摘要

安全关键系统（如高级驾驶辅助系统和自动驾驶车辆）需要冗余，以保证在发生故障后仍能够正确运行。在具有高数据速率和处理要求的系统中引入冗余也会对架构设计决策产生重大影响。目前的自动驾驶车辆原型没有使用标准化的系统架构，而是基于现有车辆和可用部件进行设计。在这项工作中，我们提供了一种新的分析框架，使我们能够定性和定量评估车载架构拓扑，并将其与其他拓扑架构进行比较。通过该框架，我们评估了两种常见拓扑架构的不同变体：基于域和区域的架构。根据总成本、失效概率、通信电缆总长度、通信负载分布和功能负载分布进行评估每个拓扑。我们使用框架中提供的自动化流程，在支持ISO26262汽车安全完整性级别分解技术的面向安全的设计过程中，在系统的选定部分中引入冗余。在每个设计步骤之后，重新评估架构。评估不同架构变体的优缺点，以指导设计人员选择正确的架构，重点是引入冗余。

原文作者：ALESSANDRO FRIGERIO, BART VERMEULEN, KEES G. W. GOOSSENS

编译：猿东东、猿西西

01.简介

汽车行业正在研究自动驾驶汽车(AV)，作为其产品的下一次革命。自动驾驶汽车和高级驾驶辅助系统(ADAS)具有大量与性能、安全性和成本相关的要求。这些要求影响与系统架构相关的设计选择。安全要求导致了冗余和备用系统。冗余元件需要更复杂的网络和架构决策，这会决策影响车辆的最终成本。此外，引入冗余会以不同的方式影响不同的架构拓扑。

图1显示了基于域的架构拓扑，其中功能被划分为6个域。OEM之间的域分布没有标准化。同样，架构拓扑也没有标准化。类似地，架构（architecture）拓扑也没有标准化。在这项工作中，我们分析了基于域和基于区域的拓扑。

图1.基于域的架构拓扑

我们专注于以安全为导向的设计流程，这些流程可以保证汽车系统即使出现故障也能保证功能的全面运行。为了实现这一目标，我们在功能和硬件资源中引入冗余，并定量评估最终的架构。

这项工作的两个主要贡献是：

•我们通过添加可在特定应用程序和硬件集上计算的额外参数，扩展了我们的安全分析框架，以便对汽车设计进行更全面的评估。此外，我们改进了模型转换工具，该工具用于在所描述的系统中引入冗余，影响应用程序和硬件资源层。评估包括以下五个参数的计算：硬件资源的成本、安全相关应用的失效概率、总通信电缆长度、总通信负载和总功能负载。本方法中的成本衡量标准参考ASIL等级。通过定量故障树分析计算失效概率。通信电缆总长度对车辆的总重量有很大影响，是以车辆每个通信资源连接的两个资源之间在物理空间的二维欧几里德距离和曼哈顿距离计算的。我们不对电源线建模。通过为每个应用节点分配负载参数并观察它们在硬件资源上的映射来计算功能负载和通信负载分布。引入冗余是一个自动化的过程，首先选择需要冗余的应用节点，然后自动修改其他应用节点和硬件资源层。

•对三个示例应用程序在一个非冗余和两个冗余场景中映射到四种不同的架构拓扑的分析。这些应用具有典型的ADAS和AV特征，例如高功能和通信要求。我们在单独的实验中选择两个不同的应用程序节点变为冗余，框架自动修改受影响的应用程序节点和相应的硬件资源。ISO 26262标准的ASIL分解技术可以应用于生成的冗余架构，将原始安全要求分解为不太重要的安全要求。每个冗余场景都通过对生成的架构的五个参数的影响进行评估。执行的评估有助于选择架构拓扑的初始设计阶段，并且可以在更高级的阶段重复使用，届时准确的应用细节将导致评估参数的精确量化，或系统中必须引入冗余。

