引言

汽車解放了我們的手腳，擴(kuò)展了我們的移動(dòng)范圍，也是經(jīng)濟(jì)社會(huì)快速運(yùn)轉(zhuǎn)的引擎。本文闡述了汽車發(fā)展歷史，并從軟件定義角度出發(fā)，剖析了這個(gè)名詞的應(yīng)用場(chǎng)景，并分析了汽車架構(gòu)的演化，最后從技術(shù)角度，介紹了在汽車定義軟件中扮演重要月色的AUTOSAR軟件開發(fā)平臺(tái)，特別是汽車功能安全機(jī)制的分析和實(shí)現(xiàn)，體現(xiàn)了軟件產(chǎn)品的第一要素是安全，第二才是功能，任何沒(méi)有安全保證的炫酷功能只會(huì)適得其反，走向死亡，高田或許是最好的例子。當(dāng)然功能安全您口說(shuō)無(wú)憑，像一些第三方機(jī)構(gòu)萊茵和SGS頒給您證書，你才在市場(chǎng)上具有產(chǎn)品的可信力。所以正值汽車寒冬下外部勢(shì)力技術(shù)封鎖下，國(guó)內(nèi)兩家國(guó)產(chǎn)AUTOSAR大佬，華為和普化剛剛都爭(zhēng)相獲得了OS模塊ASID的產(chǎn)品認(rèn)證。

圖1 TUV萊茵向普華ORIENTAIS操作系統(tǒng)頒發(fā)ISO 26262功能安全產(chǎn)品認(rèn)證

圖2 華為自動(dòng)駕駛操作系統(tǒng)內(nèi)核（含虛擬化機(jī)制）獲得ISO 26262 標(biāo)準(zhǔn)ASIL-D等級(jí)功能安全認(rèn)證

軟件定義汽車概述

下面是普華基礎(chǔ)軟件股份有限公司汽車電子事業(yè)部常務(wù)副總經(jīng)理張曉先的培訓(xùn)分享：

2020年6月4日，“2020首屆軟件定義汽車云論壇”以網(wǎng)絡(luò)視頻直播的形式順利召開。本次論壇主要圍繞“軟件定義汽車”趨勢(shì)下企業(yè)的思考與戰(zhàn)略選擇展開探討，為業(yè)界搭建一個(gè)溝通、學(xué)習(xí)的平臺(tái)。下面是普華基礎(chǔ)軟件股份有限公司張曉先在本次論壇上的發(fā)言：

軟件定義汽車是一個(gè)很大的題目，很多專家、同行朋友已經(jīng)介紹了有關(guān)這些方面的技術(shù)和產(chǎn)品。

汽車發(fā)展歷史

第一頁(yè)是汽車發(fā)展的歷史，我想表達(dá)軟件定義汽車不是哪一天突然開始的，它是一個(gè)過(guò)程。如果從最初開始，實(shí)際上軟件定義汽車很多的內(nèi)容已經(jīng)在實(shí)踐了，甚至已經(jīng)實(shí)踐很多年了。

世界上第一輛汽車于1886年面市。134年前，第一輛機(jī)械控制的奔馳1號(hào)，這是世界上我們所知道的第一輛汽車。它是完全機(jī)械控制的，談不上軟件。

這張圖把整個(gè)汽車發(fā)展歷史分成四個(gè)階段，可以有很多分法，但是我分成四個(gè)階段，第二個(gè)階段就是70年代，通用汽車第一款采用微處理器的汽車。我認(rèn)為可能就是軟件定義汽車的起點(diǎn)，為什么這么說(shuō)？因?yàn)檐浖x汽車，我認(rèn)為可以有很多的維度去講這件事情，不是一個(gè)定義所能涵蓋的，軟件定義汽車有一個(gè)從局部到范圍越來(lái)越廣的過(guò)程，從深度來(lái)講，有一個(gè)逐步深入的過(guò)程；從模式來(lái)講，也有模式逐步創(chuàng)新的過(guò)程。

70年代通用的第一款采用微處理器的汽車，里面采用的微處理器以及對(duì)應(yīng)的軟件，去實(shí)現(xiàn)汽車上至少一個(gè)點(diǎn)的功能，我認(rèn)為就是軟件定義汽車的起點(diǎn)，它所實(shí)現(xiàn)的是局部的功能，采用電子信息技術(shù)去實(shí)現(xiàn)。

接下來(lái)我們看到2002年奔馳的e-class基于網(wǎng)絡(luò)電控系統(tǒng)車型，這個(gè)車型跟傳統(tǒng)汽車上的電子電氣架構(gòu)有聯(lián)系。在這個(gè)架構(gòu)上面，不是一個(gè)功能，而是有很多功能都是用電控去實(shí)現(xiàn)，軟件已經(jīng)在每一個(gè)控制器上發(fā)揮了很重要的作用，去實(shí)現(xiàn)每個(gè)控制器上的特定功能。

我認(rèn)為這是軟件汽車的發(fā)展，從最初實(shí)現(xiàn)單個(gè)功能，到實(shí)現(xiàn)汽車上普遍的很多的控制功能。

我們看到最新的，可能很多朋友認(rèn)為軟件定義汽車重要的標(biāo)志，或者說(shuō)我們認(rèn)為所謂軟件定義汽車應(yīng)該是這樣的，它就是2016年的Waymo，源于谷歌無(wú)人駕駛項(xiàng)目，可能更早就已經(jīng)開始了，但是2016年可以作為標(biāo)記，Waymo的成立，無(wú)人駕駛汽車采用人工智能的技術(shù)，去實(shí)現(xiàn)汽車的感知決策和控制，完全和以前的電控技術(shù)、軟件技術(shù)是不同的。

關(guān)于“軟件定義汽車”的定義，我前幾天在百度上面看了一下，當(dāng)然用百度查出來(lái)，是百度最先提出來(lái)的軟件定義汽車，不是由于機(jī)械的原因或者是功能上決定一個(gè)汽車的狀態(tài)，而是由于軟件定義汽車的狀態(tài)，特別是人工智能的、AI的軟件，這才是軟件定義汽車源于百度的解釋。

這是有不同的解釋和不同的階段，我認(rèn)為這都沒(méi)有關(guān)系，軟件定義汽車是一個(gè)過(guò)程，未來(lái)是什么樣，可能沒(méi)人知道。我試著做一些預(yù)測(cè)，或者說(shuō)我看到一些可能發(fā)展的未來(lái)，我下面會(huì)繼續(xù)講。

第二頁(yè)我還是說(shuō)一下過(guò)去，有一點(diǎn)點(diǎn)未來(lái)，但是大部分都是過(guò)去。

汽車上面軟件實(shí)現(xiàn)了控制器上的功能，過(guò)程是逐步的從一個(gè)單點(diǎn)的功能到車上越來(lái)越多的功能，范圍的擴(kuò)大，也從一個(gè)單點(diǎn)功能的深入，軟件會(huì)越來(lái)越復(fù)雜，這是一個(gè)深入，這兩個(gè)維度都是在不斷發(fā)展的。

1980年我認(rèn)為和第一輛采用微控制器的汽車的時(shí)間點(diǎn)是有契合的，也就是說(shuō)一開始軟件發(fā)動(dòng)機(jī)噴油點(diǎn)火的控制，這是最初汽車電子的功能。

