感知硬體的完善、計算平臺大算力的加持、整車OTA帶來的軟體收費模式等等有利因素,都在推動智慧駕駛上車從低階(滿足法規)向高階(提升使用者體驗、創造衍生價值)遞進。
但,無論如何,“安全”仍然是整個自動駕駛技術演進的關鍵。到目前為止,不管是賓士新S級的所謂L3級自動駕駛,還是蔚來汽車剛剛釋出的ET5搭載的NAD,仍然強調了駕駛員對於系統最後一道安全風險把控的重要性。
行業轉型的下一步是什麼?
在汽車安全中介軟體供應商TTTech看來,航空航天和汽車行業的安全一直是一個明確的焦點。
如今,汽車行業正處於一個非常激動人心的轉折點,自動駕駛將作為一項服務來提供給消費者,這意味著可以具備更多的創造性和附加值。
從目前的產業鏈價值分佈來看,無論是感測器、計算平臺(包括域控制器)或是應用軟體堆疊都存在效能與成本的博弈。這其中,最容易被忽視的還是安全。
一、域控架構的博弈
而對於汽車行業,尤其是大規模量產乘用車來說,安全與成本的博弈一直是不變的話題。而後續所有的軟體定義模式,都是基於安全基礎之上的可持續遞進邏輯。
新的自動駕駛輔助功能和日益增加的複雜性也意味著處理控制單元(從簡單整合的ECU到域控制器)上可能發生的錯誤越來越多。迄今為止,大多數量產系統都是基於故障安全架構:如果在ECU中檢測到錯誤的可能性很高,該功能將被關閉;或者控制權返回給駕駛員。
然而,一旦部分自動或完全自動駕駛的功能受到影響,這種型別的錯誤處理就不再足以確保車輛乘員的安全。在這種情況下,如果發生錯誤,則需要為可靠的操作提供完整或至少降級的功能。這種系統被稱為失效可操作的系統(Fail-operational systems)。
比如,在航空領域,如果在一個飛行控制系統失效,飛機仍能夠自動完成進近、拉平和著陸,這種飛行控制系統稱為失效-工作飛行控制系統。在失效的情況下,自動著陸系統將作為失效-效能下降飛行控制系統工作。
目前,在汽車行業,實現失效可操作的一種方法是增加感測器、控制器、執行器等冗餘,但這導致了額外的成本、重量和空間,對於汽車行業來說,這是極其敏感的成本限制。
一些公司認為,最佳的解決方案必須在軟硬體“冗餘”選型中實現某種平衡。
過高配置的重複冗餘,對於大部分走量車型來說,並不實際。除非,這是一款旗艦高階車型,更多是為了市場PR的需要。
比如,TTTech和英飛凌合作開發的適配L3/L4級的故障操作電子架構,透過採用混合模式允許使用硬體和軟體來執行不同的汽車安全完整性級別(ASIL)應用程式。
其中,一個特別開發的故障轉移機制,由一個主節點(“Doer”節點)和一個備用ECU(“備用”節點)組成,確保車輛的必要故障操作。如果“Doer”失敗,“Fallback”會在毫秒時間內迅速接管,而備用ECU可以選擇低階版本。
這套方案有兩個關鍵點,一個是英飛凌的第二代AURIX TC3xx MCU
(40奈米嵌入式快閃記憶體、6個獨立的32位TriCore處理器核、外加4個lockstep核),並且改進了車輛通訊、資料安全和功能安全,實現多個作業系統和應用程式的安全整合。
第二是TTTech的Motionwise安全中介軟體
,由其託管的每個應用程式都與其他應用程式封裝獨立執行,從而形成一個安全的環境,具有不同安全性和實時需求的應用程式同時可以共存並互動,這允許應用程式的無縫整合。
而對於L3級及以上自動駕駛系統,域控制器內部架構除了感知單元、AI引擎等之外,還需要增加資料處理單元、功能冗餘單元等。
“不同單元之間進行大量的資料交換,這個資料吞吐量非常大。”在英恆科技技術總監秦晨看來,在拓展算力的同時,應對成本、系統功耗以及可靠性等方面還有非常嚴格的限制與需求。
比如針對L3級自動駕駛域控制器的架構設計,英恆科技主要分為兩大區域(主安全路徑、二級安全路徑),每個區域都包含AI引擎、安全處理器、ARM效能監控單元等,一旦主安全路徑失效則由二級安全路徑接管,最大程度地保障域控制器的安全執行。
