現(xiàn)代汽車網(wǎng)絡(luò)設(shè)計(jì)的安全性和復(fù)雜性挑戰(zhàn)
內(nèi)容提要:以太網(wǎng)支持的面向服務(wù)架構(gòu)(SOA)的使用越來(lái)越多,這使得信息技術(shù)(IT)領(lǐng)域的原理可以在汽車應(yīng)用中得到重用。SOA的主要演變是從離散信號(hào)到服務(wù)的轉(zhuǎn)變,服務(wù)通過(guò)多個(gè)相關(guān)信號(hào)訂閱適合其功能需求的服務(wù)。
現(xiàn)在的汽車電子電氣架構(gòu)非常復(fù)雜,許多車輛功能分布在多個(gè)分散的ECU中。ECU、傳感器和執(zhí)行器并不都是直接連接的,而且大部分?jǐn)?shù)據(jù)都是跨網(wǎng)絡(luò)進(jìn)行通信的,通常通過(guò)鏈接多個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)進(jìn)行。最新的E/E架構(gòu)開始圍繞功能域構(gòu)建,越來(lái)越多的域計(jì)算機(jī)或控制器進(jìn)行集中計(jì)算,吸收了該域的許多高級(jí)功能。
以太網(wǎng)支持的面向服務(wù)架構(gòu)(SOA)的使用越來(lái)越多,這使得信息技術(shù)(IT)領(lǐng)域的原理可以在汽車應(yīng)用中得到重用。SOA的主要演變是從離散信號(hào)到服務(wù)的轉(zhuǎn)變,服務(wù)通過(guò)多個(gè)相關(guān)信號(hào)訂閱適合其功能需求的服務(wù)。
SOA與物理架構(gòu)的變更并行發(fā)生。計(jì)算能力越來(lái)越集中,域控制器重新組織成區(qū)域布局。一些OEM和集成商在靠近傳感器和執(zhí)行器的區(qū)域控制器中選擇高計(jì)算能力,而另一些則將它們保留在相對(duì)簡(jiǎn)單的網(wǎng)關(guān)上。此外,遠(yuǎn)離功能域會(huì)將高完整性要求級(jí)聯(lián)到整個(gè)架構(gòu)中的更多ECU。這些架構(gòu)可以簡(jiǎn)化功能的可擴(kuò)展性,僅在中央計(jì)算單元中提供處理和內(nèi)存空間。集中式或區(qū)域架構(gòu)還有助于減少線束質(zhì)量并降低OEM的物料(BoM)成本。這種轉(zhuǎn)變的速度因組織、地區(qū)和汽車市場(chǎng)而異(圖1)。
圖1:集中式與區(qū)域式架構(gòu)
儀表盤、中控屏和抬頭顯示(HUD)越來(lái)越多地成為一個(gè)集成的系統(tǒng),作為駕駛員信息和娛樂(lè)系統(tǒng)的擴(kuò)展。隨著儀表中信息的增加以及功能安全考慮,管理這些功能的計(jì)算平臺(tái)需要?jiǎng)澐侄鄠€(gè)分區(qū),這些分區(qū)可以是單獨(dú)的處理器或僅僅是單獨(dú)的核。這些系統(tǒng)可能連接著分散的LED、開關(guān)和其他外圍設(shè)備,盡管傳統(tǒng)的汽車控制開關(guān)設(shè)備通常連接到車身控制器或網(wǎng)關(guān)。
除了系統(tǒng)的信息娛樂(lè)部分托管的媒體功能外,駕駛員關(guān)鍵信息還覆蓋了車速、故障、駕駛模式、結(jié)冰警告、導(dǎo)航方向、里程估計(jì)等。一些OEM將cluster稱為“組合儀表”,將以前的儀表、警告燈和里程計(jì)算整合到一個(gè)系統(tǒng)中。每次功能合并時(shí),都要在新組件或ECU中添加新功能,包括里程計(jì)算、時(shí)鐘、溫度計(jì)和結(jié)冰警告(圖2)。
圖2:車輛架構(gòu)中信號(hào)流的子集示例
