区域架构在车辆安全中发挥着关键作用

汽车生态系统正开始向分区架构转变，使车辆功能减少对底层硬件的依赖，并在处理内容的位置上提供更大的灵活性。

这种转变的影响既广泛又重要。对于汽车制造商来说，这可能会导致硬件整合，以及更多的故障转移选项，以防汽车中的任何系统出现问题。过去的设计要求每个车辆功能都需要一个专用的电子控制单元(ECU)，除了冗余之外，几乎没有其他选择，这既昂贵又增加了重量。但是，区域性的方法也改变了安全措施的实施方式，而这是否会使车辆变得更安全，可能需要数年时间才能得出确切的答案。

“过去，这个系统没有灵活性，”福特汽车解决方案主管罗伯特•施魏格(Robert Schweiger)表示节奏．“每个功能都有一个专门用于防抱死制动或窗户升降的硬件盒。它是专门的，没有灵活性。”

图1:运行中的功能安全电子设备。来源:节奏

在分区架构中，中央计算单元被分区控制器包围，这些控制器也具有很大的计算能力。在中央计算机上运行的某些功能被分配到特定的区域控制器上运行，对区域控制器进行预处理。然后，经过预处理的数据被传递到中央计算单元去做其他事情。

“这为利用非常强大的硬件架构来处理各种事情提供了灵活性，并允许对硬件进行额外的整合。不仅是整合功能，还将硬件整合到更强大的设备中，从而节省成本。在汽车行业，节约成本一直是一个不容忽视的关键方面。”

通过为入门级汽车添加或删除额外的区域控制器，同时仍然可以灵活地将某些功能分配给硬件，这两个方向都可以提供额外的可伸缩性。

安全问题
Elektrobit汽车网络主管Roman Pallierer解释说，从本质上讲，转向区域架构意味着用网络基础设施取代各种松散耦合的特定领域数据路径，这种网络基础设施就像数据高速公路一样，每个区域都有接入点。这意味着数据包现在可以很容易地路由到网络中的任何一点。

Pallierer说:“虽然这种无缝的‘任何地点’通信提供了许多好处，并有助于降低成本，但它也增加了新的安全漏洞的可能性。”“出于安全原因，并不是网络的每一部分都应该能够自由地与网络的另一部分通信。例如，与致力于自动驾驶的职能部门的通信必须受到额外安全机制的限制。”

从安全的角度来看，目标是将所有内容都包裹在安全层中，而不是仅仅关注于一个子系统，同时允许在如何击败攻击方面具有一定的灵活性。

“这是IP层面的网络安全，是SoC层面的网络安全，是主板层面的网络安全，是不同软件模块中的不同层面的网络安全，”英特尔营销副总裁Kurt Shuler说Arteris IP．“这必须是一种真正的‘腰带和背带裤’方式。”

汽车行业开始利用SAE、ISO和IEEE等组织共同制定的标准，这表明这个市场非常重视安全问题。

舒勒说:“这就像保险一样。“‘没有人知道它，没有人关心它，没有人能知道它是否在那里。我投资了这么多钱，但没人劫持我的车，也没人在我电脑上安装勒索软件，所以我的投资是白投的。“然而，就像这样的事情，当媒体报道有人能够入侵某物时，这将在一段时间内扼杀该行业将这些新技术推向市场的能力。人们确实有动机，如果只是因为这个原因，而不是因为‘嘿，你会被起诉，因为你没有网络安全。”

随着大量新技术被应用到新车中，这一点尤为重要。“你只有一次机会给人留下第一印象，”他说。“你试图改变人类的行为。如果真的很容易入侵，比如说，一辆自动驾驶卡车，把它变成恐怖分子的交通工具，或者一些孩子只是为了好玩而做一些愚蠢的事情，这将会创造媒体。这将阻止这些公司想要处理这项技术。”

这并不意味着分区架构可以解决所有问题。但是，随着时间的推移，随着新漏洞的出现，它确实提供了改进安全性的选项。

奥迪的自动驾驶和ADAS高级总监David Fritz表示:“如果你看看当前区域架构的开发方式，总体而言，其想法是尽可能地重复使用ecu来进行制动、转向等操作。西门子数字工业软件．“中央计算完成了所有以前不需要完成的额外计算。然后，所有内容都输出到该区域，该区域重新使用现有的硬件。这是中间步骤。这是一个实用的步骤，因为你可以获得4级和5级的自动智能，但你不必担心机电方面的问题和重新设计。”

