01

域控制器（DC）ECU的功能安全

隨著誘人的用戶體驗、電氣化和汽車ADAS功能的出現(xiàn)，車輛架構(gòu)正強(qiáng)烈朝向域控制器發(fā)展。這篇文章中，讓我們從以下幾個方面來探討：

? 什么是域控制器？OEM為什么要轉(zhuǎn)向域控制器？

??對于域控制器中的功能安全性，我們應(yīng)該有哪些考慮？

??如果多個供應(yīng)商參與域控制器的開發(fā)，存在哪些挑戰(zhàn)？如何應(yīng)對？

??什么是域控制器？OEM為什么要轉(zhuǎn)向域控制器？

傳統(tǒng)的汽車架構(gòu)是去中心化和分布式的，一個ECU通常實現(xiàn)一個特性/功能。每增加一個新的功能/特性，就會增加一個新的ECU。這種架構(gòu)在布線方面極其復(fù)雜和繁重（大量的電纜、觸點、熔斷器、繼電器等），使得將所有ECU布置到一輛汽車中非常昂貴。此外，隨著對自動駕駛和用戶體驗的日益關(guān)注，汽車正變得越來越以軟件為中心。有必要引入額外的應(yīng)用程序或新的特性/功能與軟件無線更新，而不必添加或更改硬件。這就促使整車廠轉(zhuǎn)向集中式車輛架構(gòu)，其中與單個域相關(guān)的幾個ECU被組合成一個ECU。這樣的架構(gòu)在生產(chǎn)物流流程方面顯著更輕和更簡化，并使得質(zhì)量得到改進(jìn)。一個域整合多個功能的ECU稱為域控制器。

下面是一個去中心化的傳統(tǒng)車輛架構(gòu)的視圖。圖中的每個方框代表一個ECU。

下面是一個基于集中式域控制器的車輛架構(gòu)的視圖。

有不同域的域控制器:

a.?信息娛樂 DC (示例產(chǎn)品)

b.?ADAS DC（樣品產(chǎn)品）

c.?動力總成 DC (樣品產(chǎn)品)

一個 DC 在一個片上系統(tǒng)中實現(xiàn)所有的功能，它具有多個內(nèi)核，同時具有所需的實時性和計算能力。

研究預(yù)測，到2028年，整體域控制器滲透率將接近60%，盡管沒有朝著基于域的架構(gòu)的協(xié)同努力。

從ISO26262的角度來看，一個域控制器可以被認(rèn)為是實現(xiàn)幾個“相關(guān)項”或幾個“相關(guān)項”的一部分。例如，一個ADAS DC實現(xiàn)不同的ADAS功能，如ACC、AEB等，可以被認(rèn)為是ACC相關(guān)項、AEB相關(guān)項等的一部分。

02

對于域控制器中的功能安全，我們應(yīng)該有哪些考慮？

1. DC架構(gòu)準(zhǔn)備好滿足最高ASIL級別要求

域控制器在特性/功能方面不固定，在其生命周期內(nèi)一定會進(jìn)行升級、添加和修改。從功能安全的角度來看，OEM/Tier 1應(yīng)該能夠“預(yù)測”DC要求的最高ASIL水平。預(yù)測必須根據(jù)可能添加的新特性以及它們所需的ASIL級別來進(jìn)行。DC的軟硬件架構(gòu)應(yīng)為達(dá)到這一最高ASIL級別的要求來設(shè)計。

例如，讓我們以一個目前具有ASIL-A安全目標(biāo)的座艙域控制器為例。它有一個符合ASIL-A標(biāo)準(zhǔn)的SoC和一個SW架構(gòu)，該架構(gòu)有一個ASIL-A操作系統(tǒng)和兩個ASIL-A和QM分區(qū)。