對(duì)于汽車網(wǎng)絡(luò)設(shè)計(jì)人員來(lái)說(shuō),每個(gè)設(shè)計(jì)決策都會(huì)對(duì)整個(gè)系統(tǒng)產(chǎn)生影響,應(yīng)該在設(shè)計(jì)時(shí)考慮流程后期系統(tǒng)測(cè)試時(shí)能確認(rèn)正確的行為,而不是通過(guò)設(shè)計(jì)迭代發(fā)現(xiàn)問(wèn)題。本文闡述了車輛網(wǎng)絡(luò)設(shè)計(jì)的關(guān)鍵技術(shù),以及如何應(yīng)對(duì)滿足車輛設(shè)計(jì)要求的挑戰(zhàn)。
網(wǎng)絡(luò)負(fù)載和網(wǎng)關(guān)負(fù)載
對(duì)于CAN到CAN網(wǎng)關(guān),網(wǎng)絡(luò)設(shè)計(jì)人員可以選擇將整個(gè)信號(hào)報(bào)文通過(guò)網(wǎng)關(guān)轉(zhuǎn)發(fā),或者將單個(gè)信號(hào)重新打包到一個(gè)新的報(bào)文中轉(zhuǎn)發(fā)。這種在網(wǎng)關(guān)處提升處理能力和降低網(wǎng)絡(luò)帶寬使用效率的權(quán)衡一直存在。AUTOSAR提供協(xié)議數(shù)據(jù)單元(PDU)作為設(shè)計(jì)元素,用于在不同網(wǎng)絡(luò)技術(shù)之間進(jìn)行網(wǎng)關(guān)連接,同時(shí)保留讀取單個(gè)信號(hào)并將它們重新打包到新PDU中的選項(xiàng)。
但是,設(shè)計(jì)人員可能需要考慮網(wǎng)關(guān)如何觸發(fā)其數(shù)據(jù)的發(fā)送,這會(huì)影響整個(gè)系統(tǒng)的整體延遲。這通常受到現(xiàn)有ECU或報(bào)文和PDU設(shè)計(jì)的重復(fù)使用的限制,這些設(shè)計(jì)涉及跨多個(gè)車輛應(yīng)用的供應(yīng)商集成。
一些OEM更喜歡使用現(xiàn)有的預(yù)先設(shè)計(jì)的網(wǎng)絡(luò)消息和幀封裝庫(kù)來(lái)支持 ECU 重用,避免更改。使用像 SAE J1939(適用于重型和越野車輛)這樣的標(biāo)準(zhǔn)化協(xié)議,可以實(shí)現(xiàn)不同品牌的車輛和設(shè)備的可靠連接。這兩種方法都縮小了優(yōu)化范圍,但不會(huì)降低設(shè)計(jì)的性能和行為考量范圍。
對(duì)于系統(tǒng)的許多技術(shù)細(xì)節(jié),網(wǎng)絡(luò)設(shè)計(jì)人員遵循特定的OEM定義的設(shè)計(jì)規(guī)則,例如每種網(wǎng)絡(luò)技術(shù)的優(yōu)先級(jí)或調(diào)度。LIN和FlexRay是有時(shí)間表的時(shí)間觸發(fā)網(wǎng)絡(luò)。CAN 使用基于幀 ID 的仲裁機(jī)制,ID為不同類型的有效載荷保留,包括運(yùn)行大多數(shù)網(wǎng)絡(luò)的功能和網(wǎng)絡(luò)管理,以及用于服務(wù)和診斷的數(shù)據(jù)。較高的優(yōu)先級(jí)通常會(huì)分配給受變量抖動(dòng)影響的車輛功能的數(shù)據(jù)。
以太網(wǎng)和交換機(jī)
以太網(wǎng)設(shè)計(jì),包括交換機(jī)配置,將單個(gè)域的網(wǎng)絡(luò)通信擴(kuò)展到更廣泛的車輛數(shù)據(jù),例如傳統(tǒng)網(wǎng)絡(luò)和以太網(wǎng)之間的數(shù)據(jù)傳遞,從整體上做為功能域控制器之間的通信骨干網(wǎng)考慮完整的系統(tǒng)。以太網(wǎng)增加了一組網(wǎng)絡(luò)行為和一組更復(fù)雜的標(biāo)準(zhǔn)和協(xié)議。然而,這些網(wǎng)絡(luò)比專用汽車網(wǎng)絡(luò)更具可擴(kuò)展性,無(wú)論以太網(wǎng)物理層類型如何,都使用相同的通信軟件,從而使更新更容易。以太網(wǎng)網(wǎng)絡(luò)可以以多種波特率交互,能在車輛的大部分區(qū)域使用,隨著時(shí)間的推移技術(shù)復(fù)雜性會(huì)降低。FlexRay和高波特率CAN是一些使用場(chǎng)景上的理想解決方案(見表1),但這些場(chǎng)景看上去在減少。
