?隨著車輛的電子化程度逐漸提高，電子控制單元（ECU）占領(lǐng)了整個汽車。從防抱死制動系統(tǒng)、四輪驅(qū)動系統(tǒng)、電控自動變速器、主動懸架系統(tǒng)、安全氣囊系統(tǒng)，逐漸延伸到了車身安全、網(wǎng)絡(luò)、娛樂、傳感控制系統(tǒng)等。隨著汽車電子功能的豐富性和復(fù)雜性不斷提高，汽車ECU數(shù)量都在逐年遞增，一些高端車型的ECU數(shù)量已經(jīng)破百。

汽車電子軟件爆炸式增長，對汽車電子電氣構(gòu)架帶來了巨大的挑戰(zhàn)。如何在愈發(fā)復(fù)雜的線路中，保證數(shù)據(jù)處理以及網(wǎng)絡(luò)安全的最優(yōu)化成為難題，用一個或幾個“大腦”來操控全車的ECU與傳感器正逐漸成為汽車電子電氣架構(gòu)公認的未來，以域為單位的域控制器（Domain Controller Unit）集成化架構(gòu)是當前最佳的解決方案。

所謂“域”就是將汽車電子系統(tǒng)根據(jù)功能劃分為若干個功能塊，每個功能塊內(nèi)部的系統(tǒng)架構(gòu)由域控制器為主導(dǎo)搭建，用一個高算力的多核中央計算機取代以往的多個分布式ECU架構(gòu)。目前域控制器的“域”一般是指功能域，按照最典型的分類方法可分為動力總成、底盤控制、車身控制、娛樂系統(tǒng)（座艙域）、ADAS這五個主要的域。在每個域中，域控制器相當于一個高性能ECU，負責處理域內(nèi)部的功能控制和轉(zhuǎn)發(fā)，這就需要控制器本身具備強大的處理功率和超高的實時性能以及大量的通信外設(shè)。各個域內(nèi)部的系統(tǒng)互聯(lián)仍可使用現(xiàn)如今十分常用的CAN和FlexRay通信總線。而不同域之間的通訊，則需要由更高傳輸性能的以太網(wǎng)作為主干網(wǎng)絡(luò)承擔信息交換任務(wù)。

域控制器的發(fā)展，一方面是由于整車車載電子的發(fā)展需要，能夠大大優(yōu)化整車電子電器線路。使用域架構(gòu)同時也能夠?qū)鞲信c處理分開，傳感器與ECU不再是一對一的關(guān)系，管理起來比較容易。另外可以適當?shù)募苫瑴p少ECU的數(shù)量。平臺的可擴展性也會更好。將ECU集中化，車輛通信線束也大幅減少，整車零部件成本的下降也顯而易見。隨著未來整車電子電器架構(gòu)的演化，域控制器將會越來越強大。對電子設(shè)計的要求也會越來越高。本文接下來將圍繞汽車域控制器的優(yōu)勢與應(yīng)用展開論述。?

使用域控制器集成化架構(gòu)的原因

采用域控制器集成化架構(gòu)代替以前的多ECU分散式架構(gòu)主要有以下這些原因：

汽車功能數(shù)量的逐漸增加與復(fù)雜化

目前汽車的電子架構(gòu)在每個獨立的控制單元中集成了一個或多個功能特性。這不僅增加了控制單元和分布式軟件功能的數(shù)量，同時也使得單元之間的通信連接變得復(fù)雜。當汽車需要增加新功能時，以往的解決方案往往是額外增加一個負責相應(yīng)功能的ECU模塊與電路線束。如今，隨著車子電子化程度越來越高，尤其是自動駕駛、主動安全等功能的增加，汽車的 ECU 數(shù)量急速增加，一輛汽車里的 ECU 數(shù)量平均會達到 50-70 ，一些功能更加復(fù)雜的豪華轎車，ECU 數(shù)量早就已經(jīng)破百。2005年的BMW 7系已經(jīng)配備了65個ECU。到了2010年，奧迪A8上使用的ECU數(shù)量更是超過了100個。如此多的ECU錯綜交錯，不僅帶來了十分復(fù)雜的線束設(shè)計，邏輯控制也十分混雜。通過不斷增加ECU數(shù)量來為汽車增加新功能的方法已不再是可持續(xù)的。

