跳转至

自动驾驶车辆系统

1. 开篇介绍

现代自动驾驶车辆已不仅仅是一辆"会跑的汽车",更是一台集高性能计算、精密传感、实时通信、功能安全于一体的"四轮超算平台"。与传统汽车相比,自动驾驶车辆在电子电气架构、传感器配置、计算平台算力、功能安全等级等方面均发生了根本性变革。

整车系统设计是自动驾驶能力的硬性上限。无论算法多么先进,若底层的线控执行响应迟滞、传感器布置存在盲区、电源冗余设计不足,系统都无法实现高级别自动驾驶。因此,理解整车系统架构,是深入掌握自动驾驶技术的必要前提。

本章将从整车电子电气架构演进、自动驾驶系统集成层次、电气与热管理设计、功能安全、传感器布置以及OTA能力等多个维度,系统性地介绍自动驾驶车辆的整车系统设计。

2. 整车电子电气(E/E)架构

2.1 架构演进背景

传统汽车的电子电气架构以"功能为核心"进行分散部署,每增加一个功能便增加一个或多个专用电子控制单元(ECU)。随着自动驾驶功能的引入,这种模式已难以为继。业界正经历从分布式架构域集中式架构再到中央计算+区域控制器的三代演进。

2.2 第一代:分布式架构(传统)

分布式架构是汽车电子发展早期的主流方案,其核心特征是:

  • ECU数量多:一辆高端传统燃油车可包含 100 个以上的 ECU,每个 ECU 负责单一功能(如雨刮控制、座椅调节、发动机点火等)。
  • 点对点连接:ECU 之间通过 CAN 总线点对点直连,拓扑复杂,线束繁多。
  • 线束重量大:宝马 7 系传统架构的线束总长度约达 4 公里,重量超过 60 公斤,既占据大量空间,又增加整备质量。
  • OTA 能力受限:各 ECU 固件独立管理,升级困难,无法实现整车级联动更新。
  • 算力孤岛:各 ECU 算力有限且相互独立,无法支撑自动驾驶所需的集中式高性能计算。

2.3 第二代:域集中式架构

域集中式架构将车辆功能划分为若干"域",每个域由一个域控制器(Domain Control Unit, DCU)统一管理:

  • 五大功能域
  • ADAS 域:负责自动驾驶感知、决策与规划
  • 座舱域:负责车机娱乐、HMI、语音交互
  • 底盘域:负责制动、转向、悬挂控制
  • 车身域:负责灯光、门锁、雨刮等

  • 动力域:负责电机/发动机、变速箱、电池管理

  • ECU 数量减少:整车 ECU 数量降至 30~50 个,主干网络升级为车载以太网(100BASE-T1 / 1000BASE-T1)。

  • 算力集中提升:ADAS 域控可集成 GPU/NPU,支持多传感器融合。
  • 代表车型:特斯拉 Model 3(早期)、蔚来 ES8、华为 ADS 平台车型。

2.4 第三代:中央计算 + 区域控制器

这是目前最先进的 E/E 架构方案,也是支撑 L4 级自动驾驶的基础架构:

  • 中央超算(Central Computing Unit, CCU):1~2 个中央计算平台,集成超高算力芯片(如 NVIDIA Orin、高通 Snapdragon Ride),负责全车感知、决策、规划及车身控制逻辑。
  • 区域控制器(Zone ECU):按照车身物理区域划分 4~6 个区域 ECU(左前区、右前区、左后区、右后区,部分方案含顶部区和中央区),每个区域 ECU 汇聚该区域内的所有传感器和执行器信号,通过高速以太网上传至 CCU。
  • 线束大幅简化:区域化布线使线束总长度可缩减至传统架构的 30%~50%,重量减轻显著。
  • 代表车型:特斯拉 Model S Plaid(HW4.0)、大众 SSP 平台、极氪 009。

2.5 三代架构对比

对比维度 分布式架构 域集中式架构 中央计算+区域控制器
ECU 数量 100+ 30~50 10~20
线束重量 60+ kg 40~50 kg 20~30 kg
算力集中度 低(孤岛) 中(域级集中) 高(全车集中)
OTA 友好性
支持自动驾驶等级 L0~L1 L2~L3 L3~L5
代表车型 宝马 7系(传统) 蔚来 ES8 特斯拉 HW4.0

