1.简介现代道路车辆的复杂性与日俱增。为了保持竞争力,汽车必须满足客户对功能和性能的期望,而这又与连接、电气化、无处不在的技术、通信、即时访问等趋势相关。这种趋势增加了车辆的复杂性,进而推动汽车E/E(电气和/或电子)架构从传统的由数十个ECU(电子控制单元)组成的基于总线的分散式架构发展为集中式架构。集中式架构由专用于车辆域(域控制架构)或域组(跨域架构)的计算集群组成,由单个功能强大的ECU独立控制。集中式架构还包括区域架构,其中车辆级别的单个计算机集群可以实现车辆的主要功能。在本文中,我们主要考虑域和跨域架构。域和跨域架构利用功能强大、相对昂贵的顶级ECU,分别称为域控制器(DC)或跨域控制器(CDC),而控制域的其他ECU本身相对便宜。在本文中,我们将使用DC表示域控制器和跨域控制器。在每个域(或域组合)中,DC是最关键的单点故障。因此,当一个车辆领域仅由一个强大的DC控制时,最大的担忧之一是如果该控制器完全丢失会发生什么。更确切地说,我们更关心DC不可恢复的故障,比如掉电、液体进入DC等。在DC中,通常会实现很多功能安全概念和功能,比如E-Gas监控概念、lockstepcore等。但这些机制无法解决DC中所有微控制器或ASIC的掉电等问题。传统的功能安全解决方案(例如,三模冗余)可用于解决此类故障,但它们涉及ECU级别的直流冗余,这会增加成本以及空间和功率要求。因此,我们寻求其他选项来处理DC的灾难性故障,这些选项可以与DC运行时已经实施的安全规定结合使用。在本文中,我们专门针对这种情况提出了一种安全架构,我们认为它可以最大限度地降低与功能安全特定硬件相关的成本,并利用集中式架构的基本通用性。我们建议,在DC发生灾难性故障的情况下,应在受影响域中的其余ECU之间实施分布式控制方案,以接管发生故障的DC的部分功能。虽然这样的方案理论上可以实现DC的所有功能,但这并不是该方案的目的。在其基本功能形式中,这种备份架构不需要任何其他硬件,只需要集中域中的硬件。不可否认,它增加了智能执行器所需的计算资源,必须仔细规划以适应回退功能。虽然我们的架构像经典安全架构一样利用冗余,但它有望成为一种更经济的解决方案,因为它使用现有的硬件资源,而不是像更传统的架构或更昂贵的微控制器解决方案那样依赖冗余ECU。据我们所知,我们提出的架构在这方面是独一无二的。必须指出的是,我们的提案仅涵盖集中式车辆领域中完整安全架构的一个方面。其余的,例如域内通信的功能安全方面,不在本文的讨论范围之内。本文的其余部分结构如下。在第二节中,我们介绍了相关工作。第三节介绍了典型的集中式架构。安全架构在第四节介绍。第四节总结了未来工作的路径。2、利用经典的硬件冗余方案可以解决相关工作DC丢失的问题。例如,MooN(M-out-of-N通道架构)是一种基于多数投票系统的简单静态冗余方案。这种架构的一个广泛使用的实例是三选二(2oo3)通道架构,也称为三重模块冗余(TMR),其中三个独立的模块计算一个输出,然后多数表决系统产生一个输出.TMR架构适用于各个行业,包括汽车行业(例如,Sari和Reuss的工作)。当然还有其他常见的硬件冗余方案,其中一个模块提供输出,故障检测单元检测模块是否出现故障。检测到故障模块后,系统会重新配置以切换到正常的单元。例如,由两个双工(1oo2或2oo2)系统组成的双工双工架构用于汽车的线控驱动系统,以及空中客车等航空电子设备。双双工架构的两个版本,对称2oo2DFS和非对称2oo2DFS,已被用于汽车底盘领域。这些方案基于经典的硬件冗余。同样的方法也可用于确保汽车应用中的直流容错和功能安全。换句话说,前面简要讨论的冗余方案也可以应用于集中式E/E架构的DC,以实现集中式汽车领域的功能安全,例如动力总成或运动和安全。然而,虽然硬件冗余似乎是汽车、航空电子和航空航天等安全关键应用中DC的可行解决方案,但这种方法并不是安全关键应用的通用解决方案——主要是因为需要额外的成本,额外的空间和额外的功耗。