大概到1990年，慢慢擴(kuò)充到車上的信息系統(tǒng)、舒適系統(tǒng)實(shí)現(xiàn)電子控制，進(jìn)一步發(fā)展到車身控制，就是安全，例如防盜的設(shè)計(jì)，車身的門鎖設(shè)計(jì)。也有被動(dòng)安全，例如汽車的氣囊這樣一些系統(tǒng)，都采用了電子技術(shù)，這里面很重要的就是軟件算法對(duì)功能的實(shí)現(xiàn)。

在2000年，安全系統(tǒng)又有了一個(gè)更新的要求，就是從被動(dòng)安全向主動(dòng)安全去發(fā)展，主動(dòng)安全由于我們需要在沒(méi)有發(fā)生事故的情況下去避免事故，這樣的需求出來(lái)之后，對(duì)軟件就提出了一些更新的要求，特別是更高端的傳感器技術(shù)，我要預(yù)測(cè)路上會(huì)有一些什么問(wèn)題，然后去避免這些問(wèn)題，在沒(méi)有發(fā)生事故之前，就去防范這些危險(xiǎn)，這是一個(gè)軟件功能的增強(qiáng)。

在2010年，我們會(huì)看到有更多的功能引入進(jìn)來(lái)，包括用戶體驗(yàn)，這是很多公司提升駕駛員體驗(yàn)方面的電子系統(tǒng)。我認(rèn)為在中國(guó)的汽車市場(chǎng)上面，特別注重這個(gè)，包括互聯(lián)網(wǎng)技術(shù)，互聯(lián)性技術(shù)，都會(huì)在汽車?yán)锩嬗?。這是一個(gè)更新的發(fā)展，汽車上面的網(wǎng)絡(luò)越來(lái)越重要，網(wǎng)絡(luò)不僅包括車內(nèi)網(wǎng)絡(luò)，也包括車和車之間以及車和路之間，以及車和外界云端互聯(lián)性。

2020年看到的未來(lái)，我們現(xiàn)在已經(jīng)是現(xiàn)實(shí)，所謂高級(jí)駕駛輔助系統(tǒng)，在很多車型上面已經(jīng)出來(lái)了，至少在新車型的發(fā)展方向上是一個(gè)非常非常重要的系統(tǒng)，高級(jí)駕駛輔助系統(tǒng)就是說(shuō)我能夠在路上面去做一定的規(guī)劃，去感知路上的情況，去協(xié)助駕駛員，協(xié)助車輛主動(dòng)的或者說(shuō)自動(dòng)駕駛，或者說(shuō)智能駕駛，實(shí)現(xiàn)這樣的功能。將來(lái)會(huì)發(fā)展到無(wú)人駕駛，這是非常重要的技術(shù)。

這樣的功能出來(lái)之后，對(duì)軟件和電子系統(tǒng)提出了一個(gè)更新的要求，主要在什么地方？主要在過(guò)去我們所講的功能，都是在單片機(jī)上實(shí)現(xiàn)的，不需要太多的計(jì)算資源，既使是互聯(lián)技術(shù)，也是一部分相對(duì)來(lái)說(shuō)深嵌入實(shí)施的系統(tǒng)。

當(dāng)高級(jí)輔助駕駛系統(tǒng)出來(lái)，未來(lái)到自動(dòng)駕駛、無(wú)人駕駛系統(tǒng)出來(lái)之后，對(duì)計(jì)算平臺(tái)的要求就會(huì)越來(lái)越高，計(jì)算能力單片機(jī)或者NCU是能夠滿足的要求，不僅對(duì)芯片，而且對(duì)軟件的架構(gòu)提出更新的要求，這是一個(gè)巨大的變化。這是汽車電子的功能在過(guò)去若干年以及以后會(huì)發(fā)生的變化，這里體現(xiàn)的就是軟件定義汽車的范圍在車上面不斷的擴(kuò)大，以及深度在單個(gè)系統(tǒng)里的功能性越來(lái)越復(fù)雜。

下面再看一張圖，這張圖反映了汽車電子成本占比的發(fā)展趨勢(shì)，前面是從技術(shù)的角度看這個(gè)問(wèn)題，現(xiàn)在從商業(yè)的角度看這個(gè)問(wèn)題，在一輛車上面，汽車電子成本占到多少。在1950年，早期汽車電子成本占整輛車的成本是微不足道的，非常小。后來(lái)呈現(xiàn)了一個(gè)上升的趨勢(shì)，一直到2010年，我記得普華是在2009年成立的，在那個(gè)時(shí)候我們看到的數(shù)據(jù)是一個(gè)車上沒(méi)有到30%的比例，大概在20%多的比例，當(dāng)然已經(jīng)是相當(dāng)高的比例，買一輛車或者一輛車制造出來(lái)成本，電子部分所占有的成本已經(jīng)要占到1/3的數(shù)字。到2020年-2030年比例會(huì)繼續(xù)增加，這反映了我前面講的功能的不斷深入，范圍的不斷擴(kuò)大，復(fù)雜性不斷增加，必然導(dǎo)致汽車電子的比例越來(lái)越大，這是必然的趨勢(shì)。

我們?cè)倩剡^(guò)頭來(lái)看技術(shù)，從技術(shù)看到商業(yè)，再看一下技術(shù)。這張圖已經(jīng)有朋友用過(guò)，這張圖是麥肯錫的調(diào)研報(bào)告，它歸納了很多其他方面的研究，綜合這些方面，不是自己提出來(lái)的，但是我覺得綜合的還是蠻好的。

汽車電子電氣架構(gòu)

汽車電子電氣架構(gòu)方面，功能在汽車上的分布，歸根到底是這樣的定義，在整個(gè)歷史上面是分成五個(gè)階段，目前可能處在第三個(gè)階段。從大的概念來(lái)講，到目前為止，我們看到很多車輛都是以分布式的電子電氣架構(gòu)為主，所謂分布式就是沒(méi)有中心的，一輛車上沒(méi)有中心的，每個(gè)功能有每個(gè)功能的電控系統(tǒng)，這些電控系統(tǒng)形成一個(gè)網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)是CAN總線的網(wǎng)絡(luò)，上面會(huì)有很多報(bào)文傳遞，這樣的結(jié)構(gòu)。

第一階段、第二階段、第三階段無(wú)非是這個(gè)網(wǎng)絡(luò)會(huì)越來(lái)越復(fù)雜，綜合來(lái)說(shuō)還是一個(gè)分布式的結(jié)構(gòu)，會(huì)從單個(gè)系統(tǒng)變成一些子系統(tǒng)，這些子系統(tǒng)之間的連接，會(huì)越來(lái)越多，會(huì)有一些交叉性的功能互聯(lián)，這是目前電子電氣架構(gòu)的狀態(tài)。

大家已經(jīng)談了很多電子電氣架構(gòu)，中心化的電子電氣架構(gòu)會(huì)出來(lái)，每一個(gè)域代表不同的功能，一個(gè)車上跟動(dòng)力有關(guān)的會(huì)有一個(gè)域，跟車身舒適型有關(guān)的會(huì)有一個(gè)單獨(dú)的域，每個(gè)域里面的控制器會(huì)有一個(gè)共同的特點(diǎn)，會(huì)對(duì)一些傳感器的資源有一些共享，實(shí)時(shí)性要求、安全性要求有一些共性，在每個(gè)域上面。這時(shí)候有一些公共的軟件，我們看到藍(lán)色的部分，就是域控制器上面實(shí)現(xiàn)，域控制器可以規(guī)劃下面具體的控制器的功能分布，這是第四個(gè)階段。

