概要
無論是車載娛樂軟件、駕駛輔助軟件還是自動駕駛軟件,軟件的加持為汽車行業(yè)和用戶帶來了巨大的好處和便利。然而,正如機械零件需要清潔、潤滑和更換一樣,軟件也需要維護。
原始設(shè)備制造商(OEM)和一級供應商也許十分擅長挑選方便定期保養(yǎng)(如更換發(fā)動機的機油或者正時鏈)的汽車零件,但對于汽車軟件,卻很可能無從下手。
隨著軟件功能越來越復雜,如果現(xiàn)在選擇的軟件架構(gòu)不合適,未來幾年可能就需要付出高昂的軟件維護費。因此,原始設(shè)備制造商和一級供應商必須重視車載軟件系統(tǒng)及軟件架構(gòu),并將軟件所需的定期維護(如軟件安全漏洞補丁或軟件升級)納入考慮范圍。
在本文中介紹如何確保軟件定義汽車配備最先進的安全和安保解決方案,同時闡述使用開源軟件的重要性——不僅能讓原始設(shè)備制造商專注于開發(fā)下一代應用、滿足消費者需求,還能控制成本。
引言
軟件定義汽車行業(yè)的U形賽道
過去的幾年里,汽車電氣化和自動駕駛領(lǐng)域取得了飛速發(fā)展,汽車行業(yè)所面臨的主要挑戰(zhàn)由機械零件轉(zhuǎn)為電子系統(tǒng)和車載軟件。
以前,汽車設(shè)計階段出現(xiàn)的問題往往與機械零件相關(guān)。為了保證機械零件的充足供應,原始設(shè)備制造商通常會與一級供應商和二級供應商簽訂長期協(xié)議,保證在某款汽車停產(chǎn)后的至少十年內(nèi)市面上仍有相應零件可供替換。當汽車需要維修保養(yǎng)時,處在價值鏈末端的最終消費者將間接向一級和二級供應商支付零件的費用,直至車輛使用壽命結(jié)束。
隨著“軟件定義汽車”逐漸成為汽車產(chǎn)業(yè)的主要發(fā)展趨勢,汽車設(shè)計過程中需要解決的問題也多與軟件相關(guān),也與最終消費者更密切相關(guān)。每一位車主都希望在汽車安全得到保障的同時,享受最新推出的功能,但很少有車主愿意頻繁為安全功能更新付費。
日新月異的市場變化迫使汽車行業(yè)奮起直追,緊跟發(fā)展趨勢。這一點,從雷諾或大眾等公司軟件工程部門驚人的部門擴張中可見一斑。 “在2011年時,雷諾和大眾公司甚至找不出一個內(nèi)部軟件工程師”,而如今,這兩家知名車企都各自擁有一支龐大的軟件工程師團隊。
與此同時,供應商也爭相組建自己的軟件工程部門。以生產(chǎn)出全球首款溝紋汽車輪胎的德國大陸集團為例,該公司僅2021年一年就投入3100萬歐元用于公司內(nèi)部開發(fā)軟件 。大陸汽車技術(shù)核心業(yè)務部門(分為車輛網(wǎng)聯(lián)技術(shù)(VNI)、自動駕駛及安全技術(shù)(AMS)業(yè)務單元)擁有約89,000名員工,而輪胎業(yè)務部門現(xiàn)在只有約57,000名員工。大陸集團并非特例,知名的雨刷系統(tǒng)和燈光照明系統(tǒng)供應商法雷奧集團以及知名排氣系統(tǒng)供應商馬瑞利公司都采取了相似的措施,擴大其在電子解決方案和軟件領(lǐng)域的專業(yè)優(yōu)勢。
盡管各個公司都紛紛組建自己的軟件部門,但不得不承認的是,市場期待和隨著技術(shù)難度增加而飆升的成本之間存在著不小的差距。
基于上述考慮,原始設(shè)備制造商面臨的挑戰(zhàn)將是如何部署日益復雜系統(tǒng),并且控制好因維護系統(tǒng)而支出的年度經(jīng)常性費用。
起步階段
重新定義數(shù)據(jù)時代的汽車架構(gòu)
從汽車行業(yè)的發(fā)展現(xiàn)狀可以明顯看出,在未來,汽車每天需要處理的數(shù)據(jù)量將達到十兆字節(jié)。車內(nèi)的長程傳感器和短程傳感器(如LiDAR和攝像頭)將收集各類數(shù)據(jù),并且,傳感器的數(shù)量將呈現(xiàn)遞增趨勢。