表1
以太網(wǎng)為網(wǎng)絡(luò)設(shè)計(jì)人員引入了額外的配置選項(xiàng)。協(xié)議、方法和不同級(jí)別的元素確保數(shù)據(jù)、信號(hào)和服務(wù)及時(shí)可用,同時(shí)允許同一物理網(wǎng)絡(luò)上的多種類型的數(shù)據(jù)。同時(shí),虛擬局域網(wǎng)(VLAN)隔離不同類型的數(shù)據(jù),并允許對(duì)各種數(shù)據(jù)類型進(jìn)行優(yōu)先排序,限制(在帶寬利用率方面),甚至禁用。特定的VLAN可用于實(shí)施軟件更新,允許根據(jù)車輛狀態(tài)或模式對(duì)特定功能使用的帶寬進(jìn)行調(diào)節(jié)。
視頻音頻橋接(AVB)旨在為以太網(wǎng)網(wǎng)絡(luò)上的音頻和視頻數(shù)據(jù)流增加特定的整形或優(yōu)先級(jí),確保音頻和視頻數(shù)據(jù)不會(huì)因數(shù)據(jù)速率變化而出現(xiàn)爆裂聲、噼啪聲或其他失真。早期汽車以太網(wǎng)用戶采用的AVB與可擴(kuò)展的面向服務(wù)的IP中間件(SOME/IP)以及服務(wù)發(fā)現(xiàn)(SD)相結(jié)合,可實(shí)現(xiàn)SOA通信。時(shí)間敏感網(wǎng)絡(luò)(TSN)是一種專門針對(duì)具有高完整性要求的功能和用例開發(fā)的AVB。TSN擴(kuò)展了AVB的一些元素,還添加了以前不可用的其他元素。
AUTOSAR已根據(jù)需要直接包含或支持上述技術(shù)和標(biāo)準(zhǔn)。經(jīng)典版和自適應(yīng)版AUTOSAR所需的標(biāo)準(zhǔn)和功能都在基礎(chǔ)標(biāo)準(zhǔn)中進(jìn)行了標(biāo)準(zhǔn)化,以確保兼容性和一致性。
功能安全
多年來(lái),網(wǎng)絡(luò)設(shè)計(jì)人員一直在設(shè)計(jì)時(shí)考慮到功能安全,并且在大多數(shù)情況下,所使用的機(jī)制都得到了很好的理解。針對(duì)與更高級(jí)別的駕駛員輔助和自動(dòng)駕駛一起使用的更大數(shù)據(jù)元素和對(duì)象,最近的AUTOSAR版本中增加了新的機(jī)制和模式。
傳統(tǒng)的網(wǎng)絡(luò)應(yīng)用方法是將它們視為QM,如ISO 26262中定義的那樣,作為一種機(jī)制,在設(shè)計(jì)中添加元素以驗(yàn)證是否定期準(zhǔn)確地接收數(shù)據(jù)。現(xiàn)在,不斷增加的系統(tǒng)完整性要求對(duì)某些數(shù)據(jù)進(jìn)行冗余,但這是系統(tǒng)級(jí)設(shè)計(jì)考慮的,作為一種附加的設(shè)計(jì)規(guī)則。
