摘要隨著運輸業(yè)呈現(xiàn)電氣化轉(zhuǎn)變趨勢，汽車必須具有安全、可靠并且易于使用的系統(tǒng)，這為工程師和軟件架構(gòu)設(shè)計師帶來了巨大壓力。電動汽車 (EV) 電氣動力總成的嵌入式軟件極為復(fù)雜，需要專門的解決方案來解決開發(fā)過程中的復(fù)雜問題。西門子的 Capital VSTAR 可幫助開發(fā)人員解決開發(fā) EV 嵌入式軟件過程中的難題，該軟件是西門子實施 AUTOSAR 標(biāo)準(zhǔn)的成果，包含快速開發(fā)嵌入式軟件所需的所有工具和功能。Capital VSTAR 減少了對硬件的依賴性，使汽車軟件開發(fā)人員能夠在 AUTOSAR 感知環(huán)境中集成、測試和分析下一代 EV 軟件。

序言
此白皮書探討：

?  有助于加速 EV 發(fā)展和使用的主要趨勢

?  電氣動力總成系統(tǒng)嵌入式軟件的架構(gòu)性難題

?  汽車的聯(lián)網(wǎng)充電端口帶來的外部安全威脅風(fēng)險

?  開發(fā) ECU 的功能性安全要求?  不斷發(fā)展的 EV 架構(gòu)通信協(xié)議

?  Capital VSTAR 如何幫助開發(fā)人員攻克 EV 嵌入式軟件開發(fā)中的諸多難題

一、EV 的當(dāng)前趨勢

EV 出現(xiàn)在汽車領(lǐng)域的時間可能比您想象的要早。實際上，早在 1832 年荷蘭就開發(fā)出了一輛原始的EV，而第一輛 EV 于 1890 年左右首次亮相美國。到十九和二十世紀(jì)之交時，EV 約占上路車輛的三分之一。但是，在二十世紀(jì)三十年代中期，EV幾乎消失殆盡。如今，EV 又成群結(jié)隊地出現(xiàn)在街頭，并隨著消費者環(huán)保意識的增強而不斷激增。氣候變化的證據(jù)使得全世界對可持續(xù)性和減少石化燃料的興趣日益高漲，也促使汽車制造商轉(zhuǎn)而探索其他推進技術(shù)。因此，EV 市場呈現(xiàn)爆炸式增長，2020年達到 1000 萬美元大關(guān)，比 2019 年增加了43%。而且，這一趨勢是全球性的：

?  今年 3 月，美國的公共充電樁突破了 10 萬個；隨著拜登政府承諾將在其龐大的新基礎(chǔ)設(shè)施法案中推進 EV 基礎(chǔ)設(shè)施的建設(shè)，高速公路沿線、工作場所和公共停車場的充電站數(shù)量定會有所增加。

?  在英國，純電動汽車的市場份額從 2019 年的1.6% 攀升到了 2020 年的 6.6%，銷量增加了三倍左右。

?  目前，中國的 EV 數(shù)量居全球之首，達 450 萬輛；2020 年 EV 總銷量接近 200 萬輛，促使政府在2020 年 4 月承諾將追加 14 億美元，用于補貼充電站建設(shè)。

?  在歐洲，EV 銷量在過去三年中增長了 110%。現(xiàn)在，歐洲的上路 EV 達 320 萬輛。Research and Markets 公司預(yù)測，到 2024 年，EV充電站市場的年復(fù)合增長率將達到 38%，其他因素也促進了 EV 市場的增長。新的立法呼吁對購買 EV 實施更多稅收減免，以及《工薪家庭經(jīng)濟型電動汽車法案》（該法案將放寬二手 EV購買者的稅收減免資格）的呼聲持續(xù)高漲，這都進一步刺激了人們放棄燃油汽車的決心。此外，EV 技術(shù)也在不斷發(fā)展。根據(jù)國際能源署 (IEA) 的數(shù)據(jù)，EV 的發(fā)展是整個新冠疫情期間保持正常運行的少數(shù)可持續(xù)發(fā)展舉措之一。而且，最近研發(fā)的無鈷鋰電池有望實現(xiàn)“充電幾秒鐘，持續(xù)幾個月，并且可以無線供電”，消除了 EV 電池以往的難題。隨著這些趨勢的融合，EV 的發(fā)展和銷量都突飛猛進。彭博新能源財經(jīng)公司預(yù)測，到 2025 年，EV將達到全球乘用車銷量的 10%，2030 年將達到28%，2040 年將達到 58%。而且，2022 年將有約 450 款新 EV 車型投放市場。