执行的评估有助于在选择架构拓扑的初始设计阶段，并且可以在更高级阶段重复使用，届时准确的应用程序细节将导致评估参数的精确量化，或者系统中必须引入冗余。

本文的其余部分组织如下：第2节介绍了相关工作。第3节描述了我们在这项工作中分析的架构拓扑。第4节描述了用于在架构中引入冗余的模型和过程。第5节描述了用于实验的应用和硬件示例。在第6节中，我们展示了评估结果，然后在第7节中进行了最终讨论，在第8节中进行了结论。

02.相关工作

ADAS和AV的主题从多个角度进行了广泛研究。在这项工作中，我们重点关注功能安全方面，主要由ISO 2626道路车辆-功能安全车辆生命周期中电子硬件系统的可靠性方面描述。ISO 26262标准提出了一种ASIL分解技术，用于降低系统部分组件的安全要求到冗余组件。研究人员通过添加额外的检查元素来改进该技术，以证明原始的功能安全要求（FSR）得到满足。这些额外的检查，其中我们定义了拆分器和合并功能来管理应用程序的冗余部分。分离器将其输入复制到多个输出端口，这些输出端口连接到应用程序的冗余部分；合并决定其输入中哪些连接到应用程序冗余部分的内容应被转发到其输出端口。在本文中，我们利用这两个定义并将它们扩展到硬件资源：具有拆分或合并功能的资源将具有确保系统冗余部分正确行为的FSR。

ASIL分解技术得到了广泛的研究，例如，研究人员提供了用于将分解的ASIL值自动分配给一组特定硬件资源的工具。由于该标准仅提供实施分解的指南，因此该技术可能会被误解。

存在更多以安全为导向的汽车标准，例如，ISO/PAS 21448道路车辆-预期功能的安全性专注于自动驾驶车辆或ADAS的预期功能，其中态势感知对于安全至关重要。另一个例子是ANSI/UL 4600自动驾驶安全评估标准，该标准重点关注自动驾驶系统的安全性，解决了从传统安全实践向自动化过渡所需的变化。但是，在这项工作中，我们将重点关注基于ASIL的安全分析，并且不会讨论这些标准的进一步影响。

研究人员对功能安全的架构模式进行了分析，其中针对自动驾驶功能提出了具体的解决方案。它们中的每一个都涉及一定程度的冗余，并且可以用不同的拓扑来实现。（文献a，添加客服微信：AlphaApe 领取）中的作者提出了RACE项目的集中式拓扑，提到了基于域和基于区域的架构以及以太网在未来汽车系统中的优势。然而，以前的文献没有像我们在这项工作中那样从面向安全的系统级角度比较不同可能的架构拓扑，例如基于域和基于区域的拓扑。

03.汽车架构拓扑

在这项工作中，我们将架构拓扑定义为类别和映射的组合。我们考虑两种可能的架构类别：基于域（D）和基于区域（Z）。在每种场景中，传感器和执行器都有与其功能相关的固定位置（例如前雷达），而其余硬件资源可以在车辆中自由定位。这两个类别遵循以下规则将传感器和执行器连接到系统的其余部分：

•基于域（D）的系统组件根据其功能进行分组。每个域都有一个域控制器。特定域的传感器和执行器通过直接连接或使用域网络连接到相应的域控制器。

•基于区域(Z)的系统组件根据其在车辆中的物理位置进行分组。必须选择多个区域，并且在每个区域中放置一个区域控制器。每个传感器或执行器都通过直接连接或区域网络连接到最近的区域控制器。

在这两个类别中，控制器然后通过主干网络连接到可选的中央单元和/或其他控制器。对于这两个类别，我们考虑应用程序到硬件资源的两种可能的映射规则：

•车辆集中式(VC)：所有计算节点都映射到中央单元。传感器将数据直接传送至中央单元，中央单元直接传送至执行器。域或区域控制器仅执行域或区域网络与中央单元之间的网络功能。

•基于控制器(CB)：如果可能，功能会映射到域或区域中的控制器，而这些控制器现在需要计算能力。中央单元仅执行需要来自多个域或区域的数据或向多个域或区域提供数据的任务，因此是集中执行的。