未來汽車對高速數(shù)據(jù)處理和復(fù)雜軟件算法的需求

域控制器技術(shù)是未來汽車發(fā)展不可抗拒的趨勢，也是未來汽車能夠順應(yīng)各種技術(shù)潮流的硬件基礎(chǔ)。隨著汽車對面向安全、娛樂等復(fù)雜功能的需求正在以前所未有的速度增加，未來汽車必須擁有更高的數(shù)據(jù)處理和運算能力。很多主機廠都聲稱要在未來將汽車打造成“車輪上的智能手機”。當汽車逐漸向著大號的移動智能終端發(fā)展時，就必須使得汽車像智能手機那樣，不斷升級換代，通過更多的計算能力和更好的軟件算法來滿足所需的新特性、新功能。

傳統(tǒng)的ECU分布式架構(gòu)已經(jīng)無法支持汽車對高速數(shù)據(jù)交換和復(fù)雜的軟件算法的需求，同時沒有足夠的計算能力來滿足運算數(shù)據(jù)不斷增長的要求，車載網(wǎng)絡(luò)也無法支持高速的數(shù)據(jù)傳輸需求。相較于手機、平板等設(shè)備，汽車的使用周期長得多，隨著各大車企推出功能越來越豐富多樣的汽車，買家們往往也會希望自己所購買的汽車能夠擁有像智能手機那樣的升級能力，而不是像以往那樣，在汽車的整個使用周期里汽車的功能和特性基本保持不變?；贓CU的分散式電子架構(gòu)汽車中的所有特性和功能都必須在車輛推出前設(shè)計和實現(xiàn)，未來將無法滿足消費者對汽車功能快速更新的需求。

在“軟件定義汽車”的大趨勢下，智能汽車更多地依賴于硬核的高配置硬件和強大的軟實力軟件，來滿足一輛智能汽車所需要的軟硬結(jié)合部分?，F(xiàn)今風靡一時的OTA（Over The Air Technology）空中下載技術(shù)正是對汽車軟硬件功能的一種遠程升級技術(shù)，OTA更新可以用來提供新的汽車功能，優(yōu)化汽車軟件系統(tǒng)，修補汽車功能漏洞，提升整體的駕駛體驗。OTA具備減少召回成本、快速響應(yīng)安全需求、提升用戶體驗，成了未來智能化汽車時代的必然選擇。

為了實現(xiàn)所有這些目標，我們需要更高的計算能力、嵌入式內(nèi)存容量和連接帶寬，而只有使用域控制器架構(gòu)的汽車才能滿足所需的硬件要求。

車載SOC成本的降低

在電子產(chǎn)業(yè)摩爾定律的影響下，高性能的汽車SOC芯片的價格隨著技術(shù)進步和大規(guī)模量產(chǎn)將會進一步下降。隨著汽車智能化的推進，英偉達、高通、MTK等手機芯片玩家也開始進入車用市場，汽車SOC的成本這幾年正在急劇下降，越來越接近傳統(tǒng)MCU的價格，這也是汽車制造商使用具有集成功能的域控制器的原因之一。

使用域控制器集成化架構(gòu)的優(yōu)點

與傳統(tǒng)的ECU分布式架構(gòu)相比，域控制器架構(gòu)有以下幾點主要優(yōu)勢：

輕量化，高效率

傳統(tǒng)ECU架構(gòu)下，每個額外的新功能都會帶來相應(yīng)的ECU和線束，導(dǎo)致錯綜復(fù)雜的線束成為了汽車中僅次于發(fā)動機的第二重的部件。這種設(shè)計思想不符合汽車設(shè)計中的輕量化規(guī)則，會降低汽車的能源效率和行駛里程。采用域控制器，集成了ECU，車輛能夠去掉多個微控制器、電源、外殼和銅線，大大簡化了汽車電子結(jié)構(gòu)，實現(xiàn)集成和制造自動化，降低了電子部件重量，提高了行駛效率。以汽車駕駛艙域控制器為例，通過集成取代了傳統(tǒng)的儀表盤、信息娛樂系統(tǒng)和HUD顯示器，整個系統(tǒng)的質(zhì)量可以減輕30%以上。

成本降低

為新功能額外增加一個ECU模塊是不可持續(xù)的，新ECU模塊所對應(yīng)的專用MCU、存儲器、電源、PCB和其他電子元件將大大增加生產(chǎn)制造的成本。隨著具有強大計算能力的車載SOC芯片的價格持續(xù)下降，以集成駕駛艙解決方案為例，每輛車至少可以節(jié)省約70美元。隨著域控制器的大規(guī)模量產(chǎn)和出貨量爆發(fā)，汽車的生產(chǎn)成本將會進一步降低。

