汽车网络在确保正确的车辆功能和保护整个系统免受不正确的子系统行为方面的作用。
如今的汽车电气和电子(E/E)架构非常复杂,许多车辆功能分布在多个独立的ecu上。ecu、传感器和执行器并不都是直接连接的,而且大部分数据通信都是跨网络进行的,通常是通过多个网络上的网关进行的。现代E/E体系结构正式地围绕功能域组织,越来越多地使用域计算机或控制器作为集中计算,吸收了该域的许多高级功能。
以太网网络所支持的面向服务的体系结构(SOA)的使用越来越多,这使得信息技术(IT)领域的原理可以在汽车应用程序中重用。SOA的主要演变是从考虑离散信号到服务的转变,服务提供多个相关信号,这些信号订阅适合其功能需求的服务。
SOA与物理体系结构的更改并行发生。计算能力越来越集中,域ecu被重新组织成区域布局。一些oem和集成商选择在传感器和执行器附近的区域ecu中设置高计算能力,而另一些则将其设置在相对简单的网关中。此外,从功能领域转移,将高完整性需求级联到整个体系结构的更多ecu中。这些架构可以简化功能的可伸缩性,只在中央计算单元中提供处理和内存空间。集中式或分区式架构还有助于降低OEM的装配质量和物料清单(BoM)成本。这种转变的速度因组织、地区和汽车市场部门而异(图1)。
图1:集中式与分区式架构。
仪表盘、中央显示器和平视显示器(HUD)越来越多地成为一个集成系统的一部分,是驾驶员信息和信息娱乐系统的延伸。考虑到功能安全因素,在仪表集群中有更多信息,在承载这些功能的计算平台上仍然需要几个分区;这样的分区可以是单独的处理器或仅仅是单独的核心。这些系统可能有独立的led、开关和其他外设连接,以完全满足其要求,尽管传统的汽车控制开关设备通常连接到车身控制器或网关。
除了该系统的信息娱乐部分承载的媒体功能外,其他关键的驾驶员信息还包括车辆速度和故障、驾驶模式、结冰警告、导航方向、估计距离等。一些原始设备制造商将集群称为“组合仪表”,将曾经的多个仪表仪表、警示灯和跳闸计算机元件整合到一个系统中。每次功能整合时,都会在新组件或ecu中添加新功能,从行程计算机到时钟、温度表和结冰警报(图2)。
图2:车辆结构中信号流的示例子集。
对于汽车网络设计师来说,每个设计决策都对整个系统产生影响,应该在设计时就考虑到这一点,以便在之后的过程中进行系统测试,以确认正确的行为,而不是发现需要设计迭代的问题。本文将概述车辆网络设计的关键领域,以及管理挑战以满足关键车辆设计需求的解决方案。
对于CAN-to-CAN网关,网络设计人员可以选择对整个信号帧进行网关,或者将每个信号单独重新打包到一个新帧中。在网关处进行更多的处理或更低效率地使用网络带宽之间,这种简单的权衡现在已经存在。AUTOSAR提供了协议数据单元(PDU)作为不同网络技术之间网关的设计元素,同时保留了读取单个信号并将其重新打包到新的PDU中的选项。
然而,设计人员可能需要考虑网关将如何触发它所转发的网关数据的发送,这将影响整个系统的整体延迟。这通常受到重用现有ecu或框架和PDU设计的限制,这些设计支持跨多个汽车项目与供应商的集成。
一些原始设备制造商倾向于使用现有的预先设计的网络消息库和帧包装,以支持ECU无需更改即可重用。使用SAE J1939(适用于重型和越野车辆)等标准化协议,可以实现不同品牌车辆和设备的可靠连接。这两种方法都减少了优化范围,但不会降低设计的性能和行为考虑。
网络设计人员为系统的许多技术细节遵循特定的oem定义的设计规则,例如每种网络技术的优先级或调度。LIN和FlexRay是具有时间表的时间触发网络。CAN使用基于帧ID的仲裁机制,为不同类型的有效负载保留,包括运行大多数网络的功能和网络管理,以及用于服务和诊断的数据。较高的优先级通常分配给具有可变抖动的影响车辆功能的数据。
