01

域控制器（DC）ECU的功能安全

隨著誘人的用戶體驗(yàn)、電氣化和汽車ADAS功能的出現(xiàn)，車輛架構(gòu)正強(qiáng)烈朝向域控制器發(fā)展。這篇文章中，讓我們從以下幾個(gè)方面來(lái)探討：

? 什么是域控制器？OEM為什么要轉(zhuǎn)向域控制器？

??對(duì)于域控制器中的功能安全性，我們應(yīng)該有哪些考慮？

??如果多個(gè)供應(yīng)商參與域控制器的開(kāi)發(fā)，存在哪些挑戰(zhàn)？如何應(yīng)對(duì)？

??什么是域控制器？OEM為什么要轉(zhuǎn)向域控制器？

傳統(tǒng)的汽車架構(gòu)是去中心化和分布式的，一個(gè)ECU通常實(shí)現(xiàn)一個(gè)特性/功能。每增加一個(gè)新的功能/特性，就會(huì)增加一個(gè)新的ECU。這種架構(gòu)在布線方面極其復(fù)雜和繁重（大量的電纜、觸點(diǎn)、熔斷器、繼電器等），使得將所有ECU布置到一輛汽車中非常昂貴。此外，隨著對(duì)自動(dòng)駕駛和用戶體驗(yàn)的日益關(guān)注，汽車正變得越來(lái)越以軟件為中心。有必要引入額外的應(yīng)用程序或新的特性/功能與軟件無(wú)線更新，而不必添加或更改硬件。這就促使整車廠轉(zhuǎn)向集中式車輛架構(gòu)，其中與單個(gè)域相關(guān)的幾個(gè)ECU被組合成一個(gè)ECU。這樣的架構(gòu)在生產(chǎn)物流流程方面顯著更輕和更簡(jiǎn)化，并使得質(zhì)量得到改進(jìn)。一個(gè)域整合多個(gè)功能的ECU稱為域控制器。

下面是一個(gè)去中心化的傳統(tǒng)車輛架構(gòu)的視圖。圖中的每個(gè)方框代表一個(gè)ECU。

下面是一個(gè)基于集中式域控制器的車輛架構(gòu)的視圖。

有不同域的域控制器:

a.?信息娛樂(lè) DC (示例產(chǎn)品)

b.?ADAS DC（樣品產(chǎn)品）

c.?動(dòng)力總成 DC (樣品產(chǎn)品)

一個(gè) DC 在一個(gè)片上系統(tǒng)中實(shí)現(xiàn)所有的功能，它具有多個(gè)內(nèi)核，同時(shí)具有所需的實(shí)時(shí)性和計(jì)算能力。

研究預(yù)測(cè)，到2028年，整體域控制器滲透率將接近60%，盡管沒(méi)有朝著基于域的架構(gòu)的協(xié)同努力。

從ISO26262的角度來(lái)看，一個(gè)域控制器可以被認(rèn)為是實(shí)現(xiàn)幾個(gè)“相關(guān)項(xiàng)”或幾個(gè)“相關(guān)項(xiàng)”的一部分。例如，一個(gè)ADAS DC實(shí)現(xiàn)不同的ADAS功能，如ACC、AEB等，可以被認(rèn)為是ACC相關(guān)項(xiàng)、AEB相關(guān)項(xiàng)等的一部分。

02

對(duì)于域控制器中的功能安全，我們應(yīng)該有哪些考慮？

1. DC架構(gòu)準(zhǔn)備好滿足最高ASIL級(jí)別要求

域控制器在特性/功能方面不固定，在其生命周期內(nèi)一定會(huì)進(jìn)行升級(jí)、添加和修改。從功能安全的角度來(lái)看，OEM/Tier 1應(yīng)該能夠“預(yù)測(cè)”DC要求的最高ASIL水平。預(yù)測(cè)必須根據(jù)可能添加的新特性以及它們所需的ASIL級(jí)別來(lái)進(jìn)行。DC的軟硬件架構(gòu)應(yīng)為達(dá)到這一最高ASIL級(jí)別的要求來(lái)設(shè)計(jì)。

例如，讓我們以一個(gè)目前具有ASIL-A安全目標(biāo)的座艙域控制器為例。它有一個(gè)符合ASIL-A標(biāo)準(zhǔn)的SoC和一個(gè)SW架構(gòu)，該架構(gòu)有一個(gè)ASIL-A操作系統(tǒng)和兩個(gè)ASIL-A和QM分區(qū)。