同時,這套方案將域控制器的內部架構分為雷達、影象視覺、感測器融合處理三大模組,每一個模組配備了域內通訊、乙太網通訊,既可以實時地傳輸資料,又可以做到資料的可分享。
在秦晨看來,自動駕駛的等級越高,域控制器的開發難度和技術門檻就越高,域控制器廠商卻面臨著開發週期不斷縮短、開發成本不斷提升等窘境。如何對域控制器架構進行合理的佈局與平臺化設計,對於域控制器廠商來說同樣很重要。
二、模組化而非“重頭開始”
一直以來,在具體的平臺架構設計上,也有兩種路線。一種是非迭代式,尤其是對於L1/L2和L3/L4採用兩種完全不同的架構,無論是開發成本還是軟體複用都是很大的挑戰。另一種,則是模組化升級模式。
此前,TTTech和英飛凌的第一代方案代表案例是奧迪zFAS,Aurix TC297+第一代Motionwise。而雙方合作的另一個案例,就是寶馬的遞進式自動駕駛量產系統。
寶馬將L1/L2被歸類為ADAS,L3/L4/L5被歸類為HAD(高度自動化駕駛)。整個核心系統架構的迭代,都是遞增的。
在寶馬的架構下,L2將成為L3的後備冗餘。這些系統執行單獨的ecu,並利用經典和自適應AUTOSAR。在HAD級別上,依賴於雙ASIL-B通道。
寶馬的雙重處理架構——主計算機和備用計算機——以確保L3、L4和L5車輛的安全。在該體系結構下,有一個主ASIL通道和一個輔助ASIL通道,主通道計算車輛的主軌跡,次通道用來監督主通道。
當輔助通道檢測到主通道正在生成將導致事故或碰撞的軌跡時,它將向控制器發出警報,並切換到輔助通道。這是一個經典的行為檢查方法。
然而,值得注意的是,主要ASIL通道也與次要通道進行交叉檢查。當發現它們在某條軌跡上出現分歧時,系統就會進入降級模式。
接下來,就是由另一個處理模組接管,由一個獨立的電源驅動。這使得汽車可以在降級模式下繼續安全執行,簡而言之,寶馬使用2級的堆疊作為3級的備份。
這個通道獨立於主系統執行。它可以驅動一個冗餘的制動/轉向系統,使車輛進入一個安全的位置。不過,這個冗餘單元無法完成全部功能,能力相對有限。
寶馬的L3策略,就是典型的雙系統模式,其中較低層次的系統成為較高層次系統的後備。一個經典和人工智慧方法的組合,人工智慧主要用於感知,而後退則基於經典的確定性演算法。
隨著自動駕駛水平和功能的提高,寶馬透過部署額外的感測器系統和高階微處理器來滿足這些需求。比如,使用英飛凌的Aurix和瑞薩的R-CAR soc來最佳化其在雙目前置攝像頭中的應用。
對於L3級車型,寶馬將增加兩個Mobileye EyeQ5,兩個Intel Denverton cpu和一個Aurix。對於4/5級的車輛,寶馬將配置擴充套件到三個EyeQ5,一個Xeon 24C和Aurix。
其中,L3配置的兩個EyeQ5晶片,提供互相備份功能(類似特斯拉的FSD計算單元),其中一個晶片的主要功能是處理原始的感測器訊號,而另一個晶片將處理融合計算,將感測器看到的所有資訊合併成一個單一的內聚影象。
這是到目前為止,行業內最為可行的混合架構方案之一。
同時,在這個可遞進式的多Soc架構體系下,寶馬甚至可以快速的實現從Mobileye到高通計算平臺的切換,預計後者合作的首款車型將在2025年正式投產。
有訊息稱,寶馬在未來一段時間會存在Mobileye與高通平臺同時搭載不同車型的情況存在,“很多技術是可以複用的”,同時,該公司還在尋求與英偉達在某些專案上進行合作談判。
“如果我們沒有一個標準,每個汽車製造商都是獨立的……不同的製造商、不同的技術供應商最終將開發出具有不同安全風險的自動駕駛汽車。”在業內人士看來,這既是一種資源浪費,同時也不利於後續行業標準的制定。
在高工智慧汽車研究院看來,誰能實現最大化的架構重用、硬體模組化快速替換(比如,缺芯帶來的問題)以及軟體的最大化重用,才是構建核心競爭力。