以太网设计,包括交换机配置,从单一域的网络流量扩展到包括更通用的车辆数据,例如在传统网络和以太网之间传递的数据,作为功能域控制器之间的骨干网,以实现全面的系统考虑。以太网增加了另一组网络行为和一组更复杂的标准和协议。然而,这些网络比专门的汽车网络更具可扩展性,无论以太网物理层类型如何,都使用相同的通信软件,使更新更容易。以太网网络可以在多个波特率下互操作,并在车辆的大部分区域内使用,随着时间的推移降低了技术复杂性。FlexRay和高波特率可以有一个看似不断减少的用例集,它们是理想的解决方案(见表1)。
以太网为网络设计人员引入了额外的配置选项。不同级别的协议、方法和元素保证了优先级数据、信号和业务的及时可用,同时允许同一物理网络中存在多种类型的数据。同时,虚拟局域网(vlan)隔离不同类型的数据,并允许对各种数据类型进行优先级排序,可以被限制(在带宽利用率方面),甚至被禁用。一个特定的VLAN可以用于实现软件更新,允许带宽调节用于特定功能,这取决于车辆的状态或模式。
视听桥接(AVB)用于为以太网网络上的音频和可视数据流添加特定的形状或优先级,以确保音频和可视数据可以通过网络发送,而不会由于数据速率的变化而出现砰砰声、噼啪声或其他失真。AVB被早期的汽车以太网用户与可扩展的基于IP的面向服务的中间件(SOME/IP)和服务发现(SD)一起采用,支持SOA通信。时间敏感网络(TSN)是一种AVB开发,专门用于具有高完整性要求的功能和用例。TSN扩展了AVB的一些元素,同时还添加了一些以前没有的元素。
AUTOSAR根据需要直接包含或支持上述技术和标准。经典版和自适应版AUTOSAR所需的标准和功能都在基础标准中进行了标准化,以确保兼容性和一致性。
多年来,网络设计人员一直在考虑功能安全进行设计,在大多数情况下,所使用的机制都很好理解。在最近的AUTOSAR版本中,更高级别的驱动程序辅助和自动化使用的更大的数据元素和对象添加了更新的机制或模式。
网络的传统方法是将其视为ISO 26262中定义的质量度量(QM)作为一种机制,从而在设计中添加元素以验证数据正在定期和准确地接收。现在,不断增加的系统完整性要求为某些数据提供冗余路由,但这是系统级的设计考虑,是作为附加设计规则遇到的。
如果不正确或缺失,则会带来潜在安全后果的数据主要接受端到端(E2E)保护,其中一组信号被打包在一个公共消息或PDU中,作为网络总线、网关和COM堆栈的单个实体。这些分组信号有一个循环冗余校验(CRC)计算,某种形式的计数器(活的,帧的,或其他取决于所选择的方案),和一个数据ID,尽管也可以使用其他方法。这些保护方法被AUTOSAR标识为模式,其中包括用于提供保护的通用机制,包括CRC计算。原始设备制造商和系统集成商可以根据系统设计方法中识别的风险制定自己的设计规则。
网络设计者根据系统设计阶段确定的功能需求对信号进行分组,并在网络设计中构建这些组,或者在现有项目的情况下重新包含这些组。证明设计符合要求、规则和标准的文件支持对E2E保护应用的审计。这些机制由发送方设置,接收方使用这些机制来确认数据是新的、有效的,并且来自正确的发送方。系统设计必须足够健壮,以应对可能正确的数据偶尔被拒绝,或无效数据被接受,这两种情况都不常见,而且通常是单独发生的,但在数百万辆车辆使用数千小时后,这些不常见的事件也会发生。
与功能安全相一致,ISO/SAE 21434标准为设计需要网络安全的车辆系统提供了原则和流程。为了满足功能安全,将检查接收数据与发送数据的一致性和正确性,并有限地检查信号组是否正确。网络安全包括额外的检查,以验证数据来自正确的发送者,有时还包括对数据本身进行加密,尽管这两者通常不需要同时进行。
现代汽车系统可以交换电话号码、地址、支付细节等数据。这些类型的数据包含个人身份信息(PII),在传输和存储过程中都需要加密,因此还需要加密密钥来写入和读取数据。
