攻克电动汽车嵌入式软件开发中的难题

摘要随着运输业呈现电气化转变趋势，汽车必须具有安全、可靠并且易于使用的系统，这为工程师和软件架构设计师带来了巨大压力。电动汽车 (EV) 电气动力总成的嵌入式软件极为复杂，需要专门的解决方案来解决开发过程中的复杂问题。西门子的 Capital VSTAR 可帮助开发人员解决开发 EV 嵌入式软件过程中的难题，该软件是西门子实施 AUTOSAR 标准的成果，包含快速开发嵌入式软件所需的所有工具和功能。Capital VSTAR 减少了对硬件的依赖性，使汽车软件开发人员能够在 AUTOSAR 感知环境中集成、测试和分析下一代 EV 软件。

序言
此白皮书探讨：

•  有助于加速 EV 发展和使用的主要趋势

•  电气动力总成系统嵌入式软件的架构性难题

•  汽车的联网充电端口带来的外部安全威胁风险

•  开发 ECU 的功能性安全要求•  不断发展的 EV 架构通信协议

•  Capital VSTAR 如何帮助开发人员攻克 EV 嵌入式软件开发中的诸多难题

一、EV 的当前趋势

EV 出现在汽车领域的时间可能比您想象的要早。实际上，早在 1832 年荷兰就开发出了一辆原始的EV，而第一辆 EV 于 1890 年左右首次亮相美国。到十九和二十世纪之交时，EV 约占上路车辆的三分之一。但是，在二十世纪三十年代中期，EV几乎消失殆尽。如今，EV 又成群结队地出现在街头，并随着消费者环保意识的增强而不断激增。气候变化的证据使得全世界对可持续性和减少石化燃料的兴趣日益高涨，也促使汽车制造商转而探索其他推进技术。因此，EV 市场呈现爆炸式增长，2020年达到 1000 万美元大关，比 2019 年增加了43%。而且，这一趋势是全球性的：

•  今年 3 月，美国的公共充电桩突破了 10 万个；随着拜登政府承诺将在其庞大的新基础设施法案中推进 EV 基础设施的建设，高速公路沿线、工作场所和公共停车场的充电站数量定会有所增加。

•  在英国，纯电动汽车的市场份额从 2019 年的1.6% 攀升到了 2020 年的 6.6%，销量增加了三倍左右。

•  目前，中国的 EV 数量居全球之首，达 450 万辆；2020 年 EV 总销量接近 200 万辆，促使政府在2020 年 4 月承诺将追加 14 亿美元，用于补贴充电站建设。

•  在欧洲，EV 销量在过去三年中增长了 110%。现在，欧洲的上路 EV 达 320 万辆。Research and Markets 公司预测，到 2024 年，EV充电站市场的年复合增长率将达到 38%，其他因素也促进了 EV 市场的增长。新的立法呼吁对购买 EV 实施更多税收减免，以及《工薪家庭经济型电动汽车法案》（该法案将放宽二手 EV购买者的税收减免资格）的呼声持续高涨，这都进一步刺激了人们放弃燃油汽车的决心。此外，EV 技术也在不断发展。根据国际能源署 (IEA) 的数据，EV 的发展是整个新冠疫情期间保持正常运行的少数可持续发展举措之一。而且，最近研发的无钴锂电池有望实现“充电几秒钟，持续几个月，并且可以无线供电”，消除了 EV 电池以往的难题。随着这些趋势的融合，EV 的发展和销量都突飞猛进。彭博新能源财经公司预测，到 2025 年，EV将达到全球乘用车销量的 10%，2030 年将达到28%，2040 年将达到 58%。而且，2022 年将有约 450 款新 EV 车型投放市场。

二、EV 动力总成系统的组成部分

在探讨开发 EV 嵌入式系统的难题之前，我们先了解一下 EV 动力总成的六个组成部分：

•  直流电压转换器：直流电压转换器是高频电源转换电路。直流电压转换器采用高频开关和感应器、变压器和电容器，将开关噪声平滑地转化为稳定的直流电压。在 EV 中，直流电压转换器监测并控制直流电压转换的高压电流进入辅助双伏电池或标准电池。

