提高汽车的可靠性

汽车制造商正在转向预测性和预防性维护，以提高日益电气化的汽车的安全性和可靠性，这为更多的内部和外部传感器以及更智能的解释和对这些传感器产生的数据做出反应创造了条件。

随着汽车制造商用电子设备取代或补充机械部件，汽车内部的芯片数量一直在稳步增加，无论它们是由电动机还是内燃机驱动的。这包括从电子控制单元(ecu)到无线和网络电路，更多具有复杂电源管理的电池，以及更多致力于安全和诊断的组件。现在的挑战是如何更有效地利用这些数据。

“‘安全状态’的概念至关重要，”公司解决方案和业务发展副总裁Frank Schirrmeister说Arteris IP．例如，一个测量轮胎压力的传感器可以指导司机检查是否以及何时与标准有显著差异。对于没有人工干预的预防性维护，像数字双胞胎这样的预测性维护概念是否也可以应用在这里，以及电子系统各自的安全状态是什么，这些都是问题。”

在ECU级别，端到端虚拟化可以为软件定义车辆集成跨域车辆功能打开大门。虚拟ecu只能访问和控制电子设备的特定方面。它们在电子上与其他虚拟ecu隔离，对故障提供独立响应。

Schirrmeister表示:“如果发生故障，系统可以通知虚拟ECU软件。它还可以在不影响系统其他区域的情况下导致虚拟ECU复位，并从外部报告虚拟ECU故障。从这里开始，这些概念可以进一步扩展到预测性维护。”

预测性维护依赖于了解ECU应该如何工作，以及何时或多久它不再在可接受的参数内工作。与此同时，预防性维护通常需要根据里程表的里程读数进行维护。但我们的目标是将预防性维护从被动的、计划驱动的服务推进到板上弹性，在可能的情况下，要么通过软件修复，要么通过某种自动故障转移纠错编码用于内存中。

“作为ADAS、自动驾驶和电动汽车功能核心的大型ecu和ic可以解决需要大型复杂处理的任务，”Charles Battikha表示西门子EDA咨询和学习服务。“易失性存储器和闪存设备易受老化影响。它们也有复杂的接口，比如以太网。较大的ecu和ic属于ISO 26262管理功能安全的范围，因此已经有硬件和软件来检测由于随机硬件故障引起的错误，包括错误纠正码(ECC)和重试技术来检测和管理可纠正的错误。例如，ECC可以纠正内存中的1位错误。以太网协议允许在数据包损坏时进行重试。记录和跟踪这些可纠正错误的发生率是一个简单的步骤，可以预测何时需要更换ECU，这可能会防止运行过程中的故障。大多数ecu和ic的更换成本都很高，为交换设置了障碍。然而，现在车辆有了OTA更新，在大型车队中收集数据，在可纠正的错误率和最终的硬故障之间建立相关性变得更容易了。”

更多的复杂性
与此同时，这些ecu和ic需要大量的功率并产生大量的热量，因此它们需要适当的气流，其中包括散热器、风扇，甚至是液体冷却。

Battikha说:“不适当的散热会影响使用寿命，并可能导致操作过程中的严重故障。”必要的预防性维护将有助于确保ecu无污垢/灰尘，气流无堵塞，连接紧密。预防性维护步骤可以包括吸尘、清洁、重置/重新校准散热器连接、目视检查连接器和电缆的腐蚀情况等。”

这将要求汽车的电子内容发生重大变化。CALSTART是一个由300名成员组成的非营利联盟，其使命是帮助建立一个清洁的交通行业，据该组织称，电动汽车约70%的部件将与内燃机汽车不同。电动机、控制器、电池和充电器将取代内燃机、油箱、化油器、雾霾控制、起动器、排气系统、发电机以及油泵等部件。

随着内燃机车被电动汽车取代，预防性维护也将发生变化。例如，电动汽车不需要更换发动机油或更换部件，根据设计的不同，更换传动液可能会有所不同。配备单齿轮电机的电动汽车不需要更换传动液，而配备双齿轮电机的高性能车型则需要更换。

“这些都是重新设计的，”Lars Ullrich，汽车美洲的副总裁英飞凌．“传统汽车的电线长达数英里。我们正在向一种带轮子的电脑过渡。随着电气化带来了去中心化计算架构、新的安全连接以及从系统角度看待它的能力的新机会。”

工业可靠性建模
幸运的是，历史上有一些使用传感器来提高可靠性的先例。工业4.0利用工业物联网、人工智能和大量传感器的连通性来预测何时需要为特定系统或组件提供服务。工业4.0的关键目标之一是提高正常运行时间，而这在很大程度上依赖于预测性和预防性维护。

