一、域控制器安全

 

汽车域控制器DCU(Domain Control Unit),最初目的是解决网络信息安全,以及电子控制单元存在的瓶颈。传统汽车E/E架构采用分布式,功能系统的核心是ECU,智能功能的升级依赖于ECU和传感器数量的累加。随着单车智能化升级的加速,原有智能化升级的方式面临着研发和生产成本剧增、安全性降低、算力不足等问题。在以域控制器为功能中心的集中化E/E架构下,芯片算力和软件算法的提升将成为汽车智能化升级的核心。域控制器架构下,汽车智能化升级的研发边际成本将显著降低,并且智能化升级的边际成本将逐步递减,从而推动汽车智能驾驶的加速渗透。

 

根据汽车电子部件功能将整车划分成几个领域,如动力传动域、车身电子域、辅助驾驶域等几个域,利用处理能力更强的多核CPU/GPU芯片相对集中的控制每个域,以取代目前分布式电子电气架构。

 

域控制器的核心发展是芯片的计算能力快速提升,公用信息的系统组件,能在软件中分配和执行,可实现以足够的资源快速响应完成客户需求,具备平台化、兼容性、集成高、性能好等优势。

 

1.基于功能划分 E/E 架构下的域控制器

 

基于功能划分E/E架构下的域控制器群主要以博世、大陆等Tier1为代表。博世、大陆等传统Tier1将汽车E/E架构按功能划分为动力域(安全)、底盘域(车辆运动)、信息娱乐域(座舱域)、自动驾驶域(辅助驾驶)和车身域(车身电子)五大区域,每个区域对应推出相应的域控制器,最后再通过CAN/LIN等通讯方式连接至主干线甚至托管至云端,从而实现整车信息数据的交互。

 

a)动力域控制器

主要负责动力总成的优化与控制,在新能源车中主要是指电驱和电控系统的集成化。其中,电驱系统的集成以三合一技术路线为主流,即将电机、电控(逆变器)与减速器集成为电驱桥。电控系统的集成则倾向多合一模块,通常将变压器、车载充电机、加热器等进行集成,甚至会将整车控制器(VCU)等包含在内。2020年1月,合众汽车团队研发的PDCS动力域控制器搭载于哪吒汽车并通过了搭载车辆测试,正式进入了量产应用阶段。2020年9月华人运通发布的首款智能汽车高合HiPhiX,亦搭载有由联合电子合作研制的动力域控制器。

 

b)底盘域控制器

主要负责具体的汽车行驶控制,主要包括助力转向系统(EPS)、车身稳定系统(ESC)、电动刹车助力器、安全气囊控制系统以及空气悬架、车速传感器等。与动力域类似,底盘域内所涉及的控制系统大多都具备较高的安全等级要求,需要符合ASIL-D安全等级(ASIL系列中最高安全等级)。因此底盘域亦具备着较高的行业门槛,目前多数底盘域控制器仍处于实验室阶段。

 

c)车身域控制器

主要负责车身功能的整体控制,本身技术门槛较低且单车价值量不高,其本质是在传统车身控制器(BCM)的基础上,集成了无钥匙启动系统(PEPS)、纹波防夹、空调控制系统等功能而成。此外,由于涉及安全等级较低,随着汽车E/E架构的进一步集中化,有望率先实现与智能座舱域的融合。

 

d)自动驾驶域控制器

主要负责自动驾驶所需要的数据处理运算及判断,包括对毫米波雷达摄像头激光雷达、GPS、惯性导航等设备的数据处理工作。同时,自动驾驶域控制器亦负责车辆在自动驾驶状态下底层核心数据、联网数据的安全保障工作,是推动自动驾驶迈向L3及以上更高等级的核心部件。此外,由于自动驾驶域控制器需要更强的AI算力以及算法的支持,因而参与研制的厂商众多。除传统汽车产业链内的整车厂及供应商以外,还包括有英伟达、高通、地平线、黑芝麻等海内外AI芯片龙头厂商,以及阿里、谷歌、QNX、华为等自动驾驶操作系统供应商。目前来看,除特斯拉Model3、小鹏P7等少数车型以外,绝大多数已量产的自动驾驶域控制器尚未达到L3级自动驾驶级别。根据ICVTank数据统计,2020年全球ADAS相关控制器市场规模将达到155.9亿美元,其中大部分均为L3级以下辅助驾驶控制器(ECU),而预计到2025年全球自动驾驶域控制器市场规模有望达到19.8亿美元。