二、EV 動力總成系統(tǒng)的組成部分

在探討開發(fā) EV 嵌入式系統(tǒng)的難題之前，我們先了解一下 EV 動力總成的六個組成部分：

?  直流電壓轉(zhuǎn)換器：直流電壓轉(zhuǎn)換器是高頻電源轉(zhuǎn)換電路。直流電壓轉(zhuǎn)換器采用高頻開關(guān)和感應(yīng)器、變壓器和電容器，將開關(guān)噪聲平滑地轉(zhuǎn)化為穩(wěn)定的直流電壓。在 EV 中，直流電壓轉(zhuǎn)換器監(jiān)測并控制直流電壓轉(zhuǎn)換的高壓電流進入輔助雙伏電池或標(biāo)準(zhǔn)電池。

?  逆變器：逆變器將 EV 的直流高壓電池的能量轉(zhuǎn)換為交流電壓，以驅(qū)動汽車的推進系統(tǒng)。

?  電動機：該組件監(jiān)測并控制電機驅(qū)動的相電流和扭矩應(yīng)用。電動機利用磁流將電能轉(zhuǎn)換為機械能。

?  充電控制：該組件因國家或技術(shù)而異，利用專門協(xié)議調(diào)節(jié)和規(guī)范充電過程，以及和充電站或EV 供應(yīng)設(shè)備 (EVSE) 進行通信。

?  車載充電器 (OBC)：OBC 將充電站的交流電能轉(zhuǎn)換為直流電能，為汽車的電池充電。OBC 還監(jiān)測和保護充電率。OBC 還執(zhí)行充電率監(jiān)測和保護等其他功能。

?  電池管理系統(tǒng) (BMS)：BMS 監(jiān)測高壓電池的多項狀態(tài)和狀況參數(shù)，包括總電壓、充電狀態(tài)和環(huán)境等。

較新的 EV 車型，如特斯拉、日產(chǎn)和雪佛蘭開發(fā)的車型，其特點是 EV 動力總成系統(tǒng)所有組件的集成度較高EV 動力總成系統(tǒng)的六個組成部分必須協(xié)調(diào)運轉(zhuǎn)，才能實現(xiàn)最大性能。但是，軟件的開發(fā)存在一些架構(gòu)性難題，以及安全性和安防性考慮因素。除此之外，充電協(xié)議也因地區(qū)而異，并且在不斷發(fā)展。在下文中，我們將深入探討 EV 動力總成嵌入式軟件設(shè)計的主要難題。

三、EV 軟件開發(fā)中的難題

1、架構(gòu)性難題隨著 EV 的復(fù)雜程度越來越高，整合趨勢越來越強，電子控制單元 (ECU) 開發(fā)人員必須努力解決新的架構(gòu)性問題。提高集成度的方式之一是所謂的“組合框”架構(gòu)，即將兩種 EV 功能集成到一個 ECU 中。例如，開發(fā)人員可以選擇將OBC 和直流電壓、或 OBC 和逆變器、或逆變器和直流電壓轉(zhuǎn)換器集成在一起。以這種方式組合各種功能可以簡化布線和機殼，而且兩種功能可以共享同一個冷卻和控制系統(tǒng)。如果組合框架構(gòu)所含的任一功能必須具備自動防故障功能，那么必須通過 ASIL 認證。ASIL 是指汽車安全完整性等級，是 ISO 26262 標(biāo)準(zhǔn)針對上路車輛的功能安全性制定的風(fēng)險分類體系。為此，一個微控制器和具備多核支持的 AUTOSAR 堆棧以及 AUTOSAR 基礎(chǔ)軟件 (BSW) 將很有助益。

2、安全性難題越來越多的現(xiàn)代汽車開始連接網(wǎng)絡(luò)，并且包含高度復(fù)雜、具有大量接入點的電氣架構(gòu)，如診斷端口、USB 和 WiFi 連接，以及連接充電站或 EVSE的充電端口。由于這些為數(shù)眾多的接入點，EV 很容易受到網(wǎng)絡(luò)威脅，如勒索軟件、惡意軟件或分布式拒絕服務(wù) (DDoS) 攻擊，對個人數(shù)據(jù)和支付信息帶來風(fēng)險。例如，受到攻擊的充電器可能會被注入勒索軟件或木馬以控制汽車，以及黑客可能破壞電池組。一輛受到攻擊的 EV 可能會將風(fēng)險轉(zhuǎn)移到 EVSE上，進而轉(zhuǎn)回電網(wǎng)網(wǎng)絡(luò)。充電控制和 BMS尤其容易受到威脅，因為兩者直接與充電站通信，進行身份認證和支付行為。為確保安全，ECU必須具有先進的安全功能，包括：?  防火墻，用于保護汽車網(wǎng)絡(luò)。?  安全傳輸層 (TLS) 協(xié)議，用于保護汽車、充電站和網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)。?  安全的車載通信 (AUTOSAR BSW SecOC) 模塊，可使兩個或多個對等體在通過嵌入式網(wǎng)絡(luò)交換信息時能夠安全傳輸應(yīng)用數(shù)據(jù)。?  硬件安全模塊 (HSM)，用于添加額外的安全層，包括加密、解密和身份認證。