通过在生产设备上安装多个有线或无线传感器，并进行24/7人工智能监控，工厂操作员能够保持设备24小时运行。人工智能系统可以预测设备何时会发生故障。例如，传感器现在可以检测机器运行时设备温度的变化。如果电机过热，超过其正常温度分布，这是一个迹象，它即将故障。此外，这些系统可以自动安排维护团队更换组件，甚至在故障发生之前订购必要的部件。

这种学习在很大程度上可以应用于汽车领域，人工智能可以用于监控核心功能，并根据需要安排维护，而不是根据固定的时间表。

Amol Borkar是Tensilica Vision和AI dsp的产品管理、营销和业务开发总监节奏该公司表示，这些数据可以从专门用于检测振动、气体、湿度、温度、压力和旋转/速度的传感器中收集。“例如，通过振动传感器，这个设备是否在理想频率范围外振动?振动是在外部还是在单个部件内部?使用湿度/湿度传感器，如果湿度存在或不存在，它是否在可容忍范围内?那么，对于一个安全传感器来说，该单元是否被打开或密封不当?”

第一步是在系统中战略性地部署足够多的传感器。下一个挑战是理解这些传感器收集的所有数据。

“使用AI/ML进行预测性维护已经有一段时间了，”Borkar说。“像任何AI/ML问题一样，如果你想让你的系统可靠地运行，你需要用大量的数据来训练它。通常，预测性维护不能通过查看单个数据点来完成。相反，我们需要处理数据序列以从训练数据中提取模式并预测可能的故障点。因此，为了完成这一任务，通常使用循环神经网络(rnn)——或者更具体地说，基于长短期记忆(LSTM)的网络，因为它们非常适合处理数据序列和时间序列。”

对于电动机，可以增加传感器来监测温度、噪声、振动、转矩功率的变化和其他过程。同样，对于电池，电压、充电时间、间歇电压降和其他异常行为都可以进行监控。

传感器还可用于监控车辆中运行的软件是否被篡改，或者一个或多个组件是否产生了异常的数据量。

“如今有很多可用的技术，比如安全开机和计量开机，这些技术可以让汽车制造商检测出车辆在现场的安全问题，”福特汽车公司董事总经理马丁•布朗(Maarten Bron)表示Riscure．“设备认证就是这样一种技术，它使依赖方(如车辆的OEM)能够确保他们从车辆接收到的信息的可信度。”

今天在移动行业中有许多用例，例如，在移动支付场景中使用设备认证技术来避免欺诈。Bron表示:“汽车用例的特殊之处在于安全与保障之间的微妙界限。“而在支付场景中，对欺诈的预期反应是远程断开或禁用支付设备。对于车辆来说，这种行为可能会使乘客和其他道路使用者的安全处于危险之中。因此，即使攻击者的模式可能相似，但对攻击的反应可能不同。”

考虑到目前电动汽车包含超过100个分布式ECU，随着时间的推移，其中一些将被集中式控制器ECU所取代，如何设计系统来防止这些电子元件故障?尽管电动汽车中使用的大多数芯片都符合汽车级别的要求，但不能保证它们不会失效。

一种方法是在设计中增加冗余。例如，在一个ECU中，可能有两个相同的控制器芯片在正常运行时共享工作负载。但是，如果一个芯片工作不正常，大部分关键工作负载可以转移到功能芯片上，或者功能芯片可以完全关闭有问题的芯片。这种方法可以潜在地消除关键组件故障的风险。

“在驾驶中，实时安全非常重要。手臂该公司的汽车业务线。“例如，在事故中，安全气囊故障是不可接受的。为了提高CPU、SoC或ASIC的可靠性，可以部署双核锁步设计。这两个处理器将并肩工作并实时比较结果，就像Cortex-A78AE的情况一样。根据操作的不同，该核心还可以利用其“分裂锁定”功能，该功能可以将锁阶核心拆分以执行不同的功能。如果一个核心发生故障，另一个核心可以接管，防止危险情况发生。”

系统还需要在紧急和非紧急功能之间进行划分。电机故障将被视为紧急情况，应不惜一切代价避免。另一方面，当一个前灯坏了，如果另一个还在工作，那就不是紧急情况。

前面的路
并不是所有的部件都适合自动恢复。例如，当更多的传感器部署在整个车辆，什么将防止这些传感器故障?虽然自我修复组件正在研究和测试中，但距离商业化使用仍有数年时间。