对一些公司来说，即使这样也太麻烦了。“处理制动卡钳的逻辑没有理由不能在中央计算中完成，然后直接连接到执行器本身，”Fritz说。“所以他们正在研究传感器和执行器汽车以太网连接。在今天的情况下，中间步骤区域架构的漏洞与传统汽车的漏洞完全相同，所以这并没有什么好处。另一方面，一旦它们一路到达汽车以太网，一直到驱动器本身，那么入侵系统的唯一方法就是通过防火墙之类的东西，你把它们放在中央计算系统中。最后，您将拥有一个比现在更安全的系统，即使它是区域性的，因为区域本身使用相同的接口。所有这些都是在硬件上完成的，而不是软件，因为你不能真正破解硬件，但你可以破解软件。所以情况好坏参半。”

没有一致的安全方法，部分原因是新的威胁不断出现，部分原因是汽车架构一直处于不断变化之中。

“对于每个公司来说，安全意味着不同的东西，每个人都有自己的想法，如何实现一个超级安全的系统，同时保证安全，因为没有安全就没有安全，反之亦然，”Cadence的Schweiger说。“如果一个系统不安全，我可以操纵制动系统，那么它就会更安全。如果你听安全专家的话，他们总是谈论攻击的表面。向外部提供的连接越多，攻击者对系统的选择就越多。如果有车对车通信或车对基础设施通信，或者如果有云访问，或者在汽车中有以太网，以太网电线可以访问，这也可能会导致潜入系统的路径。如果这是一个非常可配置、高度连接的系统，当然就会有更多的可能性被入侵。”

不过，汽车制造商一致认为，需要将安全作为架构的一部分，而不是试图将其叠加在现有设计之上。汽车解决方案架构师Chris Clark说:“安全性不是你以后可以添加的东西Synopsys对此．“所以，即使我现在有一个传统的模型，或者将来我要使用一个区域模型，我也必须建立这种安全性。因此，我天生就拥有良好的网络安全实践和完善的基础设施的安全特性。”

安全措施不仅限于乘用车。卡车运输也获得了一定的关注，在这一领域，考虑因素是不同的。

克拉克说:“当我们考虑我们的消费汽车时，它们真的是独立的。“我们拥有无线更新功能，可以获得汽车的信息更新，并解决网络安全问题。重型卡车运输也将如此。会有那些完全相同的能力和解决方案。不同的是，我们总是想到卡车，而不是拖车。为了达到必要的效率水平，拖车也将开始获得一些智能。他们将不得不参与整个制动计划，无论是冷藏机组还是普通机组，以及重量负载平衡和管理等先进功能。所有这些组件中都有电子设备，要篡改一辆即将连接到重型卡车上的拖车，并通过物理方式访问重型卡车的内部网络，要容易得多。”

OEM仍有责任确保重型卡车的稳健性，这一点没有改变。克拉克说:“现在谁来负责整个汽车的整体网络安全状况，这一问题确实发生了变化，但仍有待辩论和讨论，这个问题还没有得到回答。”

这也意味着，从行业的角度来看，关于如何在生态系统层面上推出区域架构，仍然存在悬而未决的问题。onsemi应用工程副总裁Dave Priscak表示，对于一家OEM来说，分区架构可能是有意义的，但从整个行业的角度来看，这是非常困难的。

Priscak说:“以区域的方式观察传感器有很多优势。“通过分组，我们谈论了很多，因为我们有成像和激光雷达，让这些类型的传感器更紧密地耦合在一起，在他们的区域也更自主，试图减轻中央大脑的一些负担。”

