本文基于自動駕駛應用場景分別從E/E架構、通訊方式、軟件架構和流程標準等方面談下與當前模式相比可能加強的方面和涉及的變化。

汽車E/E架構：分布式->域集中->中央計算機

目前的汽車有多達幾十甚至上百個電子控制單元并連接到多個總線上，Strategy Analytics的數據預測了各級別汽車控制器數量的增加趨勢。平均來說，目前的汽車大約采用25個ECU，但一些高端車型已經采用超過100個ECU。將來若依然采用這種分布式E/E架構，會導致一個規模更大且復雜的車載網絡和布線，另一方面也將影響整車的輕量化。

面對汽車功能和軟件復雜度的提升，需要對汽車E/E架構進行重構，建立更加靈活的體系架構。在域集中架構下，整車的功能將會以特定的方式重新排列組合，典型的域有信息娛樂域、底盤域、動力域和車身域等。域控制器可控制總線系統中的多個區域從而大大降低控制器數量，而多核系統及Autosar等軟硬件架構的出現使域集中式的E/E架構成為可能。目前BOSCH等供應商都已有相應的域控制器產品，但實現真正的域集中E/E架構依然還需要很長時間，畢竟這不是一己之力才能實現的，需要OEM、供應商等共同大力合作和推進才能實現。

舉個例子：如下是包含兩個160 MHz e200z4內核和一個80 MHz e200z2內核的多核控制器。

其多核設計和相關的特性集，支持單一架構中的多個應用，那么在不同內核及其相關資源之間的高度分離和隔離允許在應用級進行隔離。這意味著它可以專門指定一些MCU資源(例如內核、外設子集和存儲器)用于一個應用，同時將具有外設和存儲器子集的另一內核用于完全獨立的另一應用，這樣我們可將其應用于控制兩個獨立的域的域控制器：

一個網關域：處理傳統的汽車開放系統架構(AUTOSAR)汽車網關功能，擁有專用CPU和相關的存儲器和外設資源，幾乎獨立地運行IP域，但可以通過共享存儲器和中斷消息架構安全地交換數據。

一個IP域：連接至互聯網，用于支持多種應用，例如在車載網絡中分布場內下載，使用專用e200z4內核、專用系統RAM和一部分閃存陣列，運行其自己的操作系統(OS)，此系統具有其自己的OS計時器、看門狗和系統資源。

高級自動駕駛汽車需要汽車知道周圍的環境，環境模型通過傳感器融合技術構建，傳感器融合技術將攝像頭、毫米波雷達、激光雷達及超聲波數據糅合進單個模型，因單個傳感器有自身的局限性和劣勢，而不同的傳感器技術則可相互互補，例如，不像雷達系統，攝像頭系統當在無光條件下會失效。傳感器融合技術會涉及大量數據的實時處理和分析。而到了中央計算機架構，這些復雜的計算將由中央計算機進行，中央計算機由異構的多核處理器構成，例如GPU、千兆以太網通道等，對于關鍵安全功能例如合理性檢驗、監控及結果檢驗等需要額外的安全核心集成在芯片上，或作為第二塊處理器集成在板載設備上，例如ARM Cortex A50/A57，Renesas' R-Car H3，Cortex R7和Infineon Aurix等系統已存在。

中央計算機架構中另一個關鍵部件就是網關：它將用戶接口域從動力域中分離出來并將汽車與OEM的后臺系統互聯，使用一種叫智能天線的組件。智能天線和網關的任務就是執行不同的安全層，如防火墻和入侵檢測，并使用板載安全機制用于控制器之間的通訊。

與后臺系統的互聯使很多新功能的更新成為可能，例如可向汽車提供諸如道路狀況，空停車位等環境信息，這些在線服務可讓汽車制造商在汽車生命周期內不斷獲取收益，其次車輛互聯能讓OEM收集用戶信息并獲取零部件的使用和可靠性信息。軟件和硬件的錯誤信息及產生錯誤時的環境信息可通過診斷接口檢測，從而使軟件可在供應商端升級并更新下載到車輛端，類似于智能手機的App更新。

汽車軟件架構

與復雜的多核系統相反，十年前，很多控制單元還是16位的單核系統，對于供應商，技術的飛躍對軟件的設計提出了更嚴苛的要求，未來軟件才是汽車的核心價值，我想那些使用集成工具鏈進行系統設計、建模、代碼生成和驗證來管理增長的軟件復雜度和成本的供應商會在這個過程中受益。

當前，很多控制單元都使用靜態配置的操作系統，這些操作系統依據的是Atosar 或OSEK的標準，在配置期間，這些系統可定義調度和資源利用率，靜態配置的優勢就是能夠輕松驗證功能是否在確定的時間內被執行，例如安全氣囊，在碰撞發生時，需在幾毫秒內做出決策并彈出。

