汽车解放了我们的手脚扩展了峩们的移动范围，也是经济社会快速运转的引擎本文阐述了汽车发展历史，并从软件定义角度出发剖析了这个名词的应用场景，并分析了汽车架构的演化最后从技术角度，介绍了在汽车定义软件中扮演重要月色的AUTOSAR软件开发平台特别是汽车功能安全机制的分析和实现，体现了软件产品的第一要素是安全第二才是功能，任何没有安全保证的炫酷功能只会适得其反走向死亡，高田或许是最好的例子當然功能安全您口说无凭，像一些第三方机构莱茵和SGS颁给您证书你才在市场上具有产品的可信力。所以正值汽车寒冬下外部势力技术封鎖下国内两家国产AUTOSAR大佬，华为和普化刚刚都争相获得了OS模块ASID的产品认证

图2 华为自动驾驶操作系统内核（含虚拟化机制）获得ISO 26262 标准ASIL-D等级功能安全认证

下面是普华基础软件股份有限公司汽车电子事业部常务副总经理张晓先的培训分享： 2020年6月4日，“2020首届软件定义汽车云论坛”鉯网络视频直播的形式顺利召开本次论坛主要围绕“软件定义汽车”趋势下企业的思考与战略选择展开探讨，为业界搭建一个沟通、学習的平台下面是普华基础软件股份有限公司张晓先在本次论坛上的发言：

软件定义汽车是一个很大的题目，很多专家、同行朋友已经介紹了有关这些方面的技术和产品

第一页是汽车发展的历史，我想表达软件定义汽车不是哪一天突然开始的它是一个过程。如果从最初開始实际上软件定义汽车很多的内容已经在实践了，甚至已经实践很多年了

世界上第一辆汽车于1886年面市。134年前第一辆机械控制的奔馳1号，这是世界上我们所知道的第一辆汽车它是完全机械控制的，谈不上软件

这张图把整个汽车发展历史分成四个阶段，可以有很多汾法但是我分成四个阶段，第二个阶段就是70年代通用汽车第一款采用微处理器的汽车。我认为可能就是软件定义汽车的起点为什么這么说？因为软件定义汽车我认为可以有很多的维度去讲这件事情，不是一个定义所能涵盖的软件定义汽车有一个从局部到范围越来樾广的过程，从深度来讲有一个逐步深入的过程；从模式来讲，也有模式逐步创新的过程 　　70年代通用的第一款采用微处理器的汽车，里面采用的微处理器以及对应的软件去实现汽车上至少一个点的功能，我认为就是软件定义汽车的起点它所实现的是局部的功能，采用电子信息技术去实现

接下来我们看到2002年奔驰的e-class基于网络电控系统车型，这个车型跟传统汽车上的电子电气架构有联系在这个架构仩面，不是一个功能而是有很多功能都是用电控去实现，软件已经在每一个控制器上发挥了很重要的作用去实现每个控制器上的特定功能。

我认为这是软件汽车的发展从最初实现单个功能，到实现汽车上普遍的很多的控制功能

我们看到最新的，可能很多朋友认为软件定义汽车重要的标志或者说我们认为所谓软件定义汽车应该是这样的，它就是2016年的Waymo源于谷歌无人驾驶项目，可能更早就已经开始了但是2016年可以作为标记，Waymo的成立无人驾驶汽车采用人工智能的技术，去实现汽车的感知决策和控制完全和以前的电控技术、软件技术昰不同的。

关于“软件定义汽车”的定义我前几天在百度上面看了一下，当然用百度查出来是百度最先提出来的软件定义汽车，不是甴于机械的原因或者是功能上决定一个汽车的状态而是由于软件定义汽车的状态，特别是人工智能的、AI的软件这才是软件定义汽车源於百度的解释。

这是有不同的解释和不同的阶段我认为这都没有关系，软件定义汽车是一个过程未来是什么样，可能没人知道我试著做一些预测，或者说我看到一些可能发展的未来我下面会继续讲。

第二页我还是说一下过去有一点点未来，但是大部分都是过去

汽车上面软件实现了控制器上的功能，过程是逐步的从一个单点的功能到车上越来越多的功能范围的扩大，也从一个单点功能的深入軟件会越来越复杂，这是一个深入这两个维度都是在不断发展的。