对于大批量、对成本敏感的汽车应用,这种方法在许多情况下都非常昂贵。此外,ISO26262并未明确要求安全关键型应用程序采用上述硬件冗余方案。总的来说,集中式E/E架构的功能安全方面专门做的工作不多,尤其是我们在本文中讨论的情况。不过还是可以找到一些参考建议的。萨默等人。提出了一种具有以太网骨干网络的车辆区域结构。中央计算机集群由若干“车辆控制计算机”组成,可以是双工控制计算机(dcc)或单工控制计算机。DCC有两条执行路径,两条路径上的相关输出都会受到监控和比较:如果发现错误,则结果将被丢弃,第二个冗余DCC将接管。这里可以有多个冗余DCC。在刚好有两个DCC的情况下,这个结构实际上变成了双工双工架构。汽车以太网网络是具有两条独立路径的环。在这种情况下,该方法也基于硬件冗余。然而,汽车应用所需的是能够以比硬件冗余低得多的成本提供故障安全功能。3.集中式电源系统E/E架构图1.集中域电源系统图1所示的集中式电源系统架构是之前提出的。此图显示了电动汽车动力总成E/E架构的原型,但该概念可以轻松扩展到混合动力电动汽车,甚至是传统汽车。它是一种域控制架构,具有强大的中央控制器和外围控制器(智能执行器)。DC实现了该领域的大部分功能,同时包括不同车辆变体之间的差异(例如,提供的功能差异、动力总成配置等)。另一方面,智能执行器是一种执行基本执行器功能的低成本控制器。此外,该现场还包括一个网关,用于路由DC和车辆其余部分之间的所有硬件信号,包括数字和模拟I/O信号,以及现场总线信号。图1中的示意图使用以太网作为一种新兴的高速汽车网络技术进行域内通信,但域内的控制器也可以根据需要使用典型的现场总线(CAN、CANFD、LIN、FlexRay)连接到DC。域间连接(未显示)通常处于高速状态,例如汽车以太网。由于E/E架构的集中化仍处于相对较早的阶段,因此有理由假设在汽车环境中只有部分E/E架构是集中化的,例如一个或两个域。我们的解决方案的设计方式可以促进传统分散式E/E架构逐渐转变为集中式架构,一次一个域。这可能是实验或概念验证工作的情况。我们使用集中域,动力系统域,来解释集中化的思想并展示我们的方法。但我们提出的方法可用于完全集中式和部分集中式E/E架构。上述域网关有助于在这种混合E/E架构中使用我们的方法。4.备份控制策略在本节中,我们介绍了我们提出的安全架构,将其与传统安全架构进行了比较,并讨论了该架构的一些重要方面。A.安全架构我们假设DC发生灾难性损失的情况。对于这种情况,我们提出了一种回退方案,其中关键的DC功能以分布式方式在域内的每个可用子域ECU或整车的净空资源中实现。这里的headroom指的是ECU已知可供使用的资源,比如未使用的RAM、闪存和空闲的CPU时间。在DC完全丢失的情况下,分散式回退实施将控制受影响的域,将这种情况置于“故障可操作”类别中。该方案如图2所示。如前所述,我们专注于动力总成领域,但我们的建议实际上是通用的,可以用于任何安全关键的车辆领域,或者在出现跨领域集中的情况下的领域组合。图2.将备份组件分配给域ECU。图2中所示的动力总成域由一个DC、三个智能执行器以及动力总成域与车辆其余部分之间的域网关组成。当DC变得无响应时,这些分布式组件可以一起协调并接管对域的控制。硬件信号以相同的方式通过网关进出实施中的每个参与者。唯一的区别是,在这种情况下,信息不是通过一个(DC)而是通过多个节点(实施回退策略的智能执行器)流动的。网关必须管理此信息的路由,以及由基于以太网的域骨干网的IP层提供的所有必要标识信息。图3.一个域中CPUC利用率余量示例通常情况下,每个子域中的ECU都有一定的执行余量(如图3所示)。这个净空也存在于ECU的闪存和内存中。这种情况通常是由于特定ECU软件的硬件要求与市场上不同功能的ECU不完全匹配造成的。让我们假设部署在ECU-EM上的软件恰好需要1.5MB的闪存、最大内存为1MB的RAM和最大速度为2.5MHz的CPU。