再往下整車會(huì)有一個(gè)中心的結(jié)構(gòu)，這個(gè)結(jié)構(gòu)是計(jì)算平臺(tái)，智能駕駛的大腦，現(xiàn)在還不能確定，有很多方案會(huì)往這上面去設(shè)計(jì)，但是我們知道很可能的一個(gè)架構(gòu)特征就是域會(huì)融合，不是截然分開不同的域，而是說(shuō)每一個(gè)域和每一個(gè)域之間功能會(huì)互相融合，這種結(jié)構(gòu)上，很多資源可以共享，比如傳感器，很多控制器可能會(huì)共用一個(gè)前端的傳感器，傳感器會(huì)把數(shù)據(jù)先做域處理，處理之后后面控制器里拿到處理過(guò)的數(shù)據(jù)，然后去做功能。

另外一方面，過(guò)去講的域控制器，相互之間可以做融合。第二個(gè)是功能可以互為共享，或者說(shuō)互為冗余等等，這些方面的新設(shè)計(jì)都可以基于這樣的架構(gòu)出來(lái)，我們現(xiàn)在可能看不到新的設(shè)計(jì)，因?yàn)槲覀兊募軜?gòu)限制了我們的眼光，這個(gè)架構(gòu)變化之后，很多新的設(shè)計(jì)，很多新的思路可以根據(jù)這個(gè)架構(gòu)生發(fā)出來(lái)。這是電子電氣架構(gòu)的發(fā)展趨勢(shì)。軟件定義汽車可以在新的架構(gòu)里面生發(fā)出新的思想，有新的功能出來(lái)。

自動(dòng)駕駛的分級(jí)

我們?cè)倏戳硗庖粋€(gè)維度，這個(gè)表大家比較熟悉，我們的歷史還可以這樣來(lái)講，用自動(dòng)駕駛的分級(jí)講歷史。在這個(gè)過(guò)程中，完全人工駕駛的汽車是L0級(jí)的，汽車完全聽從人類駕駛者的指令去工作。在這個(gè)之后L1級(jí)，就是所謂的輔助駕駛，輔助駕駛就是對(duì)加減速以及轉(zhuǎn)向其中一項(xiàng)來(lái)提供車輛的輔助，駕駛員來(lái)負(fù)責(zé)區(qū)域的駕駛動(dòng)作，這是輔助駕駛概念，比如說(shuō)我在行駛的時(shí)候，可以跟隨前面的車輛，自動(dòng)巡航的功能，在道路上跟隨前面的車輛，當(dāng)你在高速公路上的時(shí)候，可以大大減緩駕駛的辛苦。這是L1級(jí)的輔助駕駛。

到L2級(jí)，我們就可以對(duì)多項(xiàng)操作提供輔助，包括方向盤的轉(zhuǎn)向和加減速，多項(xiàng)操作來(lái)提供車輛的輔助，典型的就像自動(dòng)泊車，自動(dòng)泊車就是一個(gè)L2級(jí)的典型應(yīng)用。

L0-L2階段，行駛的責(zé)任，法規(guī)要求一旦出事故之后，責(zé)任是人類駕駛員，人類駕駛員一定要負(fù)責(zé)所有的駕駛動(dòng)作?，F(xiàn)在很有爭(zhēng)議的一點(diǎn)就是最近大家一直在討論的L3級(jí)，有很多汽車企業(yè)說(shuō)L3級(jí)不做，跳過(guò)L3級(jí)。為什么？L3級(jí)在責(zé)任上是不清楚的，L3級(jí)因?yàn)槭怯袟l件自動(dòng)駕駛，就是由車輛完成絕大部分的駕駛操作，人類駕駛員不需要做駕駛操作，但是需要保持注意力集中，以備不時(shí)之需。這個(gè)講法就很麻煩，我不確定像特斯拉，在行駛的時(shí)候，人類是可以放棄控制的，但是需要隨時(shí)準(zhǔn)備接管，這種情況下一旦出事故的時(shí)候，責(zé)任到底是車還是人的，這是會(huì)有爭(zhēng)議。

這是L3級(jí)所謂的有條件自動(dòng)駕駛，當(dāng)然有一些事故發(fā)生，某些車型有條件自動(dòng)駕駛的情況下，出了事故會(huì)造成一些爭(zhēng)議，甚至一些訴訟，都會(huì)有。

往下就是L4和L5，L4就是車輛完成所有駕駛動(dòng)作，人類駕駛員無(wú)須保持注意力，但是在限定的道路和環(huán)境條件下，也就是說(shuō)路是限定的道路，不是全部的路況，在一個(gè)封閉的環(huán)境下面，或者說(shuō)在一個(gè)開放的環(huán)境下，某個(gè)城市或者某一個(gè)區(qū)域特定的道路狀況下面，在這種情況下L4級(jí)的高度自動(dòng)駕駛，責(zé)任很清楚，是由車輛來(lái)負(fù)責(zé)，人類不需要接管車輛。

目前很多研究都是圍繞著L4級(jí)駕駛來(lái)進(jìn)行的。最終級(jí)的狀態(tài)就是L5，在所有場(chǎng)景下，對(duì)路況，對(duì)范圍都沒(méi)有限制的情況下，由車輛完成所有的駕駛動(dòng)作，這是一個(gè)自動(dòng)駕駛的分級(jí)對(duì)歷史的闡述。

對(duì)于軟件定義汽車這樣的概念，有各種各樣的角度去看，從汽車歷史的角度看，可以從汽車電子系統(tǒng)功能的角度看，可以從電子電氣架構(gòu)的角度看，也可以從自動(dòng)駕駛等級(jí)角度去看。我這里有一個(gè)我個(gè)人的想法，我們?cè)趺慈ザx它，從各個(gè)角度是有不同的定義，但是我認(rèn)為從軟件的角度有一個(gè)我的想法。

第一個(gè)軟件定義汽車我認(rèn)為到目前為止可以把它分成三個(gè)階段，這三個(gè)階段都可以看到，都不是未來(lái)。

第一個(gè)階段，預(yù)裝系統(tǒng)，在汽車電子的控制器上面去設(shè)計(jì)軟件，去實(shí)現(xiàn)特定的功能，傳統(tǒng)的汽車出來(lái)之后，它的發(fā)動(dòng)機(jī)控制系統(tǒng)，變速器控制系統(tǒng)，車身控制系統(tǒng)，主動(dòng)安全和被動(dòng)安全系統(tǒng)，我認(rèn)為是一個(gè)預(yù)裝系統(tǒng)，長(zhǎng)久以來(lái)當(dāng)車廠推出一個(gè)車型之后，如果這個(gè)車型在世界上賣了一千萬(wàn)輛車，一千萬(wàn)輛車都是一模一樣的，我們的預(yù)裝系統(tǒng)確保了上面的軟件實(shí)現(xiàn)特定的功能，這些軟件和這些功能都是固化在這輛汽車上的，不管在哪里買到這輛車，這輛車世界上都是一樣的，這就是軟件定義汽車第一個(gè)階段，預(yù)裝系統(tǒng)。

第二個(gè)階段，這些預(yù)裝系統(tǒng)可以在行駛的過(guò)程中，在車主使用的過(guò)程中，讓它升級(jí)、更新、改寫，這是第二個(gè)階段。第二個(gè)階段像蔚來(lái)汽車或者特斯拉，用OTA把軟件版本升級(jí)到新的版本上去，不斷升級(jí)形成新的功能，同樣一輛車可能會(huì)具備更強(qiáng)大的功能。