3、安全性考慮因素

可以說，行駛安全是所有車輛的首要要求。隨著高電壓部件的引入，對 EV 的安全要求愈加嚴(yán)格。例如，BMS 必須能夠監(jiān)測各種參數(shù)，如充電狀態(tài)、總體狀況、環(huán)境等，以確保 EV 電池正常運行，因為電池在特定電壓和溫度范圍內(nèi)才能有效運行。如果電芯溫度超出目標(biāo)范圍，BMS 將采取措施糾正問題，甚至隔離發(fā)生故障的電芯。因此，BMS 必須具備自動防故障功能。逆變器也必須符合功能安全標(biāo)準(zhǔn)，因為其功能是將直流電轉(zhuǎn)換為交流電，對驅(qū)動電動機和確定汽車速度至關(guān)重要。這一過程中如果發(fā)生任何錯誤都可能導(dǎo)致危險行為，如意外加速。由于系統(tǒng)的上述組成部分對 EV 整體系統(tǒng)安全性的影響，所有這些組件的設(shè)計符合指定的 ASIL 要求。為了達到 ASIL 的要求，所有相互作用的模塊必須通過同等或更高水平的 ASIL 認證。其他組件必須精心設(shè)計，達到無干擾 (FFI) 的要求。

圖 1.

4、充電協(xié)議雖然市場上的 EV 和插電式混合動力 EV 已經(jīng)相當(dāng)成熟，但充電器和充電技術(shù)仍在不斷發(fā)展。圖1 顯示了當(dāng)今市面上的各種充電器。

?  1 型 J1772 和 2 型曼奈柯斯主要用于北美和歐洲。

?  CHAdeMO 是由日本五大汽車制造商開發(fā)的直流電快充設(shè)備，主要用于北美、歐洲和日本。

?  CCS 組合 1 型和 2 型提供一個額外的直流充電端口，GB/T 主要用于中國。

?  超級充電器由特斯拉研發(fā)和使用，可用于交流和直流充電。鑒于這些標(biāo)準(zhǔn)在不斷發(fā)展，需要使用通信堆棧來開發(fā) ECU，以使 EV 和路邊的 EVSE 兼容。

5、曙光就在前方

每一個挑戰(zhàn)都可以轉(zhuǎn)化為機會。讓我們借助西門子的 Capital VSTAR 來探討一下，如何通過綜合性電氣/電子 (E/E) 系統(tǒng)開發(fā)方法，攻克 EV 嵌入式軟件設(shè)計中的難題。

四、Capital VSTAR 解決方案如何解決嵌入式軟件設(shè)計中的難題

Capital® VSTAR? 經(jīng)過生產(chǎn)驗證，結(jié)合 AUTOSAR4.x 標(biāo)準(zhǔn)版，可實現(xiàn) AUTOSAR 感知環(huán)境，用于集成、測試和分析軟件，同時減少對硬件的依賴性。西門子 AUTOSAR 解決方案的獨特之處在于，只需一個 Capital VSTAR 工具，即可滿足整個AUTOSAR 開發(fā)周期的支持需求。該軟件由應(yīng)用程序、軟件組件 (SW-C)、通過微控制器抽象層(MCAL) 實現(xiàn)的硬件支持和 ECU 定制設(shè)備驅(qū)動程序組成，它們通過基本軟件 (BWS) 連接在一起。Capital VSTAR 嚴(yán)格遵守 AUTOSAR 方法，對 AUTOSAR分層軟件架構(gòu)提供本地支持。什么是 AUTOSAR 分層軟件架構(gòu)？AUTOSAR 是汽車軟件方面的主要標(biāo)準(zhǔn)，由所有大型汽車 OEM 和大多數(shù)一級供應(yīng)商共同制定。AUTOSAR 分層軟件架構(gòu)包括五個不同的層，這些層位于應(yīng)用軟件和微控制器之間。