但市场上最接近的东西有2MB的闪存、1.5MB的RAM和一个最高可达2.5MHz的CPU。对于ECU-EM应用,将选择该产品,它可以提供上述0.5MB额外闪存、0.5MB额外RAM和比所需速度快1.6倍的CPU。这个例子是为了强调这个裕量的潜力,但在实践中,即使市场上有完美适配的产品,也经常选择具有裕量的ECU硬件,因为必须考虑ECU软件的未来变化。另外,在DC出现故障的情况下,CPU的最大利用率可能会低于额定值,因为当DC消失后,子域ECU不再需要执行某些功能,或者不需要达到一个同等水平。这可以进一步增加可用的执行余量。与DC相比,这些ECU相对便宜,因此作为替代方案,设置额外的余量以适应回退策略应该只需要很小的边际成本。根据子域ECU上可用的总余量,DC的全部功能可以在备份解决方案中体现,但很可能无法实现某些功能,即“limp模式”功能的实现。域网关(ECU-GW)是我们解决方案中非常重要的一部分。它需要所有硬件信号,包括I/O线、LIN、CAN等,进出车辆的各个部分,这些部分由于前面提到的原因而无法变成智能执行器。这意味着没有硬件I/O(模拟或数字)或LIN,或任何其他低电平信号直接在DC和车辆硬件之间传输。该网关是一个智能执行器,与该领域的其他网关一样,其唯一功能是连接非智能执行器的硬件。我们正在进行的工作的一个重要例子是油门踏板。在正常操作下,域网关必须促进DC和未抽象为智能执行器的硬件之间的某些交互。这些交互包括CAN和LIN通信计划的执行,模拟、数字和PWM信号的读取和传输等。因此,域网关本质上必须充当DC和连接到它的硬件之间的信息路由器,同时从整体上最大限度地减少引入延迟以确保在任何关键情况下都满足时序要求。在待机操作下,当DC丢失时,网关必须促进相同的交互,但现在,就网关而言,任何智能执行器都可以充当DC,因为所有这些参与者现在必须具有相同的硬件访问权限作为直流电。当然,这可能取决于后台软件是如何分区的,但总的来说,以上是正确的。因此,显然需要非常严格的路由协议来运行回退策略。初步调查表明,这样的协议可以在基于以太网的域骨干网的环境中实施。我们不允许除主干以太网连接之外的任何连接到DC的原因是,如果DC发生故障,上述其他I/O连接仍然可用于该域。如果这些信号在DC故障期间仍然可用,则可以实施我们提出的分散式备份策略,而无需任何特定的信号线复制。尽管在这样的架构中,网关与DC一样是单点故障,但需要注意的是,网关机制可以在比DC本身更简单、更便宜的ECU上实现。复制网关ECU成为解决这一缺点的一种经济有效的安全措施。B.与经典方案的比较本文提出的回退策略提供了一种无需复制DC的故障操作容错解决方案。因此,它比基于硬件冗余的解决方案更严格、更节能且成本更低。由于它本质上是一个分布式架构,它的开发可以从各个方面受益于去中心化E/E架构开发的技术层面。另一方面,虽然硬件冗余在概念上和实践上都很简单,但我们提出的方法的设计和实现本质上需要两个并行但协调的开发工作,一个用于集中式E/E架构,另一个用于堆叠在最重要的是。由于我们提出的替代方案是去中心化的,因此必须仔细设计以使其简单且不易在不同模型之间更改,以避免中心化的主要问题。从功能安全分析来看,由于在回退场景中不太可能需要DC的全部功能,因此必须实现最少的功能集。5.结论在这篇论文中,我们为集中式E/E架构提出了一个安全模型的早期建议。为了了解该方法的适用性,需要进一步的分析和评估,作者正在几个方面进行工作。例如,智能执行器控制器和用于同时执行控制软件的备用元件必须根据ISO26262标准进行分区。尽管存在虚拟化等商业解决方案,但更简单的自定义分区方案可能就足够了。同样与该标准相关的是,该提案引入了ASIL分解的使用,以减少集中空间的开发工作量和成本。必须开发切换到备份控制方案的决策、同步和重新配置逻辑。在我们的例子中,域网关是一个必要的设计元素,但考虑到它在回退策略设计中的关键作用,我们将进一步研究如何使用这种网关作为集中式E/E架构设计的原则。
