软件如何「吞噬」汽车?

2021-06-17 15:08:55·  来源:汽车电子与软件  作者:Robert Charette  
 
自动驾驶技术和电动汽车的发展将为汽车增加数亿行代码。汽车行业能否应对?持续的半导体短缺令全球汽车行业损失还在持续上升。在一月,分析师预计,由于供应短缺
软件如何「吞噬」汽车?

自动驾驶技术和电动汽车的发展将为汽车增加数亿行代码。汽车行业能否应对?

持续的半导体短缺令全球汽车行业损失还在持续上升。在一月,分析师预计,由于供应短缺,汽车产量将减少150万辆。到4月,这一数字稳步攀升至270万部以上,到5月,增至410万部以上。

半导体短缺的出现不仅凸显了汽车供应链的脆弱性,也让人们密切关注到汽车目前需要陷入数十台隐蔽计算机的现状。「没有任何其他行业像汽车行业一样经历着如此迅速的技术变革」,克莱姆森大学国际汽车研究中心汽车工程系主任Zoran Filipi说。「汽车对于半导体芯片的需求,源于越加严格并且急迫的二氧化碳排放法规和标准,同时还为了保持自动化和信息娱乐的空前发展速度,并满足客户在性能、舒适性和实用性方面的期望。」

未来几年,我们将看到更大的变化,因为更多的汽车制造商为了实现全球气候变化目标将致力于逐步淘汰内燃机(ICE)驱动的汽车,取而代之的是最终能够自动驾驶的电动汽车(ev)。

软件如何「吞噬」汽车?1

过去十年ICE汽车的发展显示了它取得的快速进步,以及它未来的发展方向。汽车软件领域的权威专家、慕尼黑工业大学信息学名誉教授Manfred Broy说「曾经,软件只是汽车的一部分。现在,软件决定了汽车的价值。一辆汽车的成功更多地取决于软件,而不是机械方面。」他说,几乎所有汽车制造商,或业内人士所称的原始设备制造商(OEM)的汽车创新都与软件捆绑在一起。

十年前,只有高档汽车才会有100个微处理器的电子控制单元(ecu),这些电子控制单元贯穿整个汽车机体,执行1亿行甚至更多的代码。如今,宝马7系等拥有先进技术如高级驾驶辅助系统(ADAS)的高端汽车可能包含150个或更多的ecu,而福特F-150等皮卡的代码则多达1.5亿行。随着如自适应巡航控制和自动紧急制动等更多曾被视为豪华车型选项的功能成为标配,即使是低端车型也很快接近100个ecu和1亿行代码。

自 2010 年起强制实施的其他安全功能,如欧盟的电子稳定控制、倒车照相机,和自动紧急呼叫(eCall),以及更严格的排放标准,迫使内燃机驱动车辆只能使用更具有创新性的电子设备才能达到使用要求,这些都进一步推动ECU和软件的普及。

咨询公司 Deloitte Touche Tohmatsu Limited 估计,截至 2017 年,约 40% 的新车成本为基于半导体的电子系统,这一数字自 2007 年以来成本翻了一番。据估计,到 2030 年,总数将接近 50%。公司进一步预测,如今每辆新车都装有价值约 600 美元的半导体,其中包括多达 3,000 个各种类型的芯片。

将 ECU 和软件线加起来的总数仅暗示了车辆中错综复杂的电子编排和软件编排。从驾驶员的角度出发,通过观察它们如何协同工作,本应不可见的复杂性开始出现。新的安全性、舒适性、和娱乐功能的要求,为购买者提供多种选择的商业必要性进而出现每种品牌和型号的多种变体,以及从汽油和人类驾驶员转向电动和人工智能驾驶员的需求,还有数百种需要编写、检查、调试和抵御黑客攻击的数百万行新代码,正在使汽车成为带轮子的超级计算机,并迫使汽车行业不断适应。但是这些能做到么?