1980年我认为和第一辆采用微控制器的汽车的时间点是有契合的也就是說一开始软件发动机喷油点火的控制，这是最初汽车电子的功能

大概到1990年，慢慢扩充到车上的信息系统、舒适系统实现电子控制进一步发展到车身控制，就是安全例如防盗的设计，车身的门锁设计也有被动安全，例如汽车的气囊这样一些系统都采用了电子技术，這里面很重要的就是软件算法对功能的实现

在2000年，安全系统又有了一个更新的要求就是从被动安全向主动安全去发展，主动安全由于峩们需要在没有发生事故的情况下去避免事故这样的需求出来之后，对软件就提出了一些更新的要求特别是更高端的传感器技术，我偠预测路上会有一些什么车刚买就出问题怎么办然后去避免这些车刚买就出问题怎么办，在没有发生事故之前就去防范这些危险，这昰一个软件功能的增强

在2010年，我们会看到有更多的功能引入进来包括用户体验，这是很多公司提升驾驶员体验方面的电子系统我认為在中国的汽车市场上面，特别注重这个包括互联网技术，互联性技术都会在汽车里面用。这是一个更新的发展汽车上面的网络越來越重要，网络不仅包括车内网络也包括车和车之间以及车和路之间，以及车和外界云端互联性

2020年看到的未来，我们现在已经是现实所谓高级驾驶辅助系统，在很多车型上面已经出来了至少在新车型的发展方向上是一个非常非常重要的系统，高级驾驶辅助系统就是說我能够在路上面去做一定的规划去感知路上的情况，去协助驾驶员协助车辆主动的或者说自动驾驶，或者说智能驾驶实现这样的功能。将来会发展到无人驾驶这是非常重要的技术。

这样的功能出来之后对软件和电子系统提出了一个更新的要求，主要在什么地方主要在过去我们所讲的功能，都是在单片机上实现的不需要太多的计算资源，既使是互联技术也是一部分相对来说深嵌入实施的系統。

当高级辅助驾驶系统出来未来到自动驾驶、无人驾驶系统出来之后，对计算平台的要求就会越来越高计算能力单片机或者NCU是能够滿足的要求，不仅对芯片而且对软件的架构提出更新的要求，这是一个巨大的变化这是汽车电子的功能在过去若干年以及以后会发生嘚变化，这里体现的就是软件定义汽车的范围在车上面不断的扩大以及深度在单个系统里的功能性越来越复杂。

下面再看一张图这张圖反映了汽车电子成本占比的发展趋势，前面是从技术的角度看这个车刚买就出问题怎么办现在从商业的角度看这个车刚买就出问题怎麼办，在一辆车上面汽车电子成本占到多少。在1950年早期汽车电子成本占整辆车的成本是微不足道的，非常小后来呈现了一个上升的趨势，一直到2010年我记得普华是在2009年成立的，在那个时候我们看到的数据是一个车上没有到30%的比例大概在20%多的比例，当然已经是相当高嘚比例买一辆车或者一辆车制造出来成本，电子部分所占有的成本已经要占到1/3的数字到2020年-2030年比例会继续增加，这反映了我前面讲的功能的不断深入范围的不断扩大，复杂性不断增加必然导致汽车电子的比例越来越大，这是必然的趋势

我们再回过头来看技术，从技術看到商业再看一下技术。这张图已经有朋友用过这张图是麦肯锡的调研报告，它归纳了很多其他方面的研究综合这些方面，不是洎己提出来的但是我觉得综合的还是蛮好的。

汽车电子电气架构方面功能在汽车上的分布，归根到底是这样的定义在整个历史上面昰分成五个阶段，目前可能处在第三个阶段从大的概念来讲，到目前为止我们看到很多车辆都是以分布式的电子电气架构为主，所谓汾布式就是没有中心的一辆车上没有中心的，每个功能有每个功能的电控系统这些电控系统形成一个网络，这个网络是CAN总线的网络仩面会有很多报文传递，这样的结构

第一阶段、第二阶段、第三阶段无非是这个网络会越来越复杂，综合来说还是一个分布式的结构會从单个系统变成一些子系统，这些子系统之间的连接会越来越多，会有一些交叉性的功能互联这是目前电子电气架构的状态。

大家巳经谈了很多电子电气架构中心化的电子电气架构会出来，每一个域代表不同的功能一个车上跟动力有关的会有一个域，跟车身舒适型有关的会有一个单独的域每个域里面的控制器会有一个共同的特点，会对一些传感器的资源有一些共享实时性要求、安全性要求有┅些共性，在每个域上面这时候有一些公共的软件，我们看到蓝色的部分就是域控制器上面实现，域控制器可以规划下面具体的控制器的功能分布这是第四个阶段。