2.6 架构演进示意

第一代:分布式架构
┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐  ┌─────┐
│ECU-1│  │ECU-2│  │ECU-3│  │ECU-4│  │ECU-N│
└──┬──┘  └──┬──┘  └──┬──┘  └──┬──┘  └──┬──┘
   └─────────┴─────────┴─────────┴────────┘
              CAN 点对点总线 (100+ ECU)

第二代:域集中式架构
┌──────────┐  ┌──────────┐  ┌──────────┐
│ ADAS DCU │  │ 座舱 DCU │  │ 底盘 DCU │
└─────┬────┘  └─────┬────┘  └─────┬────┘
      │              │              │
┌─────┴──────────────┴──────────────┴────┐
│           车载以太网骨干网              │
└────────────────────────────────────────┘

第三代:中央计算 + 区域控制器
         ┌──────────────────────┐
         │   中央超算 (CCU×1~2)  │
         └──────┬───────────────┘
    ┌───────────┼───────────┐
┌───┴───┐  ┌───┴───┐  ┌───┴───┐
│左前Zone│  │右前Zone│  │左后Zone│ ...
└───────┘  └───────┘  └───────┘
  传感器/    传感器/    传感器/
  执行器     执行器     执行器

3. 自动驾驶系统集成层次

自动驾驶车辆的整体系统可以划分为五个层次,从底层原始数据到顶层云服务,形成完整的数据流与控制流闭环。

3.1 传感器层(感知数据采集)

传感器层是整个系统的"眼睛",负责原始数据的采集:

  • 激光雷达(LiDAR):输出三维点云,帧率 10~20 Hz,数据量约 10~50 Mbps/个
  • 摄像头(Camera):输出 RGB 图像,帧率 30~60 Hz,单路 1080p 约 120 Mbps(未压缩)
  • 毫米波雷达(Radar):输出目标列表(位置/速度),帧率 10~50 Hz,数据量小
  • 超声波传感器(Ultrasonic):输出距离测量值,用于低速泊车场景
  • GNSS/IMU:输出车辆位置与姿态,IMU 频率可达 200 Hz

接口标准:传感器与区域/域控之间常用以下协议:

  • 摄像头:GMSL2(Gigabit Multimedia Serial Link 2)或 FPD-Link III,支持高速图像序列化传输
  • LiDAR:UDP/以太网(原始点云)或 PCIe
  • 雷达:CAN / CAN-FD / 以太网(AUTOSAR 标准对象列表格式)
  • IMU/GNSS:UART / RS-422 / 以太网

3.2 感知计算层(域控/中央算力)

感知计算层承载自动驾驶算法中计算量最大的部分:

  • 目标检测与分类:基于深度学习,识别车辆、行人、骑行者、交通标志等
  • 3D 目标跟踪:在时序帧间建立目标关联,估计速度与轨迹
  • 可行驶区域分割:划定自车可行驶的空间范围
  • 传感器融合:将 LiDAR 点云、摄像头图像、雷达目标列表融合为统一的环境模型

典型硬件平台:NVIDIA Orin(254 TOPS)、地平线 Journey 5(128 TOPS)、Mobileye EyeQ6

3.3 决策规划层(自动驾驶软件栈)

在感知层输出的环境模型基础上,决策规划层完成:

  • 高精定位:融合 GNSS、IMU、激光点云与高精地图,实现厘米级定位
  • 行为决策:确定当前场景下的驾驶行为(跟车、变道、绕障等)
  • 路径规划:生成满足车辆动力学约束的平滑可行轨迹
  • 速度规划:在轨迹基础上规划纵向速度剖面

3.4 执行层(线控底盘)

执行层将规划指令转化为物理动作:

  • 线控转向(EPS/SBW):接收目标转角指令,控制方向盘
  • 线控制动(EHB/EPB):接收目标减速度指令,控制制动力分配
  • 线控驱动(EMC):接收目标扭矩指令,控制电机输出
  • 接口协议:执行器与域控之间通常通过 CAN-FD 通信,关键指令帧率 ≥ 100 Hz