功能特性和变体驱动的复杂性

在过去的二十年里,为了提供更多安全和娱乐功能已经将汽车从单纯的交通工具转变为移动计算中心。与服务器机架和高速光互连不同,ECU 和线束在整个车辆内外进行数据通信。所以即便只是去杂货店,都会运行数百万行代码。

软件如何「吞噬」汽车?2
Vard Antinyan 是沃尔沃汽车的软件质量专家,他撰写了大量有关软件和系统复杂性的文章,他解释说,截至 2020 年,「沃尔沃拥有大约 120 个 ECU 的超集,每辆沃尔沃汽车从中选择创建系统架构。它们总共包含 1 亿行源代码。」 Antinyan 说,这个源代码「包含 1000 万条条件语句以及 300 万个函数,这些函数在源代码中的大约 3000 万处被调用。」

每个 ECU 中驻留的软件数量和类型差异很大,这取决于 ECU 的计算能力、ECU 控制的功能、需要处理的内部和外部信息和通信以及它们是否是事件或时间触发,以及强制性安全和其他监管要求。在过去的十年中,越来越多的 ECU 软件专门用于确保运行质量、可靠性、安全性和保障性。

「用于检测不当行为以确保质量和安全的软件数量正在增加,」采埃孚软件解决方案和全球软件中心副总裁 Nico Hartmann 说,采埃孚是全球最大的汽车零部件供应商之一。Hartmann 表示,十年前可能有三分之一的 ECU 软件专门用于确保质量运行,现在通常超过一半或更多,尤其是在关键安全系统中。

沃尔沃豪华 SUV XC90拥有大约 110 个 ECU,那么哪些 ECU 和相关软件最终会进入这种车型取决于几个因素。与所有汽车制造商一样,沃尔沃针对不同的市场提供不同车型的变体。正如 Antinyan 所指出的,「在瑞典购买完全相同型号沃尔沃的人可能与在美国销售的不同。」不仅每辆车都需要满足区域监管制度,而且每个车主都可以在沃尔沃提供的多种可选发动机、驱动、安全或其他功能中进行选择。无论什么样的标准、选择和法律要求最终形成的设备配置,都将决定嵌入车辆的 ECU、软件和相关电子设备的确切数量和类型,所有这些都必须能够无缝协同工作。

对于一家汽车制造商来说,「车辆变体管理非常困难」,Antinyan 说,「因为它涉及到每个人。」例如,市场部门和设计、工程部门之间存在着自然的紧张关系,营销部门希望为不同的客户群提供具有不同功能的多种类型的车辆,而设计和工程部门则希望减少变体以帮助保持系统集成、测试和验证工作是可控的。功能的每一次增加都意味着需要额外的传感器、执行器、ECU 和随附的软件,因此需要额外的集成工作以确保它们正常运行。

德勤估计,从研发开始到生产开始,车辆开发预算的 40% 或更多可归因于系统集成、测试、验证。跟踪生产和销售的每个模型中的所有新研发或固有的电子产品、软件可能是一项艰巨的任务。毫不奇怪,有效管理变体复杂性是整个汽车行业的一个重要问题。

毫无疑问,连接所有ecu、传感器和其他电子设备并为它们供电,需要大量布线和人工让他们在整个车辆中交织。数以千计的线束变体支持车辆定制,多个物理网络总线来控制通过车辆的信号流。

车辆的物理电子架构带来了更多需要应对的网络设计约束。许多 ECU 需要靠近与其交互的传感器和执行器,例如用于制动系统或发动机控制的 ECU。因此,一辆汽车的网络线束可以连接数千个部件,可能包含超过1500根总长5000米、重量超过68公斤的电线。随着 ECU、传感器和相关电子设备数量的增加,减少线束重量和复杂性已成为汽车制造商的主要目标。

车辆测试的挑战

即使花费了大量精力、时间和金钱来确保所有不同的电子设备协同工作,也不是每个潜在 ECU 构建组合都可以在生产开始前进行彻底测试。虽然车辆的安全配置往往是固定的,但 ECU 构建的复杂性更多地体现在消费者选择的舒适性和便利性或性能功能上。在某些情况下,由于可选特性和功能的特定组合,「从生产线下线的车辆将是第一次测试的特定配置,」采埃孚汽车系统产品规划副总裁 Andy Whydell 说。

软件如何「吞噬」汽车?3

汽车制造商拥有数十万种单个车型的潜在构建组合,甚至更多。他说,要对某些车型中可能的各种电子设备组合进行现场测试,「将需要十亿次测试设置」。 然而, Whydell 表示在车辆开发过程中,原始设备制造商可以使用「面包板」对多个 ECU 构建组合进行实验室测试,无需为每种情况构建独特的车辆。

