如今，汽車上的每一個電子控制系統(tǒng)，如儀表盤、信息娛樂系統(tǒng)、防抱死制動系統(tǒng)、發(fā)動機管理系統(tǒng)、變速箱控制單元和車身控制管理，都是一個自給自足的單元，有自己的來源，如ROM、RAM存儲器、微處理器或微控制器、I/O和電源。汽車域控制器的想法是用一個具有多核的強大中央計算機取代多個分布式ECU。多核處理技術將多個ECU整合到一個單一的芯片中。在多核解決方案中，這些單獨的ECU保留了分離和獨立的處理空間。然而，很多冗余的部件，如外殼、驅(qū)動器、電線和線束以及電源，都可以被消除。這些不僅在很大程度上節(jié)省了成本，而且還節(jié)省了組件的重量和空間。此外，ECU之間的通信是在處理器本身內(nèi)部進行，而不是通過外部網(wǎng)絡如CAN或LIN進行通信，這將大大減少數(shù)據(jù)延遲和系統(tǒng)復雜性。? ?

I.引言

我們需要汽車域控制器主要有以下幾點原因。

首先，目前的汽車電氣/電子架構在每個單獨的控制單元中都集成了一個或幾個功能特性。這不僅增加了控制單元和分布式軟件功能的數(shù)量，而且還分別增加了連接的復雜性。如果一輛車需要一個新的功能，增加一個新的專用ECU和一點電線和線束是常見的解決方案。一輛最先進的中型汽車上已經(jīng)安裝了多達70個來自不同供應商的專用ECU，這已經(jīng)達到了極限。為每個新功能添加一個新的ECU已不再是可持續(xù)的。

第二，汽車域控制器技術是未來汽車工業(yè)不可抗拒的趨勢，它是未來汽車跟上快速技術變化的根本。對擁有越來越多的安全和面向軟件的功能的需求正以前所未有的速度增加。所有這些都需要相應增加計算能力。就像最新的iPhone必須增加更多的計算能力來運行所有的新功能特性一樣，我們必須在汽車中增加更多的計算馬力來運行所有想要的新功能。目前的架構方式已經(jīng)無法支持高速的數(shù)據(jù)交換和復雜的軟件算法，沒有足夠的計算能力來滿足內(nèi)容和復雜性方面不斷增長的要求，網(wǎng)絡基礎設施也無法支持未來的數(shù)據(jù)帶寬和速度。此外，調(diào)制解調(diào)器車輛的平均年齡超過10年，比智能手機長很多，而且汽車技術正在以前所未有的速度發(fā)展。車主越來越希望擁有類似智能手機的升級能力。他們不再接受像我們現(xiàn)在這樣，在整個車輛的生命周期內(nèi)功能和特性保持不變。然而，今天的分布式ECU中的所有特性和功能都必須在車輛推出前設計和實施。無線更新技術是未來車輛的關鍵需求。OTA更新可以用來提供新的功能和技術，升級現(xiàn)有的功能，修補錯誤，并提高性能。這些更新可以避免車輛召回，減少客戶的保修成本。隨著汽車變得更加依賴軟件，對OTA更新的需求也變得更加關鍵。為了實現(xiàn)所有這些目標，我們需要更多的計算性能、嵌入式內(nèi)存容量和更高的連接帶寬，只有帶有域控制器的新車輛架構才能滿足這些要求，它允許增加車輛發(fā)行時沒有的功能。

第三，由于高性能汽車類芯片系統(tǒng)(SoC)的可用性，以及SOC成本價格今年急劇下降，越來越接近傳統(tǒng)MCU的價格。這是汽車制造商在一個域控制器上集成多種功能的另一個動機。 ?

II.汽車域控制器的優(yōu)點

與傳統(tǒng)的專用ECU相比，域控制器具有以下主要優(yōu)勢。

A.減輕重量，提高工作效率

每一個新功能就增加一個新的ECU和一些線路和線束，導致線束成為汽車中僅次于發(fā)動機的第二重的部件。這種趨勢不符合另一個輕量級設計規(guī)則，以提高能源效率和增強車輛的巡航范圍。域控制器可以消除一些冗余的部件，如PCB、外殼、電源、布線和線束。以汽車駕駛艙控制器為例，它結合并取代了傳統(tǒng)的儀表盤、信息娛樂系統(tǒng)和HUD顯示屏，整個系統(tǒng)的質(zhì)量可以減少30%以上。