除需要數(shù)據(jù)處理和計算的自動駕駛外,汽車內(nèi)部還有車載娛樂系統(tǒng)和擴展的車輛故障診斷系統(tǒng)(進一步增強車載自動診斷系統(tǒng)OBD-II進行的故障診斷)。這三大車載系統(tǒng)都需要穩(wěn)定的數(shù)據(jù)處理。
那么,是否可以將這些數(shù)據(jù)都上傳到云服務器呢?這種可能性微乎其微。事實是,車載系統(tǒng)將先對部分數(shù)據(jù)進行本地處理,隨后再將主要數(shù)據(jù)或者整合數(shù)據(jù)上傳到云端。
"為了保證每天數(shù)千萬字節(jié)的數(shù)處理量,汽車系統(tǒng)中必須嵌入計算引擎。" 這樣一來,需要上傳的數(shù)據(jù)量大大增加。此前,車輛的電子控制單元(ECU)位置通??拷c其相連的傳感器和執(zhí)行器,因此分散在汽車內(nèi)部的不同位置。如今,原始設(shè)備制造商(OEM)紛紛轉(zhuǎn)而使用“汽車電子電氣架構(gòu)”(EEA),實現(xiàn)電子控制單元的合并與整合,并使用以太網(wǎng)將將各個電子控制單元互聯(lián)起來。這種全新架構(gòu)中也會包含1至5臺內(nèi)置高性能計算機(HPC)。
下面,我們將介紹從傳統(tǒng)架構(gòu)轉(zhuǎn)向全新EEA架構(gòu)產(chǎn)生的諸多影響,特別是在硬件和軟件維護方面的影響。
復雜性與日俱增
硬件復雜性
在汽車領(lǐng)域,電子硬件的設(shè)計并不像電腦那樣基于安裝在主板上的中央處理單元(CPU)和PCIe擴展卡,而是基于“片上系統(tǒng)”(SoC)。片上系統(tǒng)是一種集成電路,其上包括所有或者絕大多數(shù)計算組件。實際上,汽車的片上系統(tǒng)通常包括幾個CPU,用于保證計算性能和行車安全。這幾個CPU包括數(shù)字信號處理(DSP)單元、圖形處理單元(GPU)、視頻加速器、圖像處理單元(IPU)以及CAN總線接口等。換言之,片上系統(tǒng)是一個非常復雜的系統(tǒng)。
來源:德州儀器公司TDA片上系統(tǒng)
"硬件已經(jīng)如此復雜了,汽車生產(chǎn)商需要更強大的軟件實力才能征服前行道路上的挑戰(zhàn),因為軟件比硬件更為復雜。"
縱觀汽車硬件的發(fā)展,不難發(fā)現(xiàn),片上系統(tǒng)的復雜性仍在攀升,尚未到達發(fā)展巔峰。實際上,即使目前車載硬件的性能尚未達到Teraflop區(qū)間,但市面上已經(jīng)出現(xiàn)了一些包含16個CPU內(nèi)核的芯片組 ??梢灶A見,汽車將很快迎來80核CPU甚至計算性能更卓越的多核CPU。
軟件復雜性以及微服務
汽車行業(yè)逐漸由“機械定義汽車”轉(zhuǎn)變?yōu)椤败浖x汽車”。在這個趨勢的推動下,汽車開發(fā)周期被重塑,汽車開發(fā)工作方式和所需技能也迎來全面轉(zhuǎn)折。這些變革為行業(yè)帶來了額外的重重挑戰(zhàn)。為了應對挑戰(zhàn),汽車生產(chǎn)商紛紛擴大專業(yè)團隊,不惜重金聘用并培訓專業(yè)人才。就目前來看,人才成本仍處于上升趨勢。
在大范圍聘用專業(yè)人才的同時,企業(yè)又面臨另外一個挑戰(zhàn):如何吸引能夠為公司打下堅實軟件戰(zhàn)略基礎(chǔ)的得力人才。還有一種辦法是培訓原始設(shè)備制造商及其供應商的現(xiàn)有人員,教會他們追趕變革潮流所需的新技能。然而,技能學習十分簡單,重塑員工的固有思維方式卻非常困難,尤其是該領(lǐng)域的發(fā)展已經(jīng)高度成熟時,難度尤為突出。