3.5 云端层(OTA/数据回传/高精地图)

云端层是自动驾驶持续学习与迭代的关键支撑:

  • OTA 升级:将最新的算法模型和系统固件推送至车辆
  • 数据回传:边缘场景触发数据上传,用于标注与模型训练(Shadow Mode)
  • 高精地图服务:实时下发前方路段高精地图瓦片(HD Map Tile)
  • V2X 服务:交通信号灯相位、道路施工信息等路侧数据推送

4. 自动驾驶专用电气架构

4.1 双电源冗余(L3+ 必需)

从 L3 级自动驾驶开始,功能安全标准(ISO 26262)要求关键执行器具备电源冗余能力,以保障在主电源失效时仍能完成安全靠边停车动作。

  • 主电源:12V 铅酸蓄电池(传统)或锂离子电池,驱动全车电子系统
  • 备用电源:独立的 12V 超级电容或小型锂电池包,专供转向(EPS)与制动(EHB)使用
  • 切换时间:主备电源切换时间需 ≤ 10 ms,保证控制连续性
  • 持续时间:备用电源需至少支撑 10~30 秒,足以完成最小风险机动

4.2 48V 系统

随着电动化程度的提升,越来越多的执行器采用 48V 供电:

  • 线控转向(SBW)电机:功率需求约 500W~1kW,48V 供电可减小电流,降低线束损耗
  • 电子液压制动(EHB)泵:功率需求约 300~800W
  • 主动悬挂执行器:功率需求约 200~500W/角
  • 48V 转 12V DC/DC:为传统 12V 负载供电

4.3 供电树设计

高压电池(400V/800V)
        |
    DC/DC 变换器
        |
    +---+---+
  48V 母线  12V 主母线
    |           |
  EPS/EHB   +--+--+
  主动悬挂  域控  传感器  车身负载
              |
          12V 备用母线(冗余)
              |
          EPS备用 / EHB备用

4.4 接地策略(GND Star Point)

在自动驾驶车辆中,接地设计至关重要:

  • 星型接地:所有关键 ECU 的接地回路汇聚至同一个星型接地点,避免不同回路电流产生地电位差,减少 EMI 干扰
  • 模拟地与数字地隔离:传感器模拟电路接地与数字控制电路接地需在 ECU 内部隔离,防止高频数字噪声污染模拟信号
  • 机箱接地:传感器金属外壳通过专用接地线连接至车身接地点,提供静电泄放路径

4.5 典型功耗分配

子系统 典型功耗
激光雷达(1个机械式) 15~30 W
摄像头组(8路) 8~15 W
毫米波雷达(5个) 5~10 W
ADAS 域控/中央算力平台 40~100 W
线控转向(EPS) 60~150 W(峰值)
线控制动(EHB) 60~200 W(建压时)
通信模块(4G/5G/V2X) 5~10 W
整车自动驾驶系统合计 约 200~500 W

5. 热管理系统

5.1 计算平台散热

自动驾驶计算平台的芯片 TDP(热设计功耗)已达到 50~200W 量级,仅靠风冷已难以满足需求:

  • 液冷板(Cold Plate):将导热液体(水/乙二醇混合液)引入芯片背面的金属液冷板,将热量传导至车辆前舱水箱散热。这是目前 NVIDIA Orin 等高算力平台的主流散热方案。
  • 风冷散热器:适用于中等功耗(< 80W)的域控平台,通过翅片散热器与风扇组合实现散热。
  • 均热板(Vapor Chamber):高端芯片封装内置均热板,将热点均匀分散至更大散热面积。

5.2 传感器工作温度范围

传感器类型 工作温度范围 存储温度范围
机械式激光雷达 -20°C ~ +60°C -40°C ~ +85°C
固态激光雷达 -40°C ~ +85°C -40°C ~ +105°C
摄像头模组 -40°C ~ +85°C -40°C ~ +105°C
毫米波雷达 -40°C ~ +85°C -40°C ~ +105°C
超声波传感器 -40°C ~ +85°C -55°C ~ +125°C

