概要

無論是車載娛樂軟件、駕駛輔助軟件還是自動(dòng)駕駛軟件，軟件的加持為汽車行業(yè)和用戶帶來了巨大的好處和便利。然而，正如機(jī)械零件需要清潔、潤滑和更換一樣，軟件也需要維護(hù)。

原始設(shè)備制造商（OEM）和一級(jí)供應(yīng)商也許十分擅長挑選方便定期保養(yǎng)（如更換發(fā)動(dòng)機(jī)的機(jī)油或者正時(shí)鏈）的汽車零件，但對(duì)于汽車軟件，卻很可能無從下手。

隨著軟件功能越來越復(fù)雜，如果現(xiàn)在選擇的軟件架構(gòu)不合適，未來幾年可能就需要付出高昂的軟件維護(hù)費(fèi)。因此，原始設(shè)備制造商和一級(jí)供應(yīng)商必須重視車載軟件系統(tǒng)及軟件架構(gòu)，并將軟件所需的定期維護(hù)（如軟件安全漏洞補(bǔ)丁或軟件升級(jí)）納入考慮范圍。

在本文中介紹如何確保軟件定義汽車配備最先進(jìn)的安全和安保解決方案，同時(shí)闡述使用開源軟件的重要性——不僅能讓原始設(shè)備制造商專注于開發(fā)下一代應(yīng)用、滿足消費(fèi)者需求，還能控制成本。

引言

軟件定義汽車行業(yè)的U形賽道

過去的幾年里，汽車電氣化和自動(dòng)駕駛領(lǐng)域取得了飛速發(fā)展，汽車行業(yè)所面臨的主要挑戰(zhàn)由機(jī)械零件轉(zhuǎn)為電子系統(tǒng)和車載軟件。

以前，汽車設(shè)計(jì)階段出現(xiàn)的問題往往與機(jī)械零件相關(guān)。為了保證機(jī)械零件的充足供應(yīng)，原始設(shè)備制造商通常會(huì)與一級(jí)供應(yīng)商和二級(jí)供應(yīng)商簽訂長期協(xié)議，保證在某款汽車停產(chǎn)后的至少十年內(nèi)市面上仍有相應(yīng)零件可供替換。當(dāng)汽車需要維修保養(yǎng)時(shí)，處在價(jià)值鏈末端的最終消費(fèi)者將間接向一級(jí)和二級(jí)供應(yīng)商支付零件的費(fèi)用，直至車輛使用壽命結(jié)束。

隨著“軟件定義汽車”逐漸成為汽車產(chǎn)業(yè)的主要發(fā)展趨勢(shì)，汽車設(shè)計(jì)過程中需要解決的問題也多與軟件相關(guān)，也與最終消費(fèi)者更密切相關(guān)。每一位車主都希望在汽車安全得到保障的同時(shí)，享受最新推出的功能，但很少有車主愿意頻繁為安全功能更新付費(fèi)。

日新月異的市場變化迫使汽車行業(yè)奮起直追，緊跟發(fā)展趨勢(shì)。這一點(diǎn)，從雷諾或大眾等公司軟件工程部門驚人的部門擴(kuò)張中可見一斑。 “在2011年時(shí)，雷諾和大眾公司甚至找不出一個(gè)內(nèi)部軟件工程師”，而如今，這兩家知名車企都各自擁有一支龐大的軟件工程師團(tuán)隊(duì)。

與此同時(shí)，供應(yīng)商也爭相組建自己的軟件工程部門。以生產(chǎn)出全球首款溝紋汽車輪胎的德國大陸集團(tuán)為例，該公司僅2021年一年就投入3100萬歐元用于公司內(nèi)部開發(fā)軟件 。大陸汽車技術(shù)核心業(yè)務(wù)部門（分為車輛網(wǎng)聯(lián)技術(shù)（VNI）、自動(dòng)駕駛及安全技術(shù)（AMS）業(yè)務(wù)單元）擁有約89,000名員工，而輪胎業(yè)務(wù)部門現(xiàn)在只有約57,000名員工。大陸集團(tuán)并非特例，知名的雨刷系統(tǒng)和燈光照明系統(tǒng)供應(yīng)商法雷奧集團(tuán)以及知名排氣系統(tǒng)供應(yīng)商馬瑞利公司都采取了相似的措施，擴(kuò)大其在電子解決方案和軟件領(lǐng)域的專業(yè)優(yōu)勢(shì)。

盡管各個(gè)公司都紛紛組建自己的軟件部門，但不得不承認(rèn)的是，市場期待和隨著技術(shù)難度增加而飆升的成本之間存在著不小的差距。

基于上述考慮，原始設(shè)備制造商面臨的挑戰(zhàn)將是如何部署日益復(fù)雜系統(tǒng)，并且控制好因維護(hù)系統(tǒng)而支出的年度經(jīng)常性費(fèi)用。

起步階段

重新定義數(shù)據(jù)時(shí)代的汽車架構(gòu)

從汽車行業(yè)的發(fā)展現(xiàn)狀可以明顯看出，在未來，汽車每天需要處理的數(shù)據(jù)量將達(dá)到十兆字節(jié)。車內(nèi)的長程傳感器和短程傳感器（如LiDAR和攝像頭）將收集各類數(shù)據(jù)，并且，傳感器的數(shù)量將呈現(xiàn)遞增趨勢(shì)。

除需要數(shù)據(jù)處理和計(jì)算的自動(dòng)駕駛外，汽車內(nèi)部還有車載娛樂系統(tǒng)和擴(kuò)展的車輛故障診斷系統(tǒng)（進(jìn)一步增強(qiáng)車載自動(dòng)診斷系統(tǒng)OBD-II進(jìn)行的故障診斷）。這三大車載系統(tǒng)都需要穩(wěn)定的數(shù)據(jù)處理。

那么，是否可以將這些數(shù)據(jù)都上傳到云服務(wù)器呢？這種可能性微乎其微。事實(shí)是，車載系統(tǒng)將先對(duì)部分?jǐn)?shù)據(jù)進(jìn)行本地處理，隨后再將主要數(shù)據(jù)或者整合數(shù)據(jù)上傳到云端。

"為了保證每天數(shù)千萬字節(jié)的數(shù)處理量，汽車系統(tǒng)中必須嵌入計(jì)算引擎。" 這樣一來，需要上傳的數(shù)據(jù)量大大增加。此前，車輛的電子控制單元（ECU）位置通?？拷c其相連的傳感器和執(zhí)行器，因此分散在汽車內(nèi)部的不同位置。如今，原始設(shè)備制造商（OEM）紛紛轉(zhuǎn)而使用“汽車電子電氣架構(gòu)”（EEA），實(shí)現(xiàn)電子控制單元的合并與整合，并使用以太網(wǎng)將將各個(gè)電子控制單元互聯(lián)起來。這種全新架構(gòu)中也會(huì)包含1至5臺(tái)內(nèi)置高性能計(jì)算機(jī)（HPC）。

下面，我們將介紹從傳統(tǒng)架構(gòu)轉(zhuǎn)向全新EEA架構(gòu)產(chǎn)生的諸多影響，特別是在硬件和軟件維護(hù)方面的影響。

復(fù)雜性與日俱增

硬件復(fù)雜性

在汽車領(lǐng)域，電子硬件的設(shè)計(jì)并不像電腦那樣基于安裝在主板上的中央處理單元（CPU）和PCIe擴(kuò)展卡，而是基于“片上系統(tǒng)”（SoC）。片上系統(tǒng)是一種集成電路，其上包括所有或者絕大多數(shù)計(jì)算組件。實(shí)際上，汽車的片上系統(tǒng)通常包括幾個(gè)CPU，用于保證計(jì)算性能和行車安全。這幾個(gè)CPU包括數(shù)字信號(hào)處理（DSP）單元、圖形處理單元（GPU）、視頻加速器、圖像處理單元（IPU）以及CAN總線接口等。換言之，片上系統(tǒng)是一個(gè)非常復(fù)雜的系統(tǒng)。