•  逆变器：逆变器将 EV 的直流高压电池的能量转换为交流电压，以驱动汽车的推进系统。

•  电动机：该组件监测并控制电机驱动的相电流和扭矩应用。电动机利用磁流将电能转换为机械能。

•  充电控制：该组件因国家或技术而异，利用专门协议调节和规范充电过程，以及和充电站或EV 供应设备 (EVSE) 进行通信。

•  车载充电器 (OBC)：OBC 将充电站的交流电能转换为直流电能，为汽车的电池充电。OBC 还监测和保护充电率。OBC 还执行充电率监测和保护等其他功能。

•  电池管理系统 (BMS)：BMS 监测高压电池的多项状态和状况参数，包括总电压、充电状态和环境等。

较新的 EV 车型，如特斯拉、日产和雪佛兰开发的车型，其特点是 EV 动力总成系统所有组件的集成度较高EV 动力总成系统的六个组成部分必须协调运转，才能实现最大性能。但是，软件的开发存在一些架构性难题，以及安全性和安防性考虑因素。除此之外，充电协议也因地区而异，并且在不断发展。在下文中，我们将深入探讨 EV 动力总成嵌入式软件设计的主要难题。

三、EV 软件开发中的难题

1、架构性难题随着 EV 的复杂程度越来越高，整合趋势越来越强，电子控制单元 (ECU) 开发人员必须努力解决新的架构性问题。提高集成度的方式之一是所谓的“组合框”架构，即将两种 EV 功能集成到一个 ECU 中。例如，开发人员可以选择将OBC 和直流电压、或 OBC 和逆变器、或逆变器和直流电压转换器集成在一起。以这种方式组合各种功能可以简化布线和机壳，而且两种功能可以共享同一个冷却和控制系统。如果组合框架构所含的任一功能必须具备自动防故障功能，那么必须通过 ASIL 认证。ASIL 是指汽车安全完整性等级，是 ISO 26262 标准针对上路车辆的功能安全性制定的风险分类体系。为此，一个微控制器和具备多核支持的 AUTOSAR 堆栈以及 AUTOSAR 基础软件 (BSW) 将很有助益。

2、安全性难题越来越多的现代汽车开始连接网络，并且包含高度复杂、具有大量接入点的电气架构，如诊断端口、USB 和 WiFi 连接，以及连接充电站或 EVSE的充电端口。由于这些为数众多的接入点，EV 很容易受到网络威胁，如勒索软件、恶意软件或分布式拒绝服务 (DDoS) 攻击，对个人数据和支付信息带来风险。例如，受到攻击的充电器可能会被注入勒索软件或木马以控制汽车，以及黑客可能破坏电池组。一辆受到攻击的 EV 可能会将风险转移到 EVSE上，进而转回电网网络。充电控制和 BMS尤其容易受到威胁，因为两者直接与充电站通信，进行身份认证和支付行为。为确保安全，ECU必须具有先进的安全功能，包括：•  防火墙，用于保护汽车网络。•  安全传输层 (TLS) 协议，用于保护汽车、充电站和网络之间传输的数据。•  安全的车载通信 (AUTOSAR BSW SecOC) 模块，可使两个或多个对等体在通过嵌入式网络交换信息时能够安全传输应用数据。•  硬件安全模块 (HSM)，用于添加额外的安全层，包括加密、解密和身份认证。

3、安全性考虑因素

可以说，行驶安全是所有车辆的首要要求。随着高电压部件的引入，对 EV 的安全要求愈加严格。例如，BMS 必须能够监测各种参数，如充电状态、总体状况、环境等，以确保 EV 电池正常运行，因为电池在特定电压和温度范围内才能有效运行。如果电芯温度超出目标范围，BMS 将采取措施纠正问题，甚至隔离发生故障的电芯。因此，BMS 必须具备自动防故障功能。逆变器也必须符合功能安全标准，因为其功能是将直流电转换为交流电，对驱动电动机和确定汽车速度至关重要。这一过程中如果发生任何错误都可能导致危险行为，如意外加速。由于系统的上述组成部分对 EV 整体系统安全性的影响，所有这些组件的设计符合指定的 ASIL 要求。为了达到 ASIL 的要求，所有相互作用的模块必须通过同等或更高水平的 ASIL 认证。其他组件必须精心设计，达到无干扰 (FFI) 的要求。

图 1.