再往下整车会有一个中心的结构这个结构是计算平台，智能驾驶的大脑现在还不能确定，有很多方案会往这上面去设计但是我们知道很可能的一个架构特征就是域会融合，不是截然分开不同的域而是说每一个域和每一个域之间功能會互相融合，这种结构上很多资源可以共享，比如传感器很多控制器可能会共用一个前端的传感器，传感器会把数据先做域处理处悝之后后面控制器里拿到处理过的数据，然后去做功能

另外一方面，过去讲的域控制器相互之间可以做融合。第二个是功能可以互为囲享或者说互为冗余等等，这些方面的新设计都可以基于这样的架构出来我们现在可能看不到新的设计，因为我们的架构限制了我们嘚眼光这个架构变化之后，很多新的设计很多新的思路可以根据这个架构生发出来。这是电子电气架构的发展趋势软件定义汽车可鉯在新的架构里面生发出新的思想，有新的功能出来

我们再看另外一个维度，这个表大家比较熟悉我们的历史还可以这样来讲，用自動驾驶的分级讲历史在这个过程中，完全人工驾驶的汽车是L0级的汽车完全听从人类驾驶者的指令去工作。在这个之后L1级就是所谓的輔助驾驶，辅助驾驶就是对加减速以及转向其中一项来提供车辆的辅助驾驶员来负责区域的驾驶动作，这是辅助驾驶概念比如说我在荇驶的时候，可以跟随前面的车辆自动巡航的功能，在道路上跟随前面的车辆当你在高速公路上的时候，可以大大减缓驾驶的辛苦這是L1级的辅助驾驶。

到L2级我们就可以对多项操作提供辅助，包括方向盘的转向和加减速多项操作来提供车辆的辅助，典型的就像自动泊车自动泊车就是一个L2级的典型应用。

L0-L2阶段行驶的责任，法规要求一旦出事故之后责任是人类驾驶员，人类驾驶员一定要负责所有嘚驾驶动作现在很有争议的一点就是最近大家一直在讨论的L3级，有很多汽车企业说L3级不做跳过L3级。为什么L3级在责任上是不清楚的，L3級因为是有条件自动驾驶就是由车辆完成绝大部分的驾驶操作，人类驾驶员不需要做驾驶操作但是需要保持注意力集中，以备不时之需这个讲法就很麻烦，我不确定像特斯拉在行驶的时候，人类是可以放弃控制的但是需要随时准备接管，这种情况下一旦出事故的時候责任到底是车还是人的，这是会有争议

这是L3级所谓的有条件自动驾驶，当然有一些事故发生某些车型有条件自动驾驶的情况下，出了事故会造成一些争议甚至一些诉讼，都会有

往下就是L4和L5，L4就是车辆完成所有驾驶动作人类驾驶员无须保持注意力，但是在限萣的道路和环境条件下也就是说路是限定的道路，不是全部的路况在一个封闭的环境下面，或者说在一个开放的环境下某个城市或鍺某一个区域特定的道路状况下面，在这种情况下L4级的高度自动驾驶责任很清楚，是由车辆来负责人类不需要接管车辆。

目前很多研究都是围绕着L4级驾驶来进行的最终级的状态就是L5，在所有场景下对路况，对范围都没有限制的情况下由车辆完成所有的驾驶动作，這是一个自动驾驶的分级对历史的阐述

对于软件定义汽车这样的概念，有各种各样的角度去看从汽车历史的角度看，可以从汽车电子系统功能的角度看可以从电子电气架构的角度看，也可以从自动驾驶等级角度去看我这里有一个我个人的想法，我们怎么去定义它從各个角度是有不同的定义，但是我认为从软件的角度有一个我的想法

第一个软件定义汽车我认为到目前为止可以把它分成三个阶段，這三个阶段都可以看到都不是未来。

第一个阶段预装系统，在汽车电子的控制器上面去设计软件去实现特定的功能，传统的汽车出來之后它的发动机控制系统，变速器控制系统车身控制系统，主动安全和被动安全系统我认为是一个预装系统，长久以来当车厂推絀一个车型之后如果这个车型在世界上卖了一千万辆车，一千万辆车都是一模一样的我们的预装系统确保了上面的软件实现特定的功能，这些软件和这些功能都是固化在这辆汽车上的不管在哪里买到这辆车，这辆车世界上都是一样的这就是软件定义汽车第一个阶段，预装系统

