法,而图2显示了区域体系结构的更详细视图,其中包括一个名为vehicle compute的中心计算节点。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图1:领域与区域架构

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图2:汽车中典型的区域架构,包括传感器、执行器、区域模块和中央计算节点

这种从域到区域架构的转换将有助于传感器和执行器独立于中央车辆计算节点。换句话说,硬件和软件的更新周期可以不同,传感器和执行器的设计可以持续更多的车辆设计周期。此外,区域架构将减少ECU的数量和电缆长度,简化车辆架构和相关系统验证工作。

区域架构给了OEM更多的控制,从高级软件维护和无线更新;无线固件(FOTA)更新和永远在线的云连接,以启用新功能,并改善自动驾驶等功能。这也将允许OEM转向基于服务的软件结构,例如将实时控制循环转移到区域模块。此外,区域模块可以实现更优化的电源分配拓扑,包括关闭未使用的模块,这在纯电动汽车和混合动力汽车中特别有优势。

尽管区域架构具有巨大的改进潜力,但在电力分配、传感器和执行器以及数据平面拓扑等领域仍存在挑战。使用位于分区模块中的智能保险丝,电力分配将从集中式过渡到分散式实现。传感器和执行器将变得智能。一些功能——包括控制回路——将转移到区域模块,以允许增加服务与基于信号的通信。最后,数据通信将在高速网络上进行,使用新的物理层(PHYs)传输各种数据类型。

电力分配的挑战和解决方案

电池必须为大部分ECU供电,这些ECU分布在整个车辆上。在域架构中,由熔断器和继电器组成的配电箱分配这种功率,如图3所示。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图3:带有熔断器和机械继电器的典型配电箱

配电箱中的熔断器具有不同的时间电流特性(TCC),以支持汽车中不同类型的线束和负载。为了方便更换保险丝,保险盒被放置在车辆可触及的位置。

虽然图3显示配电箱中没有半导体含量,但整车厂正在升级这些含有半导体的配电箱;继电器正在被半导体高侧开关所取代,输入/输出控制线正在被通信接口所取代,如控制器区域网络(CAN)和本地互连网络(LIN)收发器。

使用基于半导体的配电箱的动机是多方面的——增强诊断、故障保护、可复位熔断器、小尺寸设计和线束重量减轻。

随着整车厂实施区域架构,系统设计人员正在重新考虑功率分配的两个额外考虑因素:分散功率分配和用半导体熔断器取代熔断熔断器。

电源分配分散化

区域架构采用区域网关将数据分发给区域内的智能传感器、执行器和ECU,并整合数据,以便与中央计算模块进行通信。这些区域数据网关还可以为该区域中的模块分配电源。例如,如果将单个电源线束从电池路由到区域,则该区域中的区域模块将电源分配给该区域中的模块。图2还说明了这个概念,其中区域模块将电源分配给该区域中的模块。即分区模块包括配电所需的相关熔断器和继电器。

这种电源分配方法的优点是,与集中电源分配所需的线束长度相比,从电池到每个区域的电源线束长度减少。这种减少直接转化为更低的重量和成本。

在分散式配电中,一个挑战是设计在任何区域工作的配电箱,不管该区域的负载,不仅有助于降低设计成本,而且减轻库存管理。包括半导体微控制器(MCU)、高端开关和收发器在内的智能配电箱使使用软件配置硬件成为可能,以匹配该区域的负载。

用半导体熔断器代替熔化熔断器

标准的熔化熔断器在电流大时熔化以中断电流的流动。图4所示的TCC曲线表征了这种熔化行为。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图4:小微熔断器TCC曲线

影响熔断器特性的因素很多,如接触电阻、空气温度和电流瞬态。由于这些因素,系统设计人员根据标称工作电流、工作温度范围、涌流和电流瞬态形状降低了保险丝的标称熔化I2t(安培平方秒)额定值。例如,将保险丝的标称额定电流降额25%可以防止保险丝遭受讨厌的吹烧。

基于保险丝的降额电流的选择意味着线束中的电流将根据保险丝处的温度条件而变化。线束设计师可能不得不选择不那么理想的线束仪表,以便在特定的温度条件下通过保险丝允许的更高电流。