與此同時,終端消費者對更多、更復雜的功能的需求也在逐漸增加。麥肯錫公布的數(shù)據(jù)表明,“在過去十年中,汽車行業(yè)單個軟件項目的平均復雜度增長了300%。”如今,每一輛汽車之上,都有大約1億行代碼在運行——比軍用飛機F-35或波音787夢想客機的代碼條數(shù)還多 。預計到2025年,汽車上運行的代碼行數(shù)將達到2億,而對于L5(完全自動)自動駕駛系統(tǒng)而言,代碼行數(shù)甚至有可能達到10億行。
以下為美國汽車工程師學會(SAE)定義的駕駛自動化級別
美國汽車工程師學會(SAE)對駕駛自動化等級的劃分
除此之外,人工智能(AI)或機器學習(ML)算法也在很大程度上增加了車載軟件的復雜性。
來源:麥肯錫
網(wǎng)絡安全威脅
據(jù)報道,1983年,軟件和互聯(lián)網(wǎng)領(lǐng)域最早的“黑客”凱文·鮑爾森(Kevin Poulsen)黑入了互聯(lián)網(wǎng)的前身——Arpanet阿帕網(wǎng)。那時,偷車賊需要打破車窗,連接方向盤下的電線才能成功偷走汽車。而如今,隨著車載軟件數(shù)量的激增,汽車行業(yè)更加容易受到網(wǎng)絡犯罪的攻擊。
1983年,德國BOSCH公司發(fā)明了CAN總線,其誕生比萬維網(wǎng)和互聯(lián)網(wǎng)還早。由于CAN總線本質(zhì)上不能抵御黑客的攻擊,當將其嵌入現(xiàn)代汽車后,CAN總線就給了黑客可乘之機。正如凱文·鮑爾森黑客事件暴露出了互聯(lián)網(wǎng)的漏洞,“黑客遠程劫持吉普車事件” 則暴露了汽車導航系統(tǒng)的許多安全隱患。
2021年發(fā)布的一份關(guān)于全球汽車安全的報告指出,“汽車行業(yè)的常見安全漏洞和安全暴露(CVE)已經(jīng)有110個,僅在2020年就有33個,而2019年有24個?!?然而,并非所有安全威脅都納入了CVE。上述報道中還指出,在2020年8月,在10家不同公司開發(fā)的40個ECU軟件中發(fā)現(xiàn)了300多個漏洞。有關(guān)當局正在審慎研究安全漏洞對經(jīng)濟造成的影響,并出臺了一些規(guī)章制度來抵御安全威脅。
ISO/SAE 21434標準“規(guī)定了有關(guān)道路車輛電氣和電子(E/E)系統(tǒng)(包括其部件和接口)的概念、產(chǎn)品開發(fā)、生產(chǎn)、運營、維護和退役等各階段網(wǎng)絡安全風險管理的工程要求”。此外,聯(lián)合國還通過了第155號條例《關(guān)于批準車輛的網(wǎng)絡安全和網(wǎng)絡安全管理體系的統(tǒng)一規(guī)定》。該條例概述了“有關(guān)車輛網(wǎng)絡安全和網(wǎng)絡安全管理系統(tǒng)審批的統(tǒng)一規(guī)定”。
由于聯(lián)合國第155號條例的出臺,原始設(shè)備制造商及其供應商必須合作開發(fā)軟件安全補丁或修復程序,以防止并限制車輛使用期間出現(xiàn)網(wǎng)絡犯罪行為。每一次軟件交付,無論其目的是引入增強功能、修復錯誤還是解決安全問題,都需要在經(jīng)過網(wǎng)絡安全評估和正式的審批程序后才能推送給車輛端。
為了滿足這一強制性要求以及客戶的期望,原始設(shè)備制造商和一級供應商應該了解車載軟件的復雜性。在軟件領(lǐng)域,僅通過一種方法來實現(xiàn)一項功能或服務的情況非常少見。軟件架構(gòu)師必須做出明智的決定,因為減少管理軟件的復雜性是削減長期軟件維護成本的唯一途徑。
"我們所面臨的挑戰(zhàn)不僅僅是交付一個軟件系統(tǒng),還包含如何對其進行長期維護。汽車生產(chǎn)商是否為此做好充分準備?"