第二个阶段，这些预装系统可以在行驶的过程中在车主使用的过程中，让它升级、更新、改写这是第二个阶段。第二个階段像蔚来汽车或者特斯拉用OTA把软件版本升级到新的版本上去，不断升级形成新的功能同样一辆车可能会具备更强大的功能。

第二个階段的状态下如果一个车厂一个车型在世界上卖了一千万辆车，可能会有500万辆车车主没有动力去升级，我不关心我不需要升级，可能还有300万辆车是升级了一次变成了2.0，还有200万辆车升级了两次变成了3.0。这个世界上可能会有同一个车型会有不同的版本，不同版本的車在不同的软件版本实现不同的功能

第三个阶段，我认为基于环境的学习、迭代、优化和个性化特别关键的就是个性化的软件。我们現在是不是有我觉得应该或许会有一些，就是在驾驶员的个人体验上面可以做一些初步的个性化。个性化的含义是什么打个比方。洳果我出差到一个外地的城市我要租一辆车开，我租到一辆不熟悉的车当我开的时候，车的响应和我的预期是不一样的我经常会碰箌这种情况，有的车敏感性会强一点有的车敏感性会弱一点，或者说动力会弱一点这种情况下一开始开会不舒服，慢慢的时间长了戓者一天两天，你会变成驾驶员适应这辆车的特性

这是一个不太好的选择，就是驾驶员适应不同的车第三个阶段的软件定义汽车意思昰什么？就是说车应该来适应驾驶员而不是驾驶员去适应车。车应该在行驶的过程中学到驾驶员的期望，对他的期望然后不断迭代優化，这辆车可能知道驾驶员开车的时候是一个比较喜欢开快一点的，响应快一点的或者说我是一个想开的稳一点的，每个人的想法鈈一样车的算法应该是慢慢的去适应驾驶员。在安全的环境下去适应它变成一辆最适合于驾驶员的车。

在第三个阶段如果实现我相信世界上如果车厂生产了一千万辆车在世界上，就变成一千万辆完全不一样的车每辆车跟车主的个性和性格习惯是有匹配的，这是我的想法三个阶段是软件定义汽车的，我们现在看得到的过程第一、第二阶段都已经有了，第三个阶段或许有一点点可以看到但是大批量的我认为还没有，这可能是未来一条路线

如果做到这样的方向，我认为有一个前提条件前提条件是什么？就是车上的硬件变成标准囮软件的优化、升级导致车辆功能的变化。跟我们在很多行业里所看到的一样标准化的硬件加上变化的软件才会实现各种不同的功能，或许汽车行业的朋友会说标准化的硬件意味着什么？标准化的硬件比如一个控制器硬件可以去适应很多很多软件的要求，必然要求硬件的资源会更大更冗余。

标准化的硬件还有一个是什么情况就是说我们硬件的连接可以有一个更柔性的做法，现在整个车的电子电氣架构是固化的一辆车量产之后，100%是固化的在未来如果说我们需要做软件定义汽车，标准化的硬件可能会增加一个柔性组合的连接財可以实现。

所有这些前提条件意味着什么意味着成本，大家知道成本会增加成本增加，这是汽车厂不希望的成本是非常重要的因素。

我觉得解决方法是什么标准化的硬件，一个硬件适用于不同场景就硬件本身而言肯定会增加。但是我们想所有的车型都可以共享┅些硬件硬件的量可能也会帮助成本逐步下降，从预算已经看到硬件在整个车上的成本是在不断下降的，未来可能会继续这样的趋势所以标准化的硬件不是不可能实现的梦想。

　　另外在标准化硬件上面软件要进行迭代和优化，软件有一个必须的要求就是它必须囿高内聚、低耦合的特性，软件不可以是一个黑盒必须有体系架构，体系架构具备高内聚、低耦合、模块化的特性同时要有一个很好嘚方法论，软件在不同的功能、不同的硬件上快速做开发

这是我对汽车上软件定义汽车方面的想法。它会带来一些挑战有三个方面的挑战，第一个是架构设计的挑战我刚才讲到的软件的架构，如果要做成高内聚、低耦合以及可以快速的有效率的开发这是一个新的架構挑战。第二个功能安全的挑战本来我这个题目就是讲功能安全的，我可能会讲一点但是我会把功能安全大部分留在后面另外一个话題去说。功能安全挑战是什么当我们说软件是可以不断迭代升级优化甚至个性化的时候，软件的验证如何来做我们在生产之前必须要莋验证，必须要确保可靠性这对传统的功能安全概念会是一种挑战，新的挑战

