知车视界 22年2月

聚焦智能网联汽车

　　现在，智能网联汽车已成为全球汽车产业转型发展的重要战略方向，应用场景丰富，市场潜力巨大。中国政府高度重视智能网联汽车产业发展，牢牢把握汽车产业变革趋势，在战略规划、技术创新、标准规范、推广应用、测试示范等方面出台了一系列指导性文件，旨在建立横向协同、纵向贯通的协调推进机制，推动智能网联汽车从测试验证转向多场景示范应用新阶段。

　　2021年10月，中共中央办公厅、国务院办公厅印发的《关于推动城乡建设绿色发展的意见》提出，加快发展智能网联汽车、新能源汽车、智慧停车及无障碍基础设施的规划，明确指出：推进城乡基础设施补短板和更新改造专项行动以及体系化建设，提高基础设施绿色、智能、协同、安全水平。加强公交优先、绿色出行的城市街区建设，合理布局和建设城市公交专用道、公交场站、车船用加气加注站、电动汽车充换电站。特别强调，加快发展智能网联汽车、新能源汽车、智慧停车及无障碍基础设施，强化城市轨道交通与其他交通方式衔接。

　　近年来，为推进智能网联汽车的发展，我国出台了一系列政策，加快了相关行业的标准化建设，持续鼓励创新，有效提高了企业的生产及技术能力，激发了市场活力。2015年至今，与智能网联汽车高度相关的国家政策就有：《中国制造2025》（2015.）、《推进“互联网+”便捷交通为切入点推进智能交通发展的实施方案》（2016）、《汽车产业中长期发展规划》（2017）、《增强制造业核心竞争力三年行动计划（2018-2020年）》（2017）、《国家车联网产业标准体系建设指南（智能网联汽车）》（2017）、《车联网（智能网联汽车）产业发展行动计划》（2018）、《交通强国建设纲要》（2019）、《智能汽车创新发展战略》（2020）、《国家车联网产业标准体系建设指南（车辆智能管理）》（2020）、《关于促进道路交通自动驾驶技术发展和应用的指导意见》、《国家车联网产业标准体系建设指南（智能交通相关）》（2021）、《智能网联汽车道路测试管理规范（试行）》（2021）、《关于加强智能网联汽车生产企业及产品准入管理的意见》（2021）、《汽车数据安全管理若干规定（试行）》（2021）等。这些文件从不同角度解读了与智能网联汽车发展相关的政策分析及建议，具有指导意义。

　　时下，智能网联汽车正在向硬件趋同、软件定义和数据驱动方向发展。操作系统是汽车软件的灵魂，自动驾驶必须有一个好的操作系统和架构。为此，我国提出了中国自动驾驶操作系统顶层设计思路，就是希望改变甚至引领格局。

　　中国正在定义的车辆操作系统国标，其本地化属性和中国方案越来越受到关注。中国标准将基于中国传统汽车的发展，结合ICT与基础设施建设，推动智能网联汽车的新功能、新架构在国内的应用，反过来带动创新，并进一步推向世界。

　　•知者：《智能网联汽车有几个问题需要澄清》是对国汽智控尚进博士的访谈。他对正走向硬件趋同、软件定义和数据驱动的智能网联汽车，以及作为汽车软件灵魂的操作系统相关的问题进行了解读。他认为，目前操作系统并非受制于国外，而是中国急需，所以也不是为了自主而自主，或缺少自研才来做。

　　•封面故事：《量产主控芯片的网络安全设计》是安霸半导体上海软件研发高级总监孙鲁毅的文章，从网络安全市场现状、芯片网络安全设计的基本准则、到网络安全在芯片内的具体实现、以及基于HSM的汽车控制器芯片的网络安全设计，介绍了网络安全的系统方法。

　　•热点技术：《未来自动驾驶必须解决哪些感知问题》指出，智能驾驶的视觉感知一直是业界重点关注的问题，不仅影响后续轨迹规划、决策控制，也是辅助驾驶系统能否进一步向自动驾驶升级的关键。文章从视觉感知任务、能力、局限性及改善方案几个角度说明了不同解决方案在工程应用中的实现价值。

　　•我的故事：《谈谈对智能网联汽车时代的理解》中，作者从对智能网联汽车时代的感悟，谈到了个人转型的经历，从懵懵懂懂第一次接触新能源车，到选择了国内某主机厂的电控开发岗位。他指出：“转型固然痛苦，但任何固步自封、停滞不前都在后退。”

　　2022年1月《知车视界》创刊号问后，获得了业内广泛赞誉，期待业內同仁鼎力相助，不吝赐教，将您对行业的感悟、经验、观点、应用等分享给更多的人，为汽车行业的百年巨变和人类梦想贡献力量！

王老师

电话：021-6045 1757

邮箱：leah.wang@ourpolaris.com

C

目录

ontents

1

卷首语

P02/02

聚焦智能网联汽车    / 02

2

知讯速递

P04/09

政策    / 04

科技    / 05

合作    / 06

资本    / 07

人才    / 08

企业    / 09

3

封面故事

P11/14

量产主控芯片的网络安全设计    / 11

4

知者

P15/21

智能网联汽车有几个问题需要澄清    / 15

5

热点技术

P22/31

6

我的故事

P32/33

谈谈对智能网联汽车时代的理解    / 32

未来自动驾驶必须解决哪些感知问题    / 22

从自动驾驶事故中探索有效的性能提升及判责策略    / 26

 面向SOA服务的智能汽车高性能计算平台布局与测试方案    / 29

上海：2021年累计向25家企业发放路测牌照

2022年1月底，《2021年度上海市智能网联汽车发展报告》正式发布，报告显示，上海累计开放615条、1289.83km测试道路，可测试场景达到12000个，累计向25家企业、295辆车颁发道路测试和示范应用资质。数据显示，2021年洋山港智能重卡累计转运4.08万TEU运输量，全场景平均自动驾驶比例超过85%；载人示范全年投入163辆智能出租车，累计完成5.91万订单；末端智能配送送货总量超过3万单，日均完成99.5次智能配送。

2月8日，欧盟委员会宣布了一项新的法案，称为《欧洲芯片法案》。《欧洲芯片法案》将投资、监管框架和必要的战略伙伴关系相结合，旨在对本土芯片生产进行更多的投

升。发挥企业主体作用，在电子信息、生命健康、汽车、高端装备、先进材料、时尚消费品等重点领域，培育一批具有国际领先水平的标准。以形成产业链整体优势为目标，推进国产大型客机、商用航空发动机、新能源和智能网联汽车等产业链标准建设。发挥新一代信息技术在产业协同、技术协作中的纽带作用，探索制定生命健康、新能源汽车、高端装备、新材料等领域数据驱动标准，促进重点产业供给与需求有效衔接，提升产业链、供应链现代化水平。

《深圳市综合交通“十四五”规划》正式印发

2月23日，《深圳市综合交通“十四五”规划》正式印发，提出建设交通运输一体化智慧平台，打造综合交通“数据大脑”，实现“监管一张网、决策一张图、出行一张脸、运输一张单”，提升交通运输管理精细化水平；打造智能网联示范工程。加快基于5.9GHz频段的车联网专用通信网络建设，建设城市道路、建筑、公共设施融合感知体系，打造智慧出行平台“车城网”，实现跨部门数据共享与管理协同，促进智慧城市与智能网联汽车协同发展等。

资，以避免未来更多的供应链中断情况，并最终减少对外国芯片公司的依，该法案目标之一是到2030年使欧洲占全球芯片市场的份额提高到20%。

重庆智能网联车辆管理办法3月1日起实施

《重庆市智能网联汽车道路测试与应用管理试行办法》将于2022年3月1日起施行。重庆市司法局相关负责人介绍，目前智能网联汽车还处于产品研发应用阶段，尚未进入国家《道路机动车辆生产企业及产品公告》，属于还未正式上市的汽车产品，并且智能网联汽车带有鲜明跨界融合特征，各方面对道路测试与应用的需求十分迫切。因此，通过地方立法创新，可为智能网联汽车在开放道路开展道路测试与应用提供制度支撑。

2月17日，上海市人民政府发布《上海市标准化发展行动计划》，《上海市标准化发展行动计划》指出，促进六大高端产业标准水平跃

政策

智能网联汽车行业本月资讯速递

住建部：协同发展智慧城市和智能网联汽车

2月24日，国务院新闻办公室举行的新闻发布会上，住房和城乡建设部部长王蒙徽表示，大力推进“新城建”，也就是基于数字化、网络化、智能化的新型城市基础设施建设。加快构建国家、省、市三级城市信息模型基础平台体系，全面推进智能市政、智慧社区、智能建造，协同发展智慧城市和智能网联汽车，通过打造示范基地，加快“新城建”项目落地。

2月10日，哈曼发布了HARMAN Savari MECWAVE解决方案，这是业界首创的多接入边缘计算（MEC）软件平台，可支持汽车制造商和移动网络运营商在边缘计算基础设施上提供超低时延应用程序和服务。通过超低时延边缘运行，MECWAVE可提高车辆对外界（V2X）通信部署的效率，包括提

dSPACE推出全新传感器仿真Aurelion

2月16日，仿真和验证解决方案供应商dSPACE宣布将推出全新传感器仿真解决方案AURELION，可为自动驾驶功能的测试和验证实现高分辨率可视化。该解决方案可在云端或本地运行，实时生成逼真图像用于摄像头模拟，并使用光线追踪精确环境已进行雷达和激光雷达仿真。凭借AURLION，开发人员可在虚拟试驾期间通过仿真验证自动驾驶算法，时间远在原型车上路前。AURELION可用于开发过程的所有阶段，例如，软件在环（SIL）测试、硬件在环（HIL）测试或云中同时验证。该解决方案支持基于人工智能的功能和训练数据开发，包括神经网络训练和测试。

2月21日，Arm宣布推出全新车用影像讯号处理器Arm®Mali™-C78AEISP，以进一步补充其专为满足车用效能与安全需求开发的IP产品。新增的Mali- C78AE搭配Cortex®-A78AE与Mali-G78AE，可提供先进驾驶辅助系统（ADAS）完整的视觉信息处理管线，以优化效能、降低功耗，并提

升危险预警等关键安全应用的反应速度，以及提升交互式信息娱乐及视频播放等应用的流畅度。MECWAVE还能将V2X功能扩展到不具备V2X功能的车辆和设备上，如自行车和摩托车，以及移动和可穿戴设备。借助于MECWAVE技术，汽车制造商将更快速便捷地为消费者部署互联功能，实现当下和未来富有意义的创新。

2月11日，企查查显示，近日，华为技术有限公司“智能汽车座舱管家软件”已获得登记批准，登记号为2022SR0209156，批准日期为2022年2月9日，当前版本号为1.0。据华为智能汽车解决方案官方微博，华为智能汽车解决方案BUCOO王军称，华为的智能驾驶技术将于2022年商用，目标是在2025-2030年实现真正的智能驾驶。

2月14日，Mobileye宣布，计划与合作伙伴本特勒、Beep在2024年于美国推出自动驾驶电动班车。班车预计配备12至14个座位，并且不设置方向盘和踏板，将在限速35公里/小时的封闭区域内运行。

科技

并持续探索行业领先的解决方案，为用户构建智能化和个性化的人车交互方式。据了解，双方共同开发的百度CarLife+三星定制版App将于近期上线。

捷豹路虎搭载英伟达自动驾驶解决方案

2月16日，捷豹路虎与英伟达宣布结成多年战略合作伙伴关系，共同开发和提供下一代自动驾驶系统以及人工智能服务和体验。作为捷豹路虎Reimagine战略的一部分，从2025年开始，捷豹路虎全系车型将在NVIDIA DRIVE软件平台上生产，提供广泛的主动安全、自动驾驶、停车系统以及驾驶员辅助系统，车辆内部还将提供人工智能功能。