但網(wǎng)絡安全風險并不局限于軟件,有時硬件也會暴露出安全漏洞——眾多產(chǎn)品中發(fā)現(xiàn)的“崩潰(Meltdown)”和“幽靈(Spectre)”兩種安全漏洞就是一個有力的證明 。顯然,這樣的安全漏洞會增加系統(tǒng)設(shè)計的復雜性,因為軟件架構(gòu)師需要在考慮軟件風險的基礎(chǔ)上,預測潛在的硬件漏洞。
安全考慮因素
系統(tǒng)復雜性并非汽車行業(yè)面臨的唯一挑戰(zhàn)。我們剛才談到了網(wǎng)絡安全問題。實際上,車輛的網(wǎng)絡安全和安全保障是兩個獨立的話題,因為車載系統(tǒng)的安全并不能確保乘客的安全。汽車是一個移動設(shè)備,其重量往往超過一公噸:汽車不僅需要保障乘客的人身安全,還要保護行車環(huán)境的安全。
假如乘客不系安全帶,即使安全系數(shù)最高的汽車也不能完全保障乘客的生命安全。盡管二者概念截然不同,但它們的關(guān)系卻是密不可分的。
上文提到的“黑客遠程劫持吉普車事件”就證明了這一點,黑客破壞汽車網(wǎng)絡安全后也對乘客的人身安全構(gòu)成了威脅。隨著汽車上安裝越來越多起到預先防撞作用的主動安全系統(tǒng),這一點尤其需要考慮。由于主動安全系統(tǒng)依賴于軟件的正常運行,因而十分容易受到網(wǎng)絡安全攻擊。為此,汽車行業(yè)引入了功能安全(FuSa)概念,旨在為原始設(shè)備制造商及其供應商提供一個框架,讓安全理念滲透到各個流程中,并成為概念、生產(chǎn)、交付、保養(yǎng)等流程的重心。
ISO 26262《道路車輛功能安全》是一個國際安全標準,對安裝在量產(chǎn)道路車輛上的電氣和/或電子系統(tǒng)的功能安全進行了約束和規(guī)定。ISO 26262標準將汽車“功能安全(FuSa)”定義為“不存在因電氣和電子系統(tǒng)故障所導致的不合理風險”。
功能安全問題不是單純的硬件系統(tǒng)問題,也不是單純的軟件系統(tǒng)問題,它是一個系統(tǒng)性問題,涉及硬件系統(tǒng)和軟件系統(tǒng)兩方面的具體操作和流程。
硬件安全
對于硬件系統(tǒng)而言,其只有在滿足嚴格安全要求的片上系統(tǒng)(SoC)和電子控制單元(ECU)之后才能安裝到汽車中。ISO 26262標準對汽車安全完整性等級(ASIL)進行了定義,并根據(jù)目前正在開發(fā)的系統(tǒng)的重要性,梳理了各個等級適用的要求和流程。例如,如果要達到ASIL-B等級,則汽車系統(tǒng)的單點失效覆蓋率需要達到90%以上,而ASIL-D等級則要求單點失效覆蓋率達到99%以上。同時,ISO 26262標準也給出了“單點失效”的定義,并規(guī)定了“預測失效率”的計算方法。該標準中還定義了所需關(guān)鍵術(shù)語,并提供了相應評估方法,以幫助讀者全面理解汽車的系統(tǒng)安全。