信息安全的挑战，信息安全意味着数据是不是得到有效嘚保护因为数据会在不同的电子系统里面去共享，甚至会通信会重复使用，信息安全如何保障下面对三个方面分别做一个阐述。

第┅个方面架构的挑战。架构的挑战就是我今天题目上讲的软件定义汽车和AUTOSAR的关系AUTOSAR是这样一种结构，AUTOSAR提供一个标准化的接口和层次化的隔离有利于应用基础软件、驱动、算法单独的开发，这是一个低耦合达到的效果它可以大幅提高汽车电子的研发效率和研发质量。下媔这个图显示的是过去软件和硬件耦合性非常强AUTOSAR低耦合区分的内容远远比这个图示意的更多，下面我会在合适的地方讲隔离和效果

功能安全的挑战会是什么样的？左边这张图是功能安全的标准就是主流标准IOS 26262，在功能安全里常常听到功能安全等级右边是方法，我们会紦一个系统从三个角度去看比如要做一个发动机的控制系统，我们看发动机控制系统一旦发生故障严重度是什么最左边这一类就是第┅个维度，严重会导致轻度或者中度的伤害还会危及生命，还是会造成必然的致命的伤害发动机控制系统在严重等级上处于哪个位置。

暴露度故障发生可能性比较低，还是中度还是高。

可控性当故障发生的时候，我们能不能有效的控制它或者说很容易的控制它，还是它是不容易控制的如果这三个角度，严重度、暴露率和可控性都是非常高那个时候我们就会把它定义到右下角等级最高的安全等级，SOD等级红色的SOD等级意味着控制器一旦发生故障，一定会造成人命的伤害开发的时候一定要用最高的安全等级，最高的强有力的功能安全方法去开发它避免造成风险。这是功能安全对挑战所提出的解决方法

当然，软件定义汽车最近也听到一些讨论，传统的功能咹全架构是不是能适应未来软件定义汽车的要求因为软件定义汽车，软件是一个动态的而不是固化的，你能不能用同样的功能安全的鋶程去验证这个软件这是未来提出来的车刚买就出问题怎么办，但是我觉得至少我们现在的ISO26262这个流程对我们解决这个车刚买就出问题怎麼办提供了很好的借鉴在现有的系统上非常的有效保证功能安全的手段。

汽车软件的信息安全的挑战现在的车已经跟外部有非常多的連接了，虽然这些连接还没有到我们想象中那么多我们现在的连接主要是用于车辆的导航、信息娱乐，一些信息的监控监管把一些数據上传，还没有到通过互联网技术去影响驾驶的程度但是已经有非常多的数据在车和车之间，车和车外部的通信 我们需要有对信息技術保护，进行控制的技术手段这里主 要是一些数据的通信安全机制，我们要有一个完整的车内通信和车外通信安全机制我们要有一些驗证，对数据来源的验证和数据本身认证正确性和时效性

我们还要对加密解密算法，做一些轻量级以及高效的优化使它适用于车内的環境。除了具体技术之外我们需要一个信息安全体系。跟功能安全相比信息安全体系可能还比较滞后，对功能安全来说我们很清楚嘚流程标准ISO26262已经定义了，我们首先要做危险危害分析和风险评估对这个系统，我们要去设计这个系统的功能安全技术概念如果是一个系统需求，如果是一个软件就是软件需求规格。

我们要做系统设计以及硬件和软件的设计和开发实现，最后做验证和确认这些步骤昰一个方法论，有很多具体的要求、手段在这个方面来实施这是功能安全方面比较成熟的流程。在信息安全方面还没有这样的标准化流程目前还没有公认的标准化流程出来，这是需要我们根据车辆的发展和信息安全的要求再去设计和建立起来的体系。

整体安全就只有功能安全和信息安全都完善的情况下才是真正的安全。

下面我介绍一下AUTOSAR的解决方案前面讲了一部分AUTOSAR怎么提供低耦合、高内聚的架构。AUTOSAR結构目前来说AUTOSAR组织在汽车里面得到普遍应用的主流的结构。在这个结构里面是一个模块化的，我们看到不同的颜色从下面开始，硬件上面会有一层驱动以及IO驱动隔离软件和硬件的差异性。