随着技术的快速变化，可靠性仍然是一个挑战。根据《消费者报告》2021年的研究，在17种最可靠的汽车类别中，电动suv被发现是最不可靠的，次品率高于大多数内燃机汽车，部分原因是电动汽车相对较新，制造商仍在学习曲线上努力。

电动汽车的行驶里程也有限，这意味着它们需要连接到公共充电器。但这些充电器也可用于应对网络风险。Pen Test Partners测试了几种不同类型的公共充电器，包括Project EV/ATESS/深圳Growatt、Wallbox、EVBox、EO Hub和EO mini pro 2、Rolec和Hypervolt。除一人外，其他人都被发现感染了安全漏洞，从而凸显了利用公共充电器作为后门使电动汽车遭受网络攻击的风险。

然而，这些车辆本身面临着与普通汽油动力汽车大致相同的威胁。at公司安全IP产品营销高级总监巴特•史蒂文斯(Bart Stevens)表示:“在考虑潜在威胁向量时，需要考虑车辆的各种组成部分，首先是车辆与外部网络的连接。Rambus．“当车辆连接到不稳定的蜂窝网络用于远程信息处理或用于娱乐目的的Wi-Fi时，网络连接可能会被黑客攻击和利用，让网络犯罪分子获得车辆电子设备。转向和制动系统可能很脆弱。”

此外，汽车网络通常缺乏保密性。因此，攻击者可以反向工程ECU消息，以模拟其他内部设备。

史蒂文斯解释说:“攻击者还可以利用易受攻击的诊断端口，如机载诊断(OBD)和OBD- ii端口，来安装未经授权的配置或恶意软件更新。”“此外，无线钥匙链交互通常相当简单，黑客可以使用手机应用程序进行欺骗，攻击者可以很容易地随心所欲地锁定和解锁车门。”

电动汽车和内燃机汽车都可能存在这些漏洞。

他说:“虽然电动汽车有额外的电池和电机管理系统，但电动汽车充电端口是另一个进入电动汽车的入口。”“电动汽车供应设备(EVSE)等公共充电器通常使用开放充电点协议(OCPP)，并可能通过车辆模拟进行充电欺诈。给车辆充电的能力可能会中断或中止。这些充电连接使用了适当的加密技术，但如果密钥管理不正确和安全，这些连接可能会变得脆弱。一旦遭到破坏，数据就会被窃取，或者电动汽车的互联网活动就会被监控。”

接下来是什么
在车辆完全自动驾驶之前，还有很多工作要做。

该公司功能安全顾问Ken Boorom表示:“‘故障运行’系统可以在出现故障时继续运行。西门子EDA咨询和学习服务。“这些系统内置了容错功能。5级ADAS系统绝对需要故障操作，因此已经有大量工作用于开发能够进行某种类型的自我修复的系统。电子系统可以在设备层面上自我修复，例如，通过修复金属痕迹上的断裂，目前在商业上是不可行的。相反，通过复制设计电路、开发故障检测方法和在发生故障时交换电路的冗余来实现容错。这种方法是有代价的，因为它可能需要制造额外的电路。

同构冗余—添加重复的但也可以在操作期间使用的资源—是降低成本的一种方法。例如，在软件级别添加“锁定”坏内存部分的能力，允许系统即使在内存故障的情况下也能保持运行，而不必复制所有内存。在磁盘驱动器中使用类似的方法来锁定坏块。这种方法甚至可以在具有多个CPU核心的系统中使用。例如，在一个8核系统中，如果一个核心发生故障，其他核心可能能够保持系统运行，直到车辆得到维修。

人们应该假设所有的电路和电子设备都可能损坏，也会损坏。更有可能的是，更高级别的冗余将更容易获得。因此，随着成本的降低和效率的提高，增加三层冗余将变得更加普遍。目前，逻辑冗余用于保护IC内部(如锁步cpu)，功能冗余用于保护系统(如激光雷达和vVision -两者都负责对象检测)。这种级别的冗余假设故障意味着功能丢失。在三倍(或更高)冗余下，即使出现故障，也能保持完整的功能/操作。”

结论
虽然电动汽车是未来的交通工具，但仍存在许多问题。例如，OTA更新的安全性如何，谁将拥有车辆中数百或数千个传感器生成的数据的所有权。随着越来越多的传感器被用于监控电动汽车内部的一切，这将对故障风险产生什么影响?最后，随着越来越多的人工智能被部署到电动汽车中，谁来决定人工智能的表现以及人工智能本身是否可靠?

到目前为止，这些问题还没有明确的答案。但在未来十年，汽车芯片行业需要充分理解这一切，才能在减少事故和提高车辆可靠性方面取得进展。