現(xiàn)在，如果這個DC在未來實現(xiàn)ASIL-B安全目標(biāo)，它現(xiàn)有的架構(gòu)將無法支持它。需要將SoC和OS替換為符合ASIL-B標(biāo)準(zhǔn)的SoC和OS，并為ASIL-B創(chuàng)建一個額外的分區(qū)。DC的硬件設(shè)計也可能需要修改，以實現(xiàn)所需的硬件指標(biāo)。

在上面的例子中，這個駕駛艙DC的架構(gòu)是不可擴(kuò)展的，以支持在更高的ASIL水平上的新的安全目標(biāo)。這種預(yù)測上的缺陷正是必須避免的。

讓我們再舉一個ADAS域控制器的例子，該控制器目前支持ASIL-C架構(gòu)，并具備一個ASIL C的攝像頭傳感器。如果這個DC將來必須支持ASIL-D安全目標(biāo)，它現(xiàn)有的硬件架構(gòu)不支持它。在這種情況下，DC必須1）升級到ASIL-D級別的攝像頭傳感器，或2）在攝像頭和另一個至少為ASIL-A級別的冗余傳感器之間執(zhí)行ASIL分解，DC的架構(gòu)中必須考慮另一個傳感器。

2. 不受軟件升級影響的現(xiàn)有安全功能

當(dāng)SW升級在道路上進(jìn)行時，這不應(yīng)該影響其他已經(jīng)合格的安全功能，否則即使沒有任何變化的功能，每次都需要重新合格，使其成為一個極其昂貴的事情。

3. 實現(xiàn)多種功能的故障安全、故障降級和故障運行要求

無論是傳統(tǒng)ECU還是DC，實現(xiàn)故障安全、故障降級和故障操作要求的原則都是相同的。然而，對于DC來說有趣的事情是，有幾個安全功能與各種各樣的故障安全、故障降級和故障操作要求共存。在一個單一的系統(tǒng)中實現(xiàn)所有這些功能是很有趣的。

1個功能中的故障不應(yīng)影響另一個功能，除非它們彼此相關(guān)。否則，將導(dǎo)致所有功能的可用性完全喪失。例如，在儀表組-音頻域DC中，如果音頻系統(tǒng)發(fā)生故障，儀表組仍應(yīng)能夠發(fā)揮作用，并向駕駛員提供所需的安全通知和指示。在ADAS系統(tǒng)中，如果車道保持輔助功能發(fā)生故障，不應(yīng)影響自動緊急制動功能的性能。

DC的系統(tǒng)架構(gòu)應(yīng)識別會影響每個功能的故障，只有當(dāng)這些相關(guān)故障發(fā)生時，才將功能轉(zhuǎn)到故障安全/故障降級狀態(tài)，而不是任何其他不會影響功能的故障。例如，如果緊急制動功能使用雷達(dá)傳感器，而駐車輔助系統(tǒng)使用超聲波傳感器，則超聲波傳感器的故障只會降低駐車輔助功能，緊急制動功能仍應(yīng)完全可用。

如果有一個跨功能和影響所有這些功能的共有故障，如CPU故障，這將導(dǎo)致所有功能的整體故障安全條件。

故障操作要求通常只能通過實現(xiàn)硬件冗余來實現(xiàn)。例如，DC可以有2個獨立的SoC執(zhí)行相同的處理，這樣即使一個失敗，另一個SoC繼續(xù)提供功能。必須考慮特性的端到端冗余，以實現(xiàn)失敗的操作行為。如果該功能從傳感器讀取一些輸入，則可以在設(shè)計中實現(xiàn)冗余傳感器，以備主傳感器出現(xiàn)故障時使用。兩個獨立的CAN通道接收和發(fā)送相同的消息和冗余執(zhí)行器是具有故障操作功能的DC必須考慮的額外方面。