2月22日，采埃孚与集度正式签署战略协议，双方将在底盘零部件及控制系统、电驱系统、被动安全系统等多方向开展密切合作，并联合开发智能底盘技术。其中，集度负责智驾以及部分产品体验相关的探索性新功能开发，采埃孚负责开发高质量的底盘部件和打造安全可靠的数字执行接口。

能网联及车路协同新型基础设施升级与建设，并在建设期内陆续投放自动驾驶游客观光车、接驳车、垃圾清扫车、巡逻车等相关自动驾驶车辆，打造包含道路信息感知、车路信息交互、路云信息传输等功能的“车路云一体化”系统。

主线科技与深信科创达成技术合作

2月10日，主线科技与深信科创在北京举行战略合作签约仪式，宣布双方在自动驾驶仿真测试领域开展全面的业务合作与深入的技术探索。双方将共同开展自动驾驶虚拟仿真测试平台的联合研发与应用工作，针对自动驾驶卡车在真实业务场景的测试运营需求，进一步完善仿真测试平台功能；同时，双方将联合牵头制定相关安全性的评价方法及团体标准。

2月16日，百度Apollo与三星电子签署智慧车联战略合作协议，双方针对手机车机智能互联产品百度CarLife+进行深度定制，助力车联网领域应用创新和用户体验提升，

供一致的方法达成功能性安全的要求，从而推动ADAS功能在市场的应用。

恩智浦推出S32G GoldVIP车辆集成平台

2月22日，恩智浦半导体（NXP Semiconductors）推出S32G GoldVIP车辆集成平台，以应对使用S32G车辆网络处理器软件定义车辆的实时和应用开发挑战。该平台可为S32G处理器提供多种价值主张，以用于评估、软件开发和快速原型设计工作。用户可以通过实时用例和资源监控观察S32G卓越的开箱即用性能。

近日，大理市人民政府与蘑菇车联信息科技有限公司签订战略合作协议，双方将共同建设环洱海自动驾驶生态旅游示范区。该项目总投资达10亿元，蘑菇车联将对环洱海生态廊道全路段（136公里）进行智

合作

传苹果正与韩封测厂商合作自动驾驶芯片

2月22日，据韩媒TheElec报道，苹果正在与一家韩国封测厂合作，开发用于AppleCar的芯片模块和封装。该芯片模块可以运行自动驾驶功能，就像特斯拉使用的芯片一样，负责AI计算，通常集成神经处理单元、CPU、GPU、内存以及相机接口等功能。项目于去年启动，预计将于2023年完成。

2月7日，亚马逊与激光雷达制造商Velodyne达成协议，亚马逊将收购Velodyne3900万股，即将近16%的股份。根据协议，亚马逊全资子公司Amazon.com NV Investment Holdings可以在2030年2月4日或之前以每股4.18美元（约合人民币26.57元）的价格行使认股权证。认证的股份将根据亚马逊向Velodyne支付的高达2亿美元（约合人民币12.7亿元）的“全权支付”逐渐归属。

2月18日，自动驾驶整体解决方案供应商上海几何伙伴智能驾驶有限公司（简称“几何伙伴”）宣布完成新一轮战略融资，由博世旗下市场化投资平台博原资本独家投资。随着汽车智能化进程的加快，汽车产业链格局正在围绕自动驾驶技术经历新一轮的变革，产业集聚、合作共赢成为当下以及未来汽车产业发展的主旋律。随着此轮战略投资的完成，几何伙伴将与博世集团在资本和业务层面围绕双方优势进行深入合作，持续壮大产业生态的同时助推自动驾驶并加速商业化量产。

2月21日，宏景智驾宣布，完成过亿元融资。据悉，本轮融资由沙特阿美旗下的风险投资基金Prosperity7独家投资。本轮融资将主要用于产品研发、人才招聘和扩大产能。宏景智驾为栈式自动驾驶解决方案供应商，2021年宏景智驾在乘用车领域，全球首发并成功量产基于国产AI芯片和8M超高清摄像头的L2.5级别的高阶智慧领航ADAS解决方案，截至2021年12月份已经出货近十万套。在智能重卡领域，宏景智驾正式发布了L3级干

安波福与奥迪向TTTech Auto投资2.85亿美元

据外媒报道，TTTech Auto宣布近日获得投资2.85亿美元。投资方为汽车零部件安波福和汽车制造商奥迪，其中安波福投资2.28亿美元，而奥迪在现有股份基础上增加5700万美元。通过此轮融资，TTTech Auto市值将超过10亿美元。

日前，从小鹏汽车官方了解到，公司（NYSE:XPEV, HKEX:9868）获纳入恒生科技指数成份股。根据恒生指数有限公司今天的公告，该纳入将于 2022 年3月7日正式生效。小鹏汽车董事长 CEO何小鹏表示：“非常高兴小鹏汽车能够跻身恒生科技指数成份股之列。恒生指数系列一直被视为反映香港股票市场表现最重要的指标。而能够入选恒生科技指数的企业，则代表了在香港上市的30家最大的科技公司。小鹏汽车成为恒生科技指数新增「智能化」主题后第一批纳入的公司之一，显示出市场对小鹏智能化科技领先地位的充分认可，也表明了投资者对我们的业绩表现、投资价值和未来前景的信心。”

资本

线物流数字化智能重卡HyperTruckOne。

2月25日，速腾聚创宣布了新一轮战略融资，投资方包括比亚迪、宇通、香港立讯有限公司、德赛西威、星韶创投、晨岭资本、湖北小米长江产业基金、中新融创、康成亨等，完整涵盖了上游供应商、下游整车厂、新锐产业资本和专业投资机构。速腾聚创指出，新一轮融资将继续聚焦激光雷达和自动驾驶的产业链生态构建。自成立以来，速腾聚创一直很重视产业链上下游的深度融合与战略合作，在此之前速腾聚创还分别获得过菜鸟网络、上汽集团旗下的投资平台尚颀资本、北汽集团等的战略投资，旨在通过产业合作加速激光雷达的规模化商用。

特斯拉前资深高管Alan Clarke 1月加入福特

据外媒报道，特斯拉资深高管艾伦•克拉克（Alan Clarke）于今年1月加入了福特的电动汽车开发部门。Alan Clarke在特斯拉工作近12年，离职前在特斯拉担任新项目工程总

监，负责监督特斯拉洛杉矶设计与工程中心先进原型车和未来车型的工程与开发。

高德前地图产品副总裁加入小鹏汽车担任互联网中心负责人

据悉，高德地图原产品副总裁陈永海近期加入小鹏汽车，负责管理互联网中心，向小鹏汽车董事长兼 CEO 何小鹏汇报，职级为公司副总裁。2016 年初加入小鹏的副总裁纪宇不再担任互联网中心负责人一职，另有任用。值得一提的是，陈永海与纪宇都是小鹏汽车创始人何小鹏在UC时的旧将。

多位知情人士消息，理想汽车CTO王凯将于近期离职，并表示，在理想汽车1月末的组织架构调整中，王凯管辖的业务，如自动驾驶、算力平台和LiOS（操作系统）等已经移交给理想汽车联合创始人、总工程师马东辉。此次架构调整后，

马东辉将全面负责理想汽车的整车、动力、座舱、智能驾驶、算力平台、电子电气架构、LiOS等研发工作。

原长安福特高管王金海出任阿维塔科技副总裁

2月17日，阿维塔科技宣布，王金海正式任职公司副总裁，并兼任用户发展中心副总经理，分管销售、服务及渠道发展等相关业务。加入阿维塔科技之前，王金海在长安福特任全国销售服务机构（NDSD）执行副总裁，此前，还分别在长安马自达、长安汽车负责营销管理工作。

据外媒报道，LG新能源任命Peter Kyungsuk Pyun博士为首席数据官（CDO），将有助于该公司将电池工厂改造为以数据为中心的智能工厂。据悉，Pyun博士曾是英伟达五位首席数据专家之一。Pyun博士的

人才

系列交付2,186台。截至2022年1月底，小鹏P7历史累计交付突破8万台，小鹏汽车历史累计交付量已突破15万台。

理想汽车第三工厂落户重庆，设计产能或超常州、北京工厂之和

2月12日，理想汽车的第三工厂或已敲定落户汽车重镇重庆。理想汽车CEO李想曾在内部信中透露要实现2025年160万辆的目标。从刚刚获得的重庆地块的占地规模来看，其113.34万平方米。相较之下，理想汽车常州工厂的占地面积为750亩（50万平方米），北京工厂的占地面积为786亩（52.4万平方米），两家工厂的占地面积相加还不及于此。由此可以判断，其设计产能或也将大于前两座工厂之和。

2月17日，百度宣布，旗下自动驾驶出行服务平台“萝卜快跑”正式落地深圳市南山区，面向市民提供自动驾驶出行服务。据了解，路线覆盖深圳湾万象城、保利文化广场、人才公园等核心地段，每天9:00-17:00，所有深圳市民可在“萝卜快

领英显示，他目前仍在英伟达工作，但随着他正式担任LG新能源担任首席数据官，领英的内容可能会发生变化。从2016年到2019年，Pyun博士在英伟达担任首席解决方案架构师（Principal Solutions Architect），从事自动驾驶汽车、工业人工智能和云人工智能（cloud AI）领域的工作，并在机器学习领域拥有20多年的经验。

长安汽车人事改革，33名高职级人员被重新任命

长安汽车内部人事改革结果陆续出炉。2月23日，《每日经济新闻》记者独家拿到的一份关于长安汽车最新任职名单显示，有33名高职级人员被重新任命，职级在L17~L19之间。

从小鹏汽车官微获悉，2022年1月小鹏汽车交付12,922台，同比增长115%，连续五个月交付破万。单车型交付上，小鹏P7交付6,707台，小鹏P5交付4,029台，小鹏G3

企业

跑”App上进行自动驾驶叫车服务。“萝卜快跑”已在北京、上海、广州、深圳、重庆、长沙、沧州七个城市开放载人测试运营服务。

外媒称大众集团洽购华为自动驾驶部门

2月17日，德国《经理人杂志》报道称，大众集团正在与华为展开谈判，计划以数十亿欧元收购华为自动驾驶部门，其高层已经就这笔交易磋商了数月时间，其中还涉及到大众并不擅长的技术系统。此前，大众集团CEO赫伯特•迪斯表示，他预计汽车行业将在25年内看到自动驾驶技术的普及。他还表示，大众正在寻求进一步的合作，以提高其在软件方面的自给性，并为其汽车添加特定品牌的语音助手等功能。

2月24日，国际独立第三方检测、检验和认证机构TÜV莱茵向斑马智行智能驾驶操作系统内核颁发了ISO 26262功能安全产品认证证书，产品达到汽车功能安全最高等级ASIL-D要求。

　　“网络安全”这个词广义上指包含网络系统中的硬件，软件，数据的传输和存储的安全，信息系统的完整和保密等受到保护。因为现今绝大部分IOT设备和汽车ECU都以某种方式连到网络访问，所以网络安全的覆盖范围非常广泛，嵌入式系统即使不联到Internet，只要和外界有所信息交互，也会涉及到网络安全。网络安全有一套系统方法，其中芯片硬件支持的安全是基础。