來源：德州儀器公司TDA片上系統(tǒng)

"硬件已經(jīng)如此復(fù)雜了，汽車生產(chǎn)商需要更強(qiáng)大的軟件實(shí)力才能征服前行道路上的挑戰(zhàn)，因?yàn)檐浖扔布鼮閺?fù)雜。"

縱觀汽車硬件的發(fā)展，不難發(fā)現(xiàn)，片上系統(tǒng)的復(fù)雜性仍在攀升，尚未到達(dá)發(fā)展巔峰。實(shí)際上，即使目前車載硬件的性能尚未達(dá)到Teraflop區(qū)間，但市面上已經(jīng)出現(xiàn)了一些包含16個(gè)CPU內(nèi)核的芯片組 ?？梢灶A(yù)見，汽車將很快迎來80核CPU甚至計(jì)算性能更卓越的多核CPU。

軟件復(fù)雜性以及微服務(wù)

汽車行業(yè)逐漸由“機(jī)械定義汽車”轉(zhuǎn)變?yōu)椤败浖x汽車”。在這個(gè)趨勢(shì)的推動(dòng)下，汽車開發(fā)周期被重塑，汽車開發(fā)工作方式和所需技能也迎來全面轉(zhuǎn)折。這些變革為行業(yè)帶來了額外的重重挑戰(zhàn)。為了應(yīng)對(duì)挑戰(zhàn)，汽車生產(chǎn)商紛紛擴(kuò)大專業(yè)團(tuán)隊(duì)，不惜重金聘用并培訓(xùn)專業(yè)人才。就目前來看，人才成本仍處于上升趨勢(shì)。

在大范圍聘用專業(yè)人才的同時(shí)，企業(yè)又面臨另外一個(gè)挑戰(zhàn)：如何吸引能夠?yàn)楣敬蛳聢?jiān)實(shí)軟件戰(zhàn)略基礎(chǔ)的得力人才。還有一種辦法是培訓(xùn)原始設(shè)備制造商及其供應(yīng)商的現(xiàn)有人員，教會(huì)他們追趕變革潮流所需的新技能。然而，技能學(xué)習(xí)十分簡單，重塑員工的固有思維方式卻非常困難，尤其是該領(lǐng)域的發(fā)展已經(jīng)高度成熟時(shí)，難度尤為突出。

與此同時(shí)，終端消費(fèi)者對(duì)更多、更復(fù)雜的功能的需求也在逐漸增加。麥肯錫公布的數(shù)據(jù)表明，“在過去十年中，汽車行業(yè)單個(gè)軟件項(xiàng)目的平均復(fù)雜度增長了300%?！比缃?，每一輛汽車之上，都有大約1億行代碼在運(yùn)行——比軍用飛機(jī)F-35或波音787夢(mèng)想客機(jī)的代碼條數(shù)還多 。預(yù)計(jì)到2025年，汽車上運(yùn)行的代碼行數(shù)將達(dá)到2億，而對(duì)于L5(完全自動(dòng))自動(dòng)駕駛系統(tǒng)而言，代碼行數(shù)甚至有可能達(dá)到10億行。

以下為美國汽車工程師學(xué)會(huì)（SAE）定義的駕駛自動(dòng)化級(jí)別



美國汽車工程師學(xué)會(huì)（SAE）對(duì)駕駛自動(dòng)化等級(jí)的劃分

除此之外，人工智能（AI）或機(jī)器學(xué)習(xí)（ML）算法也在很大程度上增加了車載軟件的復(fù)雜性。



來源：麥肯錫

網(wǎng)絡(luò)安全威脅

據(jù)報(bào)道，1983年，軟件和互聯(lián)網(wǎng)領(lǐng)域最早的“黑客”凱文·鮑爾森（Kevin Poulsen）黑入了互聯(lián)網(wǎng)的前身——Arpanet阿帕網(wǎng)。那時(shí)，偷車賊需要打破車窗，連接方向盤下的電線才能成功偷走汽車。而如今，隨著車載軟件數(shù)量的激增，汽車行業(yè)更加容易受到網(wǎng)絡(luò)犯罪的攻擊。

1983年，德國BOSCH公司發(fā)明了CAN總線，其誕生比萬維網(wǎng)和互聯(lián)網(wǎng)還早。由于CAN總線本質(zhì)上不能抵御黑客的攻擊，當(dāng)將其嵌入現(xiàn)代汽車后，CAN總線就給了黑客可乘之機(jī)。正如凱文·鮑爾森黑客事件暴露出了互聯(lián)網(wǎng)的漏洞，“黑客遠(yuǎn)程劫持吉普車事件” 則暴露了汽車導(dǎo)航系統(tǒng)的許多安全隱患。

2021年發(fā)布的一份關(guān)于全球汽車安全的報(bào)告指出，“汽車行業(yè)的常見安全漏洞和安全暴露（CVE）已經(jīng)有110個(gè)，僅在2020年就有33個(gè)，而2019年有24個(gè)?！?然而，并非所有安全威脅都納入了CVE。上述報(bào)道中還指出，在2020年8月，在10家不同公司開發(fā)的40個(gè)ECU軟件中發(fā)現(xiàn)了300多個(gè)漏洞。有關(guān)當(dāng)局正在審慎研究安全漏洞對(duì)經(jīng)濟(jì)造成的影響，并出臺(tái)了一些規(guī)章制度來抵御安全威脅。

ISO/SAE 21434標(biāo)準(zhǔn)“規(guī)定了有關(guān)道路車輛電氣和電子（E/E）系統(tǒng)（包括其部件和接口）的概念、產(chǎn)品開發(fā)、生產(chǎn)、運(yùn)營、維護(hù)和退役等各階段網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的工程要求”。此外，聯(lián)合國還通過了第155號(hào)條例《關(guān)于批準(zhǔn)車輛的網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理體系的統(tǒng)一規(guī)定》。該條例概述了“有關(guān)車輛網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)審批的統(tǒng)一規(guī)定”。

由于聯(lián)合國第155號(hào)條例的出臺(tái)，原始設(shè)備制造商及其供應(yīng)商必須合作開發(fā)軟件安全補(bǔ)丁或修復(fù)程序，以防止并限制車輛使用期間出現(xiàn)網(wǎng)絡(luò)犯罪行為。每一次軟件交付，無論其目的是引入增強(qiáng)功能、修復(fù)錯(cuò)誤還是解決安全問題，都需要在經(jīng)過網(wǎng)絡(luò)安全評(píng)估和正式的審批程序后才能推送給車輛端。

為了滿足這一強(qiáng)制性要求以及客戶的期望，原始設(shè)備制造商和一級(jí)供應(yīng)商應(yīng)該了解車載軟件的復(fù)雜性。在軟件領(lǐng)域，僅通過一種方法來實(shí)現(xiàn)一項(xiàng)功能或服務(wù)的情況非常少見。軟件架構(gòu)師必須做出明智的決定，因?yàn)闇p少管理軟件的復(fù)雜性是削減長期軟件維護(hù)成本的唯一途徑。