第二個(gè)階段的狀態(tài)下，如果一個(gè)車廠一個(gè)車型在世界上賣了一千萬(wàn)輛車，可能會(huì)有500萬(wàn)輛車，車主沒(méi)有動(dòng)力去升級(jí)，我不關(guān)心，我不需要升級(jí)，可能還有300萬(wàn)輛車是升級(jí)了一次，變成了2.0，還有200萬(wàn)輛車升級(jí)了兩次，變成了3.0。這個(gè)世界上可能會(huì)有同一個(gè)車型，會(huì)有不同的版本，不同版本的車在不同的軟件版本實(shí)現(xiàn)不同的功能。

第三個(gè)階段，我認(rèn)為基于環(huán)境的學(xué)習(xí)、迭代、優(yōu)化和個(gè)性化，特別關(guān)鍵的就是個(gè)性化的軟件。我們現(xiàn)在是不是有，我覺得應(yīng)該或許會(huì)有一些，就是在駕駛員的個(gè)人體驗(yàn)上面，可以做一些初步的個(gè)性化。個(gè)性化的含義是什么？打個(gè)比方。如果我出差到一個(gè)外地的城市，我要租一輛車開，我租到一輛不熟悉的車，當(dāng)我開的時(shí)候，車的響應(yīng)和我的預(yù)期是不一樣的，我經(jīng)常會(huì)碰到這種情況，有的車敏感性會(huì)強(qiáng)一點(diǎn)，有的車敏感性會(huì)弱一點(diǎn)，或者說(shuō)動(dòng)力會(huì)弱一點(diǎn)，這種情況下一開始開會(huì)不舒服，慢慢的時(shí)間長(zhǎng)了，或者一天兩天，你會(huì)變成駕駛員適應(yīng)這輛車的特性。

這是一個(gè)不太好的選擇，就是駕駛員適應(yīng)不同的車。第三個(gè)階段的軟件定義汽車意思是什么？就是說(shuō)車應(yīng)該來(lái)適應(yīng)駕駛員，而不是駕駛員去適應(yīng)車。車應(yīng)該在行駛的過(guò)程中，學(xué)到駕駛員的期望，對(duì)他的期望，然后不斷迭代優(yōu)化，這輛車可能知道駕駛員開車的時(shí)候，是一個(gè)比較喜歡開快一點(diǎn)的，響應(yīng)快一點(diǎn)的，或者說(shuō)我是一個(gè)想開的穩(wěn)一點(diǎn)的，每個(gè)人的想法不一樣，車的算法應(yīng)該是慢慢的去適應(yīng)駕駛員。在安全的環(huán)境下去適應(yīng)它，變成一輛最適合于駕駛員的車。

在第三個(gè)階段如果實(shí)現(xiàn)，我相信世界上如果車廠生產(chǎn)了一千萬(wàn)輛車在世界上，就變成一千萬(wàn)輛完全不一樣的車，每輛車跟車主的個(gè)性和性格習(xí)慣是有匹配的，這是我的想法，三個(gè)階段是軟件定義汽車的，我們現(xiàn)在看得到的過(guò)程，第一、第二階段都已經(jīng)有了，第三個(gè)階段或許有一點(diǎn)點(diǎn)可以看到，但是大批量的我認(rèn)為還沒(méi)有，這可能是未來(lái)一條路線。

如果做到這樣的方向，我認(rèn)為有一個(gè)前提條件，前提條件是什么？就是車上的硬件變成標(biāo)準(zhǔn)化，軟件的優(yōu)化、升級(jí)導(dǎo)致車輛功能的變化。跟我們?cè)诤芏嘈袠I(yè)里所看到的一樣，標(biāo)準(zhǔn)化的硬件加上變化的軟件才會(huì)實(shí)現(xiàn)各種不同的功能，或許汽車行業(yè)的朋友會(huì)說(shuō)，標(biāo)準(zhǔn)化的硬件意味著什么？標(biāo)準(zhǔn)化的硬件，比如一個(gè)控制器硬件可以去適應(yīng)很多很多軟件的要求，必然要求硬件的資源會(huì)更大，更冗余。

標(biāo)準(zhǔn)化的硬件還有一個(gè)是什么情況？就是說(shuō)我們硬件的連接可以有一個(gè)更柔性的做法，現(xiàn)在整個(gè)車的電子電氣架構(gòu)是固化的，一輛車量產(chǎn)之后，100%是固化的。在未來(lái)如果說(shuō)我們需要做軟件定義汽車，標(biāo)準(zhǔn)化的硬件可能會(huì)增加一個(gè)柔性組合的連接，才可以實(shí)現(xiàn)。

所有這些前提條件意味著什么？意味著成本，大家知道成本會(huì)增加。成本增加，這是汽車廠不希望的，成本是非常重要的因素。

我覺得解決方法是什么？標(biāo)準(zhǔn)化的硬件，一個(gè)硬件適用于不同場(chǎng)景，就硬件本身而言肯定會(huì)增加。但是我們想所有的車型都可以共享一些硬件，硬件的量可能也會(huì)幫助成本逐步下降，從預(yù)算已經(jīng)看到，硬件在整個(gè)車上的成本是在不斷下降的，未來(lái)可能會(huì)繼續(xù)這樣的趨勢(shì)。所以標(biāo)準(zhǔn)化的硬件不是不可能實(shí)現(xiàn)的夢(mèng)想。

另外，在標(biāo)準(zhǔn)化硬件上面軟件要進(jìn)行迭代和優(yōu)化，軟件有一個(gè)必須的要求，就是它必須有高內(nèi)聚、低耦合的特性，軟件不可以是一個(gè)黑盒，必須有體系架構(gòu)，體系架構(gòu)具備高內(nèi)聚、低耦合、模塊化的特性，同時(shí)要有一個(gè)很好的方法論，軟件在不同的功能、不同的硬件上快速做開發(fā)。

軟件定義汽車的挑戰(zhàn)

這是我對(duì)汽車上軟件定義汽車方面的想法。它會(huì)帶來(lái)一些挑戰(zhàn)，有三個(gè)方面的挑戰(zhàn)，第一個(gè)是架構(gòu)設(shè)計(jì)的挑戰(zhàn)，我剛才講到的軟件的架構(gòu)，如果要做成高內(nèi)聚、低耦合以及可以快速的有效率的開發(fā)，這是一個(gè)新的架構(gòu)挑戰(zhàn)。第二個(gè)功能安全的挑戰(zhàn)，本來(lái)我這個(gè)題目就是講功能安全的，我可能會(huì)講一點(diǎn)，但是我會(huì)把功能安全大部分留在后面另外一個(gè)話題去說(shuō)。功能安全挑戰(zhàn)是什么？當(dāng)我們說(shuō)軟件是可以不斷迭代升級(jí)優(yōu)化甚至個(gè)性化的時(shí)候，軟件的驗(yàn)證如何來(lái)做，我們?cè)谏a(chǎn)之前必須要做驗(yàn)證，必須要確?？煽啃裕@對(duì)傳統(tǒng)的功能安全概念會(huì)是一種挑戰(zhàn)，新的挑戰(zhàn)。

信息安全的挑戰(zhàn)，信息安全意味著數(shù)據(jù)是不是得到有效的保護(hù)，因?yàn)閿?shù)據(jù)會(huì)在不同的電子系統(tǒng)里面去共享，甚至?xí)ㄐ?，?huì)重復(fù)使用，信息安全如何保障，下面對(duì)三個(gè)方面分別做一個(gè)闡述。