进一步优化线束的一种思路是使用具有I2t特性的半导体高侧开关集成电路(ICs)。典型的高侧开关包括过流保护;即当电流超过一定阈值时,高侧开关要么箝位电流,要么自己打开,从而保护下游线束和负载。通过向高侧开关添加I2t特性,该开关将根据流过的电流(或更具体地说,电流的平方)在不同的时间打开。使用基于i2半导体的高侧开关将减少保险丝特性的变化,从而导致更优化的线束测量,这有助于进一步减轻线束的重量。

智能传感器和执行器的挑战和解决方案

区域E/E架构将显著影响车辆边界(即所谓的边缘)的传感和驱动功能。在域架构中,通常靠近传感器或致动器的专用ECU执行这些功能。新的特性和功能通常会产生新的ECU,每个ECU都有专用的电池电源和网络线缆,进一步增加了线束的复杂性。分区模块的引入可以将多个ECU的逻辑输入/输出(I/O)功能合并到分区模块中,并保持传感器和执行器的位置,从而大大降低线束的复杂性。这导致了物理和逻辑I/O功能的分离,如图5所示,这带来了新的挑战并要求新的解决方案。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图5:将逻辑和物理I/O功能从域架构(a)分离到区域架构(b)

区域模块-新的微控制器要求不同的逻辑I/O功能-包括控制回路-集成在单个区域模块中意味着该模块继承每个I/O功能的单独需求之和,导致这些特定的微控制器(MCU)要求:


  • 高实时性能
  • 大量的程序和数据内存
  • 通过虚拟化支持不同汽车安全完整性级别的功能混合关键度
  • 高速通信接口到骨干网
  • 多个低端通信外设实例(如CAN FD或LIN)与智能传感器和执行器接口

解决这些多样化的需求,MCU必须支持区域模块驱动的需求。与此同时,具有足够实时能力的芯片(soc)上的异构系统(如Jacinto 7(如dra821)或来自德州仪器(TI)的Sitara(如AM2xxx)设备)可以弥补这一差距,直到优化的区域MCU可用。

智能传感器和执行器

逻辑和物理I/O功能的分离会影响传感器和执行器。用于调节传感器信号和驱动驱动器的ic需要增强当地的智能和通信能力。本地智能维护电路的状态,并可能运行后台诊断来检测传感器或执行器故障。集成的通信接口至少应该包括一个协议处理程序,比如一个LIN响应器实现,或者甚至是一个更简单的CAN FD数据链路层。这种集成将使智能IC能够自主控制传感器或执行器,并创建一个成本和尺寸优化的解决方案,可以集成到传感器或执行器外壳,如图6 (a)所示。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图6:驾驶员实施例子:智能驾驶员集成于密闭房屋(a);用于复合驱动器解决方案的小型ECU (b);由区域模块控制的简单驱动器(c)。

对于更复杂的传感器(如雷达卫星)或复合致动器(如带有各种电机的座椅控制单元),基于小型ECU的经典方法可能仍然是最有效的解决方案(见图6 (b))。此外,来自区域模块(见图6 (c))的专用信号线可以直接控制非常简单的传感器或执行器。

根据控制和传感信号的数量、传感器和执行器的复杂性以及安装限制等方面的不同,设计师可以有选择地选择这些解决方案中的任何一种。

数据挑战和解决方案

区域拓扑需要一个新的和更大的重点在网络;因此,高带宽接口,如周边组件互连快速[PCIe]和千兆以太网正在获得势头。正确的物理层(PHY)可以解决带宽需求。
图7是包括高速通信链路的典型分区模块的框图。对于不同的吞吐量需求,以及为区域模块和中央计算、千兆以太网和PCIe之间的通信组合提供带宽,可能是至关重要的。在某些情况下,为长途电缆连接部署PCIe retimer或redriver设备是有利的。对于传感器和执行器之间的区域模块连接,对于更低带宽(因此更便宜)的总线系统(如LIN)的需求可能是相反的。对所有人来说,共同的是提供具有标准化软件控制的标准化总线,以采用完整的基于服务和软件的方法。