5.3 车规级温度要求

汽车级芯片需满足 AEC-Q100 标准的温度等级要求:

  • Grade 0:-40°C ~ +150°C(极端环境,如发动机舱)
  • Grade 1:-40°C ~ +125°C(车身控制器标准)
  • Grade 2:-40°C ~ +105°C(座舱/ADAS 域控常用)
  • Grade 3:-40°C ~ +85°C(乘客舱内部件)

自动驾驶域控通常要求达到 Grade 1 或 Grade 2,传感器接口芯片需达到 Grade 1。

5.4 温度对传感器性能的影响

低温影响:

  • 激光雷达:低温导致激光发射管输出功率下降,探测距离缩短;机械式旋转机构润滑油黏度升高,旋转响应变慢
  • 摄像头:CMOS 传感器暗电流减小,噪点降低,但镜头畸变系数随温度变化,需重新标定
  • 毫米波雷达:性能较为稳定,受低温影响最小

高温影响:

  • 激光雷达:超过额定温度后,探测距离大幅下降(10°C 升温约降低 3~5% 探测距离)
  • 摄像头:CMOS 传感器热噪声显著增加,图像噪点增多,暗场均匀性变差
  • 毫米波雷达:高温导致功率放大器效率下降,发射功率轻微降低

6. 功能安全系统设计

6.1 ASIL 等级分配

根据 ISO 26262 标准,自动驾驶各子系统的汽车安全完整性等级(ASIL)分配如下:

子系统 ASIL 等级 理由
线控转向(EPS/SBW) ASIL-D 最高安全等级,失效直接导致失去方向控制
线控制动(EHB) ASIL-D 失效导致无法制动,后果最为严重
ADAS 感知系统 ASIL-B 感知误差可通过冗余与降级运行缓解
动力控制(EMC) ASIL-C 扭矩异常可能导致碰撞
车身控制(BCM) QM/ASIL-A 失效后果相对可控

6.2 安全概念(Safety Concept)

安全概念是 ISO 26262 功能安全开发流程的核心输出,包括:

  1. 危害分析与风险评估(HARA):识别所有潜在危害事件,评估严重度(Severity)、暴露度(Exposure)和可控性(Controllability),得到 ASIL 等级
  2. 安全目标(Safety Goal):为每个 ASIL ≥ B 的危害定义可测量的安全目标,如"EPS 不得产生超过 5 Nm 的非预期辅助扭矩"
  3. 功能安全概念(FSC):在系统层面定义实现安全目标的技术机制,包括监控、冗余和降级策略

6.3 故障检测与处理

  • 端到端监控(E2E Protection):对 CAN/CAN-FD 报文添加 CRC 和计数器,检测报文丢失、重复和数据错误
  • 看门狗(Watchdog):硬件看门狗定时器监控 MCU 正常运行,超时未喂狗则触发系统复位
  • 安全监控核(Safety Monitor Core):独立的安全 MCU 并行运行,监控主计算核的输出合理性
  • 传感器合理性检验:多传感器输出进行交叉验证,若偏差超出阈值则判定传感器故障

6.4 最小风险状态(Minimum Risk State)

当系统检测到无法恢复的关键故障时,需执行最小风险机动(Minimum Risk Maneuver, MRM)

  1. 触发条件:感知系统严重降级、关键 ECU 失联、驾驶员长时间无响应(L3 场景)
  2. 执行流程
  3. 打开危险警示灯
  4. 减速至安全速度(10~20 km/h)
  5. 执行安全靠边路径规划
  6. 将车辆停至路肩或应急停车带
  7. 发出紧急求援信号
  8. 时间要求:从故障检测到车辆停稳,L3 场景下一般要求在 10 秒内完成

6.5 降级运行(Degraded Operation)策略

故障场景 降级策略
1 路摄像头失效 关闭受影响方向的变道功能,其余功能正常
LiDAR 失效 切换至纯视觉模式,限速至 60 km/h
ADAS 域控单核故障 切换至备用核或备用处理器,降低算法帧率
48V 系统失效 切换至 12V 备用,限制转向辅助力矩
通信总线部分失效 激活冗余总线路径,关闭非必要功能