數(shù)據(jù)延時

智能汽車往往裝載有多個傳感器用于感知外界環(huán)境，出于安全的原因，車輛需要能夠接受和及時處理來自自身傳感器、外界其它車輛或基礎(chǔ)設(shè)施（V2X）的大量數(shù)據(jù)，所有數(shù)據(jù)都必須能夠以實時或非常接近實時的速度進行處理，這樣才能保證行駛過程的安全。

對大量數(shù)據(jù)的實時處理，保證較低的數(shù)據(jù)延時需要高性能的計算能力和高帶寬的網(wǎng)絡(luò)通信。在具有高性能計算能力的域控制器中數(shù)據(jù)只需要被處理一次，并可以在不同的內(nèi)核中進行共享。而在使用大量ECU模塊的架構(gòu)中數(shù)據(jù)需要在不同網(wǎng)絡(luò)中多次進行通信傳輸，并進行多次運算，傳統(tǒng)的ECU架構(gòu)會導(dǎo)致運算效率低，數(shù)據(jù)的延遲性高，無法保證汽車在面對各種緊急情況時的快速反應(yīng)能力，安全性不夠高。

可升級性

隨著汽車從機械產(chǎn)品向數(shù)字化電子產(chǎn)品的不斷發(fā)展，軟件水平愈發(fā)成為了汽車的核心競爭力。十年前，一輛汽車僅包含約1000萬行軟件代碼?，F(xiàn)如今，一輛汽車擁有約1億行軟件代碼。在未來，自動駕駛汽車的軟件代碼量將達到3億至5億行。汽車軟件的代碼量正在成指數(shù)級別地增加，由于代碼的不斷累加，出現(xiàn)的安全漏洞更需要及時修補。對汽車的功能維護和復(fù)雜軟件升級將變得更加重要。相較于傳統(tǒng)的分布式ECU架構(gòu)，域控制器具備的算力可擴展、更靈活的整車OTA以及軟件比重的加大，使得汽車制造商有能力為用戶提供不斷迭代升級的功能體驗。也就是說，車企可以在不增加額外ECU的情況下，僅僅通過對軟件算法進行更新就可以實現(xiàn)汽車功能的升級。

萬物互聯(lián)

由于域控制器具有高性能計算能力和高帶寬通信，駕駛員可以通過數(shù)字平臺和5G網(wǎng)絡(luò)與周圍的外部環(huán)境相連接。V2X技術(shù)將允許車輛與其它車輛以及道路基礎(chǔ)設(shè)施進行聯(lián)絡(luò)通信，以獲得環(huán)境信息。所有這些數(shù)據(jù)必須進行實時通信和處理，這需要高帶寬的通信和高性能的車載計算能力。很明顯，傳統(tǒng)的分立式MCU難以支持高速的通訊和計算能力。

汽車域控制器的設(shè)計

IT行業(yè)以及消費者電子領(lǐng)域的很多技術(shù)可以被遷移運用到未來的智能汽車領(lǐng)域。運用在未來汽車上的車載SOC，嵌入式操作系統(tǒng)、虛擬機監(jiān)視器以及OTA升級技術(shù)都已經(jīng)比較成熟，并被廣泛應(yīng)用在消費電子以及其它領(lǐng)域。汽車電子框架可以從其它電子產(chǎn)品上借鑒經(jīng)驗。

然而出于汽車對安全性的高要求，汽車電子設(shè)計需要滿足嚴格的安全標準和標準需求。對安全性、穩(wěn)定性、耐用性的要求使得汽車域控制器的設(shè)計要有極高的質(zhì)量和可靠性。保障汽車的安全和穩(wěn)定性將成為設(shè)計汽車電子電氣架構(gòu)時需要考慮的關(guān)鍵因素。

未來汽車基本架構(gòu)基本架構(gòu)未來的汽車電子架構(gòu)正在迅速革新。安全特性以及對自動駕駛功能需要有更好的計算能力以及更高帶寬的通訊能力。為了使汽車具有更好的連接能力以及信息娛樂功能，汽車將會被改造一個分布式IT系統(tǒng)，能夠與云端進行通信以遠程更新軟件，同時實時更新數(shù)字地圖信息與交通路況。

上圖展示了未來的汽車電子電氣架構(gòu)，該架構(gòu)需要具備在不同部件以及不同功能模塊之間進行交互的能力，并能夠管理和控制不斷增多的功能和復(fù)雜軟件算法。此外，該框架還應(yīng)該具備良好的擴展性，以應(yīng)對隨著時間推移所增加的對汽車功能的需求和期望。OTA也應(yīng)該是該架構(gòu)所必須的功能之一。