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图7:带通信接口的分区模块框图

为了保证所有链路都是面向未来的,网络拓扑应该确保空闲带宽,特别是在区域模块和中央计算之间,以支持软件升级,同时维护现有的和已经验证过的硬件。

数据类型

Future-proof还意味着通向全自动驾驶(最高可达5级)的道路;因此,体系结构应该包括可用性、弹性和安全标准。实现数据通信弹性和结构冗余的一种方法是通过环形拓扑,启用多播协议和数据有效性检查。

在软件方面,对于分布式区域拓扑来说,处理各种不同数据包类型的混合是至关重要的,以容纳从短控制消息到高吞吐量传感器和信息娱乐数据的各种数据。此外,所有这些通信类型在延迟、抖动、同步和错误率要求方面都有所不同。简而言之,它们在服务质量(QoS)需求方面有所不同。

数据的时间敏感性

为了适应不同的延迟或QoS要求,基于以太网的时间敏感网络(TSN)是一个很好的选择,但这种部署需要大量的微调;旧的MCU和处理器甚至可能无法在硬件上完全支持这一点。PHY ic级别或开关支持可以帮助,特别是考虑到时间同步。在许多情况下,将多个以太网端口集成在一个SoC中可以大大节省板上空间和成本。

在音频方面,许多信息娱乐架构已经使用了音频视频桥连(AVB),因此,同步非常重要(参见TI E2E™技术文章“使用时钟生成器优化汽车应用的eAVB”)。AVB网络已经被很好地证明了,但是当部署在域架构中时,它们与许多并发问题无关。随着转移到区域体系结构(它结合了所有类型的数据流量),新的TSN特性变得越来越重要。表1列出了电气和电子工程师协会(IEEE)的一些TSN标准,这些标准可能与区域架构实现相关。有关更多信息,请参阅白皮书“工业自动化的时敏网络”。

标准 别名 描述
IEEE 802.1AS 时间与同步 提供二级时间同步
IEEE 802.1Qbv 时间感知整形器(现在为计划流量的增强)轮流 运行网桥的8端口输出队列。阻塞所有端口,除了一个基于时间计划的端口,以防止在计划传输期间的延迟。
IEEE 802.3br 快速传输中断普通帧的传输 传输一个“快速”帧,然后恢复普通帧的传输。
IEEE 802.1Qbu 帧抢占 通过改进非时间关键帧的中断,实现时间关键帧的吞吐量。
IEEE 802.1CB 冗余 消息在不相交的路径上并行复制和通信;在接收端删除冗余的副本。
IEEE 802.1Qch 循环排队转发 按照报文的流量分类收集报文,在一个循环内转发。提供一种使用TSN的简单方法,如果控制时间是优先级,但减少延迟并不重要(可由IEEE 802.1AS和IEEE 802.1Qbv覆盖)。
IEEE 802.1Qci 逐流过滤和监管 根据到达时间、速率和带宽在入口端口上过滤帧,以防止过多的带宽使用和突发大小,以及防止错误或恶意端点。
IEEE 802.1Qav 基于流量的信用塑造器 避免突发帧(同类或流);更改流量类或流之间的优先级。

表1:汽车实时应用TSN相关标准

对于音频用例,延迟目标没有动力系统或底盘控制用例那么严格(毫秒vs微秒)。但是,即使在通过同一网络路由大量元数据或配置数据流量或大量ADAS传感器数据时,也不能违反音频延迟要求——不能丢弃数据包。这就是为什么现有的TSN旋钮的仲裁和微调是重要的。一个著名的旋器是时间感知整形(TAS),在TI的处理器SDK中可用,作为计划流量(EST)卸载的增强。无论并行传输多少其他数据(如ADAS传感器数据),TAS保证在预定义的时间窗口后传输更低带宽的流量。在最好的情况下,集成TSN硬件交换机,如TI的处理器,如DRA821,提供了完全的软件灵活性,同时由硬件加速器支持数据包处理和转发或自愿丢弃。

通信安全

除了延迟和抖动等物理网络属性外,区域体系结构还需要一个安全的通信路径。互联网上常见的基于以太网的攻击方法和工具将在很大程度上适用于道路车辆。当汽车网络的安全性受到威胁时,没有可信的通信是可行的,分离I/ o和计算的整个概念就崩溃了。