B.成本

增加一個新的ECU以獲得新的功能是不可持續(xù)的。新ECU的專用MCU、存儲器、電源、PCB和其他電子元件將大大增加成本。

而隨著具有強大計算能力的SOC價格持續(xù)下降，再以集成駕駛艙解決方案為例，估計每輛車至少可以節(jié)省70美元。

C.數(shù)據(jù)延時

自動駕駛車輛和安全功能將需要接收和處理來自內(nèi)部傳感器和外部來源（如其他車輛、基礎設施和基于云的來源）的大量數(shù)據(jù)。所有這些數(shù)據(jù)都必須實時或接近實時地處理，這就需要高性能的計算能力和高帶寬的網(wǎng)絡通信，以最小化數(shù)據(jù)延遲[1]。由于數(shù)據(jù)只在具有高性能計算能力的域控制器中處理一次，而不是使用大量的微控制器，數(shù)據(jù)可以在內(nèi)部不同的核心之間共享，而不是通過不同的網(wǎng)絡進行通信。

D.可升級性

隨著我們將車輛從機械平臺轉(zhuǎn)移到數(shù)字平臺，軟件的重要性大大增加，軟件的平均代碼行數(shù)呈指數(shù)級增長。因此，滾雪球式的復雜性導致越來越多與軟件相關的質(zhì)量問題和車輛召回[2]。所以無線更新將成為維護和升級復雜軟件的關鍵能力。由于汽車的軟件已經(jīng)與硬件分離，因此升級系統(tǒng)變得更容易。

E.連接性

由于領域控制器所具有的高性能計算能力和高帶寬通信，駕駛員將通過數(shù)字平臺和5G蜂窩網(wǎng)絡與周圍的外部環(huán)境相連接。車對車、車對基礎設施和車對云技術將允許車輛與其他車輛和周圍的天氣、交通、路況、交通燈、更新的地圖等進行溝通。所有這些數(shù)據(jù)和信息必須進行實時通信和處理，這就需要高帶寬的通信和高性能的車載計算能力。很明顯，傳統(tǒng)的離散MCU沒有能力支持這些技術。

III.汽車域控制器設計

IT和消費電子技術可以轉(zhuǎn)移到汽車領域。我們所期望的汽車領域控制器的大多數(shù)技術，如SOC、嵌入式操作系統(tǒng)、Hypervisor、以太網(wǎng)和無線更新，都是成熟的技術，并且已經(jīng)在消費電子和其他領域廣泛使用。汽車域控制器將從IT和消費電子中受益。然而，仍有一些技術需要重塑，以便滿足嚴格的汽車標準和更高的消費者需求。對安全、安保、性能和可用性的需求導致了對質(zhì)量和可靠性的最高期望，而這在消費電子中并不是大問題。汽車電氣和電子結構以及汽車功能安全和保障將成為關鍵的成功因素，并將在本文中討論。?

A.架構

未來汽車電子產(chǎn)品的架構正在迅速創(chuàng)新。安全功能和自動駕駛需要更高的計算性能和更高的帶寬通信。為了支持連通性和信息娛樂，車輛有望轉(zhuǎn)變?yōu)橐粋€具有云訪問的分布式IT系統(tǒng)；遠程軟件更新；以及對數(shù)字地圖、其他車輛和周圍基礎設施的高帶寬訪問。

圖1顯示了未來的汽車E/E架構，它需要能夠在不同的細分市場和不同的功能內(nèi)容之間進行擴展，并能提供管理和控制不斷增長的功能復雜性和內(nèi)容的手段，該架構還需要應對隨著時間推移而變化的需求和期望，預計將提供OTA來更新或升級現(xiàn)有車輛。

圖1?域控制器的汽車E/E架構

該架構的可更新性和可升級性可以提高原始銷售后的整體發(fā)展速度和控制能力。軟硬件分離的好處是功能內(nèi)容基本不受硬件影響，大大提高了系統(tǒng)的可擴展性。

1)特征

面向服務的架構：SoA方法已被廣泛地應用于IT和消費電子領域。SoA為整個系統(tǒng)提供了大量的抽象接口， 它的封裝允許使用敏捷的方法進行系統(tǒng)設計和測試，它可以減少不斷增加的復雜性，并使軟件組件在各代車輛之間更容易重復使用。

a)中央網(wǎng)關服務器

一個中央信息服務器和一個代理將處理所有的通信信息。它將本地域控制與外部環(huán)境隔離，以維護其安全和保障。物理、信息和服務將被分開。這有利于擴展性，并且從基本的車輛到裝備齊全的車輛，其變化較小。

在未來的汽車架構中，中央網(wǎng)關作為信息橋梁，交換信息并隔離車內(nèi)域控制器和外圍通信源，如移動蜂窩、藍牙、WiFi、以太網(wǎng)。它還充當汽車的中央診斷接口。域控制器還充當中央網(wǎng)關和本地智能傳感器、執(zhí)行器和ECU之間的網(wǎng)關，在以太網(wǎng)和CAN或LIN之間翻譯和交換信息。