預測硬件失效率 ISO 26262標準介紹了幾種評估半導體元件失效率的技術(shù),可以評估電應力、晶體管失效或封裝失效的發(fā)生率。這些失效類型和各自的發(fā)生率主要取決于電路類型、實施技術(shù)和環(huán)境因素,如濕度、溫度、壓力、電磁干擾等。ISO 26262標準還區(qū)分了元件的預計失效率和預計可靠性。此外,該標準指出,特殊情況下,某個單點失效可能會引起幾個單獨元件的安全風險。該標準進一步明確可通過相關(guān)失效分析(DFA)并識別相關(guān)失效發(fā)起點(DFI)解決這些風險場景。
數(shù)據(jù)傳輸故障檢測 為了滿足上述安全要求,半導體公司提出了大量的硬件檢測機制和解決方案。其中最為常見的包括:
? 奇偶校驗碼。通過在片上通信流量中添加一個“校驗比特”以達到檢測數(shù)據(jù)傳輸性的目的。奇偶校驗位是最簡單的錯誤檢測碼,檢測方法直截了當:若設(shè)置校驗比特位為0,則傳輸編碼個數(shù)為偶數(shù)個;若設(shè)置校驗比特位為1,則傳輸編碼個數(shù)為奇數(shù)個。若接收端接收到偶數(shù)個編碼,并且知道校驗比特的位置,就可以把它去掉,找到傳輸?shù)臄?shù)字。這樣一來,如果接收端得到奇數(shù)個編碼,就意味著在傳輸過程中出現(xiàn)了數(shù)據(jù)損壞。雖然奇偶校驗碼可以檢測到傳輸錯誤,但不能檢索到正確的信息,因此需要重新發(fā)送信息。
? 循環(huán)冗余校驗(CRC)是另一種用于檢測數(shù)據(jù)傳輸故障的工具。循環(huán)冗余校驗利用除法及余數(shù)的原理來做錯誤偵測。將特定大小的余數(shù)附加到數(shù)據(jù)后面,然后在接收端進行檢驗確定數(shù)據(jù)是否發(fā)生變化。在收到信息后,接收端對包含CRC的部分進行多項式除法:與信息一起收到的CRC應該與接收信息上計算的CRC一致,否則意味著有一個傳輸錯誤。
? 糾錯碼(ECC)是奇偶校驗法的增強版解決方案,因為這種辦法包括了一種即使硬件損壞下也能檢索到初始信息的方法。糾錯碼有很多種類,甚至無線5G標準也包含了新的糾錯碼機制。
雖然目標是檢測傳輸問題和檢索傳輸?shù)某跏夹畔?,但這些檢驗技術(shù)需要與信息一起傳輸額外的編碼。這對實際的網(wǎng)絡帶寬有直接的影響,此等影響會逐漸減少:如果每個字節(jié)中有1比特用于錯誤檢測,7比特為實際數(shù)據(jù),那么帶寬會減少1/8,即12.5%。 然而,有時會出現(xiàn)傳輸中斷。傳輸中斷可能是因為物理通信中斷,更多的時候是因為某個進程掛起時間太久。因此,我們使用“通信超時”來檢測通信損失量。
檢測運行時錯誤 如前所述,ISO 26262標準涵蓋了可能發(fā)生在晶體管層面的問題。半導體公司如今往往使用硬件檢查工具來驗證操作的正確性。但半導體公司同時也利用安全控制器收集整個系統(tǒng)中的故障信息,對其進行分析,并將故障信息傳遞到軟件系統(tǒng)的高層架構(gòu)。 最近興起的另外一種低成本提高安全合規(guī)性的方法是“內(nèi)置自檢”(BIST)。此方法誕生的契機是因為半導體制造商早前需要一種方法來識別產(chǎn)品的制造缺陷,完善質(zhì)檢流程。通過充分利用這些增強的系統(tǒng)內(nèi)置測試功能,同時在處理器正常運行時使用這些功能,能達到有效識別運行時故障的目的。