數(shù)據(jù)不正確或丟失會(huì)帶來(lái)潛在安全后果的,主要通過(guò)端到端(E2E)保護(hù),從而將一組信號(hào)封裝在公共報(bào)文或PDU中,作為網(wǎng)絡(luò)總線、網(wǎng)關(guān)和COM堆棧的單個(gè)實(shí)體。這些分組信號(hào)具有為其計(jì)算的循環(huán)冗余校驗(yàn)(CRC)、某種形式的計(jì)數(shù)器(活動(dòng)、幀或其他取決于所選方案的計(jì)數(shù)器)和數(shù)據(jù)ID,盡管可以使用其他方法。這些保護(hù)方法在AUTOSAR中定義成了模式,其中包括用于提供保護(hù)的通用機(jī)制,包括CRC計(jì)算。OEM和系統(tǒng)集成商可以根據(jù)其系統(tǒng)設(shè)計(jì)方法中確定的風(fēng)險(xiǎn)制定自己的設(shè)計(jì)規(guī)則。
網(wǎng)絡(luò)設(shè)計(jì)人員根據(jù)系統(tǒng)設(shè)計(jì)階段確定的功能需求對(duì)信號(hào)進(jìn)行分組,并在網(wǎng)絡(luò)設(shè)計(jì)中將這些組結(jié)構(gòu)化,或者在已有項(xiàng)目借用的情況下重新包含這些組。證明設(shè)計(jì)滿足現(xiàn)有要求、規(guī)則和標(biāo)準(zhǔn)的文檔支持對(duì)端到端保護(hù)的應(yīng)用進(jìn)行審核。這些機(jī)制由發(fā)送方設(shè)置并由接收方使用,以確認(rèn)數(shù)據(jù)是新鮮的、有效的并且來(lái)自正確的發(fā)送方。系統(tǒng)設(shè)計(jì)必須足夠健壯,以應(yīng)對(duì)偶爾被拒絕的潛在正確數(shù)據(jù)或被接受的無(wú)效數(shù)據(jù),這種情況很少發(fā)生,通常是單次發(fā)生,但在數(shù)百萬(wàn)輛汽車使用數(shù)千小時(shí)后,這些偶發(fā)事件就會(huì)發(fā)生。
網(wǎng)絡(luò)安全
ISO/SAE 21434標(biāo)準(zhǔn)與功能安全一起,在設(shè)計(jì)需要網(wǎng)絡(luò)安全的車輛系統(tǒng)時(shí)提供原則和流程。為了滿足功能安全性,需要檢查接收到的數(shù)據(jù)與發(fā)送的數(shù)據(jù)的一致性和正確性,同時(shí)對(duì)信號(hào)組是否正確進(jìn)行檢查。網(wǎng)絡(luò)安全則要額外的檢查以驗(yàn)證數(shù)據(jù)是否來(lái)自正確的發(fā)送人,有時(shí)還包括數(shù)據(jù)本身的加密,盡管兩者通常不需要一起使用。
現(xiàn)代車輛系統(tǒng)可以交換電話號(hào)碼、地址、支付細(xì)節(jié)等數(shù)據(jù)。這些類型的數(shù)據(jù)包含個(gè)人身份信息(PII),在傳輸和存儲(chǔ)過(guò)程中都需要加密,因此也需要加密密鑰來(lái)寫入和讀取數(shù)據(jù)。
用于與安全相關(guān)的控制決策的數(shù)據(jù)需要足夠的可信度。在某些情況下,整個(gè)系統(tǒng)設(shè)計(jì)可能在數(shù)據(jù)的來(lái)源或獲取中包含足夠的冗余,因此不需要對(duì)每個(gè)元素進(jìn)行全面保護(hù),并且可以使用融合算法來(lái)解決沖突。系統(tǒng)設(shè)計(jì)的這一部分也可能受到系統(tǒng)組件和可用網(wǎng)絡(luò)技術(shù)(帶寬、最大PDU大小等)的限制。消除或減少這些限制是提高網(wǎng)絡(luò)幀有效載荷和波特率的主要驅(qū)動(dòng)力。
來(lái)自決策算法的控制數(shù)據(jù)(可能是轉(zhuǎn)向、加速、制動(dòng)等控制輸入的指令)對(duì)車輛行為有直接影響。系統(tǒng)設(shè)計(jì)必須確保該數(shù)據(jù)是正確的,因此非常需要在目標(biāo)電機(jī)或執(zhí)行器上驗(yàn)證控制數(shù)據(jù)。可能的身份驗(yàn)證機(jī)制包括信號(hào)組的散列(#)版本,使接收器能夠?qū)?shù)據(jù)執(zhí)行額外的密鑰檢查。