現(xiàn)在，如果這個(gè)DC在未來(lái)實(shí)現(xiàn)ASIL-B安全目標(biāo)，它現(xiàn)有的架構(gòu)將無(wú)法支持它。需要將SoC和OS替換為符合ASIL-B標(biāo)準(zhǔn)的SoC和OS，并為ASIL-B創(chuàng)建一個(gè)額外的分區(qū)。DC的硬件設(shè)計(jì)也可能需要修改，以實(shí)現(xiàn)所需的硬件指標(biāo)。

在上面的例子中，這個(gè)駕駛艙DC的架構(gòu)是不可擴(kuò)展的，以支持在更高的ASIL水平上的新的安全目標(biāo)。這種預(yù)測(cè)上的缺陷正是必須避免的。

讓我們?cè)倥e一個(gè)ADAS域控制器的例子，該控制器目前支持ASIL-C架構(gòu)，并具備一個(gè)ASIL C的攝像頭傳感器。如果這個(gè)DC將來(lái)必須支持ASIL-D安全目標(biāo)，它現(xiàn)有的硬件架構(gòu)不支持它。在這種情況下，DC必須1）升級(jí)到ASIL-D級(jí)別的攝像頭傳感器，或2）在攝像頭和另一個(gè)至少為ASIL-A級(jí)別的冗余傳感器之間執(zhí)行ASIL分解，DC的架構(gòu)中必須考慮另一個(gè)傳感器。

2. 不受軟件升級(jí)影響的現(xiàn)有安全功能

當(dāng)SW升級(jí)在道路上進(jìn)行時(shí)，這不應(yīng)該影響其他已經(jīng)合格的安全功能，否則即使沒(méi)有任何變化的功能，每次都需要重新合格，使其成為一個(gè)極其昂貴的事情。

3. 實(shí)現(xiàn)多種功能的故障安全、故障降級(jí)和故障運(yùn)行要求

無(wú)論是傳統(tǒng)ECU還是DC，實(shí)現(xiàn)故障安全、故障降級(jí)和故障操作要求的原則都是相同的。然而，對(duì)于DC來(lái)說(shuō)有趣的事情是，有幾個(gè)安全功能與各種各樣的故障安全、故障降級(jí)和故障操作要求共存。在一個(gè)單一的系統(tǒng)中實(shí)現(xiàn)所有這些功能是很有趣的。

1個(gè)功能中的故障不應(yīng)影響另一個(gè)功能，除非它們彼此相關(guān)。否則，將導(dǎo)致所有功能的可用性完全喪失。例如，在儀表組-音頻域DC中，如果音頻系統(tǒng)發(fā)生故障，儀表組仍應(yīng)能夠發(fā)揮作用，并向駕駛員提供所需的安全通知和指示。在ADAS系統(tǒng)中，如果車道保持輔助功能發(fā)生故障，不應(yīng)影響自動(dòng)緊急制動(dòng)功能的性能。

DC的系統(tǒng)架構(gòu)應(yīng)識(shí)別會(huì)影響每個(gè)功能的故障，只有當(dāng)這些相關(guān)故障發(fā)生時(shí)，才將功能轉(zhuǎn)到故障安全/故障降級(jí)狀態(tài)，而不是任何其他不會(huì)影響功能的故障。例如，如果緊急制動(dòng)功能使用雷達(dá)傳感器，而駐車輔助系統(tǒng)使用超聲波傳感器，則超聲波傳感器的故障只會(huì)降低駐車輔助功能，緊急制動(dòng)功能仍應(yīng)完全可用。

如果有一個(gè)跨功能和影響所有這些功能的共有故障，如CPU故障，這將導(dǎo)致所有功能的整體故障安全條件。

故障操作要求通常只能通過(guò)實(shí)現(xiàn)硬件冗余來(lái)實(shí)現(xiàn)。例如，DC可以有2個(gè)獨(dú)立的SoC執(zhí)行相同的處理，這樣即使一個(gè)失敗，另一個(gè)SoC繼續(xù)提供功能。必須考慮特性的端到端冗余，以實(shí)現(xiàn)失敗的操作行為。如果該功能從傳感器讀取一些輸入，則可以在設(shè)計(jì)中實(shí)現(xiàn)冗余傳感器，以備主傳感器出現(xiàn)故障時(shí)使用。兩個(gè)獨(dú)立的CAN通道接收和發(fā)送相同的消息和冗余執(zhí)行器是具有故障操作功能的DC必須考慮的額外方面。