03

如果多個供應(yīng)商參與域控制器的開發(fā)，存在哪些挑戰(zhàn)？如何應(yīng)對？

讓不同的供應(yīng)商開發(fā)DC的不同功能是很常見的，這是由于各種原因造成的。其中一個方面是該系統(tǒng)的復(fù)雜性和一個供應(yīng)商開發(fā)整個系統(tǒng)所需的開發(fā)工作。更大的挑戰(zhàn)是開發(fā)每個功能所需的知識/技術(shù)專長。單個供應(yīng)商可能缺乏開發(fā)所有功能的知識和專業(yè)知識。

無論是DC還是傳統(tǒng)ECU，與供應(yīng)商打交道時面臨的挑戰(zhàn)都非常相似。然而，我們在這里強(qiáng)調(diào)它的原因是因為DC通常有更多的供應(yīng)商。這使得從每個供應(yīng)商那里獲得所需的安全檔案，并將他們聚集在一起，以提供整個系統(tǒng)的安全案例顯然更具挑戰(zhàn)性。

第一層通常是安全概念的全面負(fù)責(zé)人。一級供應(yīng)商必須知道對每個供應(yīng)商的要求，以獲得信心，即系統(tǒng)中的風(fēng)險已得到充分緩解。

與供應(yīng)商打交道時的典型挑戰(zhàn)是：

1. 供應(yīng)商的責(zé)任定義模糊。

例如：假設(shè)供應(yīng)商為DC提供復(fù)雜的IC，例如Micro或傳感器。這個供應(yīng)商應(yīng)該只提供硬件嗎？還是說第一層需要他們提供任何支持軟件？

例如2：如果供應(yīng)商1開發(fā)功能1，供應(yīng)商2開發(fā)功能2，誰負(fù)責(zé)功能2不被功能1干擾？這是供應(yīng)商1或供應(yīng)商2或其他任何人的責(zé)任嗎？

2. 假設(shè)供應(yīng)商提供的硬件/軟件的ASIL級別。

例如，供應(yīng)商說他們的硬件/軟件支持ASIL-B，或說他們有ASIL認(rèn)證的“技術(shù)路線”，但一級供應(yīng)商假設(shè)硬件/軟件是根據(jù)ASIL-B開發(fā)的。

3. 供應(yīng)商提供所需ASIL軟硬件的時間表不符合項目的最后期限。

這是一個常見的問題，不僅安全，甚至在其他方面。在安全的情況下，經(jīng)常發(fā)生的情況是，硬件/軟件在功能上按時準(zhǔn)備好了，但安全檔案的完成被延遲。因此，供應(yīng)商的安全檔案沒有在項目的最后期限之前完成。

供應(yīng)商責(zé)任的不確定性是因為在DIA中缺乏對每個供應(yīng)商的角色和責(zé)任的明確定義。供應(yīng)商DIA經(jīng)常盲目地從以前的項目中重用，而沒有完全考慮當(dāng)前開發(fā)的項目的挑戰(zhàn)和背景。這一定要避免。如果可能的話，必須在RFQ階段對供應(yīng)商DIA進(jìn)行評估。在實施安全概念的過程中，所有的實時挑戰(zhàn)都必須預(yù)先考慮到。與其在事情出錯后進(jìn)行事后分析，不如在項目開始時進(jìn)行預(yù)先分析，了解在開始時應(yīng)該考慮什么是正確的，以防止失敗。

04

總結(jié)

域控制器似乎將在未來十年占據(jù)統(tǒng)治地位。然而，DC的一個缺點是許多域可能在物理上跨越整個車輛。因此，汽車制造商也投資于區(qū)域架構(gòu)。區(qū)域架構(gòu)通過將物理上接近的ECU組合在一個區(qū)域控制器下來解決域架構(gòu)的缺點。這帶來了減少布線和重量的好處——以增加軟件復(fù)雜性為代價。這是因為區(qū)控制器必須能夠根據(jù)功能來區(qū)分與其連接的ECU之間的流量。

我們將留給您這張圖片，它提供了不同架構(gòu)的簡化視圖。

審核編輯：劉清