摘要:随着汽车电气化和智能化的发展,电子/电气系统在汽车上的应用越来越多,随之而来的由电子/电气系统带来的的风险也越来也高,基于这一背景,国际标准化组织ISO针对汽车功能安全发布了ISO26262《道路车辆功能安全》标准,旨在降低由电子电气系统的功能异常表现引起的危害而导致不合理的风险,提高汽车的安全性。ISO26262系列标准,为实现抑制电子/电气系统的随机硬件失效以及系统失效,对产品开发全生命周期进行约束,包括概念阶段、产品系统开发阶段、产品软硬件开发阶段、生产和运行阶段以及贯穿整个开发过程中的支持过程。其中概念阶段开发是主机厂尤其重要的开发环节,在此阶段需明确整车的安全目标,并分析得出功能安全需求分配给架构中的各要素,是后续各部件功能安全开发的依据和目标。本文主要分析电动汽车动力域控制器设计研究。
关键词:电动汽车;动力域控制器;硬件;软件
引言
近年来,随着汽车加速电动化和智能化,汽车中的电子控制器单元(Electronic Control Unit,
汽车设计网ECU)数量激增。据了解,从1993年到2010年,奥迪A8车型上使用的ECU数量从5个骤增至100余个,奥迪A8L装配的ECU数量在2013年也已超过100个。而随着电动化快速普及和智能化迅速升级,通过增加ECU数量已非良策。由于不同ECU来自不同供应商,无论是整车功能的开发还是后期的维护升级,车企均需要和这些供应商分别沟通协作,过程繁琐,整车开发周期也因此拉长,人力物力成本随之增长。此种背景下,传统分布式整车电子电气架构出现集中化演变趋势,原先相互孤立的ECU相互融合,分组集中控制,域控制器(Domain Control Unit,DCU)应运而生。
1、功能安全概念阶段标准介绍
ISO26262中概念阶段内容主要包含相关项定义、危害分析和风险评估以及功能安全概念。相关项定义要求在整车层面对相关项进行定义和描述,包括功能,其与驾驶员、环境和其他相关项的依赖性和交互,为充分理解相关项提供支持,以便执行后续阶段的活动。危害分析和风险评估要求识别并分类由相关项中的功能异常表现引起的危害事件,制定防止危害事件发生或减轻危害程度的安全目标及其相应ASIL等级,以避免不合理的风险。功能安全概念要求:1)按照安全目标,定义相关项功能行为或降级的功能行为;2)按照安全目标,定义用
于合理、及时地探测和控制相关故障的约束条件;3)定义相关项层面的策略或者措施,通过相关项自身、驾驶员或外部措施来实现要求的故障容错,或者充分减轻相关故障的影响;4)分配功能安全要求给系统架构设计或者外部措施。
2、域控制器的分类
目前行业对电动车的域控制器暂无统一的分类标准,但从目前来看,域控制器主要有两种分类方式。一种是按区域划分,具体可分为前区域控制器、左区域控制器、右区域控制器等,由于集中度较高、技术难度较大等原因,目前仅有特斯拉等少数企业采用这样的分类方式;此种分类方式对应的整车电子电气架构中,配置一个中央计算模块及3个域控制器,分别为前车身域控制器、左车身域控制器、右车身域控制器。相较于上述分类方式,按照功能划分的方式更为各主机企业接受。目前多数车企或是零部件企业都采用这一方式。从目前来看,主要分类有动力域控制器、底盘域控制器、车身域控制器、座舱域控制器、自动驾驶域控制器等,不同企业间略有差异。其中,动力域控制器,主要集成的是动力总成相关控制功能,主要负责动力总成的优化与控制。随着新能源汽车电驱和电控系统集成化发展,动力域控制器也越来越多地应用。本文研究的是一款纯电动汽车动力域控制器的设计,该域控制器的划
分方式与前述按功能划分的方式相似,是一款动力域控制器。但功能与前述略有不同,该动力域控制器集成了动力域及部分底盘部件和车身部件的控制,在整车电子电气架构中扮演着核心控制作用。为表述和理解方便,下文一律称为“动力域控制器”。