"我們所面臨的挑戰(zhàn)不僅僅是交付一個(gè)軟件系統(tǒng)，還包含如何對(duì)其進(jìn)行長期維護(hù)。汽車生產(chǎn)商是否為此做好充分準(zhǔn)備？"

但網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并不局限于軟件，有時(shí)硬件也會(huì)暴露出安全漏洞——眾多產(chǎn)品中發(fā)現(xiàn)的“崩潰(Meltdown)”和“幽靈(Spectre)”兩種安全漏洞就是一個(gè)有力的證明 。顯然，這樣的安全漏洞會(huì)增加系統(tǒng)設(shè)計(jì)的復(fù)雜性，因?yàn)檐浖軜?gòu)師需要在考慮軟件風(fēng)險(xiǎn)的基礎(chǔ)上，預(yù)測潛在的硬件漏洞。

安全考慮因素

系統(tǒng)復(fù)雜性并非汽車行業(yè)面臨的唯一挑戰(zhàn)。我們剛才談到了網(wǎng)絡(luò)安全問題。實(shí)際上，車輛的網(wǎng)絡(luò)安全和安全保障是兩個(gè)獨(dú)立的話題，因?yàn)檐囕d系統(tǒng)的安全并不能確保乘客的安全。汽車是一個(gè)移動(dòng)設(shè)備，其重量往往超過一公噸：汽車不僅需要保障乘客的人身安全，還要保護(hù)行車環(huán)境的安全。

假如乘客不系安全帶，即使安全系數(shù)最高的汽車也不能完全保障乘客的生命安全。盡管二者概念截然不同，但它們的關(guān)系卻是密不可分的。

上文提到的“黑客遠(yuǎn)程劫持吉普車事件”就證明了這一點(diǎn)，黑客破壞汽車網(wǎng)絡(luò)安全后也對(duì)乘客的人身安全構(gòu)成了威脅。隨著汽車上安裝越來越多起到預(yù)先防撞作用的主動(dòng)安全系統(tǒng)，這一點(diǎn)尤其需要考慮。由于主動(dòng)安全系統(tǒng)依賴于軟件的正常運(yùn)行，因而十分容易受到網(wǎng)絡(luò)安全攻擊。為此，汽車行業(yè)引入了功能安全（FuSa）概念，旨在為原始設(shè)備制造商及其供應(yīng)商提供一個(gè)框架，讓安全理念滲透到各個(gè)流程中，并成為概念、生產(chǎn)、交付、保養(yǎng)等流程的重心。

ISO 26262《道路車輛功能安全》是一個(gè)國際安全標(biāo)準(zhǔn)，對(duì)安裝在量產(chǎn)道路車輛上的電氣和/或電子系統(tǒng)的功能安全進(jìn)行了約束和規(guī)定。ISO 26262標(biāo)準(zhǔn)將汽車“功能安全（FuSa）”定義為“不存在因電氣和電子系統(tǒng)故障所導(dǎo)致的不合理風(fēng)險(xiǎn)”。

功能安全問題不是單純的硬件系統(tǒng)問題，也不是單純的軟件系統(tǒng)問題，它是一個(gè)系統(tǒng)性問題，涉及硬件系統(tǒng)和軟件系統(tǒng)兩方面的具體操作和流程。

硬件安全

對(duì)于硬件系統(tǒng)而言，其只有在滿足嚴(yán)格安全要求的片上系統(tǒng)（SoC）和電子控制單元（ECU）之后才能安裝到汽車中。ISO 26262標(biāo)準(zhǔn)對(duì)汽車安全完整性等級(jí)（ASIL）進(jìn)行了定義，并根據(jù)目前正在開發(fā)的系統(tǒng)的重要性，梳理了各個(gè)等級(jí)適用的要求和流程。例如，如果要達(dá)到ASIL-B等級(jí)，則汽車系統(tǒng)的單點(diǎn)失效覆蓋率需要達(dá)到90%以上，而ASIL-D等級(jí)則要求單點(diǎn)失效覆蓋率達(dá)到99%以上。同時(shí)，ISO 26262標(biāo)準(zhǔn)也給出了“單點(diǎn)失效”的定義，并規(guī)定了“預(yù)測失效率”的計(jì)算方法。該標(biāo)準(zhǔn)中還定義了所需關(guān)鍵術(shù)語，并提供了相應(yīng)評(píng)估方法，以幫助讀者全面理解汽車的系統(tǒng)安全。

預(yù)測硬件失效率 ISO 26262標(biāo)準(zhǔn)介紹了幾種評(píng)估半導(dǎo)體元件失效率的技術(shù)，可以評(píng)估電應(yīng)力、晶體管失效或封裝失效的發(fā)生率。這些失效類型和各自的發(fā)生率主要取決于電路類型、實(shí)施技術(shù)和環(huán)境因素，如濕度、溫度、壓力、電磁干擾等。ISO 26262標(biāo)準(zhǔn)還區(qū)分了元件的預(yù)計(jì)失效率和預(yù)計(jì)可靠性。此外，該標(biāo)準(zhǔn)指出，特殊情況下，某個(gè)單點(diǎn)失效可能會(huì)引起幾個(gè)單獨(dú)元件的安全風(fēng)險(xiǎn)。該標(biāo)準(zhǔn)進(jìn)一步明確可通過相關(guān)失效分析（DFA）并識(shí)別相關(guān)失效發(fā)起點(diǎn)（DFI）解決這些風(fēng)險(xiǎn)場景。

數(shù)據(jù)傳輸故障檢測 為了滿足上述安全要求，半導(dǎo)體公司提出了大量的硬件檢測機(jī)制和解決方案。其中最為常見的包括：

? 奇偶校驗(yàn)碼。通過在片上通信流量中添加一個(gè)“校驗(yàn)比特”以達(dá)到檢測數(shù)據(jù)傳輸性的目的。奇偶校驗(yàn)位是最簡單的錯(cuò)誤檢測碼，檢測方法直截了當(dāng)：若設(shè)置校驗(yàn)比特位為0，則傳輸編碼個(gè)數(shù)為偶數(shù)個(gè)；若設(shè)置校驗(yàn)比特位為1，則傳輸編碼個(gè)數(shù)為奇數(shù)個(gè)。若接收端接收到偶數(shù)個(gè)編碼，并且知道校驗(yàn)比特的位置，就可以把它去掉，找到傳輸?shù)臄?shù)字。這樣一來，如果接收端得到奇數(shù)個(gè)編碼，就意味著在傳輸過程中出現(xiàn)了數(shù)據(jù)損壞。雖然奇偶校驗(yàn)碼可以檢測到傳輸錯(cuò)誤，但不能檢索到正確的信息，因此需要重新發(fā)送信息。

? 循環(huán)冗余校驗(yàn)（CRC）是另一種用于檢測數(shù)據(jù)傳輸故障的工具。循環(huán)冗余校驗(yàn)利用除法及余數(shù)的原理來做錯(cuò)誤偵測。將特定大小的余數(shù)附加到數(shù)據(jù)后面，然后在接收端進(jìn)行檢驗(yàn)確定數(shù)據(jù)是否發(fā)生變化。在收到信息后，接收端對(duì)包含CRC的部分進(jìn)行多項(xiàng)式除法：與信息一起收到的CRC應(yīng)該與接收信息上計(jì)算的CRC一致，否則意味著有一個(gè)傳輸錯(cuò)誤。