这两个类别和两个映射ping规则的组合为我们提供了四种架构拓扑，我们将在本工作中分析：D-VC、D-CB、Z-VC、Z-CB。

我们始终假设不允许域间或区域间通信。当需要来自多个域或区域的输入或输出时，必须在中央单元中执行功能，中央单元通过骨干网络与所有域或区域通信。

虽然更多的架构拓扑是可能的，但本文选择的四种拓扑对应于可能的架构范围的远端，使我们能够分析极端场景。业界尚不清楚哪种拓扑将占主导地位，但通过所提出的框架，我们可以分析任何不同的架构拓扑。我们的目标是定量评估这些案例，以便能够指导架构选择。

04.提议的方法

A.系统模型

该系统由三层模型建模：应用层、资源层和物理层。每层用图来描述：Ga = (Va, Ea)包含应用节点及其之间的逻辑连接，Gr = (Vr, Er)包含硬件资源及其连接，Gp = (Vp, Ep)包含可以放置资源的物理位置及其连接。Ear : Va→ Vr and Erp :Vr → Vp是通过三层之间的关系完成系统描述的映射边。该模型基于（文献b，添加客服微信：AlphaApe 领取），我们重用了第2节中提到的拆分器和合并节点的定义来描述冗余模式。

图2.应用层中的冗余模式

图2显示了应用层的冗余模式。节点proc以两种冗余方式实现，proc a和proc b，它们从分离器接收数据。通过合并分析输出以选择要转发的数据路径。这种表示可以描述实现冗余应用程序的多种方式：proc a和proc b可以用不同或相同的功能来实现，proc a可以实现标称功能，而proc b可以实现一组简化的操作等。

表1.失效率指标（失效/小时）

为了执行我们的定量评估，我们扩展了模型（仅考虑与应用程序相关的失效概率、成本和电缆长度），将功能负载和通信负载添加到应用程序节点，并将二维坐标添加到物理节点。故障树分析用于计算系统失效概率，其中硬件资源的失效率与其ASIL规范在对数尺度上相关，如表1所示。我们用于实验的失效率值符合基于ISO 26262标准中定义的ASIL的系统失效率要求。

我们使用的成本指标如表2所示。我们将ASIL值A-B和C-D分组，因为一个组织必须根据ISO 26262标准对这些配对执行的安全实践是相似的，因此可能具有相似的开发成本。

B.在系统模型中引入冗余

冗余是开发故障操作系统的必要技术。我们的框架支持系统设计人员通过在选定的应用程序节点上应用基于组件的ASIL分解技术来分析不同级别的冗余。我们定义了转换规则及其对应用程序层的影响，从单个应用程序节点获得如图2所示的模式。我们通过添加转换规则来修改资源层来扩展这项工作，使我们能够将受影响的应用程序节点重新映射到匹配的资源。获得的资源层将具有独立的资源来独立地重新映射应用程序的冗余分支，从而验证ASIL分解。

表2.资源成本指标

图3.在功能应用程序节点后处理上应用转换以引入冗余

与应用层类似，我们可以使用分离器和合并资源来识别资源层中的冗余模式，这些资源可以由专用单元实现，也可以作为多用途资源的一部分。图3显示了选择节点post-proc成为冗余后执行的转换结果。我们将ASIL（应用程序节点）定义为应用程序节点的ASIL要求，将ASIL（资源）定义为资源的ASIL等级。改造步骤如下：

1）节点post-proc被转换（如图2）。

2）将转换后的节点映射到资源ecu上。根据ASIL(post-proc)和ASIL(ecu)，可能需要对资源层进行修改。特别是，如果ASIL(post-proc)<asil(ecu)，我们假设资源层不需要任何修改。这意味着生成的冗余分支可以重新映射到原始资源，因为它具有足够高的asil等级来证明冗余元素的独立性。如果asil(post-proc)≥asil(ecu)，则资源ecu会被转换，如图3所示。理论上，当asil(post-proc)=asil(ecu)时，可以将冗余应用节点映射到原始资源。然而，我们决定无论如何都要对我们的实验进行资源层改造。之所以做出这一决定，是因为实验中使用的输入图是有效的，这意味着应用程序节点的asil值不能超过其映射的资源的asil规范。这意味着在第6节中使用的输入描述中，安全关键资源始终具有最高的asil规范，而实际上情况可能并非如此：asil d就绪资源可能由于成本较高或不可用而无法用于特定项目。通过引入冗余，我们将更高的安全要求转移到将执行拆分和合并功能的部分，而冗余应用程序可以由安全关键性较低的资源来处理。