　　现任职安霸半导体软件研发高级总监。

　　自2007年以来，带领团队从事视频安防和汽车智驾芯片的系统和软件研发，在嵌入式Linux，数字图像和视频处理，信息安全与功能安全等领域经验丰富。

　　本科毕业于清华大学，并获得上海交大软件工程硕士。

孙鲁毅

量产主控芯片的网络安全设计

——安霸半导体上海软件研发高级总监 孙鲁毅

　　网络安全越来越受到重视，虽然各种安全芯片和算法不断被发明，可是“道高一尺，魔高一丈”，即使是大家公认的网络安全水平比较高的iPhone手机, Tesla汽车也有被黑客发现漏洞而利用的例子。这时，如果对于网络安全技术的发展过程不甚了解，有可能会陷入恐慌。特别是汽车自动驾驶域控制器，要在复杂的硬件软件体系上，不仅要和本地设备通信，也许还要在背景通过OTA做功能升级，这种场景需要控制器芯片从底层硬件和软件打好网络安全基础。

　　网络安全而是以几门相关学科做基础，加上大量工程实践叠加而成，是可循序渐进了解，进行比较和参照的。以下我们来看看芯片相关安全设计基本准则。

　　2.芯片网络安全设计的基本准则

　　网络安全设计是相关技术要素和方法的有机组合。这篇微软的论文：The Seven Properties of Highly Secure Devices (MSR-TR-2017-16)对此进行了很好的列举。基于这种准则和市场需求，并结合技术实现细节，我参与了安霸CV系列芯片的网络安全设计，经过团队几年的努力，这些CV2x系列芯片已经在安防和汽车行业成功量产，得到领先客户的认可。

　　这7条基本准则是：

　　a. 芯片需要含有硬件保护的

比如，即使使用了TrustZone来保护生物信息验证，系统还是可以使用软件层面的SELinux来设置程序权限来阻止不希望打开的权限。而且系统的配置也可能要考虑到防止root用户远程登录，并且保护root用户的密码。

　　d. 芯片安全需要分区隔离

　　（轮船的密封舱，图片来自网络）

　　隔离就是一种“密封舱”的思想。安全的系统可以由硬件建立一个个屏障，让单个模块带来的安全风险，难以转移到别的模块。“分区隔离”的做法常采用把软件模块的内存地址空间进行分离。Linux系统设立了用户空间和内核空间，就已经对大部分应用程序做了一层隔离。ARM TrustZone的Secure World和Normal world之间也被隔离。使用虚拟机等技术等对整个操作系统进行隔离，也是分区隔离的一种例子。

　　设备的机密信息的到硬件保护，并且这个信任根可以在硬件设计中抵御已知的旁路攻击。 信任根通常是在不可修改的存储器上的一组或者多组密钥，而且不允许用户直接读出。这里通常采用的加密算法会使用基于公钥系统的比如RSA，ECC类的算法，其中公钥会在系统启动过程中，验证启动代码的各个环节是否被篡改。

　　b. 芯片含有安全执行环境

　　专用加密芯片通常有内建的安全执行环境比如苹果手机用的Secure Enclave；主流Android手机则使用ARM的TrustZone，汽车的ECU和域控制器可使用HSM。这些设计原理类似，但功能，性能和安全等级不同。

　　安全执行环境意味着内部的操作通常受限，并且和主要的应用程序执行环境间的信息交流也受限。一般说来，系统开放的功能越多，接口越丰富，潜在安全风险点越多，所以在能满足需求情况下，”信息安全岛”需要尽可能小而且简单。

　　c. 芯片安全需要纵深防御

　　纵深防御是一种必要的安全策略。这种“洋葱皮”式的设计，使得单层系统的弱点如果被攻破以后，并不会导致系统安全的全面崩溃。

　　而简单RTOS则没有进行内存隔离，不仅仅一个软件模块的地址越界错误可能影响整个系统并导致崩溃，而且一个软件模块中的安全漏洞也会传播到别的模块。

　　e. 基于证书链的安全认证

　　公钥体系(PKI = Public Key Infrastructure)极大地提升了系统认证的安全性。

　　旧有的方式，比如Windows默认的登录方式就是用户名/密码，这种如果用于远程登录，则一旦用户名和密码泄漏，则无法区分用户身份是否真实，一般的可以采用“两步验证”的方法加以改善，但仍然比较麻烦。

　　基于公钥系统的证书则是从机制上保证可靠。比如银行手机APP可以对用户的手机的唯一标识符做数字签名，并颁发证书保护这个数字签名，证书内包含着银行APP的公钥。这样在用户用网银时，服务器端收到用户发过来的加签名和证书的请求数据，进行校验即可确认这个数据是否被被篡改，并且这个业务请求的来源是否真实。

　　公钥机制需要安全芯片自带RSA/ECC等非对称加密算法引擎，或者支持在ARM的Secure world内运行，并且对相关的密钥进行可靠的保护。

　　f. 可以更新的安全密钥

　　为了对抗不断发现的新安全威胁，安全策略也需要不断被更新。对于已经发现的安全漏洞（CVE等），需要及时弥补，包括废止和更新密钥的机制。

　　为什么发现安全漏洞了还有机会升级更新呢？ 这就是因为前面已经说过的“纵深防御”和“分区隔离”，

也许系统底层还尚未被黑客攻破。特别对于0-day安全漏洞，及时进行升级可消除安全隐患，这也是OTA的重要意义之一。

　　g. 汇报网络安全失效的机制

　　系统的任何和安全相关的失效或者潜在相关的异常，都需要汇报到后台管理。黑客往往不是通过单次攻击成功进入系统的，而是经过反复尝试。所以系统的。错误日志往往包含着有价值的信息，可用于增进防范的策略，改善安全措施。

　　“安全启动（Secure boot）“ 如果在启动过程中遇到错误，比如密钥校验错，通常是停下来，或者进入功能受限的“安全状态”以待维修。这项技术的一种发展趋势是走向“measured boot”，也叫“trusted boot”。 “Measured boot”字面的意思是“可量度的启动”，但目前我没看到有广泛接受的中文翻译。Measured boot要求启动并不中断，而是把参与启动的模块信息和状态记录下来，包括错误，以待后面再进行校验，通常measured boot这些记录要写入带有安全存储的硬件，比如TPM或者HSM。

　　3.1 需要防范的风险

　　要做好安全防范，还要考虑黑客可能如何攻击系统，常见的黑客攻击方法包括：

　　a. 通过测试/调试硬件接口攻击，比如USB，串口等

　　b. 通过软件调试接口攻击，比如有一些产品的bootloader留有调试命令

　　c. 利用系统已知漏洞攻击，比如Linux Kernel已知的CVE

　　d. 利用应用层软件bug攻击，比如利用bug造成缓存区溢出攻击

　　e. 嗅探网络数据，盗取用户信息或者口令

　　f. 攻击系统登录口令，一般采用穷举或者字典法尝试登录口令

　　g. 通过替换硬件模块攻击，比如替换NAND/eMMC等系统存储

　　h. 通过硬件bus攻击，通过bus读取/篡改数据

　　i. 回滚攻击，攻击者将系统版本回滚，然后利用旧版本已知漏洞来攻击。

　　j. 回放攻击，攻击者记录“认证通过的回应”，用它来试图通过下一次认证

　　3.2 芯片的硬件安全设计

　　一个可靠的网络安全系统，要求芯片从源头上做好安全防范，由此我们列出芯片的硬件安全设计要点：

　　a. 不可修改的SecureROM用于安全启动

　　b. 一次性写的存储器OTP用于存储安全启动公钥和其他密钥

　　c. 真随机数生成器（TRNG）

　　d. 提供可信执行环境TEE （比如ARM TrustZone 或专用HSM独立引擎）

　　e. 安全的总线设计，提供硬件接口的安全配置

　　f. DRAM scrambling（在LPDDR4总线上的数据全是加密的）

　　g. DRAM硬件地址隔离，不同的主要内部控制器可配置DRAM访问范围

      h. 可禁止JTAG，USB等调试接口访问系统，可进入永久安全启动状态

　　安霸在CV2x以后的系列芯片，均采用以上的硬件设计，并不断改进，符合ARM的TSBA规范（Trusted Base System Architecture for ARMv8-A），并且在安防行业的龙头企业包括Axis，以及中国国内，欧美日本等等诸多客户取得成功量产；在中国乘用车行业也和著名民族品牌合作并成功量产。

　　3.3 “磐石”网络安全架构与安霸CV2x芯片安全设计

可以保护MCU，AI引擎，图像视频引擎等多个单元，其内部带有安全存储和加密计算单元，可以用于存储用户的保密数据如密钥和证书。2022年初安霸发布的大算力自动驾驶域控制器芯片CV3，不仅实现了高AI算力，并且也实现了先进的网络安全。

　　CV3内建HSM，并采用了全新设计，自带可编程的高性能加密引擎支持各种常见加密算法，内建了高速内存，自带OTP以及其他安全计算硬件。不仅可以实现对各个硬件单元的的数据安全保护，还可以做系统的安全启动，内存隔离，保存用户的重要信息，通过对神经网络算法全程加密保护知识产权，把网络安全以及用户信息保护提到了新高度。

　　通过安霸CV2x系列芯片安全设计和上层软件和工具设计，我们实现了“磐石”网络安全架构。　

　　（图为：实现了基于硬件的安全启动全流程）

　　我们在底层实现了安全启动，通过上层软件协议实现了隐私保护，算法加密，安全存储，安全传输等功能，给用户一个完整的套件，核心算法对用户开源。

　　4. 基于HSM的汽车控制器芯片的网络安全设计

　　较为复杂的汽车域控制器芯片更多使用HSM实现网络安全，主要原因是HSM是系统层面的，不仅仅可以对CPU上的数据进行保护，也

焉知原创文章，如需转载请联系：小知 13636581676

　　智能网联汽车正走向硬件趋同、软件定义和数据驱动，而操作系统是汽车软件的灵魂，目前操作系统是不是受制于国外？两年前中国提出自动驾驶操作系统顶层设计，进展如何？一系列的问题需要找到答案。

　　尚进博士，国汽智控（北京）科技有限公司总经理、首席技术官，也是国家智能网联汽车创新中心首席技术专家、中国智能网联汽车产业创新联盟基础软件工作组组长、清华大学车辆与运载学院客座研究员，请他来解读上述问题再合适不过。

国汽智控总经理、首席技术官尚进博士

智能网联汽车有几个问题需要澄清

——国汽智控尚进博士访谈

作者：文立

为什么是硬件趋同、软件定义和数据驱动？

　　“走到今天的硬件趋同、软件定义和数据驱动阶段，智能网联汽车将怎样演进？未来方向如何？”

　　尚进博士指出，这一观点是行业专家智慧的汇聚，但并非源于汽车行业。过去30年ICT行业的发展是一个见证，而智能汽车正在重新演绎。

　　芯片、硬件、软件或操作系统、数据和云计算代表了现在的关注和热点技术。“硬件趋同、软件定义、数据驱动”这12个字是对产业从零到成熟过程的一个总结性预测。

　　芯片很重要，没有硬件就没有软件，硬件趋同是技术的发展特色，更是产业集中化的体现。从PC、服务器芯片可以看到，巨头们投入很大，最后没有小玩家的活路。

　　智能汽车领域首先是一场变革，像ICT行业一样，芯片架构、商业模式和产业发展出现了趋同，一些小的处理器变成了集中域控，越来越集成；大型SoC中AI元素将占据很大算力，但汽车也离不开通用计算和实时可控的芯片。芯片架构中的硬件也包括不同的AI、ARM和实时异构核，这些东西在集中化基础上分布化，形成多个芯片甚至多个板卡。