即使是经过高度测试的流行型号,软件相关的错误也会在售出后定期发现并纠正。有时更正也需要校正,通用汽车公司在召回其最畅销的汽车 2019 年雪佛兰 Silverado 以及 GMC Sierra 轻型卡车和凯迪拉克 CT6 时就发生了这种情况。

Whydell指出,「几乎所有ECU的设计和软件都外包给了供应商,所以ECU由OEM集成,这使得变体管理更具挑战性。」 Whydell 表示,个别供应商通常对 OEM 如何将 ECU 集成在一起没有深入的了解。同样,原始设备制造商对驻留在 ECU 中的软件的了解也有限,这些软件通常作为「黑匣子」来支持信息娱乐、车身控制、远程信息处理、动力系统或自动驾驶辅助系统等功能之一。

时任大众汽车集团首席执行官、现任董事长的Herbert Diess 在 2020 年发表的评论说明了汽车制造商开发的软件是多么少,当时他承认「几乎没有一行软件代码来自我们。」大众估计,其车辆中只有 10% 的软件是内部开发的。其余 90% 由数十家供应商提供,据报道,在一些 OEM 中,这一数字达到 50 多个。

如此多的软件供应商,每个都有自己的开发方法,使用自己的操作系统和语言,这显然增加了另一层复杂性,尤其是在执行验证和确认方面。最近,在 Strategy Analytics 和 Aurora Labs 针对汽车供应链的软件开发人员进行的一项调查中,曾提出一个问题——「当更改某个ECU代码时,是否难以评估它对其他ECU的影响?」。大约 37% 的受访者表示很难,31% 表示非常困难,7% 表示几乎不可能,而 16% 表示不可能。

汽车公司及其供应商意识到他们必须进行更多地合作以保持对数据配置管理的更严格控制,防止由于意外的 ECU 代码更改而发生产生的后果。但两方都承认还有很长的路要走。

加强保密性

当然,汽车制造商必须确保软件不仅安全可靠,而且保密。安全研究人员在 2015 年远程接管了 2014 年的 Jeep Cherokee,这为该行业敲响了警钟。现在,每个供应商和 OEM 都认识到网络安全乏力的威胁。据报道,通用汽车有 90 名工程师全职致力于开发网络安全对策。

然而,十年前,「汽车软件的设计初衷是为了安全。保密性紧随其后,」车辆网络安全专家、美国运输部克莱姆森大学互联多式联运中心主任 Mashrur Chowdhury 说。值得注意的是,因为今天仍在 ECU 中使用的大部分软件仍是在十年或更长时间前设计的,当时保密性不是优先事项。

此外,在过去十年中,车辆内部和外部通信呈爆炸式增长。2008 年,估计有 2,500 个数据信号在豪华汽车的 ECU 之间交换。沃尔沃的 Antinyan 表示,如今有 7,000 多个外部信号连接了沃尔沃汽车中的 120 个 ECU,而汽车内部的交换信号数量要高出两个数量级。咨询公司 McKinsey & Company 估计,这些信息每小时可以轻松超过 25 GB 的数据。

Chowdhury 说,随着过去十年移动应用程序和云端服务的爆炸式增长,以及汽车本身内置的越来越复杂的电子设备,「潜在的攻击面几乎每天都在增加」。

各国政府也注意到了这一点,并对汽车制造商下达了多项网络安全条例。其中包括建立一个经过认证的网络安全管理系统 (CSMS),该系统要求每个制造商“展示基于风险的管理框架,以发现、分析和防范相关威胁、漏洞和网络攻击”。

此外,OEM 将需要一个软件更新管理系统,以确保安全地管理无线软件更新。还鼓励汽车制造商「维护每个汽车 ECU、每辆组装车辆中使用的操作软件组件的数据库,以及记录车辆生命周期内所应用的版本更新历史记录。」该软件物料清单可以帮助汽车制造商快速确定哪些 ECU 和特定车辆会受到网络漏洞的影响。

软件机械师

大多数司机不会太注意周围的电子陈列——除非它们很烦人或停止工作。随着过去十年电子内容的增加,驾驶员有很多机会关注他们车辆的电子设备。

根据金融咨询公司 Stout Risius Ross 编制的 2020 年汽车缺陷和召回报告,2019 年是创纪录的一年,有 1500 万辆汽车因电子元件缺陷而被召回。一半的召回涉及软件的缺陷,这是 Stout 自 2009 年以来测得的最高比例。