冗余檢測機制
為了達到安全要求,生產(chǎn)商通常會采用復制系統(tǒng)的辦法。在相同安全要求下,如果兩個系統(tǒng)是分別實施的,安全性甚至還會增高。雙重模塊冗余(DMR)以及三重模塊冗余(TMR)是指將一個系統(tǒng)或系統(tǒng)中的某個元素增加一倍或兩倍,并向此等系統(tǒng)或者模塊提供相同的輸入信號,比較輸出信號的一般方法。
三重模塊冗余的原則是多數(shù)表決,取多數(shù)輸出結(jié)果為最后的輸出:若三個系統(tǒng)中有二個系統(tǒng)輸出結(jié)果相同,則這個結(jié)果為正確的輸出結(jié)果。就雙重模塊而言,如果輸出結(jié)果不一致,則說明系統(tǒng)存在錯誤。雙模塊冗余(DMR)以及三重模塊冗余(TMR)用于不同的硬件層次,包括模塊層次、芯片層次,甚至在某些情況下也可能是系統(tǒng)層次。
一些片上系統(tǒng)支持雙核鎖步功能。安全硬件機制通過雙重模塊冗余(DMR)來實現(xiàn),為兩個完全相同的CPU內(nèi)核提供完全相同的軟件,并共享同一個時鐘周期。在每個時鐘周期,會有一個邏輯比較器檢查兩個內(nèi)核的輸出結(jié)果是否一致,如果不一致,就會報錯。
但高性能CPU通常結(jié)構(gòu)更復雜,確定性更弱,所以,雙核鎖步法實際效果可能會不盡如人意。因此,一些比雙核鎖步法更復雜的替代法應運而生,比如使用“安全島”在保持高度安全完整性的CPU內(nèi)核中執(zhí)行檢查任務。除此之外,雙核鎖步法的另一個優(yōu)化方法是“CPU分核-鎖步”。
就像前面提到的失效檢測技術(shù)對減少通信實際帶寬一樣,CPU冗余技術(shù)也會占用其本身的可用處理能力。雙核鎖步法或其引申辦法會使片上系統(tǒng)的有效計算能力減少50%(使用Split-Lock辦法時計算力減少幅度略少)。此外,這項技術(shù)還會導致開發(fā)成本和硬件成本增高,因為必須要增加冗余。
軟件安全性
半導體公司通常需要使用專用軟件來確保硬件安全合規(guī)性 。換言之,一些云上系統(tǒng)需要軟件執(zhí)行特定以充分發(fā)揮其安全潛力,例如在硬件安全章節(jié)提到的“內(nèi)置自檢(BIST)”。恩智浦半導體公司推出的S32車用處理平臺是當下最熱門的汽車SoC系列之一。該公司認為:“S32安全軟件架構(gòu)組建參與了啟動、運行和故障恢復期間的工作?!?
來源:恩智浦S32安全軟件架構(gòu)
并非所有的軟件都是安全合規(guī)軟件,也并非所有軟件都能滿足安全要求。此外,軟件認證費也是一筆不菲的花銷。因此,伴隨著電子控制單元的逐步整合,在同一個片上系統(tǒng)或電子控制單元中包含不同的安全臨界等級逐漸成為行業(yè)趨勢。這種趨勢能夠優(yōu)化成本控制和性能。車載信息娛樂系統(tǒng)電子控制單元就是一個有趣的例子。
現(xiàn)在,行業(yè)普遍將中控臺、儀表盤、平視顯示器和乘客監(jiān)控功能融合在同一個電子控制單元中。融合后,某些顯示元素和聲音元素的安全要求就比其他元素更高。下圖介紹了實現(xiàn)電子控制單元整合的主要軟件。
?