　　“很早就有软件定义网络、软件定义很多东西的说法，怎么理解软件定义汽车或智能车？”——记者

　　尚进博士认为，软件定义是说智能汽车在集中化趋势下，车辆功能设计和实现的一种方法论的变化或趋势。软件定义的本质不是用代码实现，之所以提软件，是因为整个车辆功能中离应用最近的才最能体现系统架构。软件定义代表的是变成一个复杂系统的智能汽车需要一个比较好的架构。

　　做一个好产品的前三件事儿是：架构、架构、架构，只不过由于复杂的硬件、复杂的软件，软件定义特别体现在三个方面：一是整个系统架构是不是集中式架构，包括集中式架构下的新的产业链、硬件、操作系统、应用开发，都需要架构先行；二是主要功能是用软件来实现的，自动驾驶要使用AI芯片实现感知，但它不是主要功能，只是整个自动驾驶工作中很小的部分，但需要很大数据量，甚至有一定难度。

　　更重要的是，我们要有支撑、体现软件价值的系统产品和架构。软件的价值或优势有几方面，第一是快速功能开发，第二是在保证高效、高质量、高实时、高安全情况下的高效开发，能够更新，容易迭代，如OTA。

　　传统上，汽车行业认为软件定义就是互联网，没有顾及传统的流程开发体系，其实真正的软件工程或复杂系统软件更讲究流程，既然要用软件实现就要保证在最好的架构基础上开发更多的功能，生命周期内的迭代也要更高效，前提都是高实时、高可靠性。

　　“作为汽车开发测试的一部分，用仿真训练自动驾驶模型，验证更多场景，这也是数据驱动，怎么理解数据驱动的真正含义？”——记者

　　尚进博士回答，仿真是数据驱动，但还不能与真正意义上的数据驱动相提并论，不是智能汽车需要考虑的新核心。数据驱动更偏向车外，更强调驱动。现在的车辆采集了数据，也放到了云端，而数据驱动主要是围绕智能汽车产品设计，怎样用数据来提高车辆产品质量，包括实时性等。数据驱动更强调怎么把云计算应用于车辆设计，即车辆产品的工程设计，既是基于数据来完善设计，也可以扩展到数据中心，用云计算框架支撑智能车辆的功能开发。

　　他解释说，每年的新车价格都不一样，特别是低档车单车边界内智能有限，还有保有量的问题；软件在生命周期内需要升级，特别是要保证车辆使用5到10年。几年后的软件功能一定会超过现在的硬件，不管价格如何，也不可能预埋5年后的硬件，也不可能知道5年后是什么硬件。

　　这些都指向同一件事情：在车内做好软件定义和硬件趋同后，往云上走才能真正突破单车计算的物理边界。这就要利用边缘计算、云计算，这就是中国的车路云。所以，路侧和云都是计算资源，车辆不只是座舱等，而是需要保证实时可靠，所以数据驱动不能被动地将ICT进展仅仅理解为僵化的数据和现有的模型，而是不局限于单体开发，利用云计算或数据中心驱动车辆设计。实际上和软件定义和自动驾驶一样，都是围绕车辆的核心功能，虽然座舱也是数据驱动，但还要再进一层，考虑智能汽车产品终点应该是什么样子。

　　“谁都不知道5年以后硬件是什么样子，又怎么支持这个软件呢？”——记者

　　尚进博士表示，单车可能不知道，但是会有边缘计算、边缘云或5G、6G高速通信，计算硬件在边缘云上，因为有5G或5G优化，硬件在车内和车外没有什么差别，重要的是软件和操作系统的延伸。所以，数据驱动更是计算驱动，但如果只是计算驱动，现在也有更大的硬件。国汽智控更希望强调的是从终点——整个产业架构、产业生态出发。现在智能汽车的目标很简单，花5年或6年时间，可以把汽车这个机械为主的产品变成和ICT持平的水准。现在的计算机、笔记本和手机一样，任何生态都是和云计算融合在一起，要围绕车辆的目标功能把它融合在车辆平台中，不仅是座舱或车联网，而是自动驾驶或车控动力系统等更大的范围。

　　车的要求更高，却是5G真正最大的应用市场。5G具有高带宽、低延迟和高稳定性，现在高铁上用4G看视频已经没问题了，很难想象5G有什么比较大的应用，其实更大的行业应用就是高速移动的车辆。车控系统一定是更低延迟，不仅是自动驾驶，也包括底盘、动力系统，所以车辆是5G最大的应用市场。

自动驾驶为什么要有一个好的操作系统和架构？

　　“从计算机到现在的手机，最核心的软件就是操作系统，这么多年应该都是国外操作系统占垄断地位，现在的汽车也是这样？”——记者

　　尚进博士予以否认，他表示，作为智能驾驶操作系统的定义者和先行者，国汽智控最近获得了“2021中国汽车出行产业最具投资价值企业TOP10”奖，证明了其正在做的事情具有重要意义。

　　国汽智控的核心产品是操作系统，确切说是智能驾驶/自动驾驶/智能汽车操作系统。操作系统是产品的核心，过去其他行业已经证明，操作系统本身的定义和行业相关，如果说智能汽车的核只是现在车上用的QNX、安卓、Lunix等，那就错了，因为这些已经是成熟的东西，大家都在用，可为什么大众等车企仍然觉得车的能力还差得很远呢？因为这些不是核，不是定义的智能驾驶操作系统。

　　“那是不是需要做自主可控呢？”——记者

　　尚进博士说，国汽智控不是为了自主而自主，缺少自研才来做，首先做的一定是产业急需的，能够起到核心作用；第二需要澄清中国核是为自动驾驶定义的，这种形成国标体系的核不是“敌有我无”，而是谁都没有，所以起步就是行业领先、行业创新。

　　现在的形势是采用封闭体系的特斯拉一骑绝尘；行业缺少ICT和车辆融合的东西，一些主机厂也在做自己的软件公司，但产品都没做出来，更谈不上成熟。对ICT理解最深刻的是中国和美国，更容易提出和做出这样的操作系统，而传统的汽车领先国家不一定先知先觉。即使是国外的AUTOSAR（汽车开放系统架构）也达不到这个高度。

　　“那么，怎样来定义自动驾驶操作系统呢？为什么很多主机厂觉得离智能汽车那么遥远？”——记者

　　很简单，行业缺少AI芯片，传统车用芯片有的是，而智能芯片不是这些芯片，需要有支撑操作系统的大型复杂硬件平台。至于操作系统，不用什么高深的定义，用朴素语言讲就是支持所有的硬件芯片或硬件平台，能够向上支持应用开发的承上启下的基础软件。应用决定操作系统，为自动驾驶应用开发的这个东西就是自动驾驶操作系统。既然支持自动驾驶这么核心热门的应用，就要用定制化应用、定制化开发来实现核心作用。

　　“这个操作系统应该是一个通用平台？”——记者

　　真正成功市场化的操作系统一定是大家都用，除了座舱、底盘、动力操作系统，它主要关注自动驾驶应用开发，最后应该形成一个整车单一操作系统，支持上面所有的应用开发。

　　国汽智控正在推动的最难、最复杂的东西就是自动驾驶操作系统。智能汽车操作系统一定符合智能汽车的核心定位，现在的内核远远达不到，很明显在智能性能方面，车企没有因为使用内核或AUTOSAR而赶上特斯拉。

　　全球都在做ICT和车的融合，都在做基础软件，但它还没有成熟，更没有落地，所以不用有自主可控的急迫感，急迫感在于产业急需。

国汽智控智能驾驶操作系统产品架构

中国自动驾驶操作系统顶层设计进展如何？

　　两年前，我国提出了中国自动驾驶操作系统顶层设计，而国汽智控成立至今才一年半。尚进博士说，公司前期酝酿时间比较长，包括定义整个架构，先有了定位的市场和适合这个市场的产品架构定义才注册了公司。到目前为止，公司发布了1.0、1.5和2.0三个产品版本，基本上实现了当初定义、现在成为国标的智能驾驶操作系统核心的产业化。从产业落地看，现在已在和五六家主机厂进行量产开发，明年将陆续装车。

　　“主机厂是国内为主？”——记者

　　基本上是国内自主品牌，因为某种程度上自主品牌对自主可控要求更高，但并不限于自主品牌。

　　“国汽智控做的操作系统是否可以解决安全问题呢？”——记者

　　操作系统的功能就是实现或保证车辆系统或自动驾驶系统的实时性、安全性和主机厂的应用定制开发。安全是贯穿操作系统最核心的东西，覆盖功能安全、预期功能安全和信息安全，这几方面的考虑、设计和实现都是操作系统不可缺少的部分。

　　另一个重点是数据安全，它一定是在操作系统内部实现。一个量产化的自动驾驶操作系统一定包含智能驾驶的数据安全防护功能，这是必须做的事情。信息安全在智能驾驶中的创新还包括：做到实时性、可靠性与智能驾驶OS的融合，在保证整个系统可靠的前提下不增加额外成本。

　　另外，自动驾驶或智能汽车数据量很大，传感器很多，每天几个T的数据，需要大规模数据处理，对数据处理安全的要求更高；而且汽车是移动的，我国有很多数据分类分级准入标准，大规模海量数据和移动数据，包括车内车外环境，甚至摄像头主动采集的数据，都是这方面数据的特色，这是以前数据安全行业没有遇到过的。

　　智能汽车不仅是一个存储设备，还是一个计算单元，数据要在其中再加工，有很多熟数据，还有很多新数据，也会有数据安全问题。面临的最大挑战除了和自动驾驶强耦合外，还会产生新的动态数据安全问题。

　　由于涉及周围的人和地理信息太多，隐私保护最大

的落地需求可能是智能汽车。其他方面的隐私保护有相应法规，主要针对人，但车辆不一样，它会进入很多敏感地区，涉及敏感对象，不知不觉被采集数据，这是智能汽车的新挑战。

　　“在操作系统层面能解决这些问题吗？”——记者

　　应对这些挑战的创新技术的落地点在操作系统内，同时整个系统还要保证实时性、可靠性和低成本，这是集成融合的挑战，所以做数据安全的人要懂自动驾驶操作系统，才知道怎样融合成一个产品。这是信息安全产品的一个特色，其真正落地离不开对防护对象的深层次了解和融合，才能保证整体是一个产品，特别是防护对象是2B产品时的实时性、可靠性。

基于国汽智控智能驾驶操作系统的数据安全防护示范

国汽智控在供应链中的定位在哪里？

　　尚进博士告诉记者，国汽智控是一家科技初创公司，也是国家平台企业，主要任务是“智慧融合，中国方案”，主要产品都是智能汽车缺芯少核的东西。其定义的核心产品自动驾驶操作系统也是整个行业的顶层设计，将服务于所有主机厂。其操作系统支持大小不同的芯片，首先是开放、解耦、标准。开放产品软硬一体，但不是全栈式开发，而是适合主机厂在上面做定制开发。开放是操作系统和硬件之间的界面或接口是开放的，能够集成不同的芯片硬件形态，上面的应用开发也是这样。解耦是指操作系统内部的内核、AUTOSAR、软件算法等，边界也是开放、解耦的，其他厂商也可以做一部分，由国汽智控做核心部分的集成，共建成一个主机厂所需的操作系统，其中甚至有主机厂的贡献。开放不仅是在边界，也包括操作系统内部的部分。这样的操作系统基于产业链厂商的贡献，可以适合所有车型。