软件如何「吞噬」汽车?4

近30%的缺陷与软件集成有关,故障是由于软件与车辆中的其他电子部件或系统的接口导致的。三菱汽车召回了 60,000 辆 SUV,因为其液压单元 ECU 中的软件错误干扰了多个安全系统。

另外,超过 50% 的故障不是由明显的软件缺陷引起的故障,可将软件作为补救措施。福特汽车公司召回了 Fusion 和 Escape 车辆的某些型号,因为冷却液可能会进入发动机气缸孔,这可能会永久损坏发动机。福特的解决方法是重新编程车辆的动力传动系统控制软件,以减少冷却液进入发动机气缸的可能性。Stout 的数据显示,在过去五年中,使用软件来修复车辆硬件问题的发生率在稳步上升。

「平均召回规模一直在下降,车辆的平均年龄也在下降,」Stout 董事总经理,Neil Steinkamp说。 「制造商正在利用一些技术,更快地发现缺陷,」尤其是那些涉及电子产品的缺陷。与软件相关的缺陷往往出现在较新的车辆中,而 ECU 和其他电子元件缺陷往往在车辆推出一段时间后才会出现。

Stout主管Robert Levine指出,「从方便车主,转到关键安全组件」的汽车电子产品相关零部件缺陷最近有所增加。例如,自从 2018 年 5 月 1 日之后制造的所有车辆都被要求为驾驶员提供车辆正后方 3 x 6 米的可见区域以来,美国发生了一系列倒车摄像头召回事件。许多原始设备制造商发现,将更复杂的摄像头软件与其他车辆安全系统集成是困难的。

其他新安全系统的运行也并非顺利。美国汽车协会 (AAA) 对一个可以帮助驾驶员进行转向或制动/加速的高级驾驶辅助系统进行的研究表明,这些系统通常会驾驶员在没有注意到的情况下自动脱离,立即将控制权交还给驾驶员。测试表明,这个系统平均每 13 公里就会出现某种类型的问题,包括难以将车辆保持在车道上或与其他车辆或护栏太近。

攀升的维修费用

许多车主在必须支付维修费用时才意识到他们的车辆越来越复杂。修复涉及具有高级安全功能的车辆的碰撞事故中,人工成本将近 60% 来自车辆的电子设备。2018 年AAA 研究表明,如果车辆配备安装在挡风玻璃上的摄像头,用于自动紧急制动、自适应巡航控制和车道偏离警告系统,即使是轻微的损坏,例如挡风玻璃的破损,之前其维修价格在 210 至 220 美元之间,现在也攀升至 1,650 美元。校准所有这些系统所需的费用(通常是手动完成的)是主要的成本驱动因素。

因为即使传感器的微小校准错误也会大大降低这些安全功能的有效性,「供应商开发了自动校准系统,可以消除或简化手动过程,」采埃孚的Whydell 说,有助于提高校准精度,同时减少维修成本。

Whydell 还表示,供应商和原始设备制造商 (OEM) 正在研究如何将安装在车辆周边的传感器放置在不太可能在事故中收到损坏的地方。AAA 报告称,仅维修位于后保险杠中的停车辅助超声波系统的成本约为 1,300 美元。如果用于盲点监测和交叉路口警报的后方雷达传感器也被损坏,则可能会产生另外 2,050 美元的费用。

EV + AI = 难以控制的复杂性

汽车制造商陷入了一个特殊的难题。根据最新的 J.D. Power 美国车辆可靠性研究,如今的内燃机车辆是 32 年来最可靠的。它们也更舒适、更安全且污染更少。然而,为了解决政府和公众对全球气候变化日益增长的担忧,制造商发现自己不得不放弃精心制作的 ICE 汽车,转而使用能够在未来某个时候具备自动驾驶能力的电动汽车。

让他们的困境更加困难的是,要开发电动汽车,制造商必须跨越软件深渊。

ZF 的 Andy Whydell 观察到,在现代车辆中,「使用当今架构的软件变得难以管理」。各方声音也都赞同这种观点。据咨询公司麦肯锡公司称,车辆软件的复杂性正在迅速超过开发和维护的能力。在过去十年中,软件复杂性增加了四倍,但供应商和 OEM 软件的生产力没有同时提高。此外,它表示,在未来十年内,软件的复杂性可能会再增加三倍。汽车制造商和供应商都在努力缩小「开发-生产力差距。」