3）如果资源层被修改，则映射到原始资源上的其他节点必须重新映射到转换产生的新资源。在图3中，节点pre-proc和data被映射到正在转换的ecu上。由于它们连接到被变换的节点，因此它们必须遵循相同的变换。对于映射到资源ecu上的其他节点，如果ASIL(node)≤ASIL(ecu a)或ASIL(node)≤ASIL(ecu b)，则该节点可以被重新映射到资源层中的冗余模式的一侧。在任何其他情况下，它必须遵循节点后处理所具有的相同转换。图中的节点func有QM要求，这意味着它只能映射到一侧，在示例中映射到ecu a。节点func的输入输出数据要到达ecu a，必须经过如图所示的split、eth a、canbus a、merg，最后映射到已经存在的外部通信资源上，如图所示。

4）在ASIL规范允许的情况下，可以连接连续冗余应用节点的冗余分支。在图3中，分支a和b连接在一起，去除了额外的中间分离器、合并器和通信节点。

5）最后，生成的应用程序节点被重新映射到新的资源层（图3中的橙色箭头）。

在我们的示例中，节点pre-proc和data是被选择进行转换的节点的同一应用程序的一部分，但属于不同应用程序且具有不同ASIL规范的节点也可能会受到资源层修改的影响，并将遵循相同的规则。

新资源根据其与邻居资源的接近程度被定位在物理位置中。对于有效的ASIL分解，分解的元素需要独立性。在我们的实验中，我们通过物理分离冗余资源来实现这一点。

05.示例设置

A.软件应用程序

我们定义了三个用于实验的说明性应用程序。每个应用程序均由图4中的单独图表进行描述，显示其功能和通信节点及其逻辑连接。对于更简单的非安全相关应用，我们使用常见的SenseThink-Act范例。对于安全相关应用程序，我们对其进行了扩展，将Think块分为预处理、数据融合和后处理步骤。这使得能够在多个组件上实现真实的功能映射。选择节点A和B分别用于第6-B节和第6-C节的实验的冗余。

图4.用于拓扑评估的应用程序集

我们将应用程序分为安全相关应用程序（橙色）和非安全相关应用程序（绿色）。安全相关应用程序包含自动驾驶车辆执行的典型操作，例如环境建模和车辆控制，而非安全相关应用程序通过环视应用程序提供附加信息，该应用程序向用户显示后置和前置摄像头视图。车辆乘客，以及与供暖、通风和空调系统互动的舒适应用程序。

在我们的实验中，我们假设只有中央单元可以满足高计算要求，因此具有高计算要求的安全相关应用程序的集中部分始终在中央单元中执行。根据所使用的实际资源，控制器也可以满足高计算应用要求。

这些应用对传感端（主要是安全相关应用）的带宽要求高，对中央数据融合节点的计算要求高，对后处理和驱动端的带宽和计算要求低。

为了进行定性分析，我们注释了每个节点上的功能和通信负载以反映这些要求，如图4所示。在我们的示例中，我们使用节点之间的实际比例来对负载分布进行最终比较和分析不同的架构拓扑，而实际的应用程序细节通常是保密的。

此外，我们假设激光雷达和雷达是智能传感器，可以在本地将原始数据转换为输出对象。这意味着这些传感器的预处理部分将映射到传感器资源本身。

B.硬件资源

我们使用由两个域（或区域）和一个中央单元形成的代表性非冗余硬件架构。在基于域的架构中，一个域包含所有安全相关资源、传感器和执行器，而另一个域包含非安全相关资源、传感器和执行器。在基于区域的架构中，两个区域将车辆分为前部和后部，传感器和执行器根据其在车辆内的位置连接到区域控制器。图5显示了为基于领域的类别选择的架构。

