自動駕駛的主要目標是消除人為錯誤造成的事故。在全自動駕駛汽車中，在系統(tǒng)發(fā)生故障時恢復駕駛員控制不是一種選擇;沒有驅動程序，也沒有提供手動控制來接管。安全關鍵系統(tǒng)必須采取行動，而不是使用“人為后備系統(tǒng)”作為故障保險。雖然這可以通過系統(tǒng)的完全冗余來實現(xiàn)，但需要替代架構來最大限度地減少功能和系統(tǒng)的重復，以避免增加成本和重量。

汽車網(wǎng)絡架構正在采用分區(qū)結構來減輕車輛重量和成本，從而提高燃油經(jīng)濟性、節(jié)省空間和經(jīng)濟性。

域和區(qū)域體系結構

圖 1 比較了域和區(qū)域車輛架構的典型拓撲。在左側基于域的架構中，傳感器和執(zhí)行器根據(jù)它們所屬的功能域進行連接。每個域都有一個專用處理器作為域控制器的一部分。在右側的區(qū)域架構中，傳感器和執(zhí)行器根據(jù)其在車輛中的物理位置進行連接。區(qū)域控制器、中央計算模塊或兩者的組合處理傳統(tǒng)上由域控制器和中央網(wǎng)關執(zhí)行的處理任務。

圖 1：域和區(qū)域車輛架構的典型拓撲。

高優(yōu)先級數(shù)據(jù)通信量（如安全關鍵型控制命令和某些類型的傳感器數(shù)據(jù)）必須在特定的最大時間范圍內(nèi)到達目的地并做出響應。對于中等優(yōu)先級的流量，例如車載娛樂數(shù)據(jù)，可以通過確保通信子系統(tǒng)中平均有足夠的傳輸帶寬來保持可接受的傳輸和響應時間。盡力而為的數(shù)據(jù)流量沒有特定的延遲要求。數(shù)據(jù)最終“盡可能快”地到達就足夠了，包括在通信子系統(tǒng)達到限制的情況下重新傳輸信息。

演進與功能安全

研究自動制動系統(tǒng)（圖2）有助于解釋域和區(qū)域架構對ISO 26262中定義的所需汽車安全完整性等級（ASIL）等級的影響。

圖 2：典型自動制動系統(tǒng)中的數(shù)據(jù)流方案。

圖2中的黑色標記框是電子控制單元（ECU），灰色標記框表示ECU之間交換的信息。雷達單元將雷達數(shù)據(jù)發(fā)送到目標檢測功能，該功能提取有關檢測到的對象的數(shù)據(jù)，這些數(shù)據(jù)是距離閾值功能的輸入。距離閾值計算與前方車輛保持距離所需的減速，并在距離低于預定義限制的情況下向制動ECU發(fā)送適當?shù)闹苿用睢?/p>

該系統(tǒng)的安全目標旨在避免意外制動，并避免在需要時無法獲得所需的制動扭矩。由于在發(fā)生故障時可能會危及生命或致命傷害，因此根據(jù)ISO 26262，這兩個目標都應滿足ASIL D的要求，這是最高的完整性要求。

領域和區(qū)域車輛架構對這些安全目標的影響不同。圖3顯示了基于域的架構中自動制動的相關部件示例。

圖 3：基于域的自主制動控制。

在這里，雷達、制動器和域控制器通過單個CAN總線連接。雷達模塊從雷達前端接收數(shù)據(jù)，執(zhí)行目標檢測，并執(zhí)行距離閾值任務。制動控制命令通過CAN總線發(fā)送到制動模塊，制動模塊執(zhí)行命令任務。

圖 4 顯示了如何在區(qū)域架構中實現(xiàn)相同的功能。雷達和制動單元通過兩個獨立的CAN總線連接到兩個獨立的區(qū)域模塊。這些模塊都連接到中樞大腦，也可能連接到車輛內(nèi)的其他區(qū)域模塊。雷達模塊僅包含一個傳感器，制動模塊包含一個執(zhí)行器。與基于域的體系結構中的雷達和制動模塊不同，區(qū)域體系結構中的這兩個模塊中都沒有主要處理。相反，中央計算模塊執(zhí)行對象檢測和距離閾值（計算）。因此，此體系結構稱為具有中央處理的區(qū)域體系結構。

圖 4：具有中央處理的區(qū)域架構中的自動制動。

可以采用其他方法，例如在區(qū)域模塊A和/或B內(nèi)執(zhí)行目標檢測和距離閾值任務。此類變體稱為具有本地區(qū)域處理的區(qū)域體系結構。

計算 ASIL-D 合規(guī)性的 FIT

硬件故障概率指標 （PMHF） 是公認的 ISO 26262 安全指標，是違反安全目標的平均概率，表示為時間故障 （FIT）。ISO 26262 要求 ASIL D 的 PMHF 低于 10 FIT（每小時 10-8 次故障概率），ASIL C 的 PMHF 低于 100 FIT（每小時 10-7 次故障概率）。