3、基于域控制器的优化解决办法
3.1域控制器架构
新能源环卫车的域控制器架构,考虑到上装部分,相比主流的五域集中式EEA和三域集中式EEA做出了自己的优化与改进,针对不同时延性和可靠性要求,将三域集中式EEA中的整车控制域划分为动力域、底盘域、上装域三部分。动力域控制器和底盘域控制器都有比较固定的控制策略,而上装控制器则会根据不同的环卫车类型设计不同的上装域控制器策略。随着后续车载芯片的功能更加强大,动力域与底盘域将会融合为车辆运动域控制器。由于动力域和底盘域之间存在较多的协同控制,在智能汽车背景下,未来协调控制功能仍将大幅增加。这两个域的功能安全和信息安全级别要求相似,可以合并到一个域控制器。更进一步,动力域控制器可与网关融合,并集成上装控制功能,成为车辆层级的集成型域控制器,或称车辆计算机。由于相应功能域的安全等级要求不同,此种深程度域融合需要硬件虚拟化技术支持,
以防止不同安全等级功能间的相互影响。
3.2体化设计
从整车集成到电气架构,再到软硬件开发都要遵从自上而下、深度一体化的设计,解决了环卫车上装和底盘关联性不够、空间利用率不足、线束布局困难等问题。环卫车属于专用车,相比物流车、公交车等,种类多,一体化难度大,在同一种型号的底盘上需要设计多种不同功能的环卫车上装部分。比如相同吨位的垃圾压缩车、洗扫车、除雪车、吸尘车、吸污车等,所采用的底盘相同,但是上装部分由于结构不同需要差异化设计。对于如此多的不同功能的上装部分,不可能为每一种上装功能单独设计一款底盘,不论从零件的通用化还是量产的成本的角度考虑,使用一款底盘去做适配都是更经济更高效的选择。采用域控制器的架构,有助于实现机械集成一体化、电气集成一体化、软件集成一体化、售后服务一体化四个一体化方向。在机械一体化方向,使用域控制器有助于实现标准化、能量供给一体化,并协助完成安全设计一体化的目标。在电气一体化方向,域控制器可以向区域控制器的方向过渡。
3.3信息安全功能
因电动汽车均与远程监控云平台连接,本文设计的动力域控制器从车端和云端两个维度确保整车信息安全,防止车辆被攻击。1)车端,3个方面。①协议安全,针对关键信号,应用身份认证和信号有效性识别技术,杜绝外接设备发出非法信号造成的干扰;②交互安全,针对跨域的信息交互,基于时间敏感管理完成信号合法性检查,应用加密算法完成信号正确性检查;③网络安全,应用安全网关过滤非法ID,降低网络泛洪攻击造成的网络瘫痪风险。2)云端,3个方面。①访问安全,应用GRE隧道和VPN专线技术,保证云端数据与公网物理隔离,降低网络数据拦截风险;②通信安全,私有化安全交互协议,应用时间戳、底层心跳包,有效抵御中间攻击和回滚攻击;③链路安全,车端和云端的交互数据应用非对称秘钥体系加密,保证业务安全。
结束语
本文基于一款纯电动汽车设计了整车电子电气架构及动力域控制器,设定了动力域控制器的性能目标,设计了一种硬件分时复用和软件模块化的动力域控制器方案,定义了原子服务功能、大数据驱动下的服务功能、信息安全功能,通过台架性能试验、整车性能试验及整车可靠性试验结果,验证了动力域控制器的关键性能指标,供纯电动汽车域控制器设计开发参考。
参考文献:
[1]吴成东.传统汽车应用域控制器与主干网技术路线探索[J].汽车电器,2021(3):43-45.
[2]郭炎菊,查云飞,陈文强,等.智能汽车电子电气架构综述[J].汽车文摘,2021(8):19-24.
[3]高丽,杨依楠.纯电动汽车整车控制器技术及发展[J].汽车实用技术,2021(6):20-22.
[4]黎伟,喻晓勇,匡小军.浅析汽车电子架构发展与典型域控制器[J].时代汽车,2021(16):163-164.
[5]刘佳熙,丁锋.面向未来汽车电子电气架构的域控制器平台[J].中国集成电路,2019(9):82-87.
发布评论