 

e)座舱域控制器

主要负责汽车座舱电子系统功能,汇集了集成液晶仪表、中控多媒体及副驾驶信息娱乐的一体化系统。其发展过程经历了由传统的“机械物理按键”到“中控液晶显示屏”,再到“中控+仪表盘一体化设计”的进程。同时,由于其涉及安全等级较低、成本相对可控,发展速度将显著快于自动驾驶域控制器。根据ICVTank数据统计,2020年全球智能座舱域控制器有望达到80万套,预计2025年全球智能座舱域控制器出货量将达到1300万套。

 

总体来看,以上所分的五大功能域中,目前的竞争焦点主要集中于智能座舱域和自动驾驶域。我们认为主要原因如下:

 

(1)从供应体系上看,在汽车整体E/E架构集中化的进程中,由中控系统升级而来的智能座舱域与新兴的自动驾驶域的供应体系较为完整。相反,其他各个域是对传统功能系统的进一步集成,因而更容易产生供应商之间的利益冲突。以动力域为例,电机、电池模组以及电机控制器等零部件此前均由不同厂商供应、整车厂负责协调各方进行整合装配,因而在集中化的趋势中各个供应商之间会存在利益相互蚕食的冲突。因此,可以看到目前所提出的动力域解决方案都是由极个别龙头供应商牵头或是整车厂自研而成,如特斯拉的集成化三电系统、华为的多合一电驱动系统DriveONE(集成电机、MCU、PDU、OBC、DCDC、减速器、BCU七大部件)等、长城欧拉自研的三合一电驱桥等。

 

(2)从技术角度来看,动力域不但涉及的安全等级要求会更高,同时还需要考虑各部件配合过程中整体的NVH水平、是否存在相互间的电磁干扰(EMC)以及如何控制和提升整套系统的冷却和效率等多方面因素,因而整体开发难度较大。与动力域类似,底盘包括支撑动力系统的内部框架,以及除发动机以外的所有驱动部件。在自动驾驶向更高级别的发展进程中,驾驶员将逐步减少对车辆的操控时间,因而对底盘域中传感器和控制器都具有更加精确的时序要求和更为严格的最大延时要求。因此,动力域及底盘域在当下的行业发展初期都具备较高的技术壁垒,并非现阶段多数厂商的竞争焦点。此外,由于车身域技术门槛和安全要求等级较低,未来则有望率先融入智能座舱域共同研制开发。

 

2.自动驾驶系统(ADAS)

 

ADAS是这几年发展最快的应用,包括诸如停车辅助、车道偏离预警、夜视辅助、自适应巡航、碰撞避免、盲点侦测、驾驶员疲劳探测等很多功能,这些功能如果采用分布式架构就无法适应需求。

 

因为ADAS系统里有各种传感器如摄像头、毫米波雷达和激光雷达,产生的数据量很大,各种不同的功能都需要这些数据,每个传感器模块可以对数据进行预处理,通过车载以太网传输数据,为了保证数据处理的结果最优化,最好功能控制都集中在一个核心处理器里处理,这就产生了对域控制器的需求。

 

ADAS一个主要潜在问题是汽车的电子系统中可能存在安全漏洞,而且安全漏洞问题没有一劳永逸的解决方法(对任何软件硬件产品来说,定期检测安全漏洞并安装补丁程序都是十分重要的)。因此,确保攻击者无法通过安全漏洞来干扰ADAS就尤为重要,需要采用特殊的安全防护手段保护ADAS。

 

当前的ADAS系统的组成主要有两个部分:大量的摄像头、各种雷达、红外线收发装置等组成的传感器系统,以及电子控制单元ECU。

 

目前已经商用量产的很多ADAS功能仍存在特定场景下应对能力不足和失效的风险。以自动紧急刹车为例,2019年美国汽车协会(AAA)对雪佛兰迈锐宝XL、本田雅阁、特斯拉Model3和丰田凯美瑞等车型进行了测试,发现一方面是在夜间或儿童穿梭等场景下车辆的应对能力不足,大部分车型均发生了碰撞现象;另一方面是在下雨天的打伞、雨衣、隧道等场景较容易引起失效。现有已经商用的ADAS功能尚无法应对复杂的交通状况或恶劣的天气条件,感知能力的不足仍是主要原因。但在驾驶员负责整个驾驶过程的条件下,L2及以下的ADAS应用功能已经具备商用落地的条件。在高等级自动驾驶路测方面,自动驾驶的可靠性和应对挑战性交通场景的能力仍有待提升。从2019年度美国加州的自动驾驶脱离报告《Autonomous Vehicle Disengagement Reports》来看,36家企业进行了自动驾驶测试,谷歌Waymo以234万公里测试里程遥遥领先,其每21273公里出现一次脱离接管,但相比较下苹果则每189公里就要出现一次脱离接管。从脱离接管的原因来看,软硬件系统性能的可靠性几乎是每个测试企业面临的共性问题;此外,对突然出现目标的感知能力不足、目标运动行为的预测能力不足、决策时间超时和错误的轨迹生成、交通信息标识识别的错误等也是主要问题。