汽車電子架構(gòu)的可更新性和可升級性使得OEM在汽車銷售后仍能夠?qū)ζ嚨纳夁M程加以控制。軟硬件分離使得汽車的軟件功能獨立于硬件，大大提高了系統(tǒng)功能的可擴展性和更新的便捷性。

框架特性

SOA(Service-oriented Architecture)面向服務(wù)框架：SOA方法已經(jīng)廣泛運用于IT以及消費者電子領(lǐng)域。SOA為汽車電子系統(tǒng)提供了大量的抽象接口。它的封裝可以使用敏捷開發(fā)方法進行系統(tǒng)設(shè)計和測試，以減少系統(tǒng)功能不斷增加所帶來的復(fù)雜性，并使得軟件組在不同的車輛上更容易實現(xiàn)復(fù)用。

中央網(wǎng)關(guān)服務(wù)器

使用中央信息服務(wù)器和代理服務(wù)器處理所有的通信信息，將本地控制域與外界環(huán)境隔絕開，以保證系統(tǒng)的安全性和保密性。將系統(tǒng)劃分成物理層，信息層，服務(wù)層，使得系統(tǒng)具有良好的擴展性，同時使得系統(tǒng)運用在不同類型車輛上時的變化較小，可遷移性較高。

在未來的汽車電子電氣架構(gòu)中，中央網(wǎng)關(guān)將作為信息橋梁，交換信息并隔離車內(nèi)域控制器和外圍通信源，如移動網(wǎng)絡(luò)、藍牙、WiFi、以太網(wǎng)等，它還將同時充當汽車的中央診斷接口用于系統(tǒng)漏洞的診斷。域控制器可被用作中央網(wǎng)關(guān)與本地智能傳感器、執(zhí)行器和ECU之間的網(wǎng)關(guān)，在以太網(wǎng)和CAN或LIN之間編譯和傳遞信息。

中央網(wǎng)關(guān)將承擔維護網(wǎng)絡(luò)安全的主要責任。中央網(wǎng)關(guān)檢驗來自合法源的消息，并保護身份驗證不受欺騙，將網(wǎng)絡(luò)通信限制到預(yù)定義的正常范圍內(nèi)，限制異?；蜻^多消息的通信，以避免損害車輛的功能。它還需要阻止未經(jīng)批準的非法消息，并對無效嘗試給出警告。這可以大大提高整車的網(wǎng)絡(luò)安全性，并顯著降低車載域控制器的安全功能負載。

車載以及后端架構(gòu)未來，汽車車載系統(tǒng)以及云后端架構(gòu)之間將會有越來越多的交互。兩者可以通過WIFI或者高帶寬的5G網(wǎng)絡(luò)進行連接。處于對安全以及自動駕駛功能的需求，車輛需要具備與外界信息進行交互的能力，如周圍車輛、新一代基礎(chǔ)設(shè)施、天氣、道路信息以及實時高精度地圖等。由于汽車的軟件算法以及基礎(chǔ)的硬件算力會受到一定程度的限制，隨著數(shù)據(jù)量的加大，對不斷變化的場景以及駕駛條件做出實時分析與決策的難度會逐漸增加，所以未來汽車越來越多地需要與高處理能力的后端（比如云端服務(wù)器）進行交互，以獲取駕駛場景下的相關(guān)信息和數(shù)據(jù)。

汽車功能安全性

所謂的“功能安全”，就是通過安全功能和安全措施來避免不可容許的功能風險的技術(shù)總稱。功能安全（Function Safety）的“功能”指的是監(jiān)控受控對象和控制器的安全裝置起的作用。通常我們將計算機作為安全裝置，如果控制器發(fā)生故障，則該計算機將會關(guān)閉受控對象，并向用戶發(fā)出危險警告。安全裝置所實現(xiàn)的這種安全性作用，被稱為“功能安全”。功能安全可以說是通過使用計算機等的安全裝置所設(shè)計出的安全措施。