驱动之上会有抽象层软件访问驱动也是统一的接口，包括板级的存储硬件嘚，通信的还有IO硬件的抽象层。再往上是服务层服务层就是提供一些底层的软件功能，包括通信服务包括存储服务，包括系统服务系统服务里面就包括操作系统。

三层叫做基础软件基础软件之上会有一个运行环境，是虚拟软件总线的意思就是说隔离掉应用软件囷基础软件，使得应用软件和基础软件是低耦合的状态这样的结构是可以保证我们在基础软件设计的时候，随着模块关联性是低耦合的假如说最典型的是芯片，如果换了一种芯片A芯片厂商换成B芯片厂商，底层的驱动层是需要变化的但是除此之外，上面的抽象层保证叻所有的软件包括基础软件和之上的应用软件，都是不需要做改变的

下面一张图更细的，也是AUTOSAR典型的图这张图显示的是AUTOSAR里面所有模塊之间的接口，刚才讲了底层的隔离性可以改变芯片，不影响基础软件往上看，RTE起的作用是隔离应用软件和基础软件有什么好处？矗接的好处是做应用软件的朋友可以不用依赖于某一个供应商的基础软件，如果按照AUTOSAR方法论从A公司，从普华公司的基础软件或者从另外一家国外公司的基础软件对上层应用的影响是不大的，因为你是直接通过RTE接口来和基础软件做交互。这是一个基本的好处它可以囿更深入的好处，AUTOSAR本身的思想是要求应用软件也是一个组件化的开发，这个例子上就有三个组件这是典型的AUTOSAR设计方法，你在设计一个應用系统的时候你有算法的部分是一个组件，执行器的部分让执行器动作的那部分软件组件，还有一部分跟传感器相关的

这三个软件组件通信都是通过AUTOSAR进行的，组件之间的数据通信是通过抽象程度非常高的接口这个接口对一个软件组件来说，需要往总线上发数据的時候只是发送一条消息。至于说总线到底是在一条总线还是在其他的以太网总线上对应用软件是不关心的。至于这三个组件我们是茬同一个ECU上，还是在不同的ECU上对于软件组件的开发者也是不关心的。

大家或许会觉得奇怪为什么一个算法执行器和传感器在不同ECU上，將来设计的时候按照AUTOSAR方法论，可以共享的如果有两个ECU，或者三个ECU用同一种方法拿数据，只需要有一个设计出来就可以了

RTE软件总线實现的功能，一方面是隔离了应用软件和基础软件另一方面是隔离了底层RTE以及互相连接的逻辑拓扑。对于上层的组件来说只要发送和接收数据就可以，至于数据在哪个ECU上面以及通过哪条总线弄的，取决于RTE的配置对AUTOSAR的思想来说，软件+配置才是最终软件的实现

基础软件会有配置文件，RTE也会有配置文件配置文件里描述了哪个ECU上面有哪个软件组件，哪个ECU用什么的组件修改软件布局的时候需要修改的基夲上就是配置部分，方法论对于未来软件开发工程化和实现的低耦合复用，以及软件模块的跨平台思想设计这是AUTOSAR解决方法。

AUTOSAR具体来说功能有哪些这是普华产品，但是对所有的AUTOSAR供应商来说都是一样的，因为标准制定是同样的情况我们有操作系统，这是一个核心的部汾有诊断，有标定有网络管理，有通信存储管理，底层驱动有复杂驱动，大致有这么多模块除了RTE，RTE是非常重要的部分但是功能已经描述清楚了。操作系统这些大家都知道了不细讲，因为AUTOSAR操作系统都是需要有精简、性能强特点功能隔离保护，内存保护都在標准里面有定义。要讲的就是说有一个非常重要的特点我这里没有写进去，实际上是非常重要的终端响应和任务切换快，这是不准确嘚对于实时系统来说，当然要性能高这是必然的，要快这是必然的。更重要的要求是确定性多任务的系统里面，A任务如果是定义嘚10毫秒的周期必然在任何情况下都是10毫秒的周期能完成，不可以说在某一种负载情况下面某一种比较困难的情况下面，或者某种异常嘚情况下达不到时间周期，10毫秒并不是很短的周期但是我定义10毫秒就是切实的10毫秒。发生中断的时候发生任务调度的时候，不可以囿预料不到的东西确定性是比性能更重要的特征，任何情况下性能是不能低于时间的，这是操作系统的要求

诊断协议栈包括UDS、J1939，这昰行业里一直在用的我们可以灵活的配置诊断协议，可以配置传输层的时间参数可以用诊断规范，把诊断规范对应到配置上面去可鉯实现多帧传输。标红部分就是跟诊断协议相关的部分

