當前車輛日益復雜，車聯網功能在各個細分領域都在不斷增加，而更強大的智能功能也逐步增加。

所有這些高級功能都依賴于線束和控制器才能發揮作用。然而面對日益增加的車輛復雜性和產品開發周期縮短的壓力，導致汽車制造商和系統集成商的成本和時間壓力增加。

因此汽車制造商紛紛革新現有的的電子電氣架構，像國內小鵬的X-EEA3.0中央計算平臺+區域控制架構、廣汽埃安的中央計算平臺架構——星靈架構、長城的計算平臺架構GEEP3.0等（如圖1所示）。

意在降低電子電氣架構的復雜性，對軟硬件進行解耦，以及為后續高級的功能落地提供基礎，如圖2所示。

圖1 上汽、廣汽、長城的中央計算平臺架構（來源網絡）

圖2 分布式架構與中央架構優缺點對比（來源九章智駕）

在設計電子電氣架構的過程中，一個關鍵的任務是基于整車需求分解出電氣/電子需求。整車需求包括機械、電氣/電子、軟件、熱學等。工程師需要從中提取電氣/電子方面需求，并且對其進行分解然后協調各下游部門進行開發設計。在整個過程中，涉及電子電氣架構的定義、設計和交付的各種工程師必須平衡相互依賴的需求。下面從以下這些方面來聊一聊電子電氣架構設計。

1

網絡拓撲

在定義拓撲時，首先是需要各控制器的接口人負責整理出功能清單，然后同一個域的會組織會議討論功能分配優化，網絡連接等，例如：

1.升級 ECU 以在一個或多個連接上支持更高波特率的網絡；

2.將二級網絡中控制器的功能移至域控制器，以支持更高級的功能實現；

同時不同域之間也會開會討論功能分配優化，看是否需要將功能劃到其他域中去。

從分布式架構到域控制器架構的過渡相對容易，這種升級通常僅是將部分分散于不同控制器的功能整合到一個控制器中（圖3）。這些通常在功能域內進行轉移，并進行適度更新以使其適應新車型。再下一階段是將域控制器重組為更通用的計算單元，將大部分功能集中至通用計算單元，而二級或者三級網絡中的控制器僅作為執行器。區域控制器是根據車輛的物理布局將其余功能整合在一起。區域控制器的實施通常需要對軟件和供應商交互進行很大的更改，這對汽車制造商和供應商都是一個很大的挑戰。

圖3 網絡架構升級示意圖

2

功能安全

在設計電子電氣架構時，ISO26262功能安全要求是必須的，分析首先是從整車層面進行功能安全分析，然后再分解到各個域，以及各控制器，如圖4所示。

圖4 動力域功能安全示例 針對從整車層面提出的功能安全需求，其可以通過多種方式來滿足整個系統的功能安全。其一承載車輛功能的硬件和軟件平臺被開發到特定的完整性級別以支持功能安全。另外是在系統中添加冗余部件。與其增強一個傳感器系統來支持 ASIL D 功能，不如使用兩個 ASIL B傳感器將傳感器數據傳遞給 ASIL D 功能。考慮故障功能行為的需求也在增加，特別是在更高級別的 ADAS 功能 （L3+） 中，這會導致更廣泛的系統級考慮，例如圍繞電力網絡、通信、處理器、傳感器等，這些額外的冗余層可能包括技術冗余，如圖5所示。

圖5 傳感器冗余示意圖

3

網絡安全

雖然功能安全與系統可靠性有關，但網絡安全必須考慮對車輛系統的惡意攻擊。現代汽車存在多個潛在攻擊面，例如集成的Wi-Fi、蜂窩網絡、藍牙、車載診斷（OBD）、USB及其他連接點都可以提供進入車輛通信系統的潛在路徑。甚至網絡總線電路也被作為入口點訪問。

網絡安全是通過分層方法實現的，在架構中的關鍵點加入安全機制，包括ECU內部和周圍的硬件保護，基于軟件的車內保護，車內車外的網絡監控，以及安全云服務。從而構建安全可靠的電子電氣架構，如圖6所示。具體的措施包括分域隔離、引入硬件安全模塊（HSM）、防火墻、入侵檢測/防御系統（IDS /IPS）等，詳細介紹可以查閱文章（汽車E/E架構的網絡安全分析）。

圖6 網絡安全機制

4

電源模式

車輛通常具有多種電源模式和喚醒狀態。帶有傳統鑰匙的車輛通常在點火開關上有四個位置，轉換為 4-6 種動力模式，從關閉和鎖定到啟動（如圖7所示），就喚醒源而言，有插槍充電喚醒、鑰匙喚醒、開車門喚醒、遠程喚醒、診斷喚醒等等。對于電子電氣架構設計而言，需要考慮不同電源模式或者喚醒源的情況下，應該喚醒哪些控制器，這里應該是最小化原則。比如在充電的場景下，僅需整車控制器、電池管理系統、DCDC、水泵控制器等處于工作狀態，而像電機控制器就無需喚醒了，這樣一來可以分區管理，減少電耗，另外也可以延長控制器的使用時間。

圖7 不同電源模式下，不同域的工作情況

5

處理器和網絡負載

另一個重要的架構考慮因素是每個控制器的處理器、網絡總線以及網關的負載情況。首先說一下控制器處理器負載，這里主要當把功能分配給特定的控制器時，需要考慮這些控制器的處理器是否能夠支撐功能的實現，通常功能安全的要求是處理器的最高負載是70~80%左右，假設100s，也就是說處理器有70~80s是在工作的，其余20~30s是空閑的。這樣功能不會因為負載過高導致某些低優先級功能卡死，無法執行的情況。

另外網絡總線負載也是重要的一方面，隨著功能的逐步增加，總線上交互信號也會增加，這樣會導致總線負載逐漸增加，在當前的架構中，很多局域的CAN總線負載都很高（CAN總線負載通常任務是不能大于30%），必須對總線進行升級，比如從CAN升級到CANFD，或者通過功能整合，減少交互，或者分割網絡等。

6

復用

車輛特性、功能和系統的可重用性現在至關重要。電子電氣架構的優化和有效的系統設計對于最大限度地提高可重用性、減少車輛變體的數量以及提高按時交付車輛的能力至關重要。

在開發新的或改款車型時，控制器的重復使用受到限制，一部分約束是固定的，比如傳統上，來自一級供應商的控制器增加功能的范圍有限，除非供應商簽訂了開發此類功能的合同。因此汽車制造商在開發控制器、軟件模型甚至完整軟件方面需要承擔了更多責任。當前也可以看到大部分汽車制造商在做控制器的應用層開發，底層和硬件交給供應商，不過現在也有趨勢汽車制造商擴展到戰略模塊的硬件和芯片設計。

在電子電氣架構設計時，架構師需要基于復用原則來確定整個生命周期內的功能分配。

7

總結

開發全新的電子電氣架構對汽車制造商來說面臨的挑戰多種多樣。E/E 系統架構師在開發、更新和優化車輛架構時需要考慮的因素很多，因此有必要借助架構設計工具來根據工程師定義的一組規則和指南來規劃和檢查架構，將指標可視化。這樣更有利于權衡拓撲變化、功能分配和信號分配等，以便在詳細設計開始前對電子電氣架構架構進行早期優化。

審核編輯 ：李倩