汽車行駛關(guān)乎乘客的生命安全，安全也是汽車設(shè)計準則的第一要義。每個行業(yè)都有所對應(yīng)的技術(shù)標準來約束產(chǎn)品的最低性能。汽車行業(yè)所采用的ISO26262標準是從電子、電氣及可編程器件功能安全基本標準IEC61508派生出來的，主要定位在汽車行業(yè)中特定的電氣器件、電子設(shè)備、可編程電子器件等專門用于汽車領(lǐng)域的部件，旨在提高汽車電子、電氣產(chǎn)品功能安全的國際標準。ISO 26262標準是針對汽車電子電氣系統(tǒng)的功能安全標準，使用 ASIL 來指定相應(yīng)器件必需符合的可接受的駐留風險級別的安全性需求，涉及汽車電子電氣系統(tǒng)的整個安全生命周期及其管理過程，其最終目的便是確?！鞍踩?，避免因汽車電子電氣系統(tǒng)故障而導(dǎo)致的不合理風險。

隨著數(shù)據(jù)連接和車內(nèi)通信的使用越來越多，車輛愈發(fā)容易受到惡意網(wǎng)絡(luò)攻擊。智能網(wǎng)聯(lián)汽車中的威脅風險點可能有：惡意攻擊者可以利用 CAN 總線廣播機制，實施數(shù)據(jù)包竊聽、偽造及數(shù)據(jù)重放等?？梢越俪?ECU 設(shè)備制造廠商的訪問機制，對源代碼進行逆向破解，對芯片內(nèi)固件代碼進行提取、篡改、分析等操作。

由于汽車電動化、智能化和網(wǎng)聯(lián)化的發(fā)展趨勢，特殊的多場景使用狀態(tài)和研發(fā)、生產(chǎn)、使用、維修、報廢全生命周期的現(xiàn)狀，相較于傳統(tǒng)的信息安全體系，智能網(wǎng)聯(lián)汽車的信息安全研究方向需要解決：如何進行高可靠的入侵檢測和防護，防止對車輛控制單元的直接控制造成生命財產(chǎn)方面的損失；如何保障復(fù)雜通信環(huán)境信息安全，提升車輛的防護能力。這將是未來汽車功能安全研究的重點方向。

消費者對汽車安全特性和軟件功能的需求正以前所未有的速度增長。這種趨勢使得汽車的電子電氣架構(gòu)正在從分布式電子控制器單元 (ECU) 轉(zhuǎn)向集成度更高的域控制器。汽車對計算能力和存儲能力的要求也越來越高。以域控制器為代表的電子電氣框架可以提供更快速，更安全，更可靠的數(shù)據(jù)處理和能源分配能力。帶有域控制器的未來汽車平臺可以輕松利用云計算、互聯(lián)網(wǎng)、大數(shù)據(jù)以及OTA升級等最新技術(shù)。強大的多核處理能力、專用的車載嵌入式操作系統(tǒng)、創(chuàng)新的電子電氣架構(gòu)以及高帶寬的通信能力是未來域控制器架構(gòu)汽車的基本組成要素。

隨著域控制器的出現(xiàn)，汽車的智能化演進越來越迅猛。隨著圖二所示汽車電子架構(gòu)的集中化進程，未來最理想的狀態(tài)是，汽車能夠擁有一個整車計算平臺——中央大腦。中央域控制器可能會成為一臺計算機的形態(tài)，其中最核心的難點會來源于汽車的操作系統(tǒng)，這個系統(tǒng)需要同時跟上層的軟件應(yīng)用、底層的硬件資源進行銜接。因為汽車的座艙域、智駕域、動力域、車身域等幾大“域”對操作系統(tǒng)的需求其實并不一致。比如座艙系統(tǒng)對于屏幕的色彩處理和渲染要求比較高，而智駕功能則對系統(tǒng)的安全要求特別高。目前還有沒一種芯片或者一個嵌入式的硬件平臺，既有高算力能夠支撐豐富圖像處理，又有高性能、高存儲，同時還具有非常豐富的IO接口。

從域控制器到中央大腦

除了硬件層面的挑戰(zhàn)，汽車行業(yè)的軟件產(chǎn)業(yè)鏈也面臨著重構(gòu)的可能。軟件能力愈發(fā)成為產(chǎn)業(yè)鏈玩家的核心競爭力。而主,機廠對軟件能力的集中把控，可能會帶來產(chǎn)業(yè)鏈關(guān)系的重建。任何行業(yè)變革的伊始，總是伴隨著利益的沖突與規(guī)則的破立，在這場由ECU消亡引發(fā)的變革里亦是如此。域控制器的出現(xiàn)，只是一個中場戰(zhàn)事?？梢源_定的是，汽車的“中央大腦”形態(tài)變革，以及背后的智能汽車時代話語權(quán)爭奪，會讓汽車產(chǎn)業(yè)鏈上的各種玩家前赴后繼，未來十年汽車行業(yè)一定會發(fā)生天翻地覆的大變革。