中央網(wǎng)關將承擔維護網(wǎng)絡安全的主要責任。中央網(wǎng)關驗證通信是否來自批準的來源，保護認證不被欺騙，并將網(wǎng)絡通信限制在預定的正常行為，限制異常或大量的信息，以避免損害車輛的功能。它還需要阻止未經(jīng)批準和不適當?shù)南ⅲ⒕嫒魏螣o效的嘗試。這可以極大地提高整個車輛網(wǎng)絡的安全性，并大大減少車內(nèi)域控制器的安全負擔。

b)車載和后端架構

車載系統(tǒng)和后端架構之間有越來越多的交互。它將通過Wi-Fi，以及高帶寬的5G蜂窩網(wǎng)絡進行連接。為了安全功能和自主控制，車輛將被要求與外部來源，如其他車輛、基礎設施和云端來源，交換數(shù)據(jù)和信息，包括天氣、交通、道路建設、更新的地圖等信息。因為重新編程的算法無法實時處理因為每一個可能的場景和不斷變化的駕駛條件，越來越多的汽車功能需要后端系統(tǒng)獲取數(shù)據(jù)和信息，并在后端部分執(zhí)行。

B. 功能安全和信息安全

功能安全是指確保系統(tǒng)的安全運行，即使它們出故障。每個行業(yè)通常都有一個標準來指導發(fā)展和設定最低期望值，對于汽車電子來說，它是ISO 26262，它將功能安全定義為：不存在因電氣/電子系統(tǒng)故障行為而導致的不合理風險。

在實踐中，功能安全指的是一個系統(tǒng),根據(jù)目標標準證獨立評估員證明是絕對安全的。安全性要求可預測的故障模式，這些故障模式可以是功能完整、功能退化或徹底停機，然后是重置并重新啟動。

隨著數(shù)據(jù)連接和車載通信的使用越來越多，車輛容易受到網(wǎng)絡攻擊。增加的電子復雜性和與其他外部組件（如無鑰匙進入、藍牙、USB、遠程信息處理、無線通信）的整合，為進入已經(jīng)深深嵌入車輛的控制系統(tǒng)提供了門戶。

汽車計算機安全用于檢測、保護和糾正可識別或可避免的威脅，并保護車輛系統(tǒng)免受先前未知或不可避免的威脅。這種合作方式包括ECU內(nèi)部和周圍的基于硬件的保護，基于軟件的車內(nèi)保護，以及車輛中的網(wǎng)絡監(jiān)控和強制執(zhí)行。

計算機行業(yè)有許多安全策略和知識可以應用于汽車領域。這些包括：

安全啟動：軟件啟動器與硬件一起工作，以確保加載的軟件代碼是有效的，為系統(tǒng)的其他部分提供一個信任源。

分區(qū)的操作系統(tǒng)：通過使用嵌入式操作系統(tǒng)的虛擬化和分區(qū)技術來隔離不同的應用或功能。這大大降低了將多個功能系統(tǒng)合并到一個單一的SOC上的復雜性。這也使得更新或刷新一個單獨的功能而不影響任何其他組件成為可能。而且，如果一個單一的模塊發(fā)生故障或崩潰，整體操作也不會受到影響。?

認證：認證是驗證數(shù)據(jù)發(fā)送者身份的過程。對于一個嵌入式應用，認證被用來驗證通過不同ECU或SOC之間的外部接口傳輸?shù)臄?shù)據(jù)來源。它也可用于在執(zhí)行軟件圖像之前，或在從一個外部內(nèi)存存儲器下載期間，確認該軟件圖像的可信度。在實踐中，需要對電子鑰匙、密碼和生物識別技術進行管理，并授權其訪問一些重要信息，如身份、電話簿、位置和金融交易。同樣，汽車中的各種ECU或SOC也需要進行認證，以防止攻擊者偽造信息或命令。

強制執(zhí)行經(jīng)批準的適當行為：為了防止網(wǎng)絡攻擊試圖從一個系統(tǒng)向另一個組件發(fā)送消息，我們需要檢測和糾正意外的或惡意的威脅。

IV.應用和討論

A.域控制器實例--信息娛樂域控制器

傳統(tǒng)上，我們至少有兩個專門的ECU來分別處理儀表盤信息顯示、平視顯示器（HUD）和信息娛樂系統(tǒng)，如圖2所示。它們有自己的PCB和軟件包，并通過CAN和MOST連接來交換一些車輛信息，如速度和燃料消耗，以及一些信息娛樂系統(tǒng)信息，如電話簿、導航和媒體。