用于与安全相关的控制决策的数据必须是可信的。在某些情况下,整个系统设计可能在数据的来源或感知中包含足够的冗余,因此不需要对每个元素进行全面保护,并且可以使用融合算法来解决冲突。系统设计的这一部分也有可能受到源系统组件和可用网络技术(带宽、最大PDU大小等)的限制。消除或减少这些限制是实现每帧更大有效载荷的更高波特率网络的主要驱动力。
来自决策算法的控制数据,可能是关于转向、加速、制动等控制输入的指令,对车辆行为有直接影响。系统设计必须确保这些数据是正确的,因此,在目标电机或执行器上验证控制数据是非常可取的。可能的身份验证机制包括信号组的散列(#)版本,允许接收方对数据执行额外的键控检查。
使用多种保护措施来减轻不同的风险是很常见的。数据的冗余副本或路径可以提供帮助,但是,在发生冲突时确定信任哪个数据是一个重要的设计考虑因素。与功能安全相比,网络安全保护表现为在平台、云连接等方面构建防御层。必须特别注意,确保所有适当的层都已就位,用于确定存在风险的系统。
传统上,车辆网络被设计为保持所有清醒状态,以确保在需要时可用功能。特别注意设计当车辆处于适当状态时发生的健壮的关闭程序。该方法可维持与安全相关的功能和备份功能,以启用驻车制动或在网络故障时维持有限的动力系统运行。为了最大限度地提高能源效率,最好在短时间内关闭当前不需要或需要的组件,而不是在休眠或关机的组件唤醒时间内关闭。
部分网络允许在不需要时关闭某些网络。有时也使用假装网络,其中一些ecu进入低功耗模式,但继续在网络上活动。权力模式可以变得更加复杂。重要的是,需要的信号和数据可以由清醒的ecu生成,使用清醒的传感器,并通过清醒的网络发送。因此,功率模式可以快速地限制信号的路由。
最后,复杂性(定义为选项和变量)必须在完整的系统级别上考虑,因为它受到所讨论的所有内容的影响。大多数汽车项目共享一个通用的底层E/E架构,适用于不同尺寸、不同车身、不同市场的汽车。根据各自的车辆特性,OEM的低规格汽车总体上比高规格汽车使用更少的ecu。有些信号在所有变化中都可用,而另一些信号可能会因不同车型的计算或测量不同而改变来源。例如,车辆速度算法将考虑两轮驱动和四轮驱动车辆的不同车轮滑移行为。功能安全和网络安全机制还需要考虑相关车辆的变化。
本文涵盖了E/E系统开发的网络设计阶段的广泛挑战和考虑事项。这些挑战和决策中的每一个都可能产生广泛的、跨领域的影响,这些影响很难预测,甚至很难完全理解。将多个学科联系起来,使设计人员能够了解他们的决策在开发过程中的下游影响,这对于加速车辆开发过程至关重要。网络设计考虑并实现了许多至关重要的元素,以确保正确的车辆功能,并保护整个系统不受不正确的子系统行为的影响。重要的是要选择一种解决方案,该解决方案能够一致且正确地生成用于开发和验证组成整个系统的每个ECU的配置和文档。
西门子的资本网络是为满足车辆网络设计的特定需求而开发的。它汇集了全球多家oem使用的前辈的经验,AUTOSAR流程和框架,加上多年的行业学习,是汽车行业最强大的网络设计软件工具之一。Capital Networks是一种基于模型的设计解决方案,提供生成式设计功能,确保在现代电子/电子架构的多个相互依赖的复杂性中高效设计性能网络,并在多个车辆平台上使用。内置一致性检查使用设计规则和模型来确保设计的正确性,引导用户注意任何需要注意的地方。生成AUTOSAR或其他格式的设计正确性输出,以配置每个ECU或验证整个网络,包括功能安全和网络安全所需的元素。如欲了解更多,请访问:https://www.plm.automation.siemens.com/global/en/resource/capital-networks/93939
|
|
|
|
|
|
|
|
留下回复