中文 英语

互联汽车将迎来巨大变革

要接入汽车内外的多种服务,就需要重新考虑从架构到安全的方方面面。

受欢迎程度

汽车制造商正在改造他们的电子架构,以便他们能够利用越来越多的外部服务和内部选项,类似于数据中心通过内部网络利用各种服务的方式。

在过去,这在很大程度上仅限于内部服务,如车载互联网连接,以及外部流量路由和音乐。目前的愿景是通过更快的内部和外部通信来大大扩展这些服务。但要实现这一切,需要在多个方面做出改变。

即使不考虑这些新服务,汽车芯片和系统的复杂性也在爆炸式增长。汽车原始设备制造商及其供应商一直在逐步增加汽车中的ecu数量,以及数百万行代码,以实现新的功能和功能。现在,随着辅助驾驶和自动驾驶水平的不断提高,这种复杂性已经飙升,使得旧的方法不可持续。

随着竞争加剧,建立已久的分层供应商生态系统开始围绕消费者的需求重新定位,其中一些可能由汽车制造商提供,而另一些则将随着围绕汽车的基础设施建设而实现。这包括智能城市、车辆到基础设施和本地化边缘服务,它会影响车辆内通信的结构、数据流量的优先级以及计算基础设施的分区方式。它还决定整合哪些ecu,如何在车辆内将所有这些绑定在一起,以及整个软件驱动的、面向服务的体系结构(soa)。

soa在汽车行业相对较新,因为直到最近,来自第1层或第2层供应商的软件和硬件之间都是一对一的匹配,而且它们不能被解绑定。

“随着汽车生态系统发生的变化,这种变化已经消失了,”at的自动驾驶和ADAS高级主管David Fritz指出西门子数字工业软件.“新的汽车架构旨在解决非常复杂的问题,并绕过现有汽车的供应商和技术限制,问‘我们究竟该如何设计软件来适应这些问题?工程团队习惯于在MATLAB中建模,按下一个按钮,让工具为他们的控制器生成一些C代码,然后完成。在面向服务的体系结构(SOA)中,您甚至不知道软件将在哪里运行。你不知道它是否会在管理程序中运行。你不知道你是否能完全控制那个微控制器,也不知道以后会不会下载到影响你性能的东西。你到底是怎么做到的?这又回到了数字双胞胎,需要提供模拟结果来指出边界在哪里。与此同时,整个系统软件架构的设计有很大的不同,因为它是动态分配的,而不是静态分配的,并且与硬件一对一地网格化。”

图1:软硬件关键性能指标分析。资料来源:西门子数字工业软件
图1:软硬件关键性能指标分析。资料来源:西门子数字工业软件

利用面向服务的体系结构
考虑soa的另一种方式是根据在业界广泛讨论过的分区体系结构概念。

对于面向服务的体系结构,有几种不同的方法,包括区域方法。“当你考虑汽车的地理位置时,你必须考虑如何将其分解,”福特汽车营销副总裁库尔特·舒勒(Kurt Shuler)说Arteris IP.“作为ECU整合讨论的一部分,zonal可以是一种方法,例如,防抱死制动系统通常与其他子系统相邻,所以让我们把它们放在一起,我们将成为一个涵盖所有内容的电子系统。’然而,仍有一些人说,所有这些都将结合在一起,就像一个集中的架构,有一个共同的大脑,从功能安全和冗余的角度来看,这是有意义的。”

区域架构是一件大事。福特汽车解决方案总监Robert Schweiger表示:“整个汽车行业都在转向这种新架构,因为自动驾驶需要更集中的计算基础设施,还需要一些分布式的多用途分区控制器,可以处理所有传感器等。节奏.“为了实现这一点,你需要高速的车载通信,所以以太网将很快从我们现在的1gb向10gb发展。此外,汽车服务联盟正在为此制定自己的标准,这非常有趣,因为在去年同一时间,MIPI发布了MIPI A-PHYi,这应该正是解决这个问题的方法。因此,现在有两个相互竞争的标准正在向前发展,它们将把我们带到每秒16千兆比特,以解决从以太网到端点(例如传感器)的连接问题,使用SerDes类型的通信。在从ECU到ECU,或到中央计算单元的云中,它肯定是以太网。这意味着更多的原始设备制造商将采用这些高速通信标准,因为它可以实现许多其他功能。因此,您需要高集成度的ecu。中央计算单元是非常庞大的计算机,中间是非常复杂、非常强大的soc。然后,区域控制器,如果它们是多功能的,更小的计算单元,基本上将演变成我们现在汽车上的多个综合ecu的化身。”