图5.基于域的硬件资源

这些域通过星型交换以太网网络连接到中央单元，而域网络是总线、交换以太网网络和直接连接的组合。

每个传感器和执行器在物理空间中都有固定位置，而其他资源可以在车辆内部自由放置。中央单元放置在车辆的中央位置。域控制器放置在域传感器和执行器的中心位置，以最大限度地减少它们之间的总通信电缆长度。区域控制器放置在相应区域的中心位置，同样是为了优化电缆长度。

D-VC和D-CB拓扑的初始资源层是相同的，但由于应用映射的不同，在冗余场景中会存在差异。同样，基于区域的拓扑资源层将仅在冗余场景中显示差异。

变化是可能的：主干网络可以是环形网络，内部网络以及传感器和执行器的数量可以变化，可以使用多个控制器，可以混合不同的拓扑等等。我们的框架可以分析这些，但在本文中，我们重点比较第3节中描述的四种架构拓扑。

06.实验

第1节中的每种架构拓扑都根据资源成本、安全相关应用失效概率、通信电缆总长度以及功能和通信负载分布进行了分析。例如，在每个拓扑中，我们在单独的实验中应用两个特定节点的ASIL分解：低级速度控制(LLSC)和油门信号(TS)节点。通过遵循第4-B节中描述的转换规则，我们获得了一个新的冗余系统，可以与原始解决方案进行比较。

A.非冗余架构分析

首先，我们分析拓扑，而不在系统中引入冗余。图4的三个应用程序映射到不同的架构拓扑，并对每个解决方案进行了分析。

我们在图6a中观察到，假设表2的成本指标，基于域的拓扑的成本低于基于区域的拓扑。由于区域具有混合相关应用程序节点（ASIL D和QM），因此区域控制器和专用单元需要更昂贵的ASIL-D就绪资源才能满足安全相关要求。基于域和基于区域的拓扑之间的失效概率差异与内部网络的配置方式有关（在我们的示例中，Z类别少一个通信资源），而VC和CB映射在通信路径和已利用资源的数量。例如，在D-CB拓扑中，应用的非安全相关部分不会到达中央ecu资源，并且不使用以太网8资源。

图6.非冗余(a)、冗余LLSC节点(b)、冗余TS节点(c)的失效概率与成本

图7a显示了计算出的总通信电缆长度。在基于区域的拓扑中它较低，这是预期的，因为它们将传感器和执行器连接到最近的控制器。由于VC和CB映射的资源层相同，因此它们之间的总通信电缆长度没有差异。

图7.非冗余场景的总通信电缆长度(a)以及总通信和功能负载(b)

图7b显示了拓扑的总功能和通信负载。在非冗余场景中，总功能负载不会变化，因为它仅与应用程序相关，但它在架构中的分布不同，正如我们将在第7节中观察到的那样。通信负载根据拓扑的不同而变化。D-CB拓扑具有最低的通信负载，因为所有处理步骤都在域控制器中执行，并且传感器或执行器数据仅通过本地域网络而不是通过骨干网络发送。特别是，与初始输入的原始传感器数据相比，后处理步骤的输出数据大小大大减少。相反，VC映射要求所有处理步骤在中央单元中完成，这意味着原始传感器数据不仅必须在域或区域网络内部传输，而且还必须通过骨干网络传输。相反，Z-CB拓扑只能在本地执行部分功能：由于我们假设区域之间不可能进行相互通信，因此需要从多个区域输入或向多个区域发送输出的大多数任务必须在中央单元中执行 。

通过结合图7a和7b的结果，我们观察到a)D-VC拓扑具有较长的电缆长度和较高的带宽要求，b)D-CB拓扑具有较长的电缆长度和较低的带宽要求，以及c)基于区域的拓扑具有更短的电缆长度且带宽要求更高。