　　“你们现在做的这些产品和国家标准是怎样的关系？”——记者

　　由于缺芯少核是行业急需，国汽智控在顶层设计方面做了一些工作，操作系统国家标准体系是由国家智能网联汽车创新中心直接推动的，国汽智控发挥了引领和贡献作用，做了具体执行工作，包括分层之间接口的国标顶层设计。当然，每个国标也有所有主机厂和产业链的参与。在这方面国汽智控做的很多事是针对整个行业，特别是协同产业资源，以创新科技和系统集成持续引领和支撑行业发展，提升我国智能网联汽车及相关产业在全球价值链中的地位。

　　“你们的几个产品有什么特点？能够满足什么需求？” ——记者

　　现在是两类产品、四个单元，一类产品是车内的，硬件和软件操作系统一体，主机厂可以在上面开发装车；另一类产品是车外的，比如边缘云。所谓四大单元实际上是两类产品四个单元组成——智能汽车操作系统（ICVOS）、智能汽车域控制器（ICVHW）、车云协同基础软件（ICVEC）及信息安全数据安全（ICVSEC）。车内产品有OS和硬件，也有第三方硬件，以及自研的细分市场硬件；OS内部还有数据安全或信息安全等三个单元；车外OS几乎一样，包括数据、车云基础平台，相当于云端硬件。

　　“车外产品是不是常说的路侧设备？”——记者

　　的确可以部署在路侧和边缘云上，但如果能把路侧网联赋能再提升一层，就需要路侧的标准开放体系，以及各种开放架构和高实时、高安全实现。路侧有感知硬件、操作系统和算法，不可能一家封闭来做，也应该是个标准开放体系，让很多东西都能进来。另外，如果只是提供给车做智能驾驶辅助参考，意思不大，应该起到和车内传感器差不多的主要作用，其实现要求高实时、高可靠，正好车内OS都符合这些要求，可以部分自然延伸到路侧。它可以不叫OS，但都是标准开放的实时、可靠、安全架构或实现这一架构的核心产品。

　　“目前国内一些试验区、先导区都在路测自动驾驶汽车，您对此怎么看？”

　　这是中国网联汽车方案和架构在示范区落地的很好证明，各地都很关注和认可这个发展方向，这是很好的事情。如果我们真能赶超特斯拉，一定是利用中国的基础建设来推动车辆产品的发展。

　　“您的意思是不是特斯拉侧重单车智能，而中国在车路协同方面做的更好些？”——记者

　　特斯拉是单车智能没有错，但是其前提也是美国基础建设不够，所以它觉得也没有太大必要做别的。如果有足够的基础设施，它也会思考更多。中国确实是网联式V2X，但大家对V2X的诠释不够完全，太看重其结果：只要有路侧，只要有通信就好；关注demo比较多，极少关注如何提高车辆产品设计的变革或吸收推动作用，也就是数据驱动。只将V2X理解为路侧设备是不够的，需要补充的是，数据驱动或网联式的一个重要环节是通过车外生态反哺车辆核心功能，而不仅仅是车联网或座舱这些已经成熟的应用。行业对智驾域、底盘域、车身域的作用认识不够，重要的是突破单车计算和传感边界，同时仍能保持和支撑车辆产品的实时性、可靠性和安全性。另外，路侧摄像头或其他传感器要保证安全等级对单车智能的支撑，真正用L1、L2硬件的车实现L3，而不用更多硬件成本。

　　“Robotaxi和乘用车是两条不同的技术路线，孰优孰劣？” ——记者

　　这是从L4、L5做，还是从L1、L2做的技术纷争，前几年最热的讨论是特斯拉和Waymo谁能成功？今天看，只能说特斯拉成功了，因为Waymo始终没有推向运营，反而特斯拉不仅造车成功了，自动驾驶也在往L4走。

　　问题在于，目前看真正实现L4、L5还有很多理论瓶颈，比如强人工智能、如何保证AI安全等。产业推动方面，像谷歌Waymo这种体量可能还有些问题。另一方面，从市场看，大家也逐渐认识到辅助驾驶或L2、L3也是刚需，也有很大市场，也会带动智能汽车设计。智能网联是下半场，不一定无人驾驶才能推动，L3集中域控或大域控也能带动智能汽车变革。

　　特斯拉今天这么高的市值绝不仅仅是有最大部署量的L2或L2+功能，而是整个车辆产品设计对同行降了好几维的打击，其背后的自动驾驶功能只是一小部分，却带动了车辆整体架构、芯片、操作系统，支撑了更多、更好、更高效的设计和OTA的更广泛使用等变革。

　　无人驾驶的研究会继续下去，但汽车行业变革并不是以它为终点，更不是以它为主要路线。人们需要L2、L3、自动泊车，这有点像沿途下蛋，可以发现更宽的路子，还会下很多蛋。如果真和Waymo比，特斯拉某些场景车还不如，但好像不是这样，大家真正关心的是车辆是怎么重新设计的，或核心功能怎么设计，以及带来的生态改变、数据带来的生态附加值。

　　“上面讲到了汽车新四化中的网联化、智能化，电动化很明白，还有共享化呢？”

　　对，共享不一定是无人，共享不一定没有方向盘，所需要的实际上是最后1公里，L3、L4反而能够实现共享。现在大家都在学特斯拉，包括无人驾驶公司，这不是说特斯拉的无人驾驶、自动驾驶路线胜利了。它只是以市场带动了产品，或以产品引导了市场，以市场落地反过来提升了技术，是一个比较好的模式创新。

　　特斯拉有它的优势，但这也从另一个层面证明一个问题，毫无疑问，部署量大、使用频繁，一方面是产品确实不错，有更多的数据，肯定可以训练提升系统，包括一些极端情况；反过来，这么大的数据也没有实现完全的L4，说明确实还有理论瓶颈，或者跟数据的关系没那么大。从产业看，特斯拉还是依照市场规律，不拘泥于自动驾驶目标，在打造汽车产品。

　　特斯拉确实领先，但为什么也实现不了L4？这个问题值得大家思考！

特斯拉的成功应该如何解读？

焉知原创文章，如需转载请联系：小知 13636581676

未来自动驾驶必须解决哪些感知问题

作者：Jessie

最终输出结果

　　对于下一代智能汽车的系统设计、软件开发而言，需要解决架构设计、功能开发、车辆控制等方面的诸多问题，这些问题的根源都集中于环境感知能力的研究。除了感知硬件性能外，软件中的算法模型、训练神经网络、感知数据处理容量等都是需要重点解决的问题。

　　当前，感知能力的开发主要包含如下过程：相机输入→图像的预处理→神经网络→构建分支处理结构→后处理→输出结果。其中构建分支结构包括红绿灯识别、车道线识别、2D物体识别转3D等；最终输出的结果包括输出物体类型、距离、速度和被检测物的朝向等。

　　当前，所有感知问题的关键仍然是神经网络算法，对域控制器处理过程能力来说，需要重点考虑计算精度、实时性、算力利用率等，这是确保物体不被漏检或误检的前提。由于感知硬件设备中输入的超大分辨率图像问题，单目或多目摄像头对感知输入的处理都是需要重点关注的问题。此类感知任务的难点或优化方向主要在以下几个方向：

①　如何处理高分辨的输入

②　如何提高密集小目标检测

③　如何解决类多目标重叠问题

④　如何利用少量训练数据解决目标多样性问题

⑤　如何利用单目摄像头进行目标位置的精确估计

　　感知中的相机数据标定

　　单目测距是通过光学几何模型（即小孔成像模型）建立测试对象世界坐标与图像像素坐标间的几何关系，结合摄像头内、外参的标定结果，便可以得到与前方车辆或障碍物间的距离。无论是单目摄像头还是双目摄像头，在进行数据检测前都要进行相机内外参数标定，标定的过程是为了通过以下公式计算世界坐标到图像坐标的转化。

　　相机内参标定用于图像的畸变校正，外参标定用于将多个摄像头进行坐标系归一化，将各自的坐标原点移动到车辆后轴中心处。fx、fy表示相机焦距，x、y表示目标的图像坐标系位置。从上述公式不难看出，相机参数的标定结果严重影响对世界坐标系图像位置的检测。

　　在实际相机搭载到车辆过程中，会有两种标定方式，其一是产线标定，其二是实时标定。产线标定是利用标定板中的格点信息进行摄像头的位置标定。一般情况下，可采用张正友经典棋盘格模型进行角点位置标定，也可以采用圆点板图进行在线标定。另外，考虑到车辆运行一段时间或者在颠簸过程中摄像头位置的偏移，摄像头也会同时设定在线实时标定模型，通过实际驾驶过程中，利用车道线消失点或车道线等检测结果信息实时更新俯仰角的变化，从而优化标定参数。

　超大分辨率图像目标的有效检测

　　为了实现对大尺寸图像目标检测，常用的方法是设置遍历窗口，对该超大分辨率的图像使用该平滑窗口进行遍历后裁剪成多个子图，然后分别对每一个子图进行目标提取，最后将所有子图的目标提取结果进行拼接后进行平滑滤波。

　　以当前算力的芯片架构设计的域控制器对超大分辨率图像的处理逻辑是采用一定的手段进行图像resize，或者是基于一定的准则（如NXN的子图网络）进行图像下采样，降低图像分辨率。然而，这两种方式都有可能造成目标漏检。

超大分辨率图像的处理逻辑

超大分辨率图像目标检测

超大分辨率图像目标检测

　　这里需要解决两个比较重要的问题：

　　1) 如何设置遍历窗口大小；

　　一般采用固定尺寸大小的遍历子图窗口，可能无法刚好将总图遍历后形成整数个子图，这时在很多的窗口边缘就要通过图像泛化或膨胀来扩充。在数据集上训练网络的时候，通常需要把数据集变换到同一尺寸，但是通常的resize函数会破环图像的纵横比aspect ratio，而aspect ratio对于检测的效果非常重要，为了更好地保留图像特征，需要对最边缘的子图采用letterbox的方式缩放到和遍历子窗口相同的大小。letterbox就是在保持纵横比的前提下对图像做resize，先resize然后按需要在周围pad上0像素。

　　2) 假设切割目标位于大图边缘，将如何确保其不被截断；

　　需要说明的是，如果一个目标刚好处于窗口边缘，本身目标所占像素就少，而且又被截断，这时候就容易在滑窗检测过程中被切分开，最终造成其更加难以检测。因此在滑窗裁剪时必须有一定的重叠区域。理由是，如果一个目标刚好处于窗口边缘被切分成2块，其重复部分会导致多个检测框图像重复出现同一个目标的问题，解决办法是通过将所有子图的检测结果合并起来，采用非极大值抑制方式进行过滤。

　　在目标检测过程中，可利用自动驾驶检测图像都具有旋转不变性的特征，通过数据增广的方式旋转图片，生成更多形状的物体来缓解上述问题。

　　同时，为了尽可能多地保留原始图像信息，一般需要将原始图像扩大两倍采样，即升采样，从而生成一组采样图。而为了保证后续图像处理过程的针对性和实时性，需要在高斯模糊后进行降采样，即很多时候为了提升运算效率，往往采用大倍数的下采样率进行下采样（如32倍下采样率）。在降采样过程中需要注意的是，避免过度降采样，因为这可能导致大分辨率下的小目标被直接过滤掉，好的方法是减少采样倍数，同时增加采样网络层数，这样可以有效增加特征提取能力。

　　3) 如何确保小目标物体不漏检

　　大分辨率图像中，小目标物体检测一直是一个难点。一般处理方法是采用图像金字塔进行多尺度训练，一般的特征金字塔包含从浅层到深层的不同信息，其中浅层涉及更多细节特征，深层网络涉及更多的语义特征信息。通过对原始大图进行一定程度的下采样，即可生成多个不同低分辨率的图像金字塔，再对每层金字塔的浅层至深层采用不同分辨率的子图分类器滑动，即可以有效地检测到目标。