 

另一方面,已经商用的部分自动驾驶车辆也出现了各类别的事故,存在感知失效、预测和决策失效等原因。2018年1月,美国洛杉矶一辆Model S因跟随车辆突然变道而没有及时检测到前方停止的消防车,未能及时刹车/减速而造成事故,引发其感知失效的讨论。2016年2月,美国加州的一辆雷克萨斯车辆感知到后侧有公交车准备通过,但经过判断路面并没有足够的空间让公交车通过,便假定公交车驾驶员会减速,而公交车驾驶员判断雷克萨斯会礼让,因此发生碰撞,显示了单车智能自动驾驶在这种“博弈”的驾驶条件下很难准确判断周边交通参与主体的意图,提出了协同决策的挑战。

 

原则上,自动驾驶汽车需要具备与驾驶员相同的技能。首先,它必须能察觉并解释其外围环境(“感知”)。为此,它将使用外围传感器,就像人类使用其感官一样。其次,它需要处理收到的信息并规划其驱动策略(“思考”)。这项任务由车载电脑使用软件和智能算法来实现。第三,它需要利用其动力系统、转向系统和制动力系统来控制车轮,以便将规划的驾驶策略付诸实践(“行动”)。如果说汽车的车轮是其肢体,而加速、转向和制动力系统则代表其肌肉。电子线路是神经通路,负责以数据形式向各子系统发送脉冲和刺激动作。

 

外围传感器:自动驾驶汽车的视听器官

 

为了自动和安全地驾驶,自动驾驶汽车必须借助其外围传感器(“感知”)专注于外围环境。摄像头、雷达和超声波传感器是全自动驾驶汽车的视听器官,提供汽车察觉外围环境所需的所有信息。其它传感器甚至能对准内部乘客舱,使得系统能够自动决定驾驶员是否能够在必要时再次控制汽车。

 

但是自动驾驶汽车能够感知到外围环境以外的更多信息:使用最新的高精度数字地图和云端连接实时数据,汽车还可访问交通或天气数据等外部信息。综上所述,自动驾驶汽车为智能车载电脑提供了坚实的信息基础,该电脑可使用其进行精确计算。

 

快速处理,巧妙规划:车载电脑应对复杂挑战

 

未来的自动驾驶汽车能控制所有的交通状况,这也是一个优秀的驾驶员应该掌握的。为此,它们需要时刻知道自己在哪里,以及所面临的情况。此外,它们必须能够执行规划的驾驶策略。但在此之前,自动驾驶汽车需要实时决定最优驾驶策略,以便解决当前的交通状况并安全到达目的地(“思考”)。可以说这项任务由车载电脑承担,该电脑负责以汽车大脑的身份进行思考。在车载电脑的所有决策中,最优先考虑的是所有驾驶操作的安全性。

 

汽车自动驾驶时,安全是重中之重

 

一辆高度自动或全自动驾驶汽车可识别其行驶路线,进行安全的自动驾驶、制动和加速,使得驾驶员高枕无忧。每个等待决策的驾驶操作的精确参数均由车载电脑提供。作为智能汽车的大脑,其可利用多种信息来计算最佳驾驶策略。这包括由外围传感器系统提供的评估数据以及带有路况、交通或天气信息的数字实时地图。

 

动力系、转向和制动器能可靠地实施计算出的驾驶策略(“行动”)。可以说,它们代表着汽车的肌肉,通过动力系、制动或转向力传递到其四肢-车轮,从而使汽车上路。脉冲是由电子线路提供的,这些线路就像人体内的神经通路一样,利用其可驱动各个系统的动作。

 

3.整车控制单元(VCU)

 

整车控制单元(VCU),整车控制单元是新能源汽车动力系统的总成控制器,它负责协调发动机、变速箱、驱动电机、动力电池、附件等各部件协同工作,从而实现对车辆的各项控制功能,满足整车动力性、经济性和驾驶性要求,保证车辆安全性。

 