第一個(gè)方面，架構(gòu)的挑戰(zhàn)。架構(gòu)的挑戰(zhàn)就是我今天題目上講的軟件定義汽車和AUTOSAR的關(guān)系。AUTOSAR是這樣一種結(jié)構(gòu)，AUTOSAR提供一個(gè)標(biāo)準(zhǔn)化的接口和層次化的隔離，有利于應(yīng)用基礎(chǔ)軟件、驅(qū)動(dòng)、算法單獨(dú)的開發(fā)，這是一個(gè)低耦合達(dá)到的效果。它可以大幅提高汽車電子的研發(fā)效率和研發(fā)質(zhì)量。下面這個(gè)圖顯示的是過(guò)去軟件和硬件耦合性非常強(qiáng)，AUTOSAR低耦合區(qū)分的內(nèi)容遠(yuǎn)遠(yuǎn)比這個(gè)圖示意的更多，下面我會(huì)在合適的地方講隔離和效果。

功能安全的挑戰(zhàn)會(huì)是什么樣的？左邊這張圖是功能安全的標(biāo)準(zhǔn)，就是主流標(biāo)準(zhǔn)IOS 26262，在功能安全里常常聽到功能安全等級(jí)，右邊是方法，我們會(huì)把一個(gè)系統(tǒng)從三個(gè)角度去看，比如要做一個(gè)發(fā)動(dòng)機(jī)的控制系統(tǒng)，我們看發(fā)動(dòng)機(jī)控制系統(tǒng)一旦發(fā)生故障嚴(yán)重度是什么，最左邊這一類就是第一個(gè)維度，嚴(yán)重會(huì)導(dǎo)致輕度或者中度的傷害，還會(huì)危及生命，還是會(huì)造成必然的致命的傷害，發(fā)動(dòng)機(jī)控制系統(tǒng)在嚴(yán)重等級(jí)上處于哪個(gè)位置。

暴露度，故障發(fā)生可能性比較低，還是中度，還是高。

可控性，當(dāng)故障發(fā)生的時(shí)候，我們能不能有效的控制它，或者說(shuō)很容易的控制它，還是它是不容易控制的，如果這三個(gè)角度，嚴(yán)重度、暴露率和可控性都是非常高，那個(gè)時(shí)候我們就會(huì)把它定義到右下角等級(jí)最高的安全等級(jí)，SOD等級(jí)紅色的，SOD等級(jí)意味著控制器一旦發(fā)生故障，一定會(huì)造成人命的傷害，開發(fā)的時(shí)候一定要用最高的安全等級(jí)，最高的強(qiáng)有力的功能安全方法去開發(fā)它，避免造成風(fēng)險(xiǎn)。這是功能安全對(duì)挑戰(zhàn)所提出的解決方法。

當(dāng)然，軟件定義汽車，最近也聽到一些討論，傳統(tǒng)的功能安全架構(gòu)是不是能適應(yīng)未來(lái)軟件定義汽車的要求，因?yàn)檐浖x汽車，軟件是一個(gè)動(dòng)態(tài)的，而不是固化的，你能不能用同樣的功能安全的流程去驗(yàn)證這個(gè)軟件，這是未來(lái)提出來(lái)的問(wèn)題，但是我覺得至少我們現(xiàn)在的ISO26262這個(gè)流程對(duì)我們解決這個(gè)問(wèn)題提供了很好的借鑒，在現(xiàn)有的系統(tǒng)上非常的有效保證功能安全的手段。

汽車軟件的信息安全的挑戰(zhàn)，現(xiàn)在的車已經(jīng)跟外部有非常多的連接了，雖然這些連接還沒(méi)有到我們想象中那么多，我們現(xiàn)在的連接主要是用于車輛的導(dǎo)航、信息娛樂(lè)，一些信息的監(jiān)控監(jiān)管，把一些數(shù)據(jù)上傳，還沒(méi)有到通過(guò)互聯(lián)網(wǎng)技術(shù)去影響駕駛的程度，但是已經(jīng)有非常多的數(shù)據(jù)在車和車之間，車和車外部的通信。

我們需要有對(duì)信息技術(shù)保護(hù)，進(jìn)行控制的技術(shù)手段，這里主要是一些數(shù)據(jù)的通信安全機(jī)制，我們要有一個(gè)完整的車內(nèi)通信和車外通信安全機(jī)制。我們要有一些驗(yàn)證，對(duì)數(shù)據(jù)來(lái)源的驗(yàn)證和數(shù)據(jù)本身認(rèn)證正確性和時(shí)效性。

我們還要對(duì)加密解密算法，做一些輕量級(jí)以及高效的優(yōu)化，使它適用于車內(nèi)的環(huán)境。除了具體技術(shù)之外，我們需要一個(gè)信息安全體系。跟功能安全相比，信息安全體系可能還比較滯后，對(duì)功能安全來(lái)說(shuō)，我們很清楚的流程標(biāo)準(zhǔn)ISO26262已經(jīng)定義了，我們首先要做危險(xiǎn)危害分析和風(fēng)險(xiǎn)評(píng)估，對(duì)這個(gè)系統(tǒng)，我們要去設(shè)計(jì)這個(gè)系統(tǒng)的功能安全技術(shù)概念，如果是一個(gè)系統(tǒng)需求，如果是一個(gè)軟件，就是軟件需求規(guī)格。

我們要做系統(tǒng)設(shè)計(jì)，以及硬件和軟件的設(shè)計(jì)和開發(fā)實(shí)現(xiàn)，最后做驗(yàn)證和確認(rèn)，這些步驟是一個(gè)方法論，有很多具體的要求、手段在這個(gè)方面來(lái)實(shí)施，這是功能安全方面比較成熟的流程。在信息安全方面還沒(méi)有這樣的標(biāo)準(zhǔn)化流程，目前還沒(méi)有公認(rèn)的標(biāo)準(zhǔn)化流程出來(lái)，這是需要我們根據(jù)車輛的發(fā)展和信息安全的要求，再去設(shè)計(jì)和建立起來(lái)的體系。

整體安全就只有功能安全和信息安全都完善的情況下，才是真正的安全。

AUTOSAR解決方案

下面我介紹一下AUTOSAR的解決方案，前面講了一部分AUTOSAR怎么提供低耦合、高內(nèi)聚的架構(gòu)。AUTOSAR結(jié)構(gòu)，目前來(lái)說(shuō)AUTOSAR組織在汽車?yán)锩娴玫狡毡閼?yīng)用的主流的結(jié)構(gòu)。在這個(gè)結(jié)構(gòu)里面，是一個(gè)模塊化的，我們看到不同的顏色，從下面開始，硬件上面會(huì)有一層驅(qū)動(dòng)以及IO驅(qū)動(dòng)，隔離軟件和硬件的差異性。

驅(qū)動(dòng)之上會(huì)有抽象層，軟件訪問(wèn)驅(qū)動(dòng)也是統(tǒng)一的接口，包括板級(jí)的，存儲(chǔ)硬件的，通信的，還有IO硬件的抽象層。再往上是服務(wù)層，服務(wù)層就是提供一些底層的軟件功能，包括通信服務(wù)，包括存儲(chǔ)服務(wù)，包括系統(tǒng)服務(wù)，系統(tǒng)服務(wù)里面就包括操作系統(tǒng)。

