目前,汽车系统平台、软件和IT是汽车行业创新的主要驱动力。目前普通汽车的ECU约超过80个,而高端和豪华品牌则大概有100多个这样的嵌入式计算机系统。某些功能(如发动机或动态控制)是硬实时功能,反应时间要求短至几毫秒。实际上,所有其它功能,例如Infotainment和Telematics,至少需要软实时反应能力。
ADAS/AD时代的集中式架构
车辆的每个域都有自己对计算速度、可靠性、网络安全、安全性、灵活性和可扩展性的要求。汽车电子系统将诸如制动、动力总成或照明控制等功能映射到单个软件系统和物理硬件上。但这样的分布式架构目前已达到了复杂性、成本和重量的极限,急需改变。
自动驾驶(AD)需要具有多传感器融合的高度交互式服务,而这其实是从当前功能彼此隔离的分布式ECU架构转变来的。因此,为了降低复杂性、成本与系统重量,就需要用于ADAS/AD的集中式控制解决方案。
汽车安全系统的功能复杂性逐年增加 ……
目前来看,主流市场正在开发和部署L2自动驾驶功能。车辆配备了ADAS ECU,支持ACC、AEB和PA等功能。到2025年,在L2产品基础上,市场又会转向支持HAD(高度自动驾驶)和AD的ECU。另外,许多OEM还准备跳过L3直接进入L4级,以避免在AD系统和驾驶员之间切换的复杂性。
ISO 26262
ISO 26262标准给出了降低系统开发失败风险和处理E/E系统复杂性的要求和建议。但要满足该标准对公司提出了很大挑战,因为ISO 26262设定了要求和建议,但没有定义如何在特定应用的背景下,以有效的方式实施。因此还需要具备功能安全方面的专业知识,以便对ISO 26262针对特定的应用进行考虑和文档化的解释。
ISO 26262标准规定“ISO 26262不涉及E/E系统的标称性能,即使这些系统存在专用的功能性能标准(例如主/被动安全系统、制动系统、ACC)”。ASIL不是AD系统功能的其它系统属性(例如可维护性、可靠性、可用性)的标称性能指标。
ISO 26262提供了基于V模型的系统自上而下的工程方法。是从SoS(System-of-System)级别开始到硬件和软件模块的规范。在硬件和软件的执行和验证之后,在V模型的右侧进行自下而上的集成:集成硬件和软件模块(如ECU中的硬件和软件)、组件中的组件子系统(如高压电池中的ECU)、子系统到系统(如动力系中的高压电池)、SoS系统(车辆中的动力系统)。
ISO/PAS 211448 or SOTIF
ISO/PAS 211448或SOTIF(Safety of the Intended Functionality Scenario Identification)是为了探索AD系统行为、该行为是否适用于预期的操作域而设立的。
此外,2019年1月制定的ISO/PAS 21448重点关注L1/L2的ADAS功能;涵盖由技术或系统限制引起的非故障条件下的潜在危险行为,包括对合理可预见的误用的评估;为设计、验证和验证措施提供指导;作为公开可用规范(PAS)发布,而不是作为ISO标准,以便更快地发布;包括对SOTIF分析中实现的目标的高级要求及如何实现这些目标的信息指导。
ISO 21448的工作最初始于2018年11月,并计划将这项工作扩展到更高的自动驾驶水平(达到L5级)。因此,这项工作引起了人们的极大兴趣,有18个国家正在开展这项工作并为这项工作做出了贡献,有来自全球OEM、Tier 1、Tier 2及政府机构的80多位专家参与。未来,SOTIF的发表目标是在2022年。
AUTOSAR
AUTOSAR(AUTomotive Open System ARchitecture)汽车开放系统架构定义了汽车系统开发的参考架构和方法,并为其架构模型提供了语言。
汽车系统的物理结构通常分布在许多ECU上。ECU通过不同类型的电子总线连接,例如CAN、FlexRay和以太网,并且负责执行逻辑架构中定义的一个或多个高级车辆功能。这是通过分布的负责实现ECU功能的逻辑软件组件来完成的,从而将它们转换成可运行的ECU应用软件组件。每个逻辑组件分配给至少一个ECU。
除了由多个ECU组成的物理系统架构外,每个ECU都有自己的物理架构,包括以下主要部分:应用软件由许多分布的软件组件构成,负责执行该ECU实现的车辆功能(例如,检测车辆轨迹上的行人);中间件软件,负责为应用软件提供服务(例如,在电子总线上传输/接收数据,以及跟踪诊断错误);硬件包括许多负责控制不同硬件单元的驱动程序(例如电子总线和ECU的CPU/GPU/FPGA)。
ADAS开发的V-模型
V-模型(下图)是由安全关键系统开发的国际行业标准规定,如ISO/IEC 26262。
在下图中可以看出OEM与其供应商的责任之间的主要区别。这种区别很重要,因为它通常是在供应商和OEM之间接触的阶段,在合同谈判期间体现出来的。在此背景下,详细、明确和正确的需求规范可防止因OEM和供应商之间的误解导致的需求变化相关的潜在不必要的成本。