通讯组件，过去汽车上面大部分用的都是CAN总线现在包括以太网，标准通信组件裏面有很多报文需要配置，可以用文件导入的方式降低用户使用的工作量，既然已经有通讯矩阵了直接可以拿来生成配置。中间需偠的时候再具体做一些修改这是通讯实现的特点。以太网实现基于AUTOSAR DR的接口用于封装以太网的数据。

还有很重要的一部分就是标定做標定的时候基础软件必须支持标定协议，标定工具是在外面但是标定协议是在控制器的里面，我们提供的标定模块是实现CCP和XCP两种标定协議可以跟外面的主流标定工具匹配使用。

网络管理跟整车级的能耗网络的状态都是有非常密切的关系，网络管理是具备了静态配置動态监控的功能，我们可以支持两种标准一种是AUTOSAR，也可以支持NM 2.5.3很多情况下整车厂有自己的规范，可以根据整车厂自己的规范配置到相應的区域里面去还有存储管理模块，可以支持flash存储介质等方面的内容

MCAL驱动在AUTOSAR处在最底层的基础软件，也是基础软件一部分提供的主偠是屏蔽芯片上面的差异，向上提供标准的微控制器驱动接口通过MCAL基础软件和芯片的适配性非常强。

我介绍一下普华普华现在跟其他國外的AUTOSAR供应商是一样的模式，基本上在MCAL方面会跟芯片原厂合作由芯片厂提供标准MCAL软件我们做集成，由于提供标准接口之后这个集成工莋会非常高效，包括MCAL和基础软件的集成包括和底层的芯片在运行上的车刚买就出问题怎么办技术支持，这些方面都会有

很重要的一点，我刚才讲的AUTOSAR开发思想是软件+配置实现的用户通过配置适用于不同的汽车电子产品的需求，每一种产品的需求反映出配置是不一样的峩们需要有一个集成开发环境，对产品来说必须有一个集成开发环境的界面通过这个界面对操作系统，对通信网络管理诊断驱动等等进荇数据配置为了减轻配置，我们也提供一些数据文件导入降低配置的工作量。配置项是非常多的其实这个是一个矛盾点，要做到高效率的适用于不同的场景配置项必须多，配置项一多往往在使用的时候会觉得对使用的工程师的要求比较高，就要知道所有配置项的概念怎么样配置会更好，我们会提供辅助的手段包括预定的默认数据放置，包括标准数据的导入还包括冲突的检测，不同模块里面配置如果发生错误我们也会报警和提供建议

这是集成开发环境的界面，实质上我们可以把软件模块和接口定义好每种软件的数据配置仩来，这是AUTOSAR基础软件工具的架构

通常在工程项目里会有一些刷写的工作，BOOTLOADER需要和硬件做适配需要一些更高性能或者更精简的驱动。因為刷写对不同的产品和厂商有不同流程我们要根据流程去设计刷写过程，厂商规范的适应性

中间有一些内容，比如安全模块加解密方面的数据模块，包括监控数据通信因为刷写的时候也有刷写效率，刷写的性能跟设计也是有关的上位机刷写的时候要做定义，支持總线的参数去定义收发地址和协议的时间参数，定义厂商给到的流程设计一些或者说让客户加进来一些安全的认证算法和教研算法，這是上位机的特点

前面讲的是AUTOSAR本身对于软件定义汽车低耦合、高内聚方式的实现，也就是架构挑战的实现方式从安全角度来说，有三個挑战架构挑战、功能安全挑战、信息安全挑战。对功能安全来说AUTOSAR并不等于功能安全，普华做了十年的AUTOSARAUTOSAR本身是有一些跟功能安全相關的模块，但是本身并不代表功能安全

在AUTOSAR里面去实现功能安全最重要的模块是操作系统，因为操作系统实现的任务调度资源管理，时序所有的系统必须要用底层的核心关键功能，操作系统是AUTOSAR实现功能安全的关键如果操作系统没有过功能安全，而是过一些其他模块的功能安全那是本末倒置的做法，做AUTOSAR产品如果达到功能安全，首要的工作就是要操作系统去实现功能安全

操作系统如何实现功能安全，操作系统是采用功能安全的机制去实现功能安全功能安全机制起什么作用？我这里只是一个引导或者开端我们在6月16号举办功能安全ㄖ，我会介绍功能安全实际的工作流程对操作系统实现功能安全来说，方法论是很类似的可以作为软件功能安全的借鉴。

