本文首发于知乎,作者:一个Kebab
几年前,当我们还没有ADAS,车联网,也没有混动的时候;当功能安全还远远没有普及,油耗排放问题还没有这么严峻的时候,整车成本中80%以上都是硬件。
短短5年间,马上进入2020时代,整车价值中软件和硬件将平分80%左右的比例,之后随着电动汽车的普及软件甚至会超过硬件成为整车价值的绝对核心。下个时代将是软件需求领头,硬件设计跟上的时代。
带动这个趋势的主要有三方面原因:
ADAS和车联网,在硬件配置类似的情况下软件算法成为主要驱动力。大部分新造车甚至早早准备好了硬件,只等软件可以跟上节奏,通过OTA软件隔空推送来实现L3以上等级的辅助或者自动驾驶。
另外这两年功能安全成为大部分车企规避法律风险的强制标配,越来越多电子控制的冗余设计被引入。关乎到人员安全的动力,底盘,主/被动安全系统被搭配了两套甚至多套传感器,来保证在某一套失效之后系统依旧可靠,软件层面自然也设计了额外的监测和交互检查逻辑来支撑这些冗余传感器。因为功能安全软件的叠加,每个ECU的代码量可能是以前的两倍。
最后更为迫切的软件加持还是为了节能减排。为了能让以前非“智能”的负载都变得“智能”,电动化和电控化成为行业的大势所趋。小到一个油泵,一个水泵,一个液压阀都被电控化由软件来控制以达到优化油耗和性能的目的。
越来越多的「简化ECU」被用在这些细小的执行机构上创造出Smart Actuator(智能执行机构)的概念:
正因为这些新软件的加持,2020时代汽车上的软件电控单元ECU,从10年前的个位数暴增到数十个,加上各种Smart Acturator甚至超过100个。而电子电气构架,作为软件的「脊梁骨」,也正因为整车价值向软件转移而被彻底颠覆了。一切的一切从通讯网络,到底层上层软件,再到功能在不同控制器之间的配置都需要被改写,这也是今年行业下行期车企依旧需要大量软件人才的原因所在。
而这类新的电子构架在领先的几个大厂的发展路径选择上又可以看到极为相似的路径选择。今年最新发布的一个构架是通用通过凯迪拉克CT5上市的GM digital vehicle platform。
以通用构架为例,这类「新构架」的第一个特点是基于车载以太网的整车高速通讯网络。基于以太网,通用的新构架每小时能够处理4.5TB的数据量,这个速度百倍于传统汽车CAN通讯网络。
比起传统的CAN通讯以kbps计算的通讯速度,车载以太网的通讯速度可以达到1000 mbps水平,以支撑未来车联网和ADAS所需要的百兆级带宽。从统计上来看,以太网的主要驱动力是车联网系统的媒体类信息交互和ADAS的摄像头图像信息交互。
另外一个不为车主所知晓的驱动力则是所有ECU的诊断和软件更新。当整车ECU的数量达到几十上百量级的时候,无论是车辆生产时候的软件刷写,还是在4S店维护时候的软件更新,如果通过kbps速度的CAN网络进行全面更新就需要几十个小时,而以太网可以将这个时间缩短到几十分钟的水平。
也正是因为以太网的应用,也反向带动了整个汽车电子构架的变革。以往的电子构架都是分散的,每个领域有一个域控制器,比如动力域,底盘域,车身域,然后每个域控制器负责主控下面的其他ECU。而高速以太网应用之后形成了中央化的神经网络式的构架。由高速以太网和中央控制器,或者网关控制器形成整个电子构架的“脊梁”,之后各个ECU分散通过局域的传统CAN,LIN或者Flexray网络进行通讯。
下图紫色部分就是整个电子构架的中央控制线路。
2020时代新电气构架的另外一个特点就是配备SOTA(软件隔空更新)。OTA在软件逐步领先硬件的时代已经成为一个必须。原因也很简单:
ECU数量在几十上百的数量级,这个时候每一个ECU的软件在生命周期都可能会出现需要更新或者需要召回的情况。OTA会将主机厂维护汽车生命周期的软件成本降到最低。