出于这些原因,从整体上探讨网络安全问题是很重要的。除了数据完整性、真实性和保密性等核心功能之外,安全思维和文化应该伴随整个产品开发和生命周期。与国际标准化组织(ISO) 26262功能安全标准类似,有ISO/汽车工程师协会ISO/SAE 21434。此外,联合国欧洲经济委员会(United Nations Economic Commission for Europe)还发布了两项新规定,具体规定了如何管理车辆网络安全风险,以及如何检测和应对车队中的安全事件。

不可能简单地为如此多样化的数据类型“添加”安全性;沟通效率也是至关重要的。使用IPsec保护网络协议报文安全的经典方法适用于占用较低网络带宽的控制和传感器数据。要传输音频数据或视觉数据或雷达传感器数据,需要连续的Internet协议信息流,至少要通过认证来保证安全。但是,在软件中这样做会导致巨大的开销,消耗至关重要的处理器资源。

克服这一瓶颈需要新的较低级别的加密和身份验证。MACsec就是一个例子,它可以应用于以太网协议的1级或2级,并集成到以太网媒体访问控制IP或以太网PHY中,用于线速率认证、有效载荷加密或两者兼而有之。

结论

区域架构要求需要新的解决方案来克服配电、传感器和执行器以及数据通信的挑战。

向分散智能熔断器的过渡,更多地使用智能执行器和传感器,以及对非常分散的数据类型组合提供正确支持的更高带宽接口,可能会解决区域架构实现中最明显的设计问题。

这些解决方案不会一次全部出现,而是在一个连续的演变过程中,随着时间的推移,当它们在商业上有意义时,引入变化,同时最小化由于过早而导致的延迟风险。身体领域,包括它的许多分布式执行器和传感器ECU,将是第一个移动到区域架构的领域之一。将ADAS或动力总成和底盘控制转换到区域架构可能需要更多的时间。

区域架构的最终目标是一个完全由”软件定义汽车”,将传感器、执行器、区域模块和数据链等理想的标准化组件结合在一起。有了这个目标,许多不同领域的各种想法正在以一种整体的方式结合在一起,使基于软件的创新在未来几十年成为可能。


可见,当芯片应用于汽车之时,设计开发是需要基于对整车的架构理解的基础之上的,而不同于单纯的软件开发,其范围更多会涵盖硬件相关,这不是一般的软件开发生命周期(SDLC – Software Development Life Cycle),而属于更广义的应用程序生命周期管理(ALM – Application lifecycle management)。因此在应用时,应当考虑硬件的部分,在SPICE体系中,除了涵盖系统和软件的ASPICE,还通过“插件”的概念融合了机械工程和硬件工程——

系统级别:

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图片来源:
https://www.automotivespice.com/fileadmin/software-download/AutomotiveSPICE_PAM_31_Chinese.pdf

领域级别-软件工程

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图片来源:
https://www.automotivespice.com/fileadmin/software download/AutomotiveSPICE_PAM_31_Chinese.pdf

领域级别-硬件工程

智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图片来源:
https://intacs.info/images/uploads/intacs_HW_Engineering_PRM_PAM_v20.pdf

领域级别:机械工程


智能汽车架构SVA学习笔记(8) | 芯片厂商视角
图片来源:
https://intacs.info/index.php/component/rsfiles/download-file/files?path=SPICE%2BDocuments%252FMechanical%2BSPICE%252FSPICE_Mechanical_Engineering%2Bv1.8.pdf&Itemid=750


焉知致谢:

感谢”东晓一家@知乎”授权焉知的转载和分享。

东晓一家:安波福(中国)科技研发有限公司,软件质量高级经理

本文链接:

1. 网址:点击“阅读原文”,阅读更多作者文章;

2. 长按下面二维码,可以直接阅读原文

智能汽车架构SVA学习笔记(8) | 芯片厂商视角


智能汽车架构SVA学习笔记(8) | 芯片厂商视角

原文始发于微信公众号(焉知智能汽车):智能汽车架构SVA学习笔记(8) | 芯片厂商视角

版权声明:admin 发表于 2022年10月25日 下午11:15。
转载请注明:智能汽车架构SVA学习笔记(8) | 芯片厂商视角 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...