【专家视角】集中式电子电气架构下功能安全开发的思考

1前言

众所周知，汽车“四化”：智能化、电动化、网联化、共享化是汽车发展的方向，电子电气架构和软件是未来“四化”的核心技术，随着汽车“四化”的发展，尤其是一些新功能的大量增加，原有的分布式电子电气架构已经不能满足汽车“四化”对高算力、高通信数据、软件升级等便利性发展的要求，汽车电子电气架构需要支撑“四化”和车载软件的发展，由分布式架构向集中式架构发展。

2 汽车电子电气架构发展及挑战

相较于传统燃油汽车，电动汽车更容易实现智能化、网联化和共享化，因为集中了更多的电控技术在里面，尤其是电动汽车技术的成熟和自动驾驶技术、传感技术、通讯技术、芯片技术的发展。智能化方面，预计到2025年国内智能汽车新车占比达50%；网联化方面，预计到2023年，车联网的用户将达到9000多万户，年增速28%；共享化方面取得的社会资源将更加集中。总之，汽车“四化”对整车电子电气系统开发提出更高需求，整车电子电气系统复杂度将大幅增加。在此前提下，首先来看电子电气架构从“分布式” 到“域集中式和集中化” 的发展所经历的几个阶段。

第一阶段为分布式电子电气架构，是目前国内绝大多数主机厂所采用的，该架构车辆每增加一项功能，都需要增加一个控制器，由于每个控制器来源于不同的供应商，ECU软件开发环境不一致，维护困难；可扩展性差，各ECU算力存在巨大浪费；各ECU独立OTA，很难实现真正的远程升级；高耦合，变更困难，在实际开发过程中发现，当有一个信号变更时，与之相关联的多个控制器都需要做适应性变更，使得整车开发周期更长；通讯速率慢，不满足智能化发展要求。第二个阶段为域控制器电子电气架构，从目前来看，该架构主要能实现面向服务的体系架构（SOA），从而实现了区别于分布式架构的基于信号的驱动，这种面向服务的架构使得远程升级变得更加方便，实现了软硬件分离，以太网作为骨干网，域内算力集中，实现了资源的更高效利用。第三阶段为中央计算电子电气架构，相较于前两个阶段，该架构提供开放式软件平台，实现了真正意义上的软硬件解耦，也为将来“软件定义汽车”奠定了基础，可以实现云计算，比如通过云计算，可以通过远程服务器来实时预估电池的健康状态，从而提高整车安全性。

任何一项新事物在解决问题的同时也会带来新的挑战，电子电气架构也同样面临一些新的挑战。用户需求方面，希望车辆软件能够快速持续更新（通过OTA）；在不改变硬件的前提下，可以实时体验车辆的新功能；当然这些都是建立在更安全、更方便的基础上。OEM需求方面，希望更短的开发周期，采用平台化电气电气架构；采用标准的硬件只需对软件进行维护，就可以实现车辆的快速开发技术的迭代，而且通过软硬件分离、软硬件复用来降低开发成本和周期；能够持续推出新功能，满足用户个性化的要求。总之，电子电气架构所面临的挑战为：高性能计算，要求实时性、算力集中、实时操作系统（RTOS）；高通信宽带，激增的数据量造成通讯的瓶颈；功能安全、信息安全，包括集中式电子电气架构下功能安全以及远程刷写、远程车辆控制信息安全；更便利的OTA，在车辆整个生命周期内，让用户持续体验新功能，不改变硬件，提升车辆性能，提高用户满意度。

3功能安全开发

具2016-2018自动驾驶交通事故统计，故障根源主要在于功能安全：系统性故障、随机硬件故障；预期功能安全：电控系统功能缺陷或不足、人机交互误用。自动驾驶可以避免由于驾驶员操作失误导致的伤害事故，但必须满足功能安全要求。

在功能安全开发过程中，需分析功能安全等级，对安全做分解，分解到各个不定的因素，如独立的功能、独立的硬件，独立的控制等来确保系统不会因为某一个部件的失效而引起其他失效。独立性是指不存在会导致违反安全要求的另个或多个要素之间的相关失效或者组织上分割实行活动的各方。如图，任何功能开发，包括通过HARA分析，得出功能安全等级，从功能安全等级得出安全目标，从功能安全失效到对人身的伤害从而得出风险的一整套过程。

功能安全的开发流程为：功能安全定义、HARA分析、功能安全要求、架构内分系统软硬件设计、安全确认、生产发布。交付物有《ASR功能Item Definition》、《ASR功能HARA》、《ASR功能安全要求》、《分系统功能安全开发输出文档》、《功能安全确认报告》、《功能安全生产发布报告》。

功能安全需求分配：将功能安全需求分配到初始架构上或外部机制及其他技术 ，分为3个过程，一是基于安全目标导出功能安全需求（FSR）；二是将FSR分配到初始架构上；三是更新系统初始架构，是之变得更加安全。特别强调的是，进行ASIL（Automotive Safety Integration Level,汽车安全完整性等级）分解：如果具有双系统实现同一个功能可以进行等级的分解和独立性分析。

4 集中式电子电气架构功能安全开发

分布式电子电气架构包括输入、处理和输出，有独立的传感器、电源、CPU、通讯电路和执行装置，这些独立的元器件确保了任何功能区间相互的影响减小，而集中式电子电气架构资源集中，将传感器、电源、CPU、通讯电路和执行装置集中于一个域控制器或者执行器，当某一个传感器失效，与之相关联的其他功能都会存在失效的风险，这个与功能安全的独立性是相矛盾的，那么如何实现集中式电子电气架构的功能安全呢？

集中式电子电气架构功能安全设计的转变即对域控制器本身功能安全进行微观设计，由总体要求转变为对其下一级CPU、存储器、硬件的一些具体要求。硬件独立性：采用多核CPU+独立时钟；存储独立性：分区管理、安全访问；输入：设置多端口，确保信号独立性，尤其对于与安全强相关的信号，需要多通道、不同机制的原理来实现信号的传输，避免出现共因失效，导致安全问题。软件方面，对于不同的功能，实现独立的多个实时操作系统；独立的输出与输出诊断功能。

引用地平线《车载中央计算平台技术挑战及发展》中宝马集中式电子电气架构安全设计。硬件安全策略：异构双机备份，L3自动驾驶本身所有关键流程都有冗余备份；降级模式，L2 ADAS作为L3自动驾驶的备份，独立于主系统，可以控制冗余的制动/转向系统。软件安全策略：交叉验证，主要和次要两个ASIL通道交叉检验；主次通道路径规划验证不一致，系统将进入降级模式，L2 ADAS 启动。安全等级：系统的主要部件满足ASIL-B等级；关键部件满足ASIL-D等级，如车辆动态ECU（动作控制），轨迹追踪控制，失效降级ECU和选择器。为此，安全机制的复杂性引入了新的安全风险，但是通过这种硬件软件的冗余备份机制，加之随着芯片技术的发展，算力的提升，更易实现在确保满足各功能的前提下，车辆的安全性也将得到最大幅度的提升。