三層叫做基礎(chǔ)軟件，基礎(chǔ)軟件之上會(huì)有一個(gè)運(yùn)行環(huán)境，是虛擬軟件總線的意思，就是說(shuō)隔離掉應(yīng)用軟件和基礎(chǔ)軟件，使得應(yīng)用軟件和基礎(chǔ)軟件是低耦合的狀態(tài)。這樣的結(jié)構(gòu)是可以保證我們?cè)诨A(chǔ)軟件設(shè)計(jì)的時(shí)候，隨著模塊關(guān)聯(lián)性是低耦合的。假如說(shuō)最典型的是芯片，如果換了一種芯片，A芯片廠商換成B芯片廠商，底層的驅(qū)動(dòng)層是需要變化的，但是除此之外，上面的抽象層保證了所有的軟件，包括基礎(chǔ)軟件和之上的應(yīng)用軟件，都是不需要做改變的。

下面一張圖更細(xì)的，也是AUTOSAR典型的圖。這張圖顯示的是AUTOSAR里面所有模塊之間的接口，剛才講了底層的隔離性，可以改變芯片，不影響基礎(chǔ)軟件。往上看，RTE起的作用是隔離應(yīng)用軟件和基礎(chǔ)軟件，有什么好處？直接的好處是做應(yīng)用軟件的朋友，可以不用依賴于某一個(gè)供應(yīng)商的基礎(chǔ)軟件，如果按照AUTOSAR方法論，從A公司，從普華公司的基礎(chǔ)軟件或者從另外一家國(guó)外公司的基礎(chǔ)軟件，對(duì)上層應(yīng)用的影響是不大的，因?yàn)槟闶侵苯油ㄟ^(guò)RTE接口，來(lái)和基礎(chǔ)軟件做交互。這是一個(gè)基本的好處，它可以有更深入的好處，AUTOSAR本身的思想是要求應(yīng)用軟件，也是一個(gè)組件化的開發(fā)，這個(gè)例子上就有三個(gè)組件，這是典型的AUTOSAR設(shè)計(jì)方法，你在設(shè)計(jì)一個(gè)應(yīng)用系統(tǒng)的時(shí)候，你有算法的部分是一個(gè)組件，執(zhí)行器的部分，讓執(zhí)行器動(dòng)作的那部分軟件組件，還有一部分跟傳感器相關(guān)的。

這三個(gè)軟件組件通信都是通過(guò)AUTOSAR進(jìn)行的，組件之間的數(shù)據(jù)通信是通過(guò)抽象程度非常高的接口，這個(gè)接口對(duì)一個(gè)軟件組件來(lái)說(shuō)，需要往總線上發(fā)數(shù)據(jù)的時(shí)候，只是發(fā)送一條消息。至于說(shuō)總線到底是在一條總線還是在其他的以太網(wǎng)總線上，對(duì)應(yīng)用軟件是不關(guān)心的。至于這三個(gè)組件，我們是在同一個(gè)ECU上，還是在不同的ECU上，對(duì)于軟件組件的開發(fā)者也是不關(guān)心的。

大家或許會(huì)覺得奇怪，為什么一個(gè)算法執(zhí)行器和傳感器在不同ECU上，將來(lái)設(shè)計(jì)的時(shí)候，按照AUTOSAR方法論，可以共享的。如果有兩個(gè)ECU，或者三個(gè)ECU，用同一種方法拿數(shù)據(jù)，只需要有一個(gè)設(shè)計(jì)出來(lái)就可以了。

RTE軟件總線實(shí)現(xiàn)的功能，一方面是隔離了應(yīng)用軟件和基礎(chǔ)軟件，另一方面是隔離了底層RTE以及互相連接的邏輯拓?fù)?。?duì)于上層的組件來(lái)說(shuō)，只要發(fā)送和接收數(shù)據(jù)就可以，至于數(shù)據(jù)在哪個(gè)ECU上面，以及通過(guò)哪條總線弄的，取決于RTE的配置。對(duì)AUTOSAR的思想來(lái)說(shuō)，軟件+配置才是最終軟件的實(shí)現(xiàn)。

基礎(chǔ)軟件會(huì)有配置文件，RTE也會(huì)有配置文件，配置文件里描述了哪個(gè)ECU上面有哪個(gè)軟件組件，哪個(gè)ECU用什么的組件。修改軟件布局的時(shí)候需要修改的基本上就是配置部分，方法論對(duì)于未來(lái)軟件開發(fā)工程化和實(shí)現(xiàn)的低耦合，復(fù)用，以及軟件模塊的跨平臺(tái)思想設(shè)計(jì)，這是AUTOSAR解決方法。

AUTOSAR具體來(lái)說(shuō)功能有哪些，這是普華產(chǎn)品，但是對(duì)所有的AUTOSAR供應(yīng)商來(lái)說(shuō)，都是一樣的，因?yàn)闃?biāo)準(zhǔn)制定是同樣的情況。我們有操作系統(tǒng)，這是一個(gè)核心的部分，有診斷，有標(biāo)定，有網(wǎng)絡(luò)管理，有通信，存儲(chǔ)管理，底層驅(qū)動(dòng)，有復(fù)雜驅(qū)動(dòng)，大致有這么多模塊。除了RTE，RTE是非常重要的部分，但是功能已經(jīng)描述清楚了。操作系統(tǒng)這些大家都知道了，不細(xì)講，因?yàn)锳UTOSAR操作系統(tǒng)都是需要有精簡(jiǎn)、性能強(qiáng)特點(diǎn)，功能隔離保護(hù)，內(nèi)存保護(hù)，都在標(biāo)準(zhǔn)里面有定義。要講的就是說(shuō)有一個(gè)非常重要的特點(diǎn)，我這里沒(méi)有寫進(jìn)去，實(shí)際上是非常重要的，終端響應(yīng)和任務(wù)切換快，這是不準(zhǔn)確的，對(duì)于實(shí)時(shí)系統(tǒng)來(lái)說(shuō)，當(dāng)然要性能高，這是必然的，要快，這是必然的。更重要的要求是確定性，多任務(wù)的系統(tǒng)里面，A任務(wù)如果是定義的10毫秒的周期，必然在任何情況下都是10毫秒的周期能完成，不可以說(shuō)在某一種負(fù)載情況下面，某一種比較困難的情況下面，或者某種異常的情況下，達(dá)不到時(shí)間周期，10毫秒并不是很短的周期，但是我定義10毫秒就是切實(shí)的10毫秒。發(fā)生中斷的時(shí)候，發(fā)生任務(wù)調(diào)度的時(shí)候，不可以有預(yù)料不到的東西，確定性是比性能更重要的特征，任何情況下，性能是不能低于時(shí)間的，這是操作系統(tǒng)的要求。

診斷協(xié)議棧包括UDS、J1939，這是行業(yè)里一直在用的，我們可以靈活的配置診斷協(xié)議，可以配置傳輸層的時(shí)間參數(shù)，可以用診斷規(guī)范，把診斷規(guī)范對(duì)應(yīng)到配置上面去，可以實(shí)現(xiàn)多幀傳輸。標(biāo)紅部分就是跟診斷協(xié)議相關(guān)的部分。

通訊組件，過(guò)去汽車上面大部分用的都是CAN總線，現(xiàn)在包括以太網(wǎng)，標(biāo)準(zhǔn)通信組件里面，有很多報(bào)文需要配置，可以用文件導(dǎo)入的方式，降低用戶使用的工作量，既然已經(jīng)有通訊矩陣了，直接可以拿來(lái)生成配置。中間需要的時(shí)候再具體做一些修改，這是通訊實(shí)現(xiàn)的特點(diǎn)。以太網(wǎng)實(shí)現(xiàn)基于AUTOSAR DR的接口，用于封裝以太網(wǎng)的數(shù)據(jù)。