?  AUTOSAR 運行時環(huán)境 (RTE)：RTE 將應(yīng)用層從BSW 中抽象出來。

?  服務(wù)層：服務(wù)層在后臺提供服務(wù)，包括網(wǎng)絡(luò)服務(wù)、內(nèi)存管理和應(yīng)用層的通信服務(wù)。服務(wù)層還包含操作系統(tǒng)。

?  ECU 抽象層：ECU 抽象層在 MCAL 層之上，可使其上面的層（通信棧和收發(fā)器）獨立于 ECU硬件配置。

?  微控制器抽象層 (MCAL)：MCAL 軟件可以訪問映射到存儲器的片上微控制器 (MCU) 外圍模塊和外部設(shè)備，使上層軟件層與 MCU 無關(guān)。

?  復(fù)雜的驅(qū)動程序：復(fù)雜的驅(qū)動程序可使運行時環(huán)境與硬件直接互動。復(fù)雜的驅(qū)動程序都是定制的而且必不可少，可通過訪問 MCU 或外設(shè)中的其他功能來實現(xiàn)特定功能，并且可以實現(xiàn)AUTOSAR 不支持的功能。這些層中的 AUTOSAR 標(biāo)準(zhǔn)組件對所有用戶都是通用的，但考慮到為 OEM 定制的 ECU 的應(yīng)用功能和硬件，可對其進行配置以滿足每個用例的要求。請注意，高度可配置的（有時可選）中間件組件可用于提供 BSW 的功能。

五、綜合性的嵌入式系統(tǒng)開發(fā)方法
Capital VSTAR 解決方案可以解決 EV 嵌入式軟件設(shè)計中的主要難題。
1、解決架構(gòu)性難題隨著 E/E 系統(tǒng)的復(fù)雜性呈現(xiàn)爆炸式增長，嵌入式軟件的開發(fā)均采用基于模型的系統(tǒng)工程環(huán)境進行。首先要開發(fā)一個多領(lǐng)域系統(tǒng)模型，確定系統(tǒng)所需的機械、電氣、電子和軟件（見圖 2）。Capital 支持多領(lǐng)域系統(tǒng)模型的所有方面，并可與多個領(lǐng)域進行整合，如 MCAD、PLM 和 ALM 系統(tǒng)，以實現(xiàn)真正集成式系統(tǒng)開發(fā)：?  系統(tǒng)模型和 E/E 架構(gòu)。這一步是在邏輯上和物理上設(shè)計配電系統(tǒng)，通過構(gòu)造方法對其進行驗證，并準(zhǔn)備交付生產(chǎn)。Capital 為極其復(fù)雜的電氣線束制造過程提供了優(yōu)化解決方案，并簡化了電氣系統(tǒng)的維修、診斷和修理過程。?  軟件和網(wǎng)絡(luò)開發(fā)。在定義 E/E 系統(tǒng)之后，下一步是使用 Capital Software Designer 開發(fā)軟件組件和架構(gòu)設(shè)計。在軟件實現(xiàn)之前，可以將設(shè)計導(dǎo)入 Capital Networks 來分析和驗證車載通信網(wǎng)絡(luò)。在軟件實現(xiàn)過程中，可以使用 CapitalVSTAR Integrator 和 Capital VSTAR Virtualizer等符合 AUTOSAR 標(biāo)準(zhǔn)的工具為目標(biāo) ECU 配置嵌入式軟件。

圖 2.