? 糾錯(cuò)碼（ECC）是奇偶校驗(yàn)法的增強(qiáng)版解決方案，因?yàn)檫@種辦法包括了一種即使硬件損壞下也能檢索到初始信息的方法。糾錯(cuò)碼有很多種類，甚至無線5G標(biāo)準(zhǔn)也包含了新的糾錯(cuò)碼機(jī)制。

雖然目標(biāo)是檢測傳輸問題和檢索傳輸?shù)某跏夹畔?，但這些檢驗(yàn)技術(shù)需要與信息一起傳輸額外的編碼。這對(duì)實(shí)際的網(wǎng)絡(luò)帶寬有直接的影響，此等影響會(huì)逐漸減少：如果每個(gè)字節(jié)中有1比特用于錯(cuò)誤檢測，7比特為實(shí)際數(shù)據(jù)，那么帶寬會(huì)減少1/8，即12.5%。 然而，有時(shí)會(huì)出現(xiàn)傳輸中斷。傳輸中斷可能是因?yàn)槲锢硗ㄐ胖袛?，更多的時(shí)候是因?yàn)槟硞€(gè)進(jìn)程掛起時(shí)間太久。因此，我們使用“通信超時(shí)”來檢測通信損失量。

檢測運(yùn)行時(shí)錯(cuò)誤 如前所述，ISO 26262標(biāo)準(zhǔn)涵蓋了可能發(fā)生在晶體管層面的問題。半導(dǎo)體公司如今往往使用硬件檢查工具來驗(yàn)證操作的正確性。但半導(dǎo)體公司同時(shí)也利用安全控制器收集整個(gè)系統(tǒng)中的故障信息，對(duì)其進(jìn)行分析，并將故障信息傳遞到軟件系統(tǒng)的高層架構(gòu)。 最近興起的另外一種低成本提高安全合規(guī)性的方法是“內(nèi)置自檢”（BIST）。此方法誕生的契機(jī)是因?yàn)?a href="http://hljzzgx.com/v/tag/8112/" target="_blank">半導(dǎo)體制造商早前需要一種方法來識(shí)別產(chǎn)品的制造缺陷，完善質(zhì)檢流程。通過充分利用這些增強(qiáng)的系統(tǒng)內(nèi)置測試功能，同時(shí)在處理器正常運(yùn)行時(shí)使用這些功能，能達(dá)到有效識(shí)別運(yùn)行時(shí)故障的目的。

冗余檢測機(jī)制

為了達(dá)到安全要求，生產(chǎn)商通常會(huì)采用復(fù)制系統(tǒng)的辦法。在相同安全要求下，如果兩個(gè)系統(tǒng)是分別實(shí)施的，安全性甚至還會(huì)增高。雙重模塊冗余（DMR）以及三重模塊冗余（TMR）是指將一個(gè)系統(tǒng)或系統(tǒng)中的某個(gè)元素增加一倍或兩倍，并向此等系統(tǒng)或者模塊提供相同的輸入信號(hào)，比較輸出信號(hào)的一般方法。

三重模塊冗余的原則是多數(shù)表決，取多數(shù)輸出結(jié)果為最后的輸出：若三個(gè)系統(tǒng)中有二個(gè)系統(tǒng)輸出結(jié)果相同，則這個(gè)結(jié)果為正確的輸出結(jié)果。就雙重模塊而言，如果輸出結(jié)果不一致，則說明系統(tǒng)存在錯(cuò)誤。雙模塊冗余（DMR）以及三重模塊冗余（TMR）用于不同的硬件層次，包括模塊層次、芯片層次，甚至在某些情況下也可能是系統(tǒng)層次。

一些片上系統(tǒng)支持雙核鎖步功能。安全硬件機(jī)制通過雙重模塊冗余（DMR）來實(shí)現(xiàn)，為兩個(gè)完全相同的CPU內(nèi)核提供完全相同的軟件，并共享同一個(gè)時(shí)鐘周期。在每個(gè)時(shí)鐘周期，會(huì)有一個(gè)邏輯比較器檢查兩個(gè)內(nèi)核的輸出結(jié)果是否一致，如果不一致，就會(huì)報(bào)錯(cuò)。

但高性能CPU通常結(jié)構(gòu)更復(fù)雜，確定性更弱，所以，雙核鎖步法實(shí)際效果可能會(huì)不盡如人意。因此，一些比雙核鎖步法更復(fù)雜的替代法應(yīng)運(yùn)而生，比如使用“安全島”在保持高度安全完整性的CPU內(nèi)核中執(zhí)行檢查任務(wù)。除此之外，雙核鎖步法的另一個(gè)優(yōu)化方法是“CPU分核-鎖步”。

就像前面提到的失效檢測技術(shù)對(duì)減少通信實(shí)際帶寬一樣，CPU冗余技術(shù)也會(huì)占用其本身的可用處理能力。雙核鎖步法或其引申辦法會(huì)使片上系統(tǒng)的有效計(jì)算能力減少50%（使用Split-Lock辦法時(shí)計(jì)算力減少幅度略少）。此外，這項(xiàng)技術(shù)還會(huì)導(dǎo)致開發(fā)成本和硬件成本增高，因?yàn)楸仨氁黾尤哂唷?

軟件安全性

半導(dǎo)體公司通常需要使用專用軟件來確保硬件安全合規(guī)性 。換言之，一些云上系統(tǒng)需要軟件執(zhí)行特定以充分發(fā)揮其安全潛力，例如在硬件安全章節(jié)提到的“內(nèi)置自檢(BIST)”。恩智浦半導(dǎo)體公司推出的S32車用處理平臺(tái)是當(dāng)下最熱門的汽車SoC系列之一。該公司認(rèn)為：“S32安全軟件架構(gòu)組建參與了啟動(dòng)、運(yùn)行和故障恢復(fù)期間的工作。”



來源：恩智浦S32安全軟件架構(gòu)

并非所有的軟件都是安全合規(guī)軟件，也并非所有軟件都能滿足安全要求。此外，軟件認(rèn)證費(fèi)也是一筆不菲的花銷。因此，伴隨著電子控制單元的逐步整合，在同一個(gè)片上系統(tǒng)或電子控制單元中包含不同的安全臨界等級(jí)逐漸成為行業(yè)趨勢(shì)。這種趨勢(shì)能夠優(yōu)化成本控制和性能。車載信息娛樂系統(tǒng)電子控制單元就是一個(gè)有趣的例子。

現(xiàn)在，行業(yè)普遍將中控臺(tái)、儀表盤、平視顯示器和乘客監(jiān)控功能融合在同一個(gè)電子控制單元中。融合后，某些顯示元素和聲音元素的安全要求就比其他元素更高。下圖介紹了實(shí)現(xiàn)電子控制單元整合的主要軟件。

?