圖2 傳統(tǒng)的信息娛樂系統(tǒng)框圖

對于信息娛樂領域的控制器，如圖3所示，我們使用一個集中式控制器來取代這兩個獨立的ECU和相關的PCB ，這可以通過減少大量的線束來節(jié)省車輛成本達70美元以及減少車輛重量。該方法具有更多的計算性能和嵌入式內(nèi)存容量以及更高的通信帶寬連接。信息娛樂領域的控制器框圖如下所示。

圖3 信息娛樂域控制器系統(tǒng)框圖

如圖4所示，這個信息娛樂領域的系統(tǒng)包括在一個共同的系統(tǒng)架構和人機界面下的幾個顯示屏。顯示信息內(nèi)容不再分配給專門的顯示器。所有的顯示信息都由集中式控制器處理，它們可以在處理器內(nèi)進行通信，以交換車輛和信息娛樂系統(tǒng)本身的信息，而不是通過外部網(wǎng)絡（如CAN總線）進行通信，提高了速度，降低了復雜性。所有信息都是靈活的，可以在儀表盤、抬頭顯示器、中央顯示器上顯示，甚至可以根據(jù)駕駛情況在智能手機等連接終端上顯示。這大大提高了靈活性并減少了延遲。此外，他們可以共享和重復使用巨大的基本軟件，如CAN、LIN、UART、定時器、A/D采樣、HMI等，這大大節(jié)省了內(nèi)存空間和計算能力，同時也大大減少了必須開發(fā)和驗證的軟件數(shù)量。

我們選擇Renesas R-Car H3 SOC作為信息娛樂領域控制器的中心計算機，它有4個內(nèi)核，內(nèi)存從512M DDR3L到4G LPDDR4，CPU和內(nèi)存帶寬都可以擴展。我們使用第三方嵌入式操作系統(tǒng)QNX Hypervisor對安全相關環(huán)境和非安全環(huán)境進行可靠和安全的分區(qū)、分離和隔離。該系統(tǒng)配備了以太網(wǎng)網(wǎng)絡，以連接外部組件和云。它可以進行無線升級，最終將通過4G與云端通信。我們可以在這個單一的硬件和軟件架構平臺上運行具有不同安全和安保要求的儀表盤和信息娛樂系統(tǒng)應用。為了與消費電子和市場動態(tài)保持同步，信息娛樂功能的壽命比儀表盤的要短，這也使得只為信息娛樂部門更新專用軟件功能成為可能。同時，與安全相關的駕駛員信息和長期功能仍然不受影響。這種方法有足夠的處理能力和靈活性，可以在未來增加今天不存在的功能。最重要的是，這種系統(tǒng)解決方案可以提供靈活的模塊化冗余，如果一個核心或應用程序崩潰，其他核心和應用程序?qū)⒉粫艿接绊懀强梢宰鳛槿哂噙M行替代。

B.主要優(yōu)點的測定

信息娛樂系統(tǒng)模塊整合是一種技術趨勢，通過使用調(diào)制解調(diào)器、多核處理器來操作多個傳統(tǒng)ECU儀表盤和信息娛樂系統(tǒng)。域控制器可以消除一些冗余的部件，如PCB、外殼、電源、電線和線束，以及ECU本身。

圖4 信息娛樂域控制器方框圖

此外，ECU在處理器本身內(nèi)部交換數(shù)據(jù)，而不是通過外部網(wǎng)絡如CAN或LIN總線進行通信，這將大大減少數(shù)據(jù)延遲和系統(tǒng)的復雜性。盡管域控制器有更多的功能安全和網(wǎng)絡安全問題，但這種問題也有一些優(yōu)點，包括遠程軟件升級能力、連接性和靈活性。信息娛樂系統(tǒng)域控制器和專用ECU之間的主要優(yōu)點比較如下表所示。

? V.結論 ?

? ? ? ?消費者對安全和面向軟件的功能的需求正以前所未有的速度增長。這一趨勢正在從分布式電子控制器單元（ECU）轉(zhuǎn)向具有集中式ECU的更集成的域控制器。當然，這需要對計算能力和數(shù)據(jù)存儲器的大小都有特別高的要求。然而，帶有域控制器的新車輛架構將提供快速、安全和可靠的數(shù)據(jù)和電力分配。帶有域控制器的新車輛平臺可以很容易地利用消費電子產(chǎn)品的最新技術水平，如云計算、互聯(lián)網(wǎng)連接和無線軟件更新。顯然，強大的多核處理器、支持可視化的專業(yè)嵌入式操作系統(tǒng)、創(chuàng)新的汽車架構和高帶寬以太網(wǎng)是實現(xiàn)汽車域控制器概念的四個主要基本要素。

　　審核編輯：湯梓紅