第10讲：汽车与工业4.0

汽车行业正经历百年来最剧烈的变革。三大趋势 — 电气化、自动驾驶和软件定义汽车（SDV）— 正在汇聚，使现代汽车成为地球上最复杂的工程系统之一。这种复杂性正在推动OEM和一级供应商快速采纳MBSE。

复杂度爆炸

一辆高端汽车目前可能包含超过100个电子控制单元（ECU）、超过1亿行软件代码、数千个在子系统之间流动的信号，以及数百个必须依据法规标准验证的安全相关功能。相比之下，一架现代商用飞机大约有1500万行代码。汽车已经成为轮子上的计算机。

传统方法为何失效

当一辆汽车只有少数几个ECU且交互简单时，基于文档的系统工程是可行的。如今，软件、电子和机械子系统之间交互的组合爆炸意味着：

• 需求文档长达数千页，交叉引用多到无法手动维护。
• 接口规范随着软件通过OTA更新而频繁变化，使静态文档失效。
• 安全分析（如FMEA、FTA）必须在每次架构变更时重新执行 — 这一手动过程无法跟上敏捷开发节奏。
• 可追溯性从客户需求到测试结果横跨多个组织（OEM、一级供应商、二级供应商）和多种工具，使端到端覆盖分析几乎不可能。

MBSE通过用单一事实来源取代静态文档来应对这些挑战 — 一个结构化的、可查询的系统模型，使架构、需求、安全分析和测试覆盖保持同步。

汽车领域已经发展出丰富的标准生态系统，规范系统的设计、验证和认证方式。MBSE并不取代这些标准 — 它提供了一种结构化的方式来一致地、可追溯地实施这些标准。

ISO 26262 — 功能安全

ISO 26262是道路车辆功能安全的国际标准。它定义了汽车安全完整性等级（ASIL）分类 — 从ASIL A（最低）到ASIL D（最高） — 决定了开发和验证活动的严格程度。MBSE对ISO 26262的支持包括：

• 在架构模型中直接进行ASIL分解 — 将安全需求分配给冗余子系统。
• 维护从危害、安全目标、功能安全需求、技术安全需求，到设计元素和测试用例的可追溯链接。
• 通过从模型关系自动生成论证结构（如GSN），实现安全案例构建的自动化。

AUTOSAR — 软件架构

AUTOSAR（AUTomotive Open System ARchitecture）标准化了ECU的软件架构。AUTOSAR Classic为深度嵌入式实时系统提供分层架构，而AUTOSAR Adaptive则支持自动驾驶所需的高性能计算平台。MBSE模型可以映射到AUTOSAR组件定义，实现自动代码生成和配置。

SOTIF / ISO 21448 — 预期功能安全

ISO 21448（SOTIF）解决的是另一类安全问题：系统按设计运行，但由于传感器、算法或运行条件的局限性而仍然产生危害。这对自动驾驶车辆至关重要 — 例如，雷达传感器在某些天气条件下可能无法检测到静止物体。MBSE通过系统地建模运行设计域（ODD）和触发条件来提供帮助。

EAST-ADL — 架构描述语言

EAST-ADL是汽车系统的领域特定架构描述语言。它提供的抽象层（车辆级、分析级、设计级、实现级）与MBSE实践自然对应。EAST-ADL模型可以与SysML和AUTOSAR模型集成，弥合系统工程和软件工程之间的鸿沟。

自动驾驶推动着系统工程的边界。系统必须感知世界、做出决策并采取行动 — 所有这些都在毫秒级内完成，面对本质上无限多样的驾驶场景。MBSE提供了所需的严谨性，以定义、界定和验证自动驾驶系统应该做什么和不应该做什么。

运行设计域（ODD）建模

ODD定义了自动驾驶系统设计运行的特定条件，包括道路类型、速度范围、天气条件、时间段、地理边界和交通密度。在系统模型中显式建模ODD，确保每个利益相关者对系统运行边界有精确、无歧义的共识。

示例 — L3级高速公路自动驾驶ODD：

• 道路类型：每个方向至少两车道的分隔公路，车道标线清晰。
• 速度范围：0–130 km/h（交通拥堵辅助在0 km/h以上激活，高速辅助最高130 km/h）。
• 天气条件：干燥或小雨；大雨、雪、雾（能见度<100米）或结冰路面时不激活。
• 时间段：全天候，前提是车道标线可被检测。
• 地理范围：具有高精地图覆盖的已测绘高速公路路段。

