新一代智能汽车架构的核心目标之一是能够支撑高阶自动驾驶的功能安全。在实现目标的手段中,“冗余”仍是最重要的保障手段之一。 除了要保障感知、计算、执行、供电等环节的冗余外,从整车架构层面,通信是功能安全实现的关键环节,以灵活、有限的代价来保障“通信”的冗余,保证终端设备的故障不会影响整个网络,以及网络具备故障后快速恢复等的基本能力,是保障各个控制器能够准确、及时地控制整车安全运行的基础。在此基础上设计的汽车系统安全组件如图所示。
对通信的功能安全需遵循E2E(End to End,端到端)的理念,无论从系统功能安全的角度还是从软件功能安全的角度,接入分布化及计算集中化对车载网络通信提出了很高的要求。下图分别从系统功能安全及软件功能安全的角度,分析了E2E各个环节提出的ASIL D的功能安全等级要求。也正是在此高功能安全架构的整体通信机制框架下,整车EEA逐步从传统迈向智能,从低阶的自动驾驶能力向高阶的自动驾驶能力持续演进。
系统功能安全设计目标分解
软件功能安全设计目标分解
车载计算与通信架构中,骨干网络通信机制采用车载以太网,包含冗余时间同步机制、多发选收和折叠倒换等通信冗余机制。 时间同步机制是IEEE 802.1 TSN任务组针对车载以太网制定的,用来保障车载以太网对数据稳定、安全的传输。TSN任务组在IEEE 802.1AS标准中定义了时间同步机制,用来同步网络中各节点的时钟。 多传感器的融合技术是自动驾驶的核心之一,而各节点之间的时间同步在传感器整合技术中起着至关重要的作用。在整车环形网络架构中,运用多时间同步域技术,建立时间同步链接的冗余备份,可支持单时钟源以及多时钟源。时钟域冗余机制下图所示,在正常情况下,时钟源建立两条时间同步树,形成时钟域1和时钟域2。在同步节点时间时,由节点前的网关或者节点本身完成时钟域的选择。当某个网络节点发生故障时,仍然会有另一时钟域的同步信息可以送达,进而实现时间同步的无缝切换。
时钟域冗余机制
IEEE 802.1CB标准是TSN标准族中的可靠性协议,也被称为多发选收机制,原理是通过在N条独立路径上发送N个冗余报文(即主链路与备份路径同时发送相同的数据报文,每个相同的报文有相同的序列号),由目的设备选择性地接收其中一份,通过序列号,筛除其他重复的N- 1份报文,以支持业务的无损恢复,如下图所示。
多发选收机制原理
整车网络形成环形网络后,可以很好地发挥IEEE 802.1CB标准的多发选收机制,同时由于链路上有环形网络冗余,也为其他机制的使用提供了可能,例如,在发生单点故障时,采用了折叠倒换机制。折叠倒换机制同样可以为环形网络提供数据传输链路的冗余备份。而与多发选收不同的是,折叠倒换不需要发送两份同样的数据报文,从而提高了信道利用率,用户在同样的带宽下可传送更多有效的数据;冗余链路切换的时间很短暂(<1 ms),可满足自动驾驶的要求。
折叠倒换机制 从车载以太网通信功能安全的实践中可以看出,从系统的角度来说,以E2E的方式考虑整车级的网络通信架构和方案十分重要。在保障高可靠、低时延等基本网络通信要求的基础上,在系统层面应用新通信技术,并进行合理的安全等级分解,可大大简化系统的设计,从而降低开发成本、提高开发效率,持续支持智能汽车的演进。 对智能汽车来说,特别是对于具备高阶自动驾驶能力的智能汽车,功能安全是复杂的系统性工程,也是汽车产品安全地按设计意图实现应有功能的基本保障。作为智能汽车功能核心中枢的车载网络通信架构,功能安全的实现需要从传感器、控制器和执行器方面系统地考虑,而它们之间通信的高等级功能安全的实现又是整个系统达成功能安全的基本前提,也是整车EEA开发、实现的核心内容之一。