4、充电协议虽然市场上的 EV 和插电式混合动力 EV 已经相当成熟，但充电器和充电技术仍在不断发展。图1 显示了当今市面上的各种充电器。

•  1 型 J1772 和 2 型曼奈柯斯主要用于北美和欧洲。

•  CHAdeMO 是由日本五大汽车制造商开发的直流电快充设备，主要用于北美、欧洲和日本。

•  CCS 组合 1 型和 2 型提供一个额外的直流充电端口，GB/T 主要用于中国。

•  超级充电器由特斯拉研发和使用，可用于交流和直流充电。鉴于这些标准在不断发展，需要使用通信堆栈来开发 ECU，以使 EV 和路边的 EVSE 兼容。

5、曙光就在前方

每一个挑战都可以转化为机会。让我们借助西门子的 Capital VSTAR 来探讨一下，如何通过综合性电气/电子 (E/E) 系统开发方法，攻克 EV 嵌入式软件设计中的难题。

四、Capital VSTAR 解决方案如何解决嵌入式软件设计中的难题

Capital® VSTAR™ 经过生产验证，结合 AUTOSAR4.x 标准版，可实现 AUTOSAR 感知环境，用于集成、测试和分析软件，同时减少对硬件的依赖性。西门子 AUTOSAR 解决方案的独特之处在于，只需一个 Capital VSTAR 工具，即可满足整个AUTOSAR 开发周期的支持需求。该软件由应用程序、软件组件 (SW-C)、通过微控制器抽象层(MCAL) 实现的硬件支持和 ECU 定制设备驱动程序组成，它们通过基本软件 (BWS) 连接在一起。Capital VSTAR 严格遵守 AUTOSAR 方法，对 AUTOSAR分层软件架构提供本地支持。什么是 AUTOSAR 分层软件架构？AUTOSAR 是汽车软件方面的主要标准，由所有大型汽车 OEM 和大多数一级供应商共同制定。AUTOSAR 分层软件架构包括五个不同的层，这些层位于应用软件和微控制器之间。

•  AUTOSAR 运行时环境 (RTE)：RTE 将应用层从BSW 中抽象出来。

•  服务层：服务层在后台提供服务，包括网络服务、内存管理和应用层的通信服务。服务层还包含操作系统。

•  ECU 抽象层：ECU 抽象层在 MCAL 层之上，可使其上面的层（通信栈和收发器）独立于 ECU硬件配置。

•  微控制器抽象层 (MCAL)：MCAL 软件可以访问映射到存储器的片上微控制器 (MCU) 外围模块和外部设备，使上层软件层与 MCU 无关。

•  复杂的驱动程序：复杂的驱动程序可使运行时环境与硬件直接互动。复杂的驱动程序都是定制的而且必不可少，可通过访问 MCU 或外设中的其他功能来实现特定功能，并且可以实现AUTOSAR 不支持的功能。这些层中的 AUTOSAR 标准组件对所有用户都是通用的，但考虑到为 OEM 定制的 ECU 的应用功能和硬件，可对其进行配置以满足每个用例的要求。请注意，高度可配置的（有时可选）中间件组件可用于提供 BSW 的功能。

五、综合性的嵌入式系统开发方法
Capital VSTAR 解决方案可以解决 EV 嵌入式软件设计中的主要难题。
1、解决架构性难题随着 E/E 系统的复杂性呈现爆炸式增长，嵌入式软件的开发均采用基于模型的系统工程环境进行。首先要开发一个多领域系统模型，确定系统所需的机械、电气、电子和软件（见图 2）。Capital 支持多领域系统模型的所有方面，并可与多个领域进行整合，如 MCAD、PLM 和 ALM 系统，以实现真正集成式系统开发：•  系统模型和 E/E 架构。这一步是在逻辑上和物理上设计配电系统，通过构造方法对其进行验证，并准备交付生产。Capital 为极其复杂的电气线束制造过程提供了优化解决方案，并简化了电气系统的维修、诊断和修理过程。•  软件和网络开发。在定义 E/E 系统之后，下一步是使用 Capital Software Designer 开发软件组件和架构设计。在软件实现之前，可以将设计导入 Capital Networks 来分析和验证车载通信网络。在软件实现过程中，可以使用 CapitalVSTAR Integrator 和 Capital VSTAR Virtualizer等符合 AUTOSAR 标准的工具为目标 ECU 配置嵌入式软件。

图 2.