这是大方向,但是关于如何构建体系结构的权衡讨论仍在发展中。的上下文中设置汽车以太网(AE)以及它带来的额外带宽,可以使用SOA启动整个车辆,每个单独的组件都有自己的启动闪存。

“在这里,它可以跳出来说,‘我需要访问这些服务,无论这些服务在哪里。它可能在同一个印刷电路板上,也可能在汽车的另一端,也可能在任何地方,实际上它在哪里并不重要。一旦你注册了这些服务,如果它是监控,例如,一个仪表盘,就会有监控数据发送到速度表和转速表。这种传输也可以发送信息。”

从功能的角度来看,这需要考虑许多因素。Shuler说:“有了SOA,许多功能都被虚拟化了,它们可能有一些相互依赖性。”“它们可能是相互依赖的,也可能是完全独立的,脱离了这个单一的架构。SOA本质上涵盖了处理在哪里进行的这两部分,以及处理是什么,以及什么样的服务?它为车辆和整个系统提供了什么样的功能。这就产生了一种冲突,一方面,‘我要为汽车的所有功能配备一个微处理器’,另一方面,‘我要在一个中央主机上运行所有功能’。”

它还会对系统架构的其他部分产生连锁反应。

Shuler说:“当你在处理像AUTOSAR这样的软件时,当你不需要庞大的元函数时,你就可以把这些功能切片。”“但当有巨大的功能时,比如自动驾驶,这可能会让事情变得更有区域/层次。它是多个方面之间的母女型系统关系。这是从硬件的角度来看的。还有一个软件大脑控制着一切。但当你看实际的硬件时,它确实在不同的地方。这是因为基于旧的子系统方法的体系结构中的模块化。当存在不同的子系统时,您希望具有一定的灵活性。对于数据交换和不同类型的处理,以及对数据进行预处理的能力,开始有了更多的标准。然后,不是把所有的比特都发送过去,你可以说,‘这是显示那里有什么物体的数据格式,它可能来自激光雷达、雷达或相机,但物体分类必须在那里。”

汽车生态系统参与者可以通过几种方式开始探索SOA。主要的方法是从机器人行业借来的,称为ROS,或机器人操作系统。

“几年前,一些公司开始将ROS面向服务的概念应用于原型车,这仍然是非常新的概念。大多数人甚至不知道它是需要的,更不用说它的存在了,但它正在被重新设计和改进,目前有基于ROS的SOA架构,”西门子的Fritz说。“在早期的探索中,我们强调了它的利弊,现在我们正在把它带到原始设备制造商那里,告诉他们,‘在你找到自己想要的东西之前,ROS是一个非常好的起点。唯一的问题是,即使你使用的是ROS,它也有点像SOA的通信层。除此之外,您还需要语义信息。例如,如何在智能城市基础设施的功能和车载车辆的功能之间找到正确的平衡?”

安全问题
智能城市基础设施与车辆架构交互存在安全问题,但并非所有问题都得到了充分解决。

“在汽车与周围环境之间的通信中,这带来了有关性能和安全的基本问题,”奥迪的技术产品经理蒂埃里·库通(Thierry Kouthon)说Rambus安全说。“在这里,安全性主要是关于身份验证。你必须确保和你说话的车真的是一辆车,而且是出自真正制造商之手的真车,而不是黑客,或试图发送假信号或干扰你反应的敌对实体。这需要公钥加密,以便车辆之间进行身份验证,所以我知道我从周围所有车辆接收到的100个信号来自大众、奔驰、通用汽车等公司的实际车辆。”

为了做到这一点,你需要两样东西。首先,一个信任的根源确保没有人可以普遍地检查密码处理,以及在处理过程中的密码操作是至关重要的。

“双方都需要这样,”库森说。“除了V2X环境下的通信外,安全性还必须体现在车辆内部。与50年前的设想相比,现代汽车更像是带轮子的计算机,原因有以下几点。一辆典型的汽车包含50到100台计算机,用于转向、巡航控制、娱乐、仪表、刹车灯,应有尽有。它有很多组件,每个组件都是计算机化的,其中70%的组件是由供应商提供给OEM的,而不是由OEM自己提供的。你如何确保每个向你提供东西的人都是真实的,而不是给你的车注入恶意的东西?”