7. ADAS 传感器布置

7.1 布置原则

传感器布置需满足以下原则:

  • 360° 无盲区覆盖:全方位感知环境,消除视野死角
  • 冗余覆盖:关键方向(正前方)至少有两种不同物理原理的传感器覆盖
  • 安装位置稳定:避免振动导致传感器外参(Extrinsic Parameters)漂移
  • 散热与保护:考虑传感器发热、防水防尘(IP67/IP69K)需求

7.2 前向感知区

前向区域是自动驾驶感知最关键的区域:

  • 长距前向毫米波雷达(77 GHz):安装于前保险杠中央,探测距离 150~250 m,主要用于远距离目标速度测量与ACC跟车
  • 前视摄像头(单目/双目/三目):安装于前挡风玻璃内侧顶部,覆盖 50~200 m 前方区域,负责车道线检测与交通标志识别
  • 固态/机械式激光雷达:安装于车顶前部或前格栅区域,提供 3D 点云,覆盖前向 120° 范围

7.3 侧向感知区

  • 角雷达(Corner Radar):四个角(前左、前右、后左、后右)各安装一个短距毫米波雷达(24 GHz 或 77 GHz),探测距离 30~80 m,覆盖侧方盲区
  • B 柱摄像头:安装于前门 B 柱位置,朝向侧方,配合角雷达实现侧方 AEB(自动紧急制动)
  • 后视镜摄像头:安装于外后视镜下方,覆盖侧方相邻车道

7.4 后向感知区

  • 后视摄像头:安装于尾部,提供倒车影像,覆盖后方 130° 视野,探测距离约 30 m
  • 后向毫米波雷达:安装于后保险杠,用于后方来车检测(BSD 盲点检测 / RCTA 后方交叉路口预警)

7.5 典型 L2+ 传感器方案布置图

                        前方
              [前视摄像头 + LiDAR]
              [长距前向毫米波雷达]
                      ^
    [左前角雷达] <-  车辆俯视图  -> [右前角雷达]
    [B柱左摄像头]  +-----------+  [B柱右摄像头]
                   |           |
                   |   车 辆   |
                   |           |
    [左后角雷达] <- +-----------+ -> [右后角雷达]
                         v
              [后视摄像头 + 后向毫米波雷达]
                        后方

传感器清单(典型L2+方案):
  - 摄像头:8 路(前视×1~3 + 环视×4 + 后视×1)
  - 毫米波雷达:5 个(前向×1 + 角雷达×4)
  - 激光雷达:1~3 个(视配置等级)
  - 超声波:12 个(用于泊车)

8. 车辆底盘特性对自动驾驶的影响

8.1 转向响应特性

车辆的转向响应直接影响路径跟踪控制器的设计:

  • 欠转向(Understeer):车辆实际转向角小于理论值,多见于前驱车。自动驾驶控制器需增加前轮转角指令以补偿,但存在失去前轮抓地力的风险
  • 过转向(Oversteer):车辆实际转向角大于理论值,多见于后驱车高速场景。控制器需快速反打方向以修正,对控制算法响应速度要求高
  • 转向传递比:线控转向系统可实现随速可变转向传递比,低速时灵敏(停车便利),高速时迟钝(稳定性好)

8.2 制动系统响应时间

制动是自动驾驶紧急避险的最后手段,响应时间至关重要:

  • 液压建压时间:传统液压制动系统从发出制动指令到建立制动压力约需 100~200 ms
  • 电子液压制动(EHB):通过电动泵预建压,响应时间可缩短至 20~50 ms
  • 线控制动(BBW):直接电控,响应时间 < 20 ms
  • 停车距离影响:以 80 km/h 行驶为例,100 ms 的响应时差约带来 2.2 m 的额外停车距离

8.3 悬挂系统与行驶稳定性

  • 悬挂行程:较大的悬挂行程吸收路面激励,减少传递至传感器的振动,有利于传感器标定稳定性
  • 主动悬挂:可根据路面实时调整悬挂刚度,配合自动驾驶系统实现更平稳的车身姿态控制
  • 车身姿态变化:急加速/制动时车身俯仰(Pitch)、过弯时车身侧倾(Roll)会改变传感器朝向,需在感知算法中进行动态补偿