還有很重要的一部分就是標(biāo)定，做標(biāo)定的時(shí)候基礎(chǔ)軟件必須支持標(biāo)定協(xié)議，標(biāo)定工具是在外面，但是標(biāo)定協(xié)議是在控制器的里面，我們提供的標(biāo)定模塊是實(shí)現(xiàn)CCP和XCP兩種標(biāo)定協(xié)議，可以跟外面的主流標(biāo)定工具匹配使用。

網(wǎng)絡(luò)管理跟整車級(jí)的能耗，網(wǎng)絡(luò)的狀態(tài)都是有非常密切的關(guān)系，網(wǎng)絡(luò)管理是具備了靜態(tài)配置，動(dòng)態(tài)監(jiān)控的功能，我們可以支持兩種標(biāo)準(zhǔn)，一種是AUTOSAR，也可以支持NM 2.5.3。很多情況下整車廠有自己的規(guī)范，可以根據(jù)整車廠自己的規(guī)范配置到相應(yīng)的區(qū)域里面去。還有存儲(chǔ)管理模塊，可以支持flash存儲(chǔ)介質(zhì)等方面的內(nèi)容。

MCAL驅(qū)動(dòng)在AUTOSAR處在最底層的基礎(chǔ)軟件，也是基礎(chǔ)軟件一部分，提供的主要是屏蔽芯片上面的差異，向上提供標(biāo)準(zhǔn)的微控制器驅(qū)動(dòng)接口。通過(guò)MCAL基礎(chǔ)軟件和芯片的適配性非常強(qiáng)。

我介紹一下普華，普華現(xiàn)在跟其他國(guó)外的AUTOSAR供應(yīng)商是一樣的模式，基本上在MCAL方面會(huì)跟芯片原廠合作，由芯片廠提供標(biāo)準(zhǔn)MCAL軟件我們做集成，由于提供標(biāo)準(zhǔn)接口之后，這個(gè)集成工作會(huì)非常高效，包括MCAL和基礎(chǔ)軟件的集成，包括和底層的芯片在運(yùn)行上的問(wèn)題技術(shù)支持，這些方面都會(huì)有。

很重要的一點(diǎn)，我剛才講的AUTOSAR開發(fā)思想是軟件+配置實(shí)現(xiàn)的，用戶通過(guò)配置適用于不同的汽車電子產(chǎn)品的需求，每一種產(chǎn)品的需求反映出配置是不一樣的，我們需要有一個(gè)集成開發(fā)環(huán)境，對(duì)產(chǎn)品來(lái)說(shuō)必須有一個(gè)集成開發(fā)環(huán)境的界面，通過(guò)這個(gè)界面對(duì)操作系統(tǒng)，對(duì)通信網(wǎng)絡(luò)管理診斷驅(qū)動(dòng)等等進(jìn)行數(shù)據(jù)配置，為了減輕配置，我們也提供一些數(shù)據(jù)文件導(dǎo)入，降低配置的工作量。配置項(xiàng)是非常多的，其實(shí)這個(gè)是一個(gè)矛盾點(diǎn)，要做到高效率的適用于不同的場(chǎng)景，配置項(xiàng)必須多，配置項(xiàng)一多，往往在使用的時(shí)候會(huì)覺得對(duì)使用的工程師的要求比較高，就要知道所有配置項(xiàng)的概念，怎么樣配置會(huì)更好，我們會(huì)提供輔助的手段，包括預(yù)定的默認(rèn)數(shù)據(jù)放置，包括標(biāo)準(zhǔn)數(shù)據(jù)的導(dǎo)入，還包括沖突的檢測(cè)，不同模塊里面配置如果發(fā)生錯(cuò)誤，我們也會(huì)報(bào)警和提供建議

這是集成開發(fā)環(huán)境的界面，實(shí)質(zhì)上我們可以把軟件模塊和接口定義好，每種軟件的數(shù)據(jù)配置上來(lái)，這是AUTOSAR基礎(chǔ)軟件工具的架構(gòu)。

通常在工程項(xiàng)目里會(huì)有一些刷寫的工作，BOOTLOADER需要和硬件做適配，需要一些更高性能或者更精簡(jiǎn)的驅(qū)動(dòng)。因?yàn)樗憣?duì)不同的產(chǎn)品和廠商有不同流程，我們要根據(jù)流程去設(shè)計(jì)刷寫過(guò)程，廠商規(guī)范的適應(yīng)性。

中間有一些內(nèi)容，比如安全模塊，加解密方面的數(shù)據(jù)模塊，包括監(jiān)控，數(shù)據(jù)通信因?yàn)樗懙臅r(shí)候也有刷寫效率，刷寫的性能跟設(shè)計(jì)也是有關(guān)的。上位機(jī)刷寫的時(shí)候要做定義，支持總線的參數(shù)，去定義收發(fā)地址和協(xié)議的時(shí)間參數(shù)，定義廠商給到的流程，設(shè)計(jì)一些或者說(shuō)讓客戶加進(jìn)來(lái)一些安全的認(rèn)證算法和教研算法，這是上位機(jī)的特點(diǎn)。

前面講的是AUTOSAR本身對(duì)于軟件定義汽車低耦合、高內(nèi)聚方式的實(shí)現(xiàn)，也就是架構(gòu)挑戰(zhàn)的實(shí)現(xiàn)方式，從安全角度來(lái)說(shuō)，有三個(gè)挑戰(zhàn)，架構(gòu)挑戰(zhàn)、功能安全挑戰(zhàn)、信息安全挑戰(zhàn)。對(duì)功能安全來(lái)說(shuō)，AUTOSAR并不等于功能安全，普華做了十年的AUTOSAR，AUTOSAR本身是有一些跟功能安全相關(guān)的模塊，但是本身并不代表功能安全。

在AUTOSAR里面去實(shí)現(xiàn)功能安全最重要的模塊是操作系統(tǒng)，因?yàn)椴僮飨到y(tǒng)實(shí)現(xiàn)的任務(wù)調(diào)度，資源管理，時(shí)序，所有的系統(tǒng)必須要用底層的核心關(guān)鍵功能，操作系統(tǒng)是AUTOSAR實(shí)現(xiàn)功能安全的關(guān)鍵，如果操作系統(tǒng)沒(méi)有過(guò)功能安全，而是過(guò)一些其他模塊的功能安全，那是本末倒置的做法，做AUTOSAR產(chǎn)品，如果達(dá)到功能安全，首要的工作就是要操作系統(tǒng)去實(shí)現(xiàn)功能安全。

操作系統(tǒng)如何實(shí)現(xiàn)功能安全，操作系統(tǒng)是采用功能安全的機(jī)制去實(shí)現(xiàn)功能安全。功能安全機(jī)制起什么作用？我這里只是一個(gè)引導(dǎo)或者開端，我們?cè)?月16號(hào)舉辦功能安全日，我會(huì)介紹功能安全實(shí)際的工作流程，對(duì)操作系統(tǒng)實(shí)現(xiàn)功能安全來(lái)說(shuō)，方法論是很類似的，可以作為軟件功能安全的借鑒。