其次,所有这些计算机都通过网络进行通信CAN总线Kouthon解释说,这在汽车中无处不在,由于成本原因,通常没有任何安全功能。“这并不是因为原始设备制造商和一级供应商不知道如何确保安全。这是因为汽车的利润率很低。这是一辆大公共汽车。这需要很多线路,而且要让它非常安全会花钱,增加汽车的材料清单,等等。现在的方法是将安全性放在电子控制单元(ecu)中,因为每个ecu在处理器中都有一个计算机,由于我们无法保护处理器之间的网络,所以处理器是安全的,因此当它们彼此交谈时,无论通信介质是什么,它们都可以相互验证。”

智能城市的安全,本质上是电子战和对抗措施,所使用的所有设备必须适合这些应用,威拉德·屠说赛灵思公司.“你要确保人们不会欺骗你的激光雷达或雷达数据,向你发送错误信息。这就是在军事战区发生的事情,我们谁也不想考虑这个问题,但这就是电子对抗措施试图做的事情——混淆你的传感器阵列,如果可能的话接管它。”

这是一个熟悉的安全领域,尽管这是一个持续的挑战。“从根本上说,在这些类型的环境中,安全性总是归结为拥有适当的基本属性,”的首席技术官Jason Oberg说龟岛的逻辑.“你想加密一切,确保没有人能窃取信息。然后你要确保你所有的信息都是有签名的和真实的,这意味着如果我向另一辆车,或建筑物,或一个标志或基础设施的一部分发送东西,它是真实地来自我-而不是路边的攻击者用他们的笔记本电脑和天线向系统注入物质,使它认为是我,然后我的车表现不同。这听起来很简单,但因为所有东西都是分布式的,所以密钥管理和如何更新谁是谁都很混乱。我怎么知道我必须说“我是杰森”的钥匙是最新的钥匙?谁是这一切的中心所有者?在互联网上,有证书颁发机构说,'这是谷歌',所以当你访问谷歌时,你可以相信它是谷歌。所有来自他们的信息都有标记。汽车也需要同样的基础设施。”

所有这些都需要存储在车辆的硬件级别。奥伯格说:“在你的笔记本电脑里,你可以控制它,除非有人偷了它,而在基础设施方面,有人可以爬上电线杆,弄乱一些东西,所以这是一种不同的攻击模式。”“出于这个原因,将所有东西都传输到实际的芯片中是非常重要的,这就是信任的根源非常重要的地方。这些钥匙需要安全地存放在某个地方。”

此外,为了使车辆能够与任何和所有形式的基础设施连接,所需的通信水平将是巨大的5克是一种显而易见的技术。这将增加对边缘计算、人工智能和更多验证的需求。

该公司功能安全产品经理Jorg Grosse表示:“确保这些通信安全进行所涉及的复杂性将令人震惊OneSpin解决方案.”形式验证将在为智能通信提供动力的集成电路的验证中发挥至关重要的作用。这项技术将不仅仅是确保设计按预期运行。它还必须确保消除安全和安保漏洞和弱点。”

随着智能城市的发展和自动驾驶技术的发展,5G正在成为共同的特征。

“对于V2X,他们希望使用5G进行通信,”福特汽车IP部门经理Ron DiGiuseppe说Synopsys对此.“事实上,3GPP在5G中实现了一些特定的功能,这些功能将使5G对汽车更有用,其中之一是提高可靠性,当然还有带宽。重要的是要确保如果也有基于策略的数据费率,它们已经添加了一些优先级。这意味着,当数据通过5G链路进行通信时,如果后座上的人正在为他们的后座娱乐流媒体播放电影,你最不希望看到的就是流媒体数据干扰V2X或自动驾驶等安全关键数据。5G具有特定的功能,可以对数据进行优先级排序。这有助于安全应用。谈到V2X和自动驾驶,自动驾驶应用程序使用5G进行高分辨率的路径规划映射,V2X则使用5G进行V2X通信。然后,后座娱乐将使用5G流畅地播放电影。这意味着我们必须确保V2X和自动驾驶这两个应用程序同时运行,因为它们都将运行在5G网络上,需要共享带宽。”

此外,Grosse预计还将采用持续的产品生命周期验证,因为在设备相互通信的时代将会出现广泛的变化,同时还要跟上安全需求的不断发展。

结论
考虑到复杂性和仍在发展的SOA解决方案,向SOA过渡可能是一场噩梦。

Arteris IP的Shuler表示:“如果你是一家传统的汽车公司,你不习惯处理10亿行、数亿行或数千万行的代码,但现在你不得不处理这些代码。“如果你是一家初创公司,进入汽车行业,也许你是从人工智能的角度出发的。或者你可能在高通公司工作,研究数字基带调制解调器,然后你有所有这些其他的要求,期望,信息共享和你曾经100%控制的事情。现在你不需要了,因为你的客户的客户所说的完全不同。汽车生态系统中的每个人都必须改变。传统的汽车供应商必须变得更加灵活。汽车公司必须学会更加灵活,但这需要承担更大的风险。而那些从风险可以接受的行业进入这个行业的人,他们必须更加注重流程,设置更多的限制框。”



留下回复


(注:此名称将公开显示)

Baidu