　　单目视觉深度信息估计的

优化方案

　　当前，辅助驾驶或自动驾驶系统通常采用单目视觉来实现目标深度估计。单目测距方式主要是通过帧间图像匹配来实现目标识别，然后通过目标在图像中的大小来估计目标距离。单目测距需要将多个3D场景投影到2D场景中，而从单幅图像中提取几何位置坐标不仅需要考虑局部线索，还需要考虑整个视频帧的全局上下文。在这一过程中，需要使用卷积神经网络思想，其核心在于感受野内的局部连接、卷积状态下的权值共享、池化层空间或时间上的下采样。卷积神经网络在信息检测中的最大优势在于，它具有强大的特征提取能力，对局部细节的检测能力较强，相反，其对全局目标信息的检测能力相对较弱。

语义分割和深度信息

Transformer框图架构

可行驶区域探测（光线充足vs夜晚）

　　单目视觉估计只是通过光学几何模型（即小孔成像模型）建立测试对象世界坐标与图像像素坐标间的几何关系，结合摄像头内、外参的标定结果，计算得到与前方车辆或障碍物间的距离。单目视觉估计的优势是成本较低，系统结构简单，且对计算量的需求不高；缺点是识别过程中需要与庞大的数据样本进行匹配，不仅测距延时性大，准确率也不高。相对于双目摄像头直接利用视差图进行测距的原理，其存在很大不足。

　　为了弥补这种全局检测能力缺陷，2017年提出了采用Transformer的检测机制，其核心思想是注意力机制，其自带的长距检测特性确保了由浅到深层的检测范围，可更好地提升全局建模能力。因此将CNN及Transformer的图像检测追踪方式结合，可以更好地提升车载目标跟踪能力。其基本的框图架构如下：

　　如上图，首先对输入的3D图像信息进行编码和解码，解码后的特征代表高分辨率和局部像素级特征。解码后的图像使用全局注意力来计算每个输入图像的单元宽度向量。该向量输出包括两部分：其一

是定义如何为深度图像划分深度区间；其二是包含对像素级深度计算有用的信息。

　　通过对来自Transformer的输出作一组二维卷积核，并与解码特征图进行卷积以获得范围注意图R。其次，通过对输入的一定大小（h，w）的单元向量进行卷积（卷积核pxp，卷积步长为s）计算，卷积输出结果为h/p×w/p×s的张量。最后归一化后可生成单位宽度向量，用来对图像进行间距宽度b计算。

　　最终深度图信息=全局信息R+局部信息b。

　　以上单目深度学习特征提取方法具有较好的特征提取能力，即使采用最好的特征提取算子，也不能cover所有的场景动态物体特征，如轿车容易误检为卡车。在工程开发中，可以依据现实场景增加一些几何约束条件来提高检测率，降低误检率（如尺寸信息、空间位置信息、运动连贯性信息等），这样可以训练一个3D检测模型，再配合后端多目标追踪优化以及基于单目视觉几何的测距方法完成功能检测模块。

　道路场景信息检测的精确性问题

　　1、可行驶区域检测分析改进方案

　　典型的视觉检测问题可归结为几个大类，前述章节提到了小目标检测问题，对于下一代自动驾驶系统来说，必须解决的问题还包括可行驶区域检测，检测方式包括对车辆、路沿、无障碍物的区域进行划分，最后输出自车可以通行的安全区域。

　　可行驶区域的检测实际上是一种深度学习中的语义分割问题。深度学习中常用的空洞卷积、池化金字塔、路径聚合、环境编码等都可以在其中得到很好的应用，但是，可行驶区域的检测仍然存在较多问题：

　　其一，最重要的就是在检测的静态边界或动态障碍物边界仍存在一些不确定性，可导致无法对车辆的行驶状态进行有效的轨迹规划和状态决策。为了解决这类问题，可以通过配合路沿、车道线、目标框的结果来修正语义的边缘信息，并从矢量包络或栅格图中定义可行驶区域。

　　其二，可行驶区域的检测容易出现数据不平衡，且这种不平衡问题往往是在训练阶段，这一过程需要定义合理的损失函数和数据上采样率来进行优化。

　　其三，可行驶区域探测可能由于光照、粉尘、大雪大雾等因素，需要充分结合视觉与雷达进行障碍物探测，以确保其检测稳定性。

　2、车道线检测问题的改进方案

　　在自动驾驶视觉感知中，作为横向对中控制基础，车道线检测过程是一个最基本的需求项。人们已开发出众多车道线检测算法，而最重要的检测难点包括：

　　其一，车道线具有细长的形态特征，要求追踪具备连续性，甚至包含一定的图像拼接技术。相应的检测手段需要参照不同层次划分机制来获取全局空间结构关系，对于细节处的定位精度也可采用角点检测方式进行。

　　其二，车道线的形态容易受到外界干扰（如被遮挡、磨损，以及道路变化时本身的不连续性），存在较多不确定性。解决办法是采用较强推测能力的算法针对边缘情况进行推测。

　　其三，在启动驾驶辅助功能（如自动换道、车道保持）期间，自车会在车轮压线过程中发生车道线左/右切换的情况。解决办法除了设定滤波延迟外，也可以通过提前给车道线赋值固定序号的方法进行优化。

　　3、交通标志、锥桶识别问题

　　自动驾驶系统中，诸如交通标志、锥桶一类的小目标识别是一类重要且亟待解决的问题。通常，处理这类问题还是采用基础神经网络进行特征提取和泛化来cover，但是需要大量的先验数据库作为支撑。而交通标识检测具有以下难点：首先，由于交通标志、锥桶等都是小目标，其检测过程需要进行更多的特征提取，甚至在神经网络中产生更多的金字塔层；其二，不同的交通标志（如有圆形红绿灯、箭头形红绿灯、倒计时红绿灯；雪糕筒、三角锥桶、梯形锥桶等）具有不同形态，其多样性是一个不得不解决的问题；其三，场景具有较高的复杂性，如路口处信号灯的安装位置、安装方向；施工区域的锥桶起止点、终止点等。

总结

　　智能驾驶中的视觉感知一直是业界重点关注的问题，不仅影响后续轨迹规划、决策控制，也是辅助驾驶系统能否进一步向自动驾驶升级的关键。我们已经关注到相关场景识别检测能力对整个视觉感知的需求，后续还需要更加关注如何解决视觉感知中的场景局限性问题。本文从视觉感知任务、能力、局限性及改善方案几个角度出发，充分说明了各种不同解决方案，在工程应用中具备较好的实现价值。

焉知原创文章，如需转载请联系：小知 13636581676

从自动驾驶事故中

探索有效的性能提升及判责策略

作者：Aimee、一骥绝尘

　　蔚来汽车最近的自动驾驶撞车事故再一次刷新了人们对智能汽车的认知，目前蔚来事故正在调查中，事故的责任方究竟是车主，还是汽车制造商，这恐怕不是能由调查结果直接得出的结论，其实，就当前智能汽车的等级现状来说，安全性高低已经不是最重要的，最关键的是出了事故怎么明确责任。然而，即使责任认定清晰，这件事的影响也远不止于此。因为即便是驾驶员的误操作也可能归咎于系统使用宣传不到位，亦或者系统在其设计边界上没有进行有效接管提醒。

　　到底何为安全的智能汽车，人们如何应对带有自动驾驶功能的汽车，这都是我们值得深思的问题。因为即便是某个车型其自动驾驶控制能力处于极度优越的状态，也无法保正100%无事故，据统计对于自动驾驶车辆而言2%的事故是不可避免的，4%是未知原因造成的。最重要的是，感知类事故为24%，而驾驶员能力受损类占另外10%，后两者合计34%是可以通过自动驾驶规避的。而另外60%则依赖于系统设置和人的决策和偏好。因此可以说，自动驾驶依然有很多无法规避的情况，包括：判断错误，例如错估另外一辆车的速度、方向变化和行车间隙；计划错误，例如车速太快或太慢；执行错误，例如驾驶操作层面的错误等。那么这类实际无法完全规避的碰撞危险就只能通过事后监管来进行责任划分了。因为，如果事故责任无法明确，无论是在法律、道德或者用户认可度上严重阻碍自动驾驶的发展进程。

　　传统的驾驶辅助系统开发通常采用既定规则与人为设计的安全性、舒适性及节能性等多项固定权重的指标，以有边界的工况为验证前提来模拟驾驶员进行车辆的动态决策与控制。然而，自动驾驶系统的开发应以无边界限制的场景为验证假设，对复杂环境及陌生、突发等场景的覆盖能力则是系统开发的核心问题。

　　基于此，从整个自动驾驶系统的渐进性发展来说，需要从不同的方面提升相应的开发建设能力，才能规避其感知规划响应的局限。当前很多主机厂或tier1已经在开始为这块能力建设做大规模布局，比如提出了几种主流的解决方案来做响应的应对，总结起来无非如下几个大类：

　　1） 提升感知能力-激光雷达+高精定位+车路协同；

　　2） 训练感知性能-影子模式采集系统；

　　3） 加强数据记录-数据记录系统；

　　4） 实现事后监控-自动驾驶车辆监控系统；

　　以上前两者主要是基于前端开发的数据采集来进行的算法能力提升，后两项则是通过事后监控来实现的过程分析和追责。

环境感知能力提升

　　蔚来汽车或者特斯拉频繁出事的车辆无非归结为两大重要原因，一个是当前自动驾驶车辆中的毫米波雷达或摄像头对环境中的静止目标不识别，或者说高速接近前方静止目标时，不做任何反应（这也是当前蔚来汽车出现事故的主要原因）；另一个则是由于大部分依靠视觉探测在夜间或者强光下往往会致盲（目前特斯拉车辆出现的大部分事故都是由于视觉受限引起的）。

　　前者通过激光雷达也可以很好的解决静止目标的探测问题，因为激光雷达的扫描可以针对前方任何不同类型的障碍物，甚至覆盖多个异形车辆、落石、交通事故车等场景，因此，在中低速情况下可以很好的解决对于前方静止目标的探测和避撞问题。此外，激光雷达还可以很好的解决近距离目标临时切入这一工况下造成的碰撞问题，且通过仿真测试我们发现，应用了激光雷达的感知场景相较于传统的Radar+Camera可以提升50%以上的识别率。

　　但是即便这样，在高速接近前车时仍旧是无能为力，因为即便是别到了对应的静止前车，在当前车辆的高速状态下仍然不能保证能够减速刹停。这里我们可以举个极端的例子：

　　比如以当前远距离激光雷达所能识别到的前方常规轿车目标距离为300m，如果是一般的摩托车则会小于200m，如果按照自动驾驶激活的速度来说为0-120km/h，以最高速接近前车，在这个速度下容易产生了两种不同的安全隐患：

　　其一，当车辆识别到目标后为了避撞，则会以平均减速度为2.77m/s2左右做急刹车，容易造成车内驾驶员或乘客较大不舒适性；

　　其二，当车辆无法及时识别到静止目标，或者识别到该静止目标的时间过晚时，则会造成与前方环境目标的碰撞；

　　基于此，加入车路协同能力建设就显得尤为关键了。我们的目地视预判前方危险目标，可以很大程度的提升识别距离为及时有效的制动提供保障。当然，当前这代产品的自动驾驶还无法真正意义上的实现车路或车车信息通信。