圖 3.2、多核解決方案可以實現(xiàn)軟件分發(fā)Capital VSTAR 的多核解決方案可以實現(xiàn)軟件分發(fā)，這對于攻克 EV 嵌入式軟件設(shè)計中的性能和安全性難題特別有用：?  性能：Capital VSTAR 通過將功能分配到多個內(nèi)核上支持 EV 組合框架構(gòu)。例如，在設(shè)計帶有OBC 和直流電壓轉(zhuǎn)換器的 EV 組合框時，可以將 OBC 放在 0 號內(nèi)核，將直流電壓轉(zhuǎn)換器放在1 號內(nèi)核上。當(dāng)其中一個功能需要自動防故障時，就很容易實現(xiàn)（見圖 3）。假設(shè)由于 CAN 和以太網(wǎng)的通信，您的 CPU 負載很高。此時可以利用 Capital VSTAR 分割 COM 模塊，從而使每個內(nèi)核只有一個 COM 模塊。所有SWC、MCAL 和其他相關(guān)模塊都移到同一個內(nèi)核上。這樣就可以減小 CPU 負載，避免內(nèi)核間通信造成額外開銷。?  安全性：軟件分區(qū)還可用于實現(xiàn)所需的安全水平。例如，如果 0 號內(nèi)核中的 OBC 必須達到 ASIL B級認證，那么將 ASIL 應(yīng)用程序集成到一個已分區(qū)且符合 ASIL 要求的 BWS 上就非常容易。3、以數(shù)據(jù)為中心的方法Capital 以數(shù)據(jù)為中心，實現(xiàn)了極高水平的自動化、數(shù)據(jù)一致性和與鄰近領(lǐng)域（如機械設(shè)計）的整合。此 E/E 數(shù)據(jù)管理系統(tǒng)可實現(xiàn)客戶要求的可追溯性、變更和配置管理。從開發(fā)過程一直到維修，Capital 可提供全程驗證。4、安全的車內(nèi)和汽車到電網(wǎng) (V2G) 通信由于威脅來自于汽車網(wǎng)絡(luò)內(nèi)部和外部基礎(chǔ)設(shè)施，因此分層的嵌入式安全必不可少。Capital VSTAR為聯(lián)網(wǎng)汽車的 ECU 實施分層嵌入式安全，提供完整性、真實性和保密性功能。這些先進系統(tǒng)包括：?  標(biāo)準(zhǔn)安全組件：AUTOSAR 加密堆棧的實現(xiàn)通過以下組件為應(yīng)用程序和系統(tǒng)功能提供標(biāo)準(zhǔn)化加密服務(wù)訪問：加密服務(wù)管理器 (CSM)、加密接口、加密驅(qū)動程序和密鑰管理器。?  車輛入侵保護：西門子與業(yè)界最大的認證機構(gòu)Sectigo 合作，提供最先進的 IP 防火墻功能。Capital VSTAR 支持靜態(tài)、動態(tài)、深度包檢測、協(xié)議和閾值過濾類型。?  安全車載通信 (SecOC)：SecOC 與 BSW 模塊或Pdu 路由器 (PduR) 進行通信，為分組數(shù)據(jù)單元(PDU) 級別的關(guān)鍵數(shù)據(jù)提供驗證機制。它還利用 CSM 加密服務(wù)，并與運行時環(huán)境互動，以實現(xiàn)密鑰和計數(shù)器管理。功能安全Capital VSTAR 支持 ISO 26262 定義的所有級別（從 ASIL A 到 ASIL D）的功能性安全用例，以及多個 ASIL 軟件分區(qū)，這對于實現(xiàn) EV 組合框的實施至關(guān)重要。?  安全傳輸層 (TLS) 協(xié)議：TLS 是一種旨在確保網(wǎng)絡(luò)端到端通信安全的加密協(xié)議。為實現(xiàn) CapitalVSTAR 對 TLS 的支持，西門子與一款經(jīng)過驗證并廣泛使用的第三方解決方案開展了合作。?  硬件安全模塊 (HSM)：HSM 是在硬件中為特定MCU 實現(xiàn)的一個重要安全元素。連接 HSM 的接口并非標(biāo)準(zhǔn)化的 AUTOSAR。Capital VSTAR的汽車級 HSM 驅(qū)動程序支持真隨機數(shù)生成、加密、散列和通用數(shù)據(jù)完整性檢查等功能。它還支持?jǐn)?shù)字簽名功能，如簽名生成和驗證。5、快速采用不斷發(fā)展的充電協(xié)議EV 充電協(xié)議在不斷變化，您的 ECU 開發(fā)環(huán)境必須提供一個能夠迅速適應(yīng)的通信棧。Capital VSTAR解決方案支持 ECU 通信的充電協(xié)議（包括 ISO15118），集成合作伙伴的產(chǎn)品，并支持以下協(xié)議的實施：?  IEC 61851，與 Capital VSTAR 的 CAN 協(xié)議棧集成?  GB/T 27930，集成在 Capital VSTAR J1939 之上六、結(jié)語
要開發(fā)面向未來的先進汽車產(chǎn)品，現(xiàn)在就需要具備先進的集成式 E/E 系統(tǒng)開發(fā)工具。CapitalVSTAR 提供了一個全面的解決方案，可以解決軟件平臺開發(fā)中的架構(gòu)、功能安全和安防性難題，為當(dāng)今 EV 的高性能 ECU 提供動力。Capital VSTAR 解決方案提供：

?  軟件分發(fā)能力和多核架構(gòu)?  安全的車內(nèi)和 V2G 通信?  快速部署功能安全要求?  迅速采用新的和不斷發(fā)展的充電協(xié)議