根據(jù)其ASIL等級和ISO 26262標準為每個安全目標分配最大PMHF值。該值分為示例體系結構中區(qū)分的三個不同組件組：傳感器融合和處理、通信和執(zhí)行器組件。

這些單獨的組件組中的每一個都有自己的故障概率 PMHFx，其中“x”是組件的訂購號。應用程序的總體 PMHF 值是各個組件的 PMHFx 值的總和。為了滿足應用的整體功能安全要求，總和應小于或等于與ASIL安全目標相關的最大PMHF值。

在從域體系結構過渡到區(qū)域體系結構的過程中，體系結構更改和相關任務重新映射會影響應用程序的 PMHF 值。在區(qū)域體系結構中，與基于域的體系結構相比，執(zhí)行同一應用程序需要更多數(shù)量的通信和處理組件。

我們在示例應用程序中計算了安全目標的總體 PMHF，從而將基于域的體系結構與我們之前描述的區(qū)域體系結構的兩種變體進行了比較。然后計算每個組分組對整體PMHF的相對貢獻，結果如圖5所示。該圖證實，更加分散的區(qū)域架構導致車載網(wǎng)絡（IVN）通信對整個應用PMHF的貢獻顯著增加。還發(fā)現(xiàn)處理的貢獻沒有顯著變化。這是因為處理總量在不同的體系結構中不會改變。

圖 5：每個組件組和架構的相對 PMHF 貢獻。

自動駕駛的故障運行

當乘客在發(fā)生故障時無法接管時，全自動駕駛需要故障操作系統(tǒng)，以確保在發(fā)生故障時功能完整或降級。各種架構都可以實現(xiàn)這一點，盡管每種架構都有優(yōu)點和缺點。

架構變體 1

同構冗余將系統(tǒng)復制到兩個獨立的并行實現(xiàn)中（圖 6）。此變體在兩個實現(xiàn)之一中存在隨機故障時提供故障操作行為。目前只有一個并行實現(xiàn)處于活動狀態(tài)，盡管備用（冗余）路徑可能會定期自檢以檢測潛在故障。如果主路徑發(fā)生故障，可以選擇第二條路徑以確保可用性。

圖 6：全冗余架構。

這種方法基于這樣的假設，即系統(tǒng)故障不太可能同時影響兩個實現(xiàn)，但通過在兩條路徑中使用不同的組件，可以將系統(tǒng)故障的影響降至最低。這被稱為多元化。缺點包括硅元件數(shù)量翻倍，因此增加了整體系統(tǒng)成本。

架構變體 2

第二種變體（圖7）使用單個CAN總線連接傳感器融合、處理和執(zhí)行器組件。這避免了重復CAN總線結構（即電纜），而是使用新型CAN收發(fā)器，允許在網(wǎng)絡結構內(nèi)的單個故障下運行。區(qū)域內(nèi)CAN可用性得到提高，而骨干網(wǎng)絡保持完全冗余。它節(jié)省了與冗余收發(fā)器相關的費用和布線的重量，同時允許與完全冗余架構相同的可用性。

圖 7：CAN 和主干網(wǎng)提高了可用性。

架構變體 3

第三種變體的特點是不重復處理模塊和以太網(wǎng)交換機，如圖8所示。

圖 8：處理器可用性改進和完全冗余網(wǎng)絡。

并行運行的第二個處理器提高了處理模塊的可用性。此處理器可能具有較低的性能規(guī)格，因此必須采用故障降級的操作模式。對于某些用例，這是可以接受的，例如安全地將車輛移開道路。

架構變體 4

第四種變體（圖 9）將區(qū)域內(nèi) CAN 和處理可用性改進與完全冗余的主干網(wǎng)絡相結合。這種布置提高了CAN和處理可用性，從而節(jié)省了變體2中的電纜，減少了變體3中的控制器模塊數(shù)量。

圖 9：使用冗余主干網(wǎng)提高區(qū)域內(nèi) CAN 和處理器可用性。

車輛網(wǎng)絡架構的未來

更高水平的車輛自主性避免了人類參與駕駛過程。在這些更高的級別上，自動駕駛系統(tǒng)必須無法進入運行狀態(tài)。盡管完全冗余是滿足此要求的不切實際的解決方案，但深思熟慮地采用可用性改進的通信和處理功能可以以較低的總體系統(tǒng)成本實現(xiàn)相同的可用性。

車輛網(wǎng)絡架構正在轉向區(qū)域架構，旨在支持更強大的功能，同時最大限度地減輕車輛重量和成本。另一方面，區(qū)域化需要仔細設計，以確保安全關鍵系統(tǒng)（如自動制動）能夠達到所需的ASIL。我們已經(jīng)表明，與傳統(tǒng)的車輛網(wǎng)絡拓撲相比，區(qū)域網(wǎng)絡中由于車載網(wǎng)絡的貢獻而違反安全目標的平均概率顯著增加。

審核編輯：郭婷