　　后面一种由于晚上光线不足导致无法准确的目标探测问题，则有两种解决方案，当前采用的是自车激活自动大灯的方式进行缓解，实话讲这只能解决较近距离下的车道信息探测，通常情况下，这种距离的探测不会超过150m，这种大灯状态对于车道信息的探测能力也只

是杯水车薪。为了根治这类型的问题，可能只能采用搭载夜视系统的

方式进行性能提升了。车辆数据采集训练系统部分主机厂、供应商为了应对当前自动驾驶系统在环境认知和数据训练中的不足，往往倾向于采用装备更多的采集设备，开发有效的环境采集分析算法来获得场景训练库中的数据模型。目前绝大多数研发机构在测试自动驾驶系统的过程中，一方面，发现自动驾驶算法无法覆盖当前工况，测试人员靠手工记录问题；另一方面，随着自动驾驶数据采集方案的部署，以Tesla为例开始分析真实用户在驾驶过程中的特征数据来改善和升级当前的自动驾驶算法。

　　1、 影子模式运行原理

　　自动驾驶系统的开发、测试数据集的建立需要依赖众多数据源和数据域，从而确保自动驾驶可以达到必要的安全水平。同时，通过映

射到模拟驾驶员驾驶风格的仿真系统，可以实现自动驾驶系统的仿生优化。

　　影子模式的整个系统架构表示

如下，包含搜集大数据、车端数据模拟分析、触发记录、云端管理、仿真重构和算法快速测试。其中涉及大量的场景分析建立特征级数据语义表达；采集驾驶员操控信号进行驾驶员行为合理性分析；采集车身反馈的行驶数据实现控制指令差异性分析；基于该行为差异性数据-机理分析来实现学习型网络的分类触发和控制；最终以一定的模拟训练算法来定位是环境感知问题和决策规划问题。

　　那么真正的影子模式真的能够解决大部分数据搜集、标注及算法的训练问题么？笔者认为还是存在一定的不确定性。

　　2、 影子模式的短板

　　“影子模式”的核心在于，在有人驾驶状态下，系统包括传感器仍然运行但并不参与车辆控制，只是对决策算法进行验证。且过程要求影子模式可以提供更多更大范围的极端工况，包含标注的和非标注的训练数据。而影子模式都是依赖人类司机的驾驶决策来标注和触发数据回传的。因此，影子模式算法跑起来的整个过程仍旧是需要确保自动驾驶芯片具备较高的算力能力的。同时，触发机制是以驾驶员操控为合理性的标准来触发系统的记录行为的，而这种判断标准并非一定是正确的，比如该减速的场景，驾驶员确大踩油门或大打转向等。另外，对于影子模式的评价机制并不科学，因为自动驾驶的算法是否精准是需要定位到具体的感知、规划、决策、控制这四个子模块中，而最终表现形式往往只有一种。这就使得在后续数据分析中并无法准确定位出具体是哪一个子模块出了问题。且影子模式采集车辆不一定都是自动驾驶车辆，有可能是辅助驾驶车辆，面向是L2级，这类辅助驾驶车辆能否用于L3级是不确定的。因为数据采集的传感器，规控模块所触发的记录端算法都不一致。

　　基于此，即便是像很多开发者所倡导的在自动驾驶车型上装备整套影子模式套餐，可能也没办法真正做到弥补车型对几乎所有场景的标注和探测学习需求。

　　自动驾驶车辆监控及追责系统

　　搞自动驾驶，其实没有人愿意牺牲，更不愿意给机器或者算法给牺牲掉了。那这个核心问题就变成了，一旦出了事故，整个过程中发生了什么，为什么会导致事故，需要有个清晰的记录和回放的过程，在测试验证乃至后续路试的过程中，出现的每个事都可以在一定范围内回溯。当前比较中肯的是自动驾驶数据记录系统，该系统也是国家标准委员会要求下一代自动驾驶功能车辆进行强标的系统。然而，值得提及的是，自动驾驶数据记录只是从车端角度记录发生安全事故的整个过程中车辆本身、驾驶员操作、周边车辆的相关信息。我们做开发的人员需要了解的更多才能更好的分析车辆数据，不仅是面向事故场景，更多的用于开发场景中的场景建模、数据标定的情况。

　　特别是在2021 年 4 月 7 日，工信部发布《智能网联汽车生产部门及产品准入管理指南（试行）》（征求意见稿），对 L3 级以上自动驾驶功能车型准入上市提出如下要求：

　　“要求建立健全企业安全监测服务平台，保证产品质量和生产一致性，对（每一辆试验）车辆运行状态进行监控，记录测试车辆行驶轨迹、控制模式、车辆运动状态参数、驾驶员及人机交互状态、行车环境信息、车辆执行机构控制信息、接管信息等数据。“

　　对于汽车生产企业，同时也希望通过监测平台，实现对自动驾驶车辆运行状态的监测，通过对自动驾驶车辆数据的记录、用户行为分析、车辆故障分析及自动驾驶系统的运行状态的统计分析，支持产品持续迭代优化、故障分析、事故定责等。

　　目前在自动驾驶车辆运行中已有相当的企业已经建立了对车辆运行监控的能力平台。如长安、广汽、中汽研等企业正在开发对于新能源汽车的监控平台：包括车辆状态、轨迹、电池电源等的实时监控；对车队运行进行统计分析，历史轨迹回放等；同时包括对电池电驱系统实时告警分析等功能。不管是新能源监控还是自动驾驶车辆监控，本质上是利用车联网数据进行深入价值挖掘，从车辆运行监控、分析及故障告警等维度，提升企业对车辆的管理和车辆网数据利用。

　　下面来说说整个监控平台的功能划分，如下图所示，监控平台是主要用于针对自动驾驶车辆运行功能及状态分析的业务层级，同时对自动驾驶车辆运行状态或使用频次的统计分析。其中从下至上包含6大业务链，依次为底层功能管理、基础功能管理、统计分析管理、数据分析管理、平台对接管理、顶层监控管理。从事故分析角度出发，整个过程完全可以做到无缝的监控车辆中对自动驾驶信息状态的搜集，用于后期的责任划分看来是不可或缺的。

总结

　　目前，无论从国家规划、企业能力建设，都希望在2025年能够从一定意义上实现真正意义下的自动驾驶，至少在其所规定的ODD范围内，能否让驾驶员可以完全不用接管车辆，甚至不用关注车辆的驾驶情况，但是真的行么？笔者是持保守态度的。究竟是单车智能还是车路协同，还是两者都要？传感端是走高成本的激光雷达还是纯视觉技术，还是混合感知？这些都尚在探讨过程中。当前无论是特斯拉还是蔚来在自动驾驶道路上踩得坑都足以让我们警醒，自动驾驶还有很长的路要走，当然也有一些主机厂在打擦边球，比如提出首先实现自动辅助驾驶功能，但是这也需要提供较好的用户说明须知以及人机交互说明，避免误用滥用。本文所提及的对自动驾驶车辆行驶可能出现故障的一系列措施可以从一定程度上提升对于自动驾驶开发和应用的信心，希望自动驾驶之路仍旧是一条被人们所认可和信赖的道路。

面向SOA服务的智能汽车

高性能计算平台布局与测试方案

作者：Paul

　　车载算力平台的发展：功能集成度、算力需求、软硬件复杂度、通信需求指数升高；随着EE架构发展，逐步走向计算中央化、数据和能源区域化的形态。整车EE架构与车载算力平台发展的瓶颈在于其简单的逻辑处理、软硬件不通用、应用功能固化、软件不可迭代等不利因素，导致当前这代智能驾驶产品的应用能力无法真正适用于未来的智能汽车开发过程。对于下一代自动驾驶来说，需要强大的数据处理能力，比如使用千兆以太骨干网，5G高带宽，AI计算平台技术；同时，开放的API与IDE也可以将多种传感器数据进行融合，实现数据与API的开放共享，从而拥有强大的应用管理程序APP开发集成环境。

　　为实现智能车载软件的快速开发，包含面向服务的设计过程，应对不断测试过程中出现的新场景的快速迭代，满足客户千人千面的需求，缩短整个汽车开发周期。此外，通过软件的快速部署，软硬分离，软件重组，应用新增，实现外部资源的有效整合，增加车辆服务的丰富性。

　基于SOA的集中式域控架构设计

　　对于高性能计算平台而言，通常采用集中化跨域融合的域控架构，需要实现多存在于互联类功能或域控间直接交互实现的功能，通过单一大脑HPC+区域控制的架构方案，要求区域控制器承担代理（Proxy）功用，往往与面向服务的SOA架构一起绑定来进行设计，这将导致灵活性扩展性较高的SOA在下一代集中式域控架构中的渗透率将非常高。

　　采用SOA设计理念，在SOA服务中实现软硬件解耦，控制IO虚拟化、服务化。进行车内多层级服务的定义和部署是下一代域控平台通用的设计方案。对于集中式域控制器平台而言，设计过程中需将车辆控制、自动驾驶、智能座舱多域融合，硬件资源共享，数据实时共享域控硬件：各领域内最先进的芯片，通过高带宽低时延Switch级联软件，除了实现实现算力扩展和多域融合，也可以实现高安全、硬实时OS、中间件及应用运行环境域控与其他控制单元之间通信。

　　如下图显示了一种基于中央计算单元+区域控制单元的物理架构，对于实现真正的中央计算平台而言，还需要设置1-多个区域控制器PDC、VDC等组成的环网架构用于实现数据和能源网关的功能，从而减少线束数量/长度，优化能源智能化管理模式，有效提升中央域控制器软件化的功能。

　　此外，对于上述大数据交互来说，也需要设置相应的交换传输单元进行相应的数据交换。这些交换单元包括PCIe Switch、Ehternet Switch、TSN Switch；其中，PCIe Switch满足算力芯片之间的实时大数据交互；解决高带宽、低延时的痛点需求实现任意端到端之间的数据传输，且带宽在20Gb/s以上，物理隔离，单点失效不影响系统失效。TSN Switch具备CAN/CANFD/LIN到以太网的双向传输协议转换功能。实现了TSN协议中的NC/EE/BE不同优先级数据流转发和数据交换。可兼容其它符合车载规范的TSN设备。 Ethernet Switch 用于连接以太网之间或者以太网与快速以太网之间的交换机，该交换机通过物理编址、网络拓扑结构、错误校验、帧序列以及流控，从而节省了资源和时间，提高了数据传输的速率。

　　这里我们需要说明一下，集中式域控设计中需要支撑SOA实现的技术载体。包括了面向服务的通信SOC：DDS、SOME/IP等及服务接口定义和实现；同时面向服务的软件架构支撑SOSA：如AP，是可满足功能安全的一定实时性要求的方案；面向服务重用共享架构设计SORS：自上而下与自下而上的结合，保证服务重用共享以及扩展；

　　基于SOA范式的产物包含了服务实现的代码/模型，集成了（服务代码+SOC代码+支持SOSA系统环境）的控制器，整车由该控制器组成的子系统。下图显示了一种典型的对域控来说基于SOA从系统设计到代码实现模型的流程图。

　　基于SOA服务的终端测试

　　1、基于SOA服务的终端测试流程

　　对于下一代自动驾驶系统SOA来说，除了应该明确掌握SOA本身的定义外，还需要掌握如何测试SOA，了解其实现的技术产物是什么，基于SOA的实现实体又是什么，基于SOA理念的新EE架构将如何开展测试。本章节将详细讲述SOA的测试流程和方法。