随着计算机和信息技术的迅速发展,许多技术进入了汽车。它们的能力以及与驾驶员的互动方式正在发生巨大变化。尽管有些车辆有决定是为人类驾驶员生成警告还是自动控制车辆的规定,但它们通常必须在只有不完全信息的情况下实时做出这些决定。所以,人类驾驶员对车辆仍有一定的控制是很重要的。先进的车载信息系统,为车辆提供不同程度的智能服务,协助驾驶员驾驶。汽车设计的引入通过智能信息网络提供了复杂的智能驾驶员-车辆界面,使得驾驶员和车辆之间建立了近乎共生的关系。本文讨论了一种车辆数字驾驶行为控制框架的开发,该框架由驾驶员和车辆之间的感知、决策与控制联合机构组成。

 

汽车控制器作为纯电动汽车控制单元,通过电子控制单元实时采集被控对象的动态参数并反馈。然后通过CAN总线传递给核心控制器进行操作分析,然后由VCU向ECU发出控制指令。合理协调ECU的高效性能,实现对车辆驱动性能和能量管理的控制,优化,确保电气性能一般而言,纯电动汽车控制器方案的功能实现有集中式控制和集散式控制两种。其中,集中式控制的控制方法是由核心处理器来完成对信号、能量数据的处理及工作的分配,优点是处理信息反应速度快,缺点是PCB复杂,散热不良;而分布式控制方法由核心控制器通过现场总线和通信电子控制单元(ECU)来控制汽车,优点是模块化,复杂度低,配置灵活,缺点是造价高,结构复杂。

 

4.电池管理系统(BMS)

 

受化学和物理特性所限,目前电动汽车电池的电压、电流、温度等参数需要实时、严密、精确的监控,才能有效避免电池自燃事故发生,由于温度等参数的检测有时间延后性,外加电池模型参数随着使用时间会变化。传统的BMS一般通过给系统留出足够的余量来确保电池处于安全工作区。更先进的BMS可以通过提升测量精度和算法来扩大电池的安全工作区,从而在保障电池安全的前提下,增加续航里程,加快充电时间,并延长使用寿命。

 

BMS不仅负责防止电池出现异常电压、异常电流、异常温度等情况,而且,作为最后一个要塞,它在安全隔离电池和电机等应用(负载)方面也发挥着重要作用,在xEV等的电池外围,使用机械继电器来关闭电源。而机械继电器存在机械部分的磨损带来的故障问题,因此,未来有望由SiC功率元器件带动半导体继电器的普及。采用半导体继电器,不仅可以避免磨损故障,同时还可以在发生过电流时快速关闭电源,从而能够更安全地使用电池。

 

BMS技术演进与电池技术发展和电动汽车架构变化高度相关,目前BMS主要有主从式、一体式、半集中式。目前BMS有三大发展趋势:第一,从离散的ECU控制向域控制发展,集中控制有利于汽车软件的在线升级和智能驾驶的发展。BMS的主控部分BMU,未来可能会交给动力域控制器来接管;第二,模拟采样前端AFE的通信方式由有线向无线发展,有利于简化和智能化电池包的生产、组装、维修、回收等环节;第三,简化BMS采样板的设计。随着市场对电池包能量密度要求的日益提高,电池包内留给BMS的空间越来越小,如何简化设计,采用更少的器件,占用更小的空间,实现同样的功能,可能是行业努力的方向和趋势。

 

未来在整车架构上面,会简化部分BMS的功能到其他模块,比如高压测量、高压继电器的控制和诊断以及热管理,使BMS的功能更加集中在单体电芯的测量功能(电压、电流、温度等)和保护上面。

 

电池管理系统应该在车辆正常行驶、充电时、发生车辆碰撞和维修时都应该对电池系统进行合理的充电管理,以避免出现电池过充、过流和过温,导致起火的危害。根据不同场景,归纳电池管理系统的安全目标如下,其中ASIL采取危害事件中最高的ASIL等级,下表给出了电池管理系统安全目标的示例。

 

图 电池管理系统安全目标

 

对于电池管理系统来说,为了避免电池系统过充、过放后再充电、过流、过温,对动力蓄电池进行合理的充放电管理是主要的安全要求,针对电池系统安全目标,不考虑控制系统以外的独立的保护措施。

 

根据电池管理系统架构,提出电池管理系统功能安全要求。对于电池管理系统的功能安全要求考虑如下几个要素:故障探测或者失效减轻;故障或者失效的仲裁逻辑;系统的安全状态;系统故障容错时间。下表给出了电池管理系统安全要求的示例。

 

图 电池管理系统要求实例

 

欢迎相关企业和专家交流咨询!

联系人:朱云尧(zhuyunyao@caeri.com.cn)