另外完全以软件主导的ADAS,车联网和媒体类功能在现阶段还属于硬件设计冗余的状态,很多厂商尤其是新造车配备了完整的硬件体系,而软件只有在整车上路之后通过OTA的方式来更新换代。
如下图所示,最终版本的OTA技术可以覆盖整车生命周期的所有软件更新,从生产线上的软件刷写,到整车运输环节中的软件更新,再到用户用车过程中的软件维护和升级。
市场上已有的大部分OTA瓶颈在于基于老电子构架,只局限在媒体系统和控制大屏的更新,而无法对最核心的动力总成,底盘和主被动安全软件进行全面维护。而且因为标准的缺失,OTA更新更趋向于互联网模式而没有监管。目前各国在加紧制定关于OTA的标准,以确认哪些软件可以更新,哪些不可以,更新的具体流程和规范是什么。去年的UN Task Force已经针对OTA提出了一系列管控流程。
比如下图,在新车上市之后如果车企要通过OTA对软件进行更新则要评估是否会对已经通过的新车认证造成任何影响,如果会潜在改变认证内容则要通过新的认证才可以进行软件推送。而哪怕软件更新对新车认证没有影响也必须证明已经进行过严格的验证测试才能推送给用户。目前一些车企互联网式的软件更新在标准正式启用之后恐怕就要算违规行为了。
回到前面通用新的电子构架,通用在发布的时候强调的也是相较于上一代OTA仅能实现车载通信系统和车载娱乐系统的更新,全新一代架构可实现几乎所有车载系统OTA,包含发动机、变速箱、车载通信、车载娱乐、驾驶操控、车身控制的电子控制单元(ECU)都可以通过OTA升级。尤其是凯迪拉克CT6的Super Cruise,在这个构架2025年应用在大部分通用车型之后也可以通过OTA软件普及到更多的车型。
下一代新电子构架的最后一个共性就是对信息安全的考量。正是因为车联网功能和OTA,导致用户个人数据和所有关键的ECU控制软件都暴露在信息攻击的风险下。在通用今年公布的digital vehicle platform底层软件设计中加入了信息安全保护措施。目前,包括信息认证逻辑以及基于Hypervisor的车载娱乐系统以及OBDII的接口保护,都已经加入到新构架的信息安全保护逻辑中。
这两年我所参与的每一个新软件的研发基本都要通过信息安全的需求审核。最简单的问题包括:
软件是否会保存或者处理个人隐私信息?
如果保存或者处理个人隐私信息是否有专门的加密措施?
软件是否有对外的接口?
如果有对外的接口如何防御非法入侵?
软件在不同ECU之间做信息交互的时候如何进行信息验真?
而在信息安全保护上,新电子构架也会有对应的设计:
首先是会限制可以和外部通讯的ECU数量,只允许少量ECU和外部有信息交流,作为与外界交互的端口,并在这些ECU中添加额外的软件安全模块。
针对这些对外通讯的ECU设定特别的条件,只有在这些条件满足的情况下才允许对外通讯,比如:车辆完全静止,比如需要激活整车诊断模式。
在ECU之间的关键信息交互上添加加密算法。根据下面最新的AUTOSAR构架,信息发送ECU和信息接收ECU之间会通过统一的加密算法在每条关键信息之后添加验证码和实时更新的计数器,每条信息在发送之前会添加两部分验真信息,在信息被接收后再使用同样的验真码生成逻辑进行校验以防止信息在传送过程中被篡改或者延误。
在2020时代,可以明确的一个趋势就是汽车“软件化”,软件会开始主导整车相关的硬件和功能设计。而车企“软件化”变革中的第一步也是最重要的一步就是新电子构架的设计。高速以太网,OTA和信息安全,通用发布的新电子构架只是这类变革中的一个典型先驱代表。以我这两年参与的项目情况来看,未来三年之内会有一批豪华品牌上市具有类似设计的新电子构架以适应未来10年的汽车软件变革需求。
本文由长城网汽车频道内容合作方“雅斯顿”授权转载。