　　要清楚了解SOA的测试流程，

首先需要掌握SOA的设计流程。他包括9个子流程，分别如下：

　　A1：整车Feature List定义；

　A2：Feature的usecase分析；

　　A3：逻辑子系统定义；

　　A4：功能需求规范；

　　A5: 针对SOA服务和服务接口定义，其中服务包含从可行性和必要性角度，哪些功能适用于作为服务，定义其颗粒度，基础服务、扩展服务、应用服务，同时需要定义服务接口；

　　A6：网络拓扑定义；包括定义拓扑结构、所需通信技术选择；

　　A7：功能分配和服务部署；

　　A8：面向服务和面向信号的通信设计；

　　A9：开发（AP、CP、ROS、COTS等平台选择）集成、测试；

　　对于SOA测试对象来说，是参照一种树形结构的方式进行测试的，如下图所示。

　　首先，是需要进行整车层面分析，使得整个过程更加智能（如自动/辅助驾驶、人车监测）、更加友好（如语音控制、娱乐冲浪）、更加灵活（如功能升级）；其次，是要进行系统层面分析，包括传统基于信号的分布式功能实现，基于高内聚低耦合的服务及服务组合实现，实现混合异构。

　　在下一层是进行部件层面分析，包含ECU功用和形态分析，即实现“阶层”分化。首先是核心阶层、大脑级，包含域控制器、计算平台多系统多处理器AP+CP，应用服务的提供者和消费者，大网关。桥梁中枢，新生代的区域控制器（VIU类），大量通信端口与IO同时存在，CP；区域网关/代理网关（S2S），兼顾区域部分控制功能，提供基本服务和扩展服务。延续过度，夹心层：底盘控制、被动安全类，典型嵌入式系统，功能安全即实时性要求高的系统；终端层包含传感器及执行器等。

　　2、基于SOA服务的终端测试方法论

　　对于SOA的测试来说，首先需要建立和适配测试规范。我们知道，整个测试的分层包括部件、系统、实车。其中部件和系统级别包括验证功能等行为是否与需求规范一致；对于实车来说需要确认是否满足用户、法律法规等需求。

　　测试的关键是基于需求规范、用户使用、行业法规和标准角度开发测试用例；基于经验和场景开发测试用例和被测对象。增量和变量需求包括新车载通信技术SOME/IP、DDS、TSN、同步CAN等；新增测试类别包括服务接口测试；新增形态和载体包括服务、S2S、异构型域控/HPC、ZCU/VIU/PDC；新功能和应用场景包括个性化配置、远程诊断、网络/数据安全等。

　　整个测试规范的开发包括，新的车载通信技术测试、服务接口测试、服务“逻辑”测试。

　　这三大测试包括SOME/IP中的TC8的协议一致性测试、基于自定义需求规范和配置规范，开发测试规范，源自经验的鲁棒性和场景测试；DDS中有基于自定义需求规范和配置规范，开发测试规范，如端到端延时、QoS配置不兼容等；TSN中针对AS、开发测试规范及启动、延迟、稳定性等方面的测试。服务接口测试包含基于服务接口规范开发基础服务、扩展服务和应用服务接口定义的一致性测试，消息时序、数据合法性和鲁棒性测试。服务逻辑测试主要是按照不同层级的需求建立部件级、系统级和实车级测试规范，越向上层，测试用例复用度越高。基于SOA特点，将实现机制、应用场景相结合，在不同层级增加测试用例，如可引起资源消耗场景，端到端服务稳定性和交互响应性能测试，服务与信号转换的性能测试。

　　如何搭建SOA的测试环境呢？

　　首先，新架构下面的ECU“阶层”分化，传统“三大件”（包括底盘、车身、动力）控制模式从原始

的感知控制一体机朝向功能实现“高内聚”&“低耦合”的趋势，软件迭代越来越快，ICT等行业的实现技术和流程技术将更多的注入到整个变化挑战中。

　　其影响是在部件级测试中，针对核心控制器的自动化测试更重要，而测试环境的复杂度取决于ECU处于何种阶层。系统级测试则更为重要，环境复杂取决于功能实现方式和分配方案。整车级测试是对传统大VV HIL将一定程度弱化。通常，HIL测试系统常规硬件IO的比重大幅降低，通信资源类型和数量更多，特殊需求采用特殊方案；如TSN、LVDS等专门的通信测试。而对于HIL测试系统软件及工程开发而言，测试系统软件的适应性、扩展性更为关键，这主要可以降低二次开发工作量：如对SOME/IP、DDS、HTTP、MQTT等协议支持。另一方面，仿真环境开发工作将增加：如需要搭建SOME/IP、DDS“参考ECU”的“交互行为”开环模型。对CI/CT的支持：包括系统远程/云端控制、实时监测和自我保护；支持被测对象的远程刷写和编码；支持软件迭代变更点与测试范围的关联等。

　　对于整个SOA测试而言，其测试手段主要包括虚拟ECU测试技术，其中需要了解实现原理、其适应对象分析、前提条件分析、实现关键技术构建等。同时使用汽车行业主流工具链对前端模型、软件代码进行有效测试，同时除“在线”自动化测试外，基于数据的“离线”测试也成为可选和补充。为了保证测试颗粒度更细，可以通过将测试工作前移，快速构建，适配性强，适应“适合于”汽车领域的敏捷开发。

　　如下图表示了针对基于SOA服务模型开发过程中，典型的服务接口测试规范实例。可以看出整体的SOA测试规范、步骤和需求结果。

总结

　　本文首先对基于SOA的集中式域控制器设计逻辑、架构进行了描述，并且对于该设计将如何满足第二部分对SOA的有效性测试进行了关联。SOA的整个开发过程需要进行类似数据闭环，即从设计、开发到测试的整个流程都需要有完整的关联。如果是合作开发的模式，需要分清主机厂和供应商之间的责任界定，确保最终的测试结果满足开发需求预期。当然，无论从开发还是测试，整个基于服务的工具链应该确保一致性，避免出现边缘化不一致导致的结果偏差。

　　正如物理学家马克斯•普朗克所说：科学在一次一次的葬礼中进步，行业的技术变革何尝不是如此，新技术替代旧技术。当前我们正在参与、经历和见证汽车行业的变革——智能网联汽车(Intelligent Connected Vehicle，ICV)时代。

　　智能网联汽车时代，汽车行业已不再是传统的制造业，在汽车新四化(电动化、网联化、智能化、共享化)的推动下，汽车行业开始向以出行体验为中心，硬软件与服务相结合的服务导向性产业转变。智能网联汽车也将成为集成现代信息技术、传感器技术、图像与语音技术、定位技术等，能够实现车与人、路、后台等智能信息交换共享，实现安全、舒适、节能、高效行驶，并最终可替代人来操作的新一代汽车[1]。

　　当前还处在产业变革初期，产业格局尚未形成，发展空间巨大，因此汽车行业自然成为互联网、高科技等企业技术业务拓展的重要场景。这也是为什么2021年互联网、高科技等企业纷纷入局汽车行业。

　　然而对于传统主机厂而言，智能网联汽车时代带来的是不适，新技术的大量引入、行业属性的巨大变化让其不知所措。转型和适应是企业生存的必然选择，但是阵痛难免。

　　对于身处汽车行业的从业者而言，行业变革意味着更多的机会，同时也意味着困恼。

　　新技术的引入给从业者带来更多的转型或者实现财务自由的机会。互联网、高科技等企业的大量涌入，给从业者带来更多择业的机会，同时薪资待遇也水涨船高，

　　对一部分从业者意味着困恼。在智能网联汽车时代，汽车产品竞争力和价值流向从以往的机械品质转移到软件服务。导致传统岗位如发动机底盘内外饰等需求减少，岗位价值降低。对于从事这些岗位的从业者，面临着待遇偏低、边缘化、转型带来的困难和痛苦。

　　转型固然痛苦，但任何固步自封、停滞不前都在后退。以下分享一个发动机专业出身，毕业选择传统主机厂新能源电控方向，后续再转型到自动驾驶的亲身经历。

　　时间回到2015年，那年还在上着发动机原理的课，导师刚好准备参加一个节能车比赛，为了锻炼我们的动手能力，导师要求研一的全部参加，就这样懵懵懂懂第一次接触新能源车。当时我主要负责机械部件的三维画图，整整画了一年，从悬架到车身结构，再到流体仿真。

　　一年后研二下半年了，需要定毕业论文题目和为找工作做准备了。那一年新能源很火，造车新势力多的让人眼花缭乱，因此在毕业论文选题和准备找工作方面，都决定偏向新能源电控方向。但是实践起来确很困难，作为机械出身，仅仅在大学学过C语言、微机原理、模电数电。智能硬着头皮从上网课、刷编程题开始，然后开始学习单片机编程，依稀记得完成第一个流水灯试验点亮时的兴奋，最后借助实验室资源学习电机控制驱动开发和电机测试。

谈谈对智能网联汽车时代的理解

作者：Moco.Wu

焉知原创文章，如需转载请联系：小知 13636581676

　　半年后2016年下半年了，秋招开始了，简历投的都是主机厂或者零部件的电控开发岗，包括上汽、一汽、北汽、广汽、吉利、华为、联电、泛亚等。由于基础不够扎实，面试时都很艰难，尤其是在面试零部件企业时，基础知识问的非常细，经历多次面试打击和复盘后，最后选择了国内某主机厂的电控开发岗，虽然不是最好的，但还是达到了自己的目标。

　　2017年顺利毕业，加入某主机厂，从事电机控制的嵌入式开发。记得刚入职没多久就安排一个比较棘手的CAN周期波动问题让排查，那会儿对CAN总线、项目代码、芯片手册、调试手段等都不熟，每天硬着头皮一边恶补基础知识、一边熟悉项目代码、一边复现现象，那段时间每天下班眼睛和脑袋都很疼，经过近一个月的排查，终于查明了原因，那时内心成就感爆棚(说明一下，这个问题是内部预研非量产项目遇到的问题，所以时间上比较充裕)。

　　之后赶上国内汽车ECU软件开发开始普及AUTOSAR架构，项目组开始考虑引入AUTOSAR架构，让我去熟悉一下AUTOSAR架构。

　　这一干就是三年多，从试用主流的AUTOSAR开发工具链，购买AUTOSAR工具链，搭建电机控制的demo程序验证基础功能，到开发新一代电机控制器的AUTOSAR软件架构，最后到电机控制器量产。这三年多的历练，从小白工程师转变为组内的重要一员。

　　到2021年，互联网、科技等企业纷纷入局汽车行业，可谓是新势力2.0，外面机会急剧增多，再加上在主机厂内部做零部件开发，会遇到很多困难，最主要在主机厂做零部件开发不受重视，因此毅然而然选择离开，进入科技公司的自动驾驶赛道。

　　在刚加入自动驾驶时，第一印象就是做事节凑很快、加班时间长。换入新的赛道后，还是做开发，但是与传统MCU开发不同的是，自动驾驶是基于SOC平台开发，所以很多知识需要补。

　　另外当前自动驾驶赛道太多的公司加入，就像2016年的新势力造车一样，但是现在还有几家新势力造车存活下来了呢？自动驾驶现在只是处在涨潮期，潮退后才知道谁在裸泳，所以在看到机会兴奋的同时，也要构建自己的护城河，保持自己的竞争力。

　　这一路走来，最大的感触就是，我们正在参与、经历和见证汽车行业的变革。智能网联汽车时代，是一个充满机遇和挑战的时代。是想站在“风口上”展翅飞翔，还是在舒适圈躺平，每个从业者都有自己的选择，但是至少你多了一个选项。

　　1、中国汽车工程学会．节能与新能源汽车技术路线图［M］． 北京: 机械工业出版社， 2016．