B.低级速度控制的扩展

接下来，我们将第4-B节中描述的节点转换应用于LLSC节点，在图4中用虚线圆圈A标记。这使我们能够观察在安全相关应用程序的低级别控制部分引入冗余对系统的影响。低级控制节点是直接与车辆动力学交互的节点，能够向执行器提供信号。尽管它们的计算强度低于高级函数，但它们是系统中非常关键的部分。由于LLSC节点的映射不同，冗余转换会根据系统的拓扑影响系统的不同部分。图8显示了遵循第4-B节的转换规则后，D-VC和Z-VC拓扑的转换对应用层的影响。安全相关应用的预处理、数据融合和后处理部分都映射到中央单元，由于LLSC节点中的冗余，中央单元是重复的。所有这些部分也变得冗余，获得冗余分支图8中的a和b。非安全相关应用不受转换影响，因为它们可以映射到两个冗余中央ECU之一，因为它们的ASIL要求较低。在D-CB和Z-CB架构拓扑中，转换修改了应用程序的较小部分，因为映射到与LLSC节点相同的控制器的节点较少。

图8. D-VC和Z-VC拓扑中的安全相关应用：LLSC节点转型后的应用层（第6-B节）

我们观察到，与非冗余架构相比，冗余LLSC的架构具有相似的成本值。虽然非冗余架构必须使用满足ASIL-D的资源，但冗余体系结构可以使用与并行较低级别资源（例如两个满足ASIL-B的资源）相结合的ASIL-D可用拆分器和合并器。当遵循表2时，ASIL D分离器或合并器与ASIL B功能和通信资源相结合的成本与原始ASIL D资源的成本类似，但可能会因所选的成本指标而异。VC映射的失效概率较低，如图6b所示，因为更多节点映射到现在冗余的中央ECU上，并且可以受益于面向安全的分离器和合并资源的较低失效率。相反，在CB映射中，这种影响被连接到现在冗余控制器的更复杂的通信接口隐藏了。中央单元只有一个以太网端口，这意味着只需要一个分离器和一个合并资源。相反，控制器连接到多个网络组件，并且在每个端口上都需要分离器和/或合并资源。例如，从图5中，域控制器Dom ctrl D在LLSC冗余场景中的D-CB拓扑中将具有四个分离器（每个输入端口一个）和三个合并器（每个输出端口一个）。

图9.冗余LLSC节点场景的总通信电缆长度(a)以及总通信和功能负载(b)

在分析这种冗余场景中的总通信电缆长度时，我们注意到CB映射对该参数的影响更大，如图9a所示。

由于控制器同时连接到本地网络和骨干网络，因此冗余控制器会导致通信资源数量的增加。

图9b显示了为冗余LLSC节点引入冗余硬件后的总功能和通信负载。由于映射到原始资源的应用程序节点数量不同，拓扑之间的功能负载有所不同。当在LLSC节点（或任何其他处理节点，因为它们都映射到中央ecu）中引入冗余时，VC映射会导致高通信负载。在Z-CB拓扑的情况下，资源的扩展不涉及额外的功能节点转换，因为LLSC是唯一映射到区域控制器的节点，而其他节点映射到中央单元。

与非冗余拓扑相比，我们观察到不同映射之间存在更大差异。D-CB拓扑严格来说并不比D-VC拓扑好，只是成本稍高，而基于区域的拓扑的通信电缆总长度较短，但对通信负载的要求较高。

C.油门信号的扩展

我们的第三个实验包括将变换应用于通信节点TS，如图4中的虚线圆圈B所示。它是一个低电平信号，通信负载较小，但至关重要，因为它控制油门执行器。根据拓扑结构，它被映射到不同的通信资源，并且不止一个资源受到节点转换的影响。在CB映射中，信号来自域或区域控制器，而在VC映射中，信号来自中央单元，通过主干网和域或区域网络。