對于那些對時間要求較低的復雜多核系統，動態操作系統將體現優勢，重要的應用場景有如下幾種：

1、支持運行時的重新配置

2、基于面向對象的服務和通訊

3、部分軟件更新

4、使用POSIX接口進行軟件開發而不是基于XML接口描述文件的靜態配置

在軟件架構方面，多軟件架構，諸如Autosar、Adaptive Autosar、ROS等將會耦合集成。

以太網和時間敏感網絡—TSN作為通訊媒介

當前汽車具有多個能提供諸多功能的ECU。這些功能可能分布在多個ECU上，其中大多數是連接至一個或多個系統總線的網絡節點。這些ECU控制多種功能，例如照明、空調、座椅、引擎或變速箱。控制器區域網絡(CAN)、局域互聯網絡(LIN)和FlexRay等與其連接的各種總線系統構成當前汽車中的分布式網絡。

而由于ADAS或自動駕駛應用場景的應用，會帶來系統數據存儲和通訊的大量提高。這就對網絡帶寬提出了更高的要求，此外由于域控制器的加入，整個系統需要通過速度更快的總線互聯。從業界發展趨勢中可發現，以太網將成為域網絡的“主干網”并取代CAN。這樣的話，控制器與傳感器和執行器將通過以太網進行通訊，TSN作為AVB協議的一種擴展，將會被用于關鍵安全和可靠的通訊。TSN標準就是為高安全等級和高實時要求的系統而開發的，諸如ADAS和自動駕駛。另外，以太網則用于將娛樂信息系統連接到網絡及OEM的后臺系統。

FlexRay，CAN和CANFD(可變速率CAN)將依然用于傳感器、執行器和小型輸入輸出控制器的連接。中心計算機的通訊則是通過面向服務的接口通訊，面向服務的接口由BMW在2011年制定，即車載以太網SOME/IP，它是基于以太網和TCP/IP協議的一套標準。

有哪些標準和流程會逐漸加強？

為了滿足汽車軟件開發高質量的標準，ASPICE 過程模型被建立，ASPICE是安全和保障的基礎，樓主相信這是未來保證軟件開發質量的一個重要方面，不管是供應商還是各大OEM都應逐漸應用起來。

ISO26262標準則在流程和方法論方面定義了系統開發中功能安全的影響，對于軟件架構，功能安全是一個非常關鍵的因素，如何設計車內系統使其能符合功能安全標準要求是一個巨大挑戰，特別是在日漸增加的應用復雜性以及產品上市時間的緊迫性的雙重壓力之下。電子系統面臨的挑戰是構建的系統需要能夠防止危險故障的發生或至少在出現故障時能夠有效地進行控制。

功能安全標準已應用于車輛安全系統，如安全氣囊或 ADAS。ISO26262是從IEC61508標準派生而來，針對道路乘用車車輛內的電氣/電子系統。該標準應對架構、功能和程序方面的問題，包括汽車安全生命周期，以避免并控制系統錯誤以及隨機硬件故障。ISO 26262指定了四個ASIL等級(A至D)以確定標準的必要要求以及用于避免不合理殘余風險的安全措施，其中D表示最嚴格的安全等級，A表示最寬松的安全等級。通過考量任務數據中系統故障可能導致傷害的那部分(即出現概率)；駕駛員應付系統故障并避免傷害的能力(即可控性)；以及可控性操作失敗會導致的人身后果(即嚴重程度) 這三點，進行車輛層面的危險分析和風險評估，確定適當的ASIL等級。

安全訪問機制在汽車開發中已經存在相當長的時間了，像防盜器、電子鑰匙和里程的安全存儲等系統都已是標準的功能，然而，汽車互聯的急速增長需要面臨的新挑戰，根據信息技術的基本規則“任何連接都會有受到攻擊的可能”，系統的安全和用戶隱私在汽車行業也將會變得非常重要。人們對車載網絡安全的要求也越來也高，以防止未授權設備訪問車載網絡給車主帶來危害。

總結

自動駕駛汽車的架構需求已經變得非常復雜，然而，通過結合標準化的架構和接口、功能安全、多核系統等技術，將大大簡化和提升我們的開發效率；通過Aspice等流程標準則可保證我們開發的質量。

在電子電氣系統方面，通過使用高集成度、高性能及廣泛連接性的多核微控制器，將重塑現有汽車E/E架構，使其向域集中或中央計算機式發展，從而減少組件和布線的整體數量和復雜性，有助于減少汽車的重量，促進汽車的節能環保（降功耗）。

隨著嵌入式存儲增加并向規模更大的域控制器架構遷移，需要一個新的高速接口實現互聯互通。以太網是高速網絡的一個顯而易見的選擇，因為它在非車載應用中廣泛使用，并已經用于量產汽車。以太網將在高帶寬汽車應用中被廣泛采用，但短期內不太可能取代現有的、特定的CAN、LIN、SENT和PSI5應用程序協議。