不同選項(xiàng)之間的主要區(qū)別在于處理安全合規(guī)功能的地方有所不同。

? 在選項(xiàng)a中，硬件分離由符合ASIL/安全合規(guī)的管理程序管理。 ? 在選項(xiàng)b中，硬件分離是通過在片上系統(tǒng)中使用2種類型的內(nèi)核來實(shí)現(xiàn)的。例如，用一個(gè)或幾個(gè)ARM Cortex-M內(nèi)核來滿足車輛通信和安全需求，另外一組通用內(nèi)核來實(shí)現(xiàn)高端計(jì)算功能。

? 在選項(xiàng)c中，硬件分離不在片上系統(tǒng)進(jìn)行，而是在硬件層面——使用兩個(gè)不同的專用片上系統(tǒng)（一個(gè)用于安全，一個(gè)用于一般用途）來實(shí)現(xiàn)硬件分離。

這樣的架構(gòu)不僅會(huì)增加軟件開發(fā)難度，而且會(huì)帶來復(fù)雜的集成和調(diào)試挑戰(zhàn)。 可以使用類似辦法或者其他新辦法，比如在系統(tǒng)中引入AUTOSAR自適應(yīng)平臺(tái)。這些是通?；谔囟ㄆ舷到y(tǒng)的優(yōu)化選項(xiàng)，而特定能力通常帶來會(huì)增加復(fù)雜性。

硬件復(fù)雜性將會(huì)持續(xù)增長，以此擴(kuò)增片上系統(tǒng)的計(jì)算能力。

在此之上，安全要求還會(huì)增加系統(tǒng)復(fù)雜性。將計(jì)算能力和安全性整合到單個(gè)片上系統(tǒng)會(huì)變得越來越復(fù)雜。半導(dǎo)體公司將不得不提高片上系統(tǒng)的成本，以便達(dá)成相應(yīng)安全要求。 同樣地，系統(tǒng)復(fù)雜性越高，認(rèn)證就越困難，花費(fèi)的成本也就越高。價(jià)格的增長曲線不太可能是線性的，更有可能是呈指數(shù)級(jí)增長。

但要確保安全合規(guī)，還需要在軟件方面多加投入。ISO 26262標(biāo)準(zhǔn)要求系統(tǒng)開發(fā)過程遵照V型生命周期模型。這意味著，軟件開發(fā)商首先要捕捉客戶需求，然后根據(jù)這些需求定義功能。軟件開發(fā)商需要將功能分解到硬件系統(tǒng)和軟件系統(tǒng)；軟件系統(tǒng)再細(xì)分為功能。此外還需要定義、創(chuàng)建或重新啟用具體的測試流程，然后依次進(jìn)行功能層面、軟件層面、硬件層面，系統(tǒng)層面的測試。這種系統(tǒng)開發(fā)方法伴隨著一套流程來運(yùn)行軟件，包括代碼審查、捕捉需求偏差、運(yùn)行測試、測量測試覆蓋率等等。

"汽車公司必須做好承擔(dān)高額軟件維護(hù)成本的準(zhǔn)備。" 現(xiàn)在，我們假設(shè)，現(xiàn)有的1億行嵌入在當(dāng)前汽車中的代碼都是符合安全標(biāo)準(zhǔn)的（事實(shí)可能并非如此），按照ISO 26262標(biāo)準(zhǔn)定義的V型生命周期模型，我們還需要多久才能寫出新的1億行代碼，以便到2025年前使總代碼數(shù)達(dá)到2億行？我們需要多少名軟件工程師的通力合作？

參照現(xiàn)在已有的1億行代碼，原始設(shè)備制造商和一級(jí)供應(yīng)商應(yīng)該能夠粗略估算出按照COCOMO或任何其他方法，新增1億行代碼所需的成本但這也僅僅是預(yù)計(jì)成本，任何的變更都會(huì)導(dǎo)致成本的變更。

那么對(duì)于擁有5級(jí)自動(dòng)駕駛系統(tǒng)的汽車來說，10億行代碼的預(yù)估工作量是什么樣的概念呢？同樣，如果大部分內(nèi)容都不能重復(fù)使用，那么編寫規(guī)范、執(zhí)行和測試如此大規(guī)模的軟件需要多長時(shí)間呢？ 使用開源是唯一的可持續(xù)發(fā)展方式，在“建議”節(jié)詳細(xì)闡述。

隔絕干擾

如前所述，硬件電子控制單元整合是一大趨勢(shì)。在大多數(shù)情況下，這意味著將安全關(guān)鍵組件和普通處理組件整合到同一個(gè)電子控制單元中。但安全系統(tǒng)必須具備“免干擾”功能。換言之，如果一個(gè)系統(tǒng)結(jié)合了安全關(guān)鍵組件和非安全關(guān)鍵組件（如在同一個(gè)電子控制單元內(nèi)），則應(yīng)證明非安全關(guān)鍵環(huán)境不會(huì)對(duì)系統(tǒng)中的安全部分造成干擾，進(jìn)而引發(fā)安全問題。

例如，應(yīng)確保調(diào)度器不會(huì)被破壞，某個(gè)進(jìn)程不會(huì)終止系統(tǒng)，且內(nèi)存堆可應(yīng)對(duì)緩沖區(qū)溢出的情況。

在查看了CVE事件之后，我們發(fā)現(xiàn)，大多數(shù)CVE事件都是基于后門、內(nèi)存溢出或軟件（或硬件）組件的意外/無意行為：因此CVE的重點(diǎn)在于強(qiáng)調(diào)安全威脅。我們每天都會(huì)發(fā)現(xiàn)新的CVE漏洞。即便按照ISO 26262（《道路車輛功能安全》標(biāo)準(zhǔn)）設(shè)計(jì)，且嚴(yán)格遵循Automotive Spice（軟件流程改進(jìn)和能力測定標(biāo)準(zhǔn)）流程，具備ASIL D等級(jí)的實(shí)時(shí)操作系統(tǒng)（RTOS）也會(huì)存在安全漏洞。

但不管怎么說，沒有保護(hù)措施就意味著缺乏安全性，這是大家一致公認(rèn)的事實(shí)。

ISO 26262標(biāo)準(zhǔn)并不足以確保汽車的安全性。根據(jù)現(xiàn)有先進(jìn)技術(shù)要求，我們應(yīng)按照ISO/PAS 21448（《道路車輛預(yù)期功能安全》標(biāo)準(zhǔn)），將預(yù)期功能安全（SOTIF）納入對(duì)系統(tǒng)的分析之中。這是另一個(gè)亟需解決的難題。 "系統(tǒng)越復(fù)雜，就越難評(píng)估和證明其安全合規(guī)性。"

建議

尋找解決難題及安全性問題的有效方法

?

現(xiàn)階段，我們可解決以下問題：

? 處理更多車輛數(shù)據(jù)，速度更快

? 不斷攀升的硬件復(fù)雜性所帶來的挑戰(zhàn)

? 軟件泛濫問題

? 網(wǎng)絡(luò)威脅帶來的其他難題

? 軟件的長期維護(hù)需求

? 軟硬件各自或共同的安全要求

接下來，我們將探索航電、開源軟件開發(fā)等行業(yè)應(yīng)對(duì)這些挑戰(zhàn)的最佳實(shí)踐案例。

限制安全污染

我們已經(jīng)證明，使用開源是唯一的可持續(xù)發(fā)展方式。但這并不代表我們應(yīng)該寄希望于修改開源軟件來滿足對(duì)汽車的需求。例如，安全污染是指系統(tǒng)中越來越多的部分開始需要安全保護(hù)。如果我們一味地追求縮短上市時(shí)間，而非提升最終用戶的安全性，最終會(huì)導(dǎo)致忽略相應(yīng)的架構(gòu)研究。安全污染極大地限制了開源軟件的使用性，

因?yàn)榻^大多數(shù)開源軟件都不符合、也不可能符合安全要求。對(duì)OEM而言，對(duì)系統(tǒng)各部分實(shí)行高安全合規(guī)性要求，例如要求每個(gè)組件都是ASIL D等級(jí)，似乎比將ASIL B等級(jí)系統(tǒng)升至ASIL D等級(jí)更為容易。然而，這樣做會(huì)導(dǎo)致復(fù)雜性和成本增加，同時(shí)還降低了功能。例如，與更通用的操作系統(tǒng)相比，符合安全標(biāo)準(zhǔn)的操作系統(tǒng)支持的功能更少。此外，每做一次更改（如CVE補(bǔ)?。夹枰M(jìn)行一次安全評(píng)估，因此同時(shí)兼顧安全性和保護(hù)措施的合規(guī)性會(huì)導(dǎo)致復(fù)雜程度再次升級(jí)。