功能安全會(huì)有很多相關(guān)安全模塊，大部分的模塊都會(huì)有功能安全要求，不僅僅標(biāo)出來(lái)的模塊，真正實(shí)現(xiàn)的時(shí)候，需要跟應(yīng)用，由應(yīng)用選擇哪些模塊會(huì)在具體場(chǎng)景上使用，我們?cè)谶@些場(chǎng)景上面去實(shí)現(xiàn)功能安全。這是功能安全選模塊時(shí)候的必要條件，當(dāng)然有兩者，OS是必須要選擇的，如果說(shuō)我前面已經(jīng)講過(guò)，OS沒(méi)有達(dá)到功能安全，在其他的模塊實(shí)現(xiàn)功能安全是遠(yuǎn)遠(yuǎn)不夠的，這里面很重要的公共安全密切相關(guān)的模塊。

接下來(lái)講一下信息安全，AUTOSAR解決方法里面有幾個(gè)方面，第一個(gè)信息安全是有E/E的通信架構(gòu)，通信安全是信息安全很重要的內(nèi)容，AUTOSAR里面提供了端對(duì)端的數(shù)據(jù)保護(hù)機(jī)制，這張圖可以看出來(lái)，當(dāng)發(fā)送端發(fā)送一個(gè)數(shù)據(jù)之后，需要做驗(yàn)證，加安全的報(bào)文頭，收的時(shí)候從這里做驗(yàn)證，我們知道發(fā)送端和接收端保持一致，有一些時(shí)間戳的信息，這樣保證信息的完整性。

第二個(gè)信息安全的方法是SecOC，這個(gè)安全機(jī)制為PDU做的，前面是為信號(hào)做的。對(duì)PDU來(lái)說(shuō)，我們?cè)诎l(fā)送的時(shí)候，需要對(duì)PDU實(shí)現(xiàn)認(rèn)證機(jī)制，PDU的數(shù)據(jù)，會(huì)增加SecOC的模塊，進(jìn)行加密和解密，然后做通信，數(shù)據(jù)就是加密過(guò)的數(shù)據(jù)了。

第三個(gè)Crypto，主要提供加密和解密的機(jī)制，比如說(shuō)Hash、Mac、對(duì)稱加密、非對(duì)稱加密和數(shù)字簽名算法，對(duì)這些算法來(lái)說(shuō)，AUTOSAR本身的架構(gòu)里面會(huì)定義的兩種實(shí)現(xiàn)方法，一種是純軟件的實(shí)現(xiàn)方法，還有一種外部的芯片上的機(jī)制，一般來(lái)說(shuō)我們會(huì)通過(guò)SPI訪問(wèn)芯片上的安全模塊，SM或者SHE不同架構(gòu)的安全模塊，取密鑰存儲(chǔ)，算法也是在芯片上面實(shí)現(xiàn)。后一種通過(guò)硬件做的，性能比較高，安全性更高一點(diǎn)，成本也會(huì)相對(duì)高一點(diǎn)，這是AUTOSAR對(duì)加解密方面的實(shí)現(xiàn)方法。

最后花一點(diǎn)點(diǎn)時(shí)間介紹一下普華，普華軟件是中國(guó)電子科技集團(tuán)的下屬企業(yè)， 2008年注冊(cè)成立，2009年開始正式運(yùn)營(yíng)，到現(xiàn)在差不多12年的時(shí)間，公司員工有600多人，普華作為國(guó)家的基礎(chǔ)軟件戰(zhàn)略平臺(tái)，通過(guò)國(guó)家的支持以及跟車廠的合作，產(chǎn)生了產(chǎn)品，并且這個(gè)產(chǎn)品是不斷的通過(guò)業(yè)務(wù)創(chuàng)新，通過(guò)市場(chǎng)推進(jìn)，目前在國(guó)內(nèi)汽車電子AUTOSAR市場(chǎng)上，還是普遍得到了應(yīng)用。

普華汽車電子事業(yè)部是我們公司核心業(yè)務(wù)部門，我們負(fù)責(zé)汽車電子AUTOSAR產(chǎn)品的開發(fā)，以及產(chǎn)品銷售和技術(shù)服務(wù)。公司的總部在上海，汽車電子事業(yè)部在上海、西安、成都，三個(gè)地方，這是我們國(guó)內(nèi)的布局。

普華是2010年加入AUTOSAR組織，2018年成為中國(guó)軟件企業(yè)里面唯一一家高級(jí)合作伙伴，AUTOSAR高級(jí)合作伙伴世界上應(yīng)該有58家，是有變化的，會(huì)多一點(diǎn)，少一點(diǎn)，每年都會(huì)有變化。中國(guó)企業(yè)在高級(jí)合作伙伴里面，有4家，普華是唯一一家作為軟件AUTOSAR供應(yīng)商的，我們作為標(biāo)準(zhǔn)軟件的供應(yīng)商，其他的中國(guó)企業(yè)還有長(zhǎng)城、華為、百度，就四家在高級(jí)合作伙伴里，高級(jí)合作伙伴做什么事情？我簡(jiǎn)單介紹一下AUTOSAR組織架構(gòu)，合作伙伴的分類。

AUTOSAR是一個(gè)汽車開放系統(tǒng)組織，標(biāo)準(zhǔn)是開放，大家都可以拿技術(shù)標(biāo)準(zhǔn)來(lái)開發(fā)產(chǎn)品，如果說(shuō)你是商業(yè)化用AUTOSAR開發(fā)產(chǎn)品，用標(biāo)準(zhǔn)開發(fā)產(chǎn)品，需要成為合作伙伴才可以，至少有一個(gè)灰色的部分，就是關(guān)聯(lián)合作伙伴，加入關(guān)聯(lián)合作伙伴就可以合法用標(biāo)準(zhǔn)開發(fā)軟件，就可以用它的體系架構(gòu)。

在AUTOSAR組織里面參與標(biāo)準(zhǔn)制定工作，普華一直做AUTOSAR，我們必須要做參與的工作，比如做新版本開發(fā)的時(shí)候，最近在R20-11版本，今年下半年要發(fā)布的版本里面的模塊，會(huì)跟所有高級(jí)合作伙伴討論這個(gè)模塊標(biāo)準(zhǔn)的設(shè)計(jì)以及做一些概念性的開發(fā)，這些工作都是在高級(jí)合作伙伴里面做的，付出會(huì)比較多一點(diǎn)，因?yàn)槲覀冏鲞@個(gè)業(yè)務(wù)的，我們也必須去做這些工作，在這些做AUTOSAR組織安排的工作。

我們?cè)谶@個(gè)月，差不多一個(gè)星期前，我們獲得了德國(guó)萊茵TUV功能安全產(chǎn)品認(rèn)證，普華靈智ORIENTAIS操作系統(tǒng)是國(guó)內(nèi)第一個(gè)通過(guò)功能安全產(chǎn)品認(rèn)證達(dá)到最高安全等級(jí)ASIL D的AUTOSAR操作系統(tǒng)，這是認(rèn)證證書。我們會(huì)在6月16號(hào)，12天以后會(huì)辦一個(gè)活動(dòng)，叫功能安全技術(shù)日，在國(guó)內(nèi)大家推動(dòng)倡議軟件的功能安全怎么做更好，我們也會(huì)分享，我會(huì)把功能安全普華實(shí)戰(zhàn)的過(guò)程，在那個(gè)活動(dòng)上跟大家做分享，希望大家可以關(guān)注這個(gè)活動(dòng)。

我們的合作伙伴，有國(guó)際主流的芯片廠商，有AUTOSAR組織，有國(guó)內(nèi)整車廠，都是我們的合作伙伴。