基于场景的测试

自动驾驶系统不能仅靠在公共道路上行驶数十亿公里来验证。工程师需要定义场景 — 系统必须处理的情境的抽象描述（例如"高速行驶时另一车辆切入"）。MBSE可以实现：

• 与ODD参数链接的场景目录，确保完整覆盖。
• 从模型约束生成的参数变化（速度、距离、角度）。
• 从每个场景到其验证的安全需求的可追溯性。

传感器与执行器架构建模

自动驾驶车辆通常组合使用摄像头、激光雷达、毫米波雷达、超声波传感器和GNSS接收器。MBSE模型捕获传感器布局、视野覆盖、融合架构和降级模式，使工程师能够在确定硬件方案之前，分析传感器套件是否为每种ODD条件提供了足够的冗余和覆盖。

工业4.0将工厂视为一个系统。正如MBSE可以建模汽车的架构，它同样可以建模整条生产线 — 机器人、输送带、检测工位、人工操作员，以及协调它们的控制逻辑。目标是相同的：管理复杂性、确保安全、支持变更。

生产线设计中的MBSE

现代汽车装配工厂是一个信息物理系统（CPS）：物理机器与软件控制器、网络基础设施和数据分析紧密耦合。MBSE的帮助包括：

• 将物理布局（工位、输送带、缓冲区）建模为系统架构。
• 定义机器人、PLC、MES（制造执行系统）和ERP系统之间的接口。
• 将节拍时间和产能需求作为可仿真的约束进行规约。
• 捕获安全区域和人机协作边界。

从工程模型到数字孪生

数字孪生是物理资产或过程的运行时副本，通过传感器数据持续更新。它与MBSE的联系是直接的：在设计阶段创建的工程模型成为运营阶段数字孪生的蓝图。

• 设计时模型（MBSE）：定义生产线的结构、行为、需求和约束。
• 运行时数字孪生：用实时数据实例化模型 — 实际节拍时间、传感器读数、故障状态 — 实现监控、预测和优化。

示例：智能工厂装配线

以电动汽车电池包装配线为例：

• 工位1 — 电芯分选：来料电芯按容量和内阻进行测试和分选。机器人拾取电芯并放入模组托盘。
• 工位2 — 模组装配：电芯被焊接成模组。视觉系统实时检测焊接质量。
• 工位3 — 电池包集成：模组安装到电池壳体中，由点胶机器人涂覆导热界面材料。
• 工位4 — 下线测试：组装完成的电池包进行电气测试、密封测试和功能验证。

该产线的MBSE模型会将每个工位定义为具有端口（物料输入、物料输出、控制信号、质量数据）、行为模型（节拍时间、故障模式）和需求（产能、良率、安全性）的子系统。数字孪生将镜像这一结构，用实时传感器数据填充它，以实时跟踪OEE（整体设备效率）。

汽车和制造业看似领域特定，但这里使用的许多MBSE模式与航空航天、医疗设备、轨道交通和能源领域共通。识别这些模式有助于组织构建可复用的MBSE框架，而不是在每个领域从零开始。

跨领域的共享模式

• 安全分析集成：无论是ISO 26262（汽车）、ARP4754A（航空航天）还是IEC 62278（轨道交通），模式都相同 — 将危害链接到安全需求，通过架构进行分解，追溯到验证证据。
• 架构权衡：集中式vs.分布式计算、冗余策略、功率/重量/成本优化 — 这些权衡模式在每个安全关键领域都反复出现。
• 全生命周期管理：从概念到设计、生产、运行和退役，对随系统演化的模型的需求是普遍的。
• 供应商集成：多级供应链需要共享接口模型和基于合同的设计 — 这一模式在汽车、航空航天和国防领域都很常见。

即将到来的融合

随着汽车变得软件定义、工厂变得信息物理化，"产品工程"和"生产工程"的边界正在模糊。MBSE是跨越两者的通用语言 — 从车辆系统模型到工厂数字孪生，从设计时分析到运行时监控。现在投资MBSE能力的组织，正在构建一个将服务于跨领域、跨产品生命周期的基础。