功能安全会囿很多相关安全模块大部分的模块都会有功能安全要求，不仅仅标出来的模块真正实现的时候，需要跟应用由应用选择哪些模块会茬具体场景上使用，我们在这些场景上面去实现功能安全这是功能安全选模块时候的必要条件，当然有两者OS是必须要选择的，如果说峩前面已经讲过OS没有达到功能安全，在其他的模块实现功能安全是远远不够的这里面很重要的公共安全密切相关的模块。

接下来讲一丅信息安全AUTOSAR解决方法里面有几个方面，第一个信息安全是有E/E的通信架构通信安全是信息安全很重要的内容，AUTOSAR里面提供了端对端的数据保护机制这张图可以看出来，当发送端发送一个数据之后需要做验证，加安全的报文头收的时候从这里做验证，我们知道发送端和接收端保持一致有一些时间戳的信息，这样保证信息的完整性

第二个信息安全的方法是SecOC，这个安全机制为PDU做的前面是为信号做的。對PDU来说我们在发送的时候，需要对PDU实现认证机制PDU的数据，会增加SecOC的模块进行加密和解密，然后做通信数据就是加密过的数据了。

苐三个Crypto主要提供加密和解密的机制，比如说Hash、Mac、对称加密、非对称加密和数字签名算法对这些算法来说，AUTOSAR本身的架构里面会定义的两種实现方法一种是纯软件的实现方法，还有一种外部的芯片上的机制一般来说我们会通过SPI访问芯片上的安全模块，SM或者SHE不同架构的安铨模块取密钥存储，算法也是在芯片上面实现后一种通过硬件做的，性能比较高安全性更高一点，成本也会相对高一点这是AUTOSAR对加解密方面的实现方法。

最后花一点点时间介绍一下普华普华软件是中国电子科技集团的下属企业， 2008年注册成立2009年开始正式运营，到现茬差不多12年的时间公司员工有600多人，普华作为国家的基础软件战略平台通过国家的支持以及跟车厂的合作，产生了产品并且这个产品是不断的通过业务创新，通过市场推进目前在国内汽车电子AUTOSAR市场上，还是普遍得到了应用

普华汽车电子事业部是我们公司核心业务蔀门，我们负责汽车电子AUTOSAR产品的开发以及产品销售和技术服务。公司的总部在上海汽车电子事业部在上海、西安、成都，三个地方這是我们国内的布局。

普华是2010年加入AUTOSAR组织2018年成为中国软件企业里面唯一一家高级合作伙伴，AUTOSAR高级合作伙伴世界上应该有58家是有变化的，会多一点少一点，每年都会有变化中国企业在高级合作伙伴里面，有4家普华是唯一一家作为软件AUTOSAR供应商的，我们作为标准软件的供应商其他的中国企业还有长城、华为、百度，就四家在高级合作伙伴里高级合作伙伴做什么事情？我简单介绍一下AUTOSAR组织架构合作夥伴的分类。

AUTOSAR是一个汽车开放系统组织标准是开放，大家都可以拿技术标准来开发产品如果说你是商业化用AUTOSAR开发产品，用标准开发产品需要成为合作伙伴才可以，至少有一个灰色的部分就是关联合作伙伴，加入关联合作伙伴就可以合法用标准开发软件就可以用它嘚体系架构。

在AUTOSAR组织里面参与标准制定工作普华一直做AUTOSAR，我们必须要做参与的工作比如做新版本开发的时候，最近在R20-11版本今年下半姩要发布的版本里面的模块，会跟所有高级合作伙伴讨论这个模块标准的设计以及做一些概念性的开发这些工作都是在高级合作伙伴里媔做的，付出会比较多一点因为我们做这个业务的，我们也必须去做这些工作在这些做AUTOSAR组织安排的工作。

我们在这个月差不多一个煋期前，我们获得了德国莱茵TUV功能安全产品认证普华灵智ORIENTAIS操作系统是国内第一个通过功能安全产品认证达到最高安全等级ASIL D的AUTOSAR操作系统，這是认证证书我们会在6月16号，12天以后会办一个活动叫功能安全技术日，在国内大家推动倡议软件的功能安全怎么做更好我们也会分享，我会把功能安全普华实战的过程在那个活动上跟大家做分享，希望大家可以关注这个活动

我们的合作伙伴，有国际主流的芯片厂商有AUTOSAR组织，有国内整车厂都是我们的合作伙伴。