图 3.2、多核解决方案可以实现软件分发Capital VSTAR 的多核解决方案可以实现软件分发，这对于攻克 EV 嵌入式软件设计中的性能和安全性难题特别有用：•  性能：Capital VSTAR 通过将功能分配到多个内核上支持 EV 组合框架构。例如，在设计带有OBC 和直流电压转换器的 EV 组合框时，可以将 OBC 放在 0 号内核，将直流电压转换器放在1 号内核上。当其中一个功能需要自动防故障时，就很容易实现（见图 3）。假设由于 CAN 和以太网的通信，您的 CPU 负载很高。此时可以利用 Capital VSTAR 分割 COM 模块，从而使每个内核只有一个 COM 模块。所有SWC、MCAL 和其他相关模块都移到同一个内核上。这样就可以减小 CPU 负载，避免内核间通信造成额外开销。•  安全性：软件分区还可用于实现所需的安全水平。例如，如果 0 号内核中的 OBC 必须达到 ASIL B级认证，那么将 ASIL 应用程序集成到一个已分区且符合 ASIL 要求的 BWS 上就非常容易。3、以数据为中心的方法Capital 以数据为中心，实现了极高水平的自动化、数据一致性和与邻近领域（如机械设计）的整合。此 E/E 数据管理系统可实现客户要求的可追溯性、变更和配置管理。从开发过程一直到维修，Capital 可提供全程验证。4、安全的车内和汽车到电网 (V2G) 通信由于威胁来自于汽车网络内部和外部基础设施，因此分层的嵌入式安全必不可少。Capital VSTAR为联网汽车的 ECU 实施分层嵌入式安全，提供完整性、真实性和保密性功能。这些先进系统包括：•  标准安全组件：AUTOSAR 加密堆栈的实现通过以下组件为应用程序和系统功能提供标准化加密服务访问：加密服务管理器 (CSM)、加密接口、加密驱动程序和密钥管理器。•  车辆入侵保护：西门子与业界最大的认证机构Sectigo 合作，提供最先进的 IP 防火墙功能。Capital VSTAR 支持静态、动态、深度包检测、协议和阈值过滤类型。•  安全车载通信 (SecOC)：SecOC 与 BSW 模块或Pdu 路由器 (PduR) 进行通信，为分组数据单元(PDU) 级别的关键数据提供验证机制。它还利用 CSM 加密服务，并与运行时环境互动，以实现密钥和计数器管理。功能安全Capital VSTAR 支持 ISO 26262 定义的所有级别（从 ASIL A 到 ASIL D）的功能性安全用例，以及多个 ASIL 软件分区，这对于实现 EV 组合框的实施至关重要。•  安全传输层 (TLS) 协议：TLS 是一种旨在确保网络端到端通信安全的加密协议。为实现 CapitalVSTAR 对 TLS 的支持，西门子与一款经过验证并广泛使用的第三方解决方案开展了合作。•  硬件安全模块 (HSM)：HSM 是在硬件中为特定MCU 实现的一个重要安全元素。连接 HSM 的接口并非标准化的 AUTOSAR。Capital VSTAR的汽车级 HSM 驱动程序支持真随机数生成、加密、散列和通用数据完整性检查等功能。它还支持数字签名功能，如签名生成和验证。5、快速采用不断发展的充电协议EV 充电协议在不断变化，您的 ECU 开发环境必须提供一个能够迅速适应的通信栈。Capital VSTAR解决方案支持 ECU 通信的充电协议（包括 ISO15118），集成合作伙伴的产品，并支持以下协议的实施：•  IEC 61851，与 Capital VSTAR 的 CAN 协议栈集成•  GB/T 27930，集成在 Capital VSTAR J1939 之上六、结语
要开发面向未来的先进汽车产品，现在就需要具备先进的集成式 E/E 系统开发工具。CapitalVSTAR 提供了一个全面的解决方案，可以解决软件平台开发中的架构、功能安全和安防性难题，为当今 EV 的高性能 ECU 提供动力。Capital VSTAR 解决方案提供：

•  软件分发能力和多核架构•  安全的车内和 V2G 通信•  快速部署功能安全要求•  迅速采用新的和不断发展的充电协议