8.4 纯电动车对自动驾驶的优势

纯电动平台相比燃油车在自动驾驶适配性上具有显著优势:

  • 扭矩响应快:永磁同步电机扭矩响应时间约 10~20 ms,远优于燃油发动机(> 200 ms),使纵向控制精度大幅提升
  • 再生制动:电机反转发电提供减速力,结合液压制动实现更精细的减速度控制(能量回收的同时提升制动精确性)
  • 无发动机舱噪声:燃油发动机振动与噪声会干扰车内麦克风(语音交互)和部分超声波传感器,纯电平台从根本上消除这一干扰
  • 低重心:电池组位于底盘下方,整车重心降低,提升高速过弯稳定性,有利于自动驾驶场景下的极限工况安全
  • 高压平台兼容性:800V 高压平台为 48V 执行器的 DC/DC 转换提供充裕的功率余量

9. 整车 OTA 能力

9.1 FOTA 与 SOTA

OTA(Over-The-Air)升级是自动驾驶车辆持续迭代的关键能力,分为两类:

  • FOTA(固件 OTA,Firmware OTA):升级 ECU 底层固件,包括 MCU 启动引导程序、传感器固件、通信协议栈固件等。FOTA 需要极高的可靠性,一旦失败可能导致 ECU 变砖。
  • SOTA(软件 OTA,Software OTA):升级运行于操作系统之上的应用软件,包括自动驾驶算法模型、地图数据、车机 App、语音识别模型等。SOTA 相对灵活,失败后可回滚。

9.2 OTA 安全机制

OTA 过程中的安全保障至关重要:

  • 代码签名(Code Signing):升级包由 OEM 使用私钥签名,车辆使用预置公钥验证签名,确保升级包来源合法
  • 安全传输(TLS/HTTPS):升级包通过加密信道传输,防止中间人攻击与内容篡改
  • 安全启动(Secure Boot):ECU 上电时验证固件签名,拒绝加载未授权固件,防止恶意代码注入
  • 完整性校验:升级包传输完成后通过 SHA-256 等哈希算法验证包完整性

9.3 分级更新策略

更新层级 内容 更新频率 典型大小
传感器固件 LiDAR/摄像头/雷达固件 季度~年 1~50 MB
区域控制器固件 Zone ECU MCU 固件 月度~季度 1~10 MB
域控/中央平台软件 自动驾驶算法、操作系统 月度 500 MB~5 GB
AI 模型 感知模型权重文件 周度~月度 100 MB~2 GB
高精地图 地图瓦片增量更新 日度~周度 10~500 MB
车机 App 娱乐/导航 App 随时 10~500 MB

9.4 A/B 分区策略

A/B 分区是保障 OTA 可靠性的核心机制:

  • 双分区存储:将系统存储划分为 A 区(当前运行系统)和 B 区(升级目标)
  • 后台升级:新版本下载并写入 B 区,车辆正常运行不受影响
  • 原子切换:升级完成且验证通过后,重启时切换至 B 区启动
  • 自动回滚:若新版本启动失败或通过率检测不达标,自动回退至 A 区原版本
  • 升级前提条件:通常要求车辆处于驻车状态、电量 ≥ 20%(或接入充电),以防止升级过程中断电

10. 参考资料

  1. ISO 26262-1:2018, Road Vehicles — Functional Safety, International Organization for Standardization, 2018.
  2. 林程,王震坡,孙逢春. 电动汽车工程手册:整车设计卷. 机械工业出版社,2019.
  3. AUTOSAR Consortium. AUTOSAR Classic Platform Specification R22-11, 2022. https://www.autosar.org
  4. 吴甜,熊璐,余贵珍. 智能汽车电子电气架构技术综述. 汽车工程,2021,43(9):1289-1302.
  5. NVIDIA Corporation. DRIVE Orin System-on-Chip Technical Reference Manual, 2023. https://developer.nvidia.com/drive