图6c显示了冗余TS节点的拓扑结构的总成本和失效概率。与非冗余场景相比，VC映射具有显著更高的成本和失效概率：D-VC和Z-VC拓扑的成本分别增加了46%和43%，而失效概率分别增加了24%和26%。这种影响是由于承载节流信号的所有通信资源的转换，在VC映射中，节流信号既是主干网的一部分，也是域或区域网络的一部分。尽管控制信号在本地传输，但CB映射成本和失效概率也会增加，但由于涉及的通信资源较少，所以增加的程度较低。

图10.冗余TS场景的总通信电缆长度(a)以及总通信和功能负载(b)

如图10a所示，基于区域的拓扑具有较低的总通信电缆长度，并且与其他映射相比，CB映射导致较低的值。发生这种情况是因为只有部分本地网络变得冗余，这反映在图10b为较低通信负载的形式。

由于仅扩展了通信资源，因此功能负载是恒定的。TS节点的通信负载较低，但是当使其冗余时，映射到相同资源上的大多数通信节点因此按照第4-B节的规则进行转换。在VC映射和基于区域的拓扑的情况下，更高级别的通信数据映射到这些资源上，例如具有高通信负载的原始摄像机流或激光雷达和雷达检测到的对象。单个低电平控制信号的转换会导致系统许多部分的修改。

07.讨论

我们在之前的实验中观察到在两个不同应用程序节点中应用的冗余如何影响系统属性。我们观察到D-CB拓扑如何比其他拓扑具有更好的负载和成本结果，同时在失效概率和总通信电缆长度方面被一些基于区域的拓扑超越。

图11a显示了功能负载在计算资源上的分布。

请注意，不同的拓扑有不同的要求：VC映射只需要中央单元来处理数据，而CB映射需要中央单元处理应用程序的数据融合部分，但也要求控制器具有预处理和后处理的计算能力。图11b显示了拓扑中的通信负载分布。基于区域的拓扑显示区域（网络1和网络2）之间的通信负载更加平衡，因为来自特定域的传感器（例如，分布在汽车上的前置摄像头和后置摄像头）。在这种情况下，总通信负载的很大一部分被放置在骨干网络中，因为大多数计算是集中执行的，并且区域内生成的大部分数据通过骨干网络发送到中央单元。

图11.总功能负载(a)和总通信负载(b)分布

不同冗余场景中的拓扑之间的最终比较如图12所示。

图12.所有拓扑的归一化参数的最终比较表，分别针对每个冗余场景

每个场景的参数在拓扑上进行归一化，其中0.00对应于所有拓扑中的最低参数值，1.00对应于最高参数值（对于每个分析参数，越低越好）。基于分区的拓扑显示较低的电缆长度。LLSC冗余场景的Z-CB拓扑的功能负载方面的良好结果与LLSC节点与前区域控制器的隔离有关，这是特定配置的结果，而不是这些拓扑的一般特征。总而言之，当应用程序需要冗余、存在高通信负载(ADAS)且控制器提供足够的计算能力来执行应用程序节点时，强烈建议使用CB映射。相反，在通信负载要求较低且不需要功能冗余时，应考虑共享集中处理。

08.结论

我们提出了对基于域和区域的汽车架构拓扑的分析，以及以车辆为中心或基于控制器的映射。汽车系统采用三层模型进行建模，包括应用层、资源层和物理层。开发的框架允许系统设计人员在系统的选定节点中引入冗余，并采用遵循ISO26262 ASIL分解指南的自动化程序。可以在我们的框架中根据成本、失效概率、总通信电缆长度来分析架构，以及通信和功能负载。我们的结果显示了引入冗余如何影响所选的架构拓扑。本文的结果是通过分析三个示例性应用获得的。通过根据每个节点的功能或通信负载、成本或失效率参数改变其注释，绝对数量将会改变，并且新的输入可以并且应该使用所提出的框架重新评估。当需要冗余时，基于域的控制器（D-CB）拓扑可在分析的参数之间提供最佳平衡。由于通信和功能负载较低，基于区域的拓扑具有较短的总通信电缆长度。我们预计未来会出现混合解决方案，其中针对某些应用程序（例如身体和舒适功能）使用区域，而针对其他应用程序使用隔离域控制器的单独域（例如，对于安全相关的ADAS）。