因此，一旦在車輛上配置此類系統(tǒng)，運(yùn)行成本會(huì)迅速增加。而且配置完成后，系統(tǒng)架構(gòu)可能很難更改。對(duì)原始設(shè)備制造商而言，避免成本激增的唯一方法是理性控制系統(tǒng)的安全邊界。

最近，隨著自動(dòng)駕駛和電子控制單元的整合，安全要求已經(jīng)對(duì)車載信息娛樂系統(tǒng)等許多車輛組件造成了影響。

在避免安全污染方面，汽車公司可以借鑒其他行業(yè)的經(jīng)驗(yàn)。例如，航電系統(tǒng)架構(gòu)就明確規(guī)定了系統(tǒng)安全與非安全相關(guān)組件之間的區(qū)別。比方說機(jī)載信息娛樂系統(tǒng)不會(huì)干擾飛機(jī)的安全組件。某些安全組件還可以控制非安全組件，比如機(jī)長廣播可以控制機(jī)載信息娛樂系統(tǒng)。

我們針對(duì)未來電子電氣架構(gòu)的建議是考慮支持兩種類型的通信通道（在電子控制單元硬件層面）：安全通道和通用通道。系統(tǒng)中的通用組件可與符合安全標(biāo)準(zhǔn)的組件交互（訪問傳感器或執(zhí)行器并從中讀取狀態(tài)），在可用時(shí)，使用云原生類型的消息傳遞系統(tǒng)（安全組件）進(jìn)行回復(fù)：安全第一。應(yīng)禁止通用組件設(shè)置參數(shù)或控制安全組件。

不建議重建電子控制單元安全和非安全組件。建議由兩種不同類型的片上系統(tǒng)（SoC）/中央處理器（CPU）負(fù)責(zé)同一電子控制單元中的安全性和通用特性，（如前述選項(xiàng)c）硬件分離所示）。這樣，就無需將所有的高性能計(jì)算或邊緣計(jì)算SoC/CPU連接到安全通信通道上，從而降低軟硬件設(shè)計(jì)的復(fù)雜性。

?

麥肯錫預(yù)計(jì)，硬件和軟件將實(shí)行分開采購，使“采購更具競爭力，擴(kuò)展更簡單，并允許使用應(yīng)用軟件標(biāo)準(zhǔn)化平臺(tái)，同時(shí)保持硬件方面的競爭”。

出于這一原因，原始設(shè)備制造商和一級(jí)供應(yīng)商下一步將分別采購軟硬件安全和通用組件。

硬件安全要求催生了進(jìn)入壁壘，從而阻止了更大規(guī)模的競爭。而取消系統(tǒng)架構(gòu)中部分硬件模塊（如HPC）的安全要求，將導(dǎo)致競爭局面重演，并降低物料清單（BOM）成本。

例如，半導(dǎo)體公司可能會(huì)借此機(jī)會(huì)，為汽車行業(yè)提供符合AEC-Q100標(biāo)準(zhǔn)的CPU，且無需經(jīng)過ASIL標(biāo)準(zhǔn)認(rèn)證。我們可以期待看到功能更加強(qiáng)大、具備多個(gè)內(nèi)核的CPU，同時(shí)相比個(gè)人電腦/服務(wù)器，它們的價(jià)格也不會(huì)出現(xiàn)大幅上漲的情況。 如今，有多少在Linux操作系統(tǒng)上創(chuàng)建的原型，為了最后能夠在“安全實(shí)時(shí)操作系統(tǒng)”上運(yùn)行，不得不進(jìn)行重新設(shè)計(jì)、移植和調(diào)整？試想一下，如果開發(fā)出能夠立即在目標(biāo)硬件上運(yùn)行的概念驗(yàn)證（POC），把符合安全標(biāo)準(zhǔn)的組件與通用組件區(qū)分開來，這樣將大大減少對(duì)符合安全標(biāo)準(zhǔn)的虛擬化解決方案的需求，并增加符合安全標(biāo)準(zhǔn)的定制化操作系統(tǒng)的使用（無論是否基于Linux操作系統(tǒng)）。屆時(shí)，原始設(shè)備制造商將能夠使用Linux操作系統(tǒng)和開源軟件。與安全操作系統(tǒng)的使用情況相同，獲得有限領(lǐng)域內(nèi)的安全要求也將改善資源的使用情況：降低所需的具備安全知識(shí)的工程師數(shù)量。招聘壓力會(huì)更小。

采用開源和Linux操作系統(tǒng)

Facebook/Meta、Airbnb、Netflix（以及許多其他公司）之所以成功，是因?yàn)樗麄冊(cè)噲D用自己的操作系統(tǒng)取代微軟的Windows或Linux，還是因?yàn)樗麄兪褂昧碎_源并專注于客戶服務(wù)呢？他們肯定非常熟悉自己的軟件棧，但不會(huì)浪費(fèi)精力去重新發(fā)明開源社區(qū)中已經(jīng)存在的東西。如果他們發(fā)現(xiàn)了一個(gè)漏洞，或者開發(fā)了一個(gè)增強(qiáng)版開源模塊，他們就會(huì)將其發(fā)布到社區(qū)，從而讓模塊功能進(jìn)入上游，獲益更多人，并促使整個(gè)社區(qū)共同參與維護(hù)過程。這就是開源的改進(jìn)和發(fā)展方式。

我們建議原始設(shè)備制造商和一級(jí)供應(yīng)商與Linux的商業(yè)供應(yīng)商合作，以此對(duì)Linux內(nèi)核及擴(kuò)展開源軟件包進(jìn)行長期支持和安全維護(hù)。這樣，他們就得以專注于自身的軟件解決方案，并通過客戶應(yīng)用程序開發(fā)和服務(wù)推動(dòng)差異化競爭。

同時(shí)，由于車輛與云端連接，原始設(shè)備制造商應(yīng)考慮與Linux發(fā)行商合作，為云服務(wù)器、工程師桌面及車載Linux軟件提供支持。這樣，原始設(shè)備制造商就能以較低的費(fèi)用獲得更高級(jí)的支持，同時(shí)減輕管理多家供應(yīng)商、多份合同及多個(gè)開發(fā)環(huán)境的負(fù)擔(dān)。

開發(fā)下一代汽車應(yīng)用程序

軟件代碼庫的擴(kuò)展并非汽車行業(yè)所特有。為維持軟件復(fù)雜性和日益多樣的功能之間的平衡，整個(gè)IT行業(yè)不再固守靜態(tài)和單一方法，而是開始采用微服務(wù)和高可用性軟件設(shè)計(jì)。

微服務(wù)案例 基于微服務(wù)的應(yīng)用程序架構(gòu)實(shí)現(xiàn)了將單個(gè)應(yīng)用程序開發(fā)為一套小型的、狹義的且可獨(dú)立部署的服務(wù)。每個(gè)微服務(wù)都在各自獨(dú)立的進(jìn)程中運(yùn)行，并與輕量級(jí)機(jī)制（通常是超文本傳輸協(xié)議應(yīng)用程序編程接口）通信。這些服務(wù)將聚焦特定的業(yè)務(wù)功能，并使用完全自動(dòng)化的機(jī)制獨(dú)立部署。