从建筑上讲，这有很多挑战。他说:“我们还没有看到这个领域有太多变化，因为你真正要求的是所有在这个领域生产产品的公司都改变他们的界面。”“因此，即使你得到了一个OEM说，‘这就是我们想要的汽车架构方式’，你也必须得到所有一级供应商的支持。每个人都必须同意，这就是他们为这些产品开发接口的方式，这样它们才能相互配合。我可以从微观层面上看到它的发生，但对于一家原始设备制造商来说，‘这就是我们要做的’将是一种自然的力量，因为这不是自然的。目前，大多数相机都是会说话的低压差分信号，或者同轴电缆。如果我们要采用区域架构，它可能会采用以太网，这意味着现在以太网上的所有东西都必须改变接口。这些巨大的挑战需要付出巨大的努力才能改变。”

举个例子:“我们谈论从CAN到以太网已经有五年了吧?目前还没有太多进展，因为双方都需要达成一致。”“事情正在发生变化，但在汽车行业，这是一个非常缓慢的变化。我们并没有让它变得更简单，因为它每年都变得越来越复杂，我们增加了越来越多的技术，越来越多的半导体。这使得制定标准变得更加困难。”

当优势超过了进行更改的成本，那么这些更改将被更广泛地实施。“为了让自动驾驶汽车成为现实，我们必须减少实现它所需的计算，”他说。“区域架构必须在某些时候出现，以便减轻中央主机的一些深度思考，并在区域上有更多的自主权，以便能够检测物体和其他事物，这样你就可以向大脑发送警告，而不必将所有原始数据发送给大脑，让它根据所有数据流做出一个决定。现在一切都还好，因为我们不是在自主模式。所以我们能够独立地看待事物，比如车道引导是独立的，知识产权保护是独立的。但当你开始把这些都放在一起时，你就会发现后备箱里有一台巨大的Cray计算机。”

通过设计保护一个复杂的系统是这里的关键。

GuardKnox首席执行官Moshe Shlisel表示:“如果你正在使用一种设计安全的方法，你可以使用域控制器方法或区域架构方法。“只要你没有一个包含刹车ECU的子网连接到互联网的架构，只要你没有这样奇怪的架构，并且你考虑到这些问题，那么你就有了一个安全的架构。然而，区域架构更有效，通常从架构本身来说，而且从生命周期成本的角度来看，因为如果你不需要召回，或者如果你使用预测性维护，因为有连接和监控，你了解车辆中发生了什么，你收集数据，你能够预测，并在问题成为大规模问题之前解决这些问题，就这样。我们知道卡车肯定会连接到基础设施，这是另一个领域。如果你正确地建造它，那么它不仅具有成本效益，它不仅能完成它的工作，而且还会是安全的。”

图2:使用树拓扑结构的带状结构图。来源:GuardKnox

Elektrobit的Pallierer表示同意。“我不会说分区架构能带来更好的安全，而是说它能加强安全概念的水平。(糟糕的)设计方法，“通过模糊实现安全”，在区域架构中不起作用。非常需要明确地规划路由路径，并确定应该对这些路径应用什么安全措施。以太网交换机在这方面起着关键作用，因此，它们需要是智能的。它们需要软硬件集成，以实现新利体育在线完整版必要的性能，同时灵活地集成包括安全性在内的不断增加的功能。好消息是，这些安全概念不仅局限于区域架构，还可以应用于不强制执行但允许执行的旧汽车架构。”

结论
整车厂和一级供应商必须有可靠的安全策略来保护车辆，这就要求他们能够在现场对车辆进行更改，以确保车辆在整个生命周期内的安全。

施魏格说:“我们谈论自动驾驶汽车，但想象一下，如果有人能入侵汽车，接管控制权。”“这可能是所有原始设备制造商的可怕场景。安全性和安全性绝对是在架构开始时就需要解决的问题。如果你事后才想到，那是行不通的。“现在我已经把筹码弄好了。想想我该怎么保护它。’这行不通。”

相关的
移动汽车架构
当汽车是围绕数据移动设计的时候，会发生什么变化呢?
车轮上的数据中心
汽车制造商转向高性能计算芯片，以提高性能和降低系统成本。
汽车以太网会赢吗?
为什么很难给出一个明确的答案，以及其他竞争者是什么。
竞争的汽车传感器融合方法
成本、数据量和复杂性驱动了多种解决方案。
汽车知识中心
关于汽车电子产品的头条新闻、视频、博客、白皮书和特别报告