使用多種保護(hù)措施來(lái)減輕不同的風(fēng)險(xiǎn)是很常見的。然而,數(shù)據(jù)的冗余副本或路徑可以幫助確定在發(fā)生沖突時(shí)信任哪些數(shù)據(jù),這是一個(gè)重要的設(shè)計(jì)考慮因素。與功能安全相比,網(wǎng)絡(luò)安全防護(hù)表現(xiàn)為跨平臺(tái)、云連接的防御層構(gòu)建。必須特別注意確保對(duì)確定存在風(fēng)險(xiǎn)的系統(tǒng)有適當(dāng)?shù)姆雷o(hù)層。
電源模式
傳統(tǒng)上,車輛網(wǎng)絡(luò)被設(shè)計(jì)為保持喚醒,以確保功能在需要時(shí)可用。特別注意設(shè)計(jì)當(dāng)車輛處于合理狀態(tài)時(shí)的穩(wěn)健關(guān)閉程序。這種方法維持與安全相關(guān)的功能和備用功能,以便在網(wǎng)絡(luò)出現(xiàn)故障時(shí)啟用駐車制動(dòng)或維持有限的動(dòng)力系統(tǒng)運(yùn)行。為了最大限度地提高能源效率,最好在比休眠或斷電組件的喚醒時(shí)間更短的時(shí)間內(nèi),關(guān)閉當(dāng)前不需要的東西。
部分網(wǎng)絡(luò)允許在不需要時(shí)關(guān)閉。偶爾也會(huì)使用佯裝網(wǎng)絡(luò),其中一些ECU進(jìn)入低功耗模式,但繼續(xù)在網(wǎng)絡(luò)上處于活動(dòng)狀態(tài)。電源模式確實(shí)會(huì)變得更加復(fù)雜。喚醒的ECU可以使用喚醒的傳感器生成所需的信號(hào)和數(shù)據(jù),并通過(guò)喚醒的網(wǎng)絡(luò)發(fā)送,這一點(diǎn)非常重要。因此,電源模式可以快速限制信號(hào)的路由。
復(fù)雜性
最后,必須在整個(gè)系統(tǒng)級(jí)別考慮復(fù)雜性(定義為選項(xiàng)和變體),因?yàn)樗艿剿懻摰乃袃?nèi)容的影響。大多數(shù)車輛應(yīng)用在一系列不同尺寸、車身類型、不同市場(chǎng)等的車輛中共享一個(gè)通用的基礎(chǔ)E/E架構(gòu)。根據(jù)各自的車輛特性,OEM的低配置汽車總體上使用的ECU少于其高配置汽車。某些信號(hào)適用于所有變體,而其他信號(hào)可能會(huì)因不同車輛類型的計(jì)算或測(cè)量方式不同而改變來(lái)源。例如,車速算法考慮兩輪驅(qū)動(dòng)和四輪驅(qū)動(dòng)車輛的不同車輪滑移行為。涵蓋功能安全和網(wǎng)絡(luò)安全的機(jī)制也需要考慮相關(guān)的車型變化。
總結(jié)
本文闡述了E/E系統(tǒng)開發(fā)的網(wǎng)絡(luò)設(shè)計(jì)階段的各種挑戰(zhàn)和注意事項(xiàng)。這些挑戰(zhàn)和決策中的每一個(gè)都可能產(chǎn)生難以預(yù)測(cè),甚至難以完全理解的廣泛的跨領(lǐng)域影響。融合多個(gè)學(xué)科使設(shè)計(jì)人員能夠了解他們的決策在開發(fā)過(guò)程中的下游影響,對(duì)于加速車輛開發(fā)過(guò)程至關(guān)重要。網(wǎng)絡(luò)設(shè)計(jì)考慮并實(shí)施了許多要素,這些要素對(duì)于確保正確的車輛功能和保護(hù)整個(gè)系統(tǒng)免受不正確的子系統(tǒng)行為的影響至關(guān)重要。此外,重要的是選擇一個(gè)解決方案,該解決方案能夠一致且正確地生成用于開發(fā)和驗(yàn)證組成整個(gè)系統(tǒng)的每個(gè)ECU的配置和文檔。
作者:牛喀網(wǎng)專欄作者
牛喀網(wǎng)文章,未經(jīng)授權(quán)不得轉(zhuǎn)載!
相關(guān)文章