打個(gè)比方，我們可以用一座老舊的房屋來理解向微服務(wù)的過渡。這種過渡就好比打通這座房屋內(nèi)廚房和客廳之間的墻，拆除手工制作的櫥柜，然后以大品牌的模塊化系統(tǒng)取而代之，并添設(shè)可通過家庭局域網(wǎng)和互聯(lián)網(wǎng)通信的廚房電器和電視機(jī)。這座房屋的外墻沒有任何改變，內(nèi)部也仍設(shè)有一個(gè)廚房和一個(gè)客廳，但這些設(shè)施都更加現(xiàn)代化，舒適度更高，且具備一系列全新功能。

在這個(gè)重構(gòu)遺留應(yīng)用程序的過程中，部分遺留代碼是由其他人（即社區(qū)）維護(hù)的，因此通常會(huì)被開源代碼所取代，也就是說使用這些代碼的人無需承擔(dān)所有維護(hù)成本。此外，與取代的遺留代碼相比，開源代碼的用戶使用量更高，覆蓋更多案例：換言之，這種開源代碼的可靠性也更高。

向微服務(wù)架構(gòu)模型的過渡應(yīng)旨在以等價(jià)開源軟件取代70%（或以上）的遺留軟件。這樣，就可以將精力集中在剩下30%（或以下）可帶來關(guān)鍵差異的軟件上，從而為公司創(chuàng)造附加值。

如何處理單點(diǎn)故障

高可用性軟件設(shè)計(jì)的目的是識(shí)別單點(diǎn)故障（SPOF）。SPOF是系統(tǒng)的一部分，如果它停止運(yùn)轉(zhuǎn)，將導(dǎo)致整個(gè)系統(tǒng)停止工作。例如，如果一架單引擎飛機(jī)的引擎發(fā)生故障，那么飛機(jī)就無法起飛，而相比之下，搭載雙引擎的商用飛機(jī)在起飛過程中即使其中一個(gè)引擎發(fā)生故障，飛機(jī)也能順利起飛。使用具備微服務(wù)設(shè)計(jì)的應(yīng)用程序，能更輕松識(shí)別SPOF，并嘗試消除它們。消除SPOF的方法有以下幾種：鏡像、負(fù)載平衡、復(fù)制、自我修復(fù)等等。本文的目的并非深究細(xì)節(jié)，其關(guān)鍵在于，IT行業(yè)使用高可用性設(shè)計(jì)來確保服務(wù)器的容錯(cuò)性和99.9%的正常運(yùn)行時(shí)間。

此外，其還能在不關(guān)機(jī)的情況下，立刻進(jìn)行服務(wù)器維護(hù)、升級(jí)和實(shí)驗(yàn)。車輛不就是應(yīng)該具有容錯(cuò)性，并在大部分時(shí)間內(nèi)保持正常功能和較長的正常運(yùn)行時(shí)間嗎？我們不就是應(yīng)該能在不用停車的情況下進(jìn)行升級(jí)嗎？當(dāng)IT行業(yè)工作者設(shè)定下這些目標(biāo)時(shí)，他們充滿了斗志。但這些目標(biāo)的實(shí)現(xiàn)是十分有益的，應(yīng)該應(yīng)用于汽車行業(yè)。

事實(shí)證明，互聯(lián)網(wǎng)具備穩(wěn)定性，并且能夠全天候運(yùn)行。高可用性軟件和基于微服務(wù)的應(yīng)用架構(gòu)是實(shí)現(xiàn)這一目標(biāo)的關(guān)鍵支柱。數(shù)據(jù)中心運(yùn)行的軟件在很大程度上是與硬件無關(guān)的。它可以輕松部署在世界上的許多地方，也可以由Amazon Web Services，谷歌云平臺(tái)，微軟Azure等公共云托管，甚至可以在企業(yè)內(nèi)部托管，切換主機(jī)時(shí)無需重寫應(yīng)用程序/服務(wù)。這只是其優(yōu)勢(shì)之一。

微服務(wù)應(yīng)用程序是容器化的軟件：也就是說它們?cè)谝粋€(gè)“盒子”（即容器）中運(yùn)行，這個(gè)盒子中包含了它們需要執(zhí)行的內(nèi)容。容器化的軟件有幾大優(yōu)點(diǎn)：

? 如果微服務(wù)出現(xiàn)故障，受影響的只是它所運(yùn)行環(huán)境或容器中的部分，并不會(huì)導(dǎo)致整個(gè)系統(tǒng)癱瘓。

? 為支持微服務(wù)運(yùn)行，容器中配置了一個(gè)虛擬硬件和操作系統(tǒng)環(huán)境。

由此產(chǎn)生了硬件抽象，使得微服務(wù)與實(shí)際的物理硬件無關(guān)。

網(wǎng)站、網(wǎng)頁游戲或網(wǎng)頁應(yīng)用與硬件無關(guān)：它們可以在許多具有硬件特性（如屏幕尺寸、方向、圖形處理器、網(wǎng)絡(luò)攝像頭）的設(shè)備上運(yùn)行。 我們認(rèn)為在嵌入式關(guān)鍵任務(wù)軟件中，Snap軟件包能夠?qū)崿F(xiàn)所需的硬件抽象（讓應(yīng)用程序與硬件無關(guān)），同時(shí)提高整個(gè)系統(tǒng)的穩(wěn)定性（應(yīng)用程序中的某個(gè)功能故障不會(huì)危及整個(gè)系統(tǒng)）。

Snap是一項(xiàng)應(yīng)用程序及其所有依賴項(xiàng)的捆綁集成包，無需修改即可在所有主要的Linux發(fā)行版，甚至集成Snap支持的定制發(fā)行版上運(yùn)行。已經(jīng)有數(shù)以百萬計(jì)的人使用了41個(gè)Linux發(fā)行版中的上千個(gè)Snap。其中包含了教程、支持材料、創(chuàng)建和部署新應(yīng)用程序或補(bǔ)丁的工具。原始設(shè)備制造商和一級(jí)供應(yīng)商也有可能創(chuàng)建Snap，并將其部署到運(yùn)行Linux的新舊電子控制單元中。每個(gè)人都可以在Linux電腦（和物聯(lián)網(wǎng)設(shè)備）上免費(fèi)使用這些Snap，無需付費(fèi)或解鎖。

Snap的一大優(yōu)點(diǎn)體現(xiàn)在操作和應(yīng)用管理上。實(shí)際上，它們不僅能保證開箱即用的安全性，還能在不損害系統(tǒng)的完整性和可靠性的前提下，充分利用硬件的可移植性。任何原始設(shè)備制造商都可輕松部署Snap，無需在任何設(shè)備上移植即可運(yùn)行。 Ubuntu Core ，一種完全基于snap的容器化版本。Ubuntu Core的設(shè)計(jì)具備安全性：通過AppArmor和安全計(jì)算模式提供安全性隔離。其還提供TPM支持，安全啟動(dòng)和全磁盤加密。

利用Snap的整體安全方法，嵌入式系統(tǒng)具備了安全性、不變性、模塊性和可組合性等優(yōu)點(diǎn)。軟件可通過delta進(jìn)行無線更新，delta在出現(xiàn)問題時(shí)會(huì)（從Linux操作系統(tǒng)到任何單個(gè)應(yīng)用程序）自動(dòng)回滾。

?