部分问题在于如何支持一个稳定增长的代码库,一位汽车公司负责人告诉麦肯锡,按照目前的速度,如果差距不缩小,现有代码库的软件维护将消耗其所有软件研发资源。事实上,Whydell观察到,「在某些情况下,汽车行业不再将总代码行数视为复杂性的衡量标准,而是 OEM 或供应商为满足当前和未来需求而雇用的软件人员数量。」

如果正如大众汽车董事长赫伯特·迪斯所说,「软件将占未来汽车创新的 90%」,那么缩小开发与生产之间的差距看起来尤其令人气馁。拥有必要的软件专业知识专家将是成功的关键。正如麦肯锡所说,「虽然汽车组织必须在许多层面上出类拔萃才能赢得和软件的博弈,但吸引和留住顶尖人才可能是最关键的方面。」 ZF 的Whydell 承认,怎么样才能雇佣到软件专业的专家是「让我夜不能寐」的原因之一。这也是所有其他供应商和 OEM 经理头疼的问题。

由于埃隆马斯克以特斯拉形式提出的软件定义汽车概念。OEM 已经认识到,他们目前将必要的软件和电子设备外包给供应商,然后将它们集成到 ICE 车辆中的方法不适用于电动汽车。

Wards Auto 援引一级汽车供应商 Continental AG 研究和高级工程负责人 Tamara Snow 的话说,ICE 车辆中使用的分散式 ECU 架构的功能和复杂性「已经达到极限」。 特别是,对于完全自动驾驶功能,需要大约 5 亿或更多行代码。

汽车行业需要新的车辆软件和物理架构来管理电池组,而不是内燃机和相关的动力传动系统。该架构将仅包含少数功能强大、速度极快的计算机处理器,这些处理器执行微服务驱动的代码,并通过更轻的线束甚至无线方式在更多传感器之间进行内部通信,而这仅仅只是开始。外部沟通也将更加重要。ZF 的 Hartmann 指出,这些新架构需要由 OEM 和供应商的软件团队学习开发软件和系统的新方法,以低成本和不断缩短的时间周期开发。

Manfred Broy表示,最大的问题可能是管理层的软件专业知识不足,无法达到转换所需要的。虽然硬件复杂性是显而易见的,但 Broy 观察到,「我认为更重要的是软件的复杂性(这主要取决于硬件的选择),特别是软件的成本, oem对这些是完全不清楚的,由于软件的还在不断发展,这一点更为关键。」他说,汽车行业的高管办公室里都是「过去的人」,「但他们仍在掌控着局面。」

克莱姆森的 Zoran Filipi 解释说:「一百多年来,原始设备制造商一直专注于完善内燃机,将车辆的其余部分外包给供应商,然后将所有零部件整合在一起。随着电子产品和软件开始在车辆中使用,也采用了相同的方法——它们只是集成到车辆中的另一个‘黑匣子’。」现在,他说,「原始设备制造商及其供应商需要从硬件优先的方法转变为软件优先,同时至少在未来十年内仍然使用现有方法支持和改进 ICE 车辆。」

奥迪股份公司前研发负责人兼董事会成员Peter Mertens在最近接受 CleanTechnica采访时表示,「德国汽车工业把决定他们能否在现有结构中生存下去的最关键的新产品——软件,交给了对他们最缺乏经验和知识的管理人员。」

Peter接着说,我们需要的是一种方法淘汰不适合其职位的高管。 「明天与大众、奥迪、保时捷、宝马和戴姆勒的所有高层管理人员进行一次工作评估,并要求他们编写一个小游戏,或一个简单但有效的病毒。」他说, 「如果他们做不到,立即解雇他们,因为他们不适合这份工作。」 Mertens 问道,还剩下多少人?留在地板上的血将是一个线索。



作者介绍:
本文作者是Robert N. Charette是信息技术和系统风险管理领域公认的国际权威,作为 IEEE 的终身高级会员,Charette 于 2008 年获得了 IEEE Computer Society’s Golden Core Award。
编译/ 王旭冉
来源:Auto Byte 
分享到:
 
反对 0 举报 0 收藏 0 评论 0
沪ICP备11026917号-25