03

如果多個(gè)供應(yīng)商參與域控制器的開(kāi)發(fā)，存在哪些挑戰(zhàn)？如何應(yīng)對(duì)？

讓不同的供應(yīng)商開(kāi)發(fā)DC的不同功能是很常見(jiàn)的，這是由于各種原因造成的。其中一個(gè)方面是該系統(tǒng)的復(fù)雜性和一個(gè)供應(yīng)商開(kāi)發(fā)整個(gè)系統(tǒng)所需的開(kāi)發(fā)工作。更大的挑戰(zhàn)是開(kāi)發(fā)每個(gè)功能所需的知識(shí)/技術(shù)專長(zhǎng)。單個(gè)供應(yīng)商可能缺乏開(kāi)發(fā)所有功能的知識(shí)和專業(yè)知識(shí)。

無(wú)論是DC還是傳統(tǒng)ECU，與供應(yīng)商打交道時(shí)面臨的挑戰(zhàn)都非常相似。然而，我們?cè)谶@里強(qiáng)調(diào)它的原因是因?yàn)镈C通常有更多的供應(yīng)商。這使得從每個(gè)供應(yīng)商那里獲得所需的安全檔案，并將他們聚集在一起，以提供整個(gè)系統(tǒng)的安全案例顯然更具挑戰(zhàn)性。

第一層通常是安全概念的全面負(fù)責(zé)人。一級(jí)供應(yīng)商必須知道對(duì)每個(gè)供應(yīng)商的要求，以獲得信心，即系統(tǒng)中的風(fēng)險(xiǎn)已得到充分緩解。

與供應(yīng)商打交道時(shí)的典型挑戰(zhàn)是：

1. 供應(yīng)商的責(zé)任定義模糊。

例如：假設(shè)供應(yīng)商為DC提供復(fù)雜的IC，例如Micro或傳感器。這個(gè)供應(yīng)商應(yīng)該只提供硬件嗎？還是說(shuō)第一層需要他們提供任何支持軟件？

例如2：如果供應(yīng)商1開(kāi)發(fā)功能1，供應(yīng)商2開(kāi)發(fā)功能2，誰(shuí)負(fù)責(zé)功能2不被功能1干擾？這是供應(yīng)商1或供應(yīng)商2或其他任何人的責(zé)任嗎？

2. 假設(shè)供應(yīng)商提供的硬件/軟件的ASIL級(jí)別。

例如，供應(yīng)商說(shuō)他們的硬件/軟件支持ASIL-B，或說(shuō)他們有ASIL認(rèn)證的“技術(shù)路線”，但一級(jí)供應(yīng)商假設(shè)硬件/軟件是根據(jù)ASIL-B開(kāi)發(fā)的。

3. 供應(yīng)商提供所需ASIL軟硬件的時(shí)間表不符合項(xiàng)目的最后期限。

這是一個(gè)常見(jiàn)的問(wèn)題，不僅安全，甚至在其他方面。在安全的情況下，經(jīng)常發(fā)生的情況是，硬件/軟件在功能上按時(shí)準(zhǔn)備好了，但安全檔案的完成被延遲。因此，供應(yīng)商的安全檔案沒(méi)有在項(xiàng)目的最后期限之前完成。

供應(yīng)商責(zé)任的不確定性是因?yàn)樵贒IA中缺乏對(duì)每個(gè)供應(yīng)商的角色和責(zé)任的明確定義。供應(yīng)商DIA經(jīng)常盲目地從以前的項(xiàng)目中重用，而沒(méi)有完全考慮當(dāng)前開(kāi)發(fā)的項(xiàng)目的挑戰(zhàn)和背景。這一定要避免。如果可能的話，必須在RFQ階段對(duì)供應(yīng)商DIA進(jìn)行評(píng)估。在實(shí)施安全概念的過(guò)程中，所有的實(shí)時(shí)挑戰(zhàn)都必須預(yù)先考慮到。與其在事情出錯(cuò)后進(jìn)行事后分析，不如在項(xiàng)目開(kāi)始時(shí)進(jìn)行預(yù)先分析，了解在開(kāi)始時(shí)應(yīng)該考慮什么是正確的，以防止失敗。

04

總結(jié)

域控制器似乎將在未來(lái)十年占據(jù)統(tǒng)治地位。然而，DC的一個(gè)缺點(diǎn)是許多域可能在物理上跨越整個(gè)車輛。因此，汽車制造商也投資于區(qū)域架構(gòu)。區(qū)域架構(gòu)通過(guò)將物理上接近的ECU組合在一個(gè)區(qū)域控制器下來(lái)解決域架構(gòu)的缺點(diǎn)。這帶來(lái)了減少布線和重量的好處——以增加軟件復(fù)雜性為代價(jià)。這是因?yàn)閰^(qū)控制器必須能夠根據(jù)功能來(lái)區(qū)分與其連接的ECU之間的流量。

我們將留給您這張圖片，它提供了不同架構(gòu)的簡(jiǎn)化視圖。

審核編輯：劉清