汽車工業(yè)從CAN總線到以太網(wǎng)的過渡用了30多年的時(shí)間（而且只是部分過渡）。構(gòu)建故障抵御系統(tǒng)是汽車行業(yè)的必備條件，有許多方法可以實(shí)現(xiàn)這一目標(biāo)。此外，系統(tǒng)的網(wǎng)絡(luò)安全維護(hù)設(shè)計(jì)需具備成本效益。隨著ISO/SAE 21434（《道路車輛網(wǎng)絡(luò)安全工程》）網(wǎng)絡(luò)安全法規(guī)的實(shí)施，當(dāng)前正是從安全性、保護(hù)措施和可擴(kuò)展性三大角度重新考量汽車軟硬件架構(gòu)的合適時(shí)機(jī)。

以客戶為中心

與手機(jī)的設(shè)計(jì)和功能相比，車載信息娛樂系統(tǒng)已經(jīng)過時(shí)了長達(dá)4年多。

?

實(shí)現(xiàn)與手機(jī)相同的功能只是一個(gè)里程碑，并非我們的目標(biāo)。車輛可開發(fā)的功能遠(yuǎn)超手機(jī)（比如自動(dòng)駕駛）。

固件或軟件在線升級(jí)（FOTA/SOTA）是第一步，但它并不具有突破性：人們?cè)谙嚓P(guān)領(lǐng)域已對(duì)手機(jī)和電腦展開了探索。問題在于，更新能為最終用戶創(chuàng)造哪些好處。如果還保留2年前的功能或外觀，很可能會(huì)讓客戶大失所望。

原始設(shè)備制造商和一級(jí)供應(yīng)商需要提升軟件開發(fā)與交付的速度，以便與其他行業(yè)（如手機(jī)）保持同步創(chuàng)新。再者，汽車是最先進(jìn)的消費(fèi)品。它們具備實(shí)現(xiàn)更高期望的潛力，而不應(yīng)只達(dá)到其他行業(yè)的同等水平。

對(duì)于原始設(shè)備制造商來說，軟件開發(fā)成本應(yīng)更低，且上市時(shí)間應(yīng)更快。如果軟件的主要部分（將取悅最終客戶的部分和承載第三方服務(wù)的部分）能夠在非安全環(huán)境中運(yùn)行，這一切將成為可能。同時(shí)，硬件的采購也需更容易（至少是在非安全環(huán)境下運(yùn)行的硬件），并減少使用汽車專用片上系統(tǒng)。

這樣，原始設(shè)備制造商就可為其客戶和第三方生態(tài)系統(tǒng)提供新的服務(wù)。智能手機(jī)的成功很大程度上歸因于平臺(tái)（即智能手機(jī)及其應(yīng)用程序商店）提供的第三方應(yīng)用程序和服務(wù)生態(tài)系統(tǒng)。

集成軟件公司的思維方式

雖然汽車行業(yè)正在探索從硬件定義汽車向軟件定義汽車的過渡，但我們有必要了解這兩者之間的區(qū)別：

? 硬件設(shè)計(jì)通常以節(jié)約成本為主：如何在硬件上做出改變，使成本降低1美元？每臺(tái)設(shè)備節(jié)省1美元，那么100萬臺(tái)設(shè)備就能節(jié)省100萬美元。

? 軟件通常要考慮可擴(kuò)展性因素：我們?cè)鯓硬拍苁管浖鉀Q方案適用于上百萬的用戶呢？每月向每個(gè)用戶收取1美元費(fèi)用，就能產(chǎn)生100萬美元的收益。 這兩者之間有著本質(zhì)區(qū)別。

傳統(tǒng)汽車制造商曾鉆研過硬件設(shè)備的物料清單。汽車在開發(fā)過程中需要明確和詳細(xì)的規(guī)范。為滿足規(guī)范要求，制造商選擇了最具成本效益的硬件。最終，車輛在一定程度上受到了這些硬件的限制，且這種影響會(huì)持續(xù)整個(gè)生命周期。

特斯拉等公司則傾向于選擇功能更加強(qiáng)大的硬件方案。但這并不意味著他們不注重物料清單成本。他們?cè)诳紤]競爭優(yōu)勢(shì)因素時(shí)，有更大的自由度。特斯拉甚至在車機(jī)系統(tǒng)內(nèi)引進(jìn)了游戲。這些游戲指的并非機(jī)載娛樂設(shè)備上的游戲，而是需要在家里用游戲本玩的游戲。提供車載游戲這個(gè)功能可以奏效嗎？也許沒有，但這不是問題的關(guān)鍵。問題是，如果客戶在知曉這一功能之后，是否會(huì)感到滿意？因?yàn)椴还茉趺凑f，客戶滿意度都比功能本身更重要。

這樣的硬件和片上系統(tǒng)更加昂貴，但每年部署的新功能，也為吸引客戶提供了更多優(yōu)勢(shì)。同樣，客戶滿意度是關(guān)鍵驅(qū)動(dòng)因素。而且可以肯定的是，大多數(shù)客戶更傾向于功能不斷完善的汽車：這會(huì)讓他們擁有一種定期獲得新車似的新奇感受。的確，與較低端的片上系統(tǒng)方案相比，這樣的選擇會(huì)導(dǎo)致物料清單成本增加。

但每家原始設(shè)備制造商都做出了戰(zhàn)略選擇，比如彎曲復(fù)雜的車門形狀、添加可伸縮的后擾流板、使用特定的輪輞……這些選擇有助于將他們的產(chǎn)品做出區(qū)分，以及建立各自的品牌認(rèn)知。一些原始設(shè)備制造商認(rèn)為，車載硬件和軟件的計(jì)算能力能有效提升客戶滿意度。

但還有另一個(gè)有趣的影響因素：30年前，制造商在生產(chǎn)消費(fèi)電子設(shè)備、手機(jī)或車輛時(shí)，在產(chǎn)品生命周期內(nèi)花費(fèi)的電子硬件成本為零。但現(xiàn)在的情況已截然不同，因?yàn)檐浖谶@些設(shè)備中發(fā)揮著重要作用。如今，客戶希望看到不斷推出新的產(chǎn)品功能，此外，系統(tǒng)安全也需要維護(hù)，這樣一來，每年都會(huì)產(chǎn)生與軟件相關(guān)的費(fèi)用。因此，除了硬件的物料清單成本外，還需要評(píng)估和優(yōu)化電子電氣架構(gòu)的總體擁有成本（TCO）。減少系統(tǒng)復(fù)雜性將成為降低維護(hù)成本的關(guān)鍵。

最后，選擇主要基于現(xiàn)成組件架構(gòu)，且對(duì)汽車的適應(yīng)性要求最低的原始設(shè)備制造商（例如，在CPU方面僅要求AEC-Q100認(rèn)證和擴(kuò)展產(chǎn)品可用性），將更能適應(yīng)采購短缺問題：這一點(diǎn)不僅體現(xiàn)在芯片方面，也包括工程和招聘方面。

為未來發(fā)展做足準(zhǔn)備

幾十年來，原始設(shè)備制造商一直致力于打造卓越的內(nèi)燃機(jī)產(chǎn)品，以及各自的品牌定位和識(shí)別，但最近，他們發(fā)現(xiàn)局勢(shì)已截然不同：新的品牌誕生，市場上出現(xiàn)了更快、更動(dòng)感的電動(dòng)汽車，而且能創(chuàng)造豐厚的利潤（就特斯拉的市值和利潤而言）。為了迎合這些市場變化，他們推出了多個(gè)方面的舉措。但只有未來需要維護(hù)部署在某領(lǐng)域的車輛時(shí)，他們才能真正履行如今的決議。我們的建議旨在幫助原始設(shè)備制造商及其供應(yīng)商做出正確的決定，以實(shí)現(xiàn)可持續(xù)發(fā)展的未來。







審核編輯：劉清