不同選項之間的主要區(qū)別在于處理安全合規(guī)功能的地方有所不同。
? 在選項a中,硬件分離由符合ASIL/安全合規(guī)的管理程序管理。 ? 在選項b中,硬件分離是通過在片上系統(tǒng)中使用2種類型的內(nèi)核來實現(xiàn)的。例如,用一個或幾個ARM Cortex-M內(nèi)核來滿足車輛通信和安全需求,另外一組通用內(nèi)核來實現(xiàn)高端計算功能。
? 在選項c中,硬件分離不在片上系統(tǒng)進行,而是在硬件層面——使用兩個不同的專用片上系統(tǒng)(一個用于安全,一個用于一般用途)來實現(xiàn)硬件分離。
這樣的架構(gòu)不僅會增加軟件開發(fā)難度,而且會帶來復雜的集成和調(diào)試挑戰(zhàn)。 可以使用類似辦法或者其他新辦法,比如在系統(tǒng)中引入AUTOSAR自適應平臺。這些是通常基于特定片上系統(tǒng)的優(yōu)化選項,而特定能力通常帶來會增加復雜性。
硬件復雜性將會持續(xù)增長,以此擴增片上系統(tǒng)的計算能力。
在此之上,安全要求還會增加系統(tǒng)復雜性。將計算能力和安全性整合到單個片上系統(tǒng)會變得越來越復雜。半導體公司將不得不提高片上系統(tǒng)的成本,以便達成相應安全要求。 同樣地,系統(tǒng)復雜性越高,認證就越困難,花費的成本也就越高。價格的增長曲線不太可能是線性的,更有可能是呈指數(shù)級增長。
但要確保安全合規(guī),還需要在軟件方面多加投入。ISO 26262標準要求系統(tǒng)開發(fā)過程遵照V型生命周期模型。這意味著,軟件開發(fā)商首先要捕捉客戶需求,然后根據(jù)這些需求定義功能。軟件開發(fā)商需要將功能分解到硬件系統(tǒng)和軟件系統(tǒng);軟件系統(tǒng)再細分為功能。此外還需要定義、創(chuàng)建或重新啟用具體的測試流程,然后依次進行功能層面、軟件層面、硬件層面,系統(tǒng)層面的測試。這種系統(tǒng)開發(fā)方法伴隨著一套流程來運行軟件,包括代碼審查、捕捉需求偏差、運行測試、測量測試覆蓋率等等。
"汽車公司必須做好承擔高額軟件維護成本的準備。" 現(xiàn)在,我們假設(shè),現(xiàn)有的1億行嵌入在當前汽車中的代碼都是符合安全標準的(事實可能并非如此),按照ISO 26262標準定義的V型生命周期模型,我們還需要多久才能寫出新的1億行代碼,以便到2025年前使總代碼數(shù)達到2億行?我們需要多少名軟件工程師的通力合作?
參照現(xiàn)在已有的1億行代碼,原始設(shè)備制造商和一級供應商應該能夠粗略估算出按照COCOMO或任何其他方法,新增1億行代碼所需的成本但這也僅僅是預計成本,任何的變更都會導致成本的變更。
那么對于擁有5級自動駕駛系統(tǒng)的汽車來說,10億行代碼的預估工作量是什么樣的概念呢?同樣,如果大部分內(nèi)容都不能重復使用,那么編寫規(guī)范、執(zhí)行和測試如此大規(guī)模的軟件需要多長時間呢? 使用開源是唯一的可持續(xù)發(fā)展方式,在“建議”節(jié)詳細闡述。
隔絕干擾
如前所述,硬件電子控制單元整合是一大趨勢。在大多數(shù)情況下,這意味著將安全關(guān)鍵組件和普通處理組件整合到同一個電子控制單元中。但安全系統(tǒng)必須具備“免干擾”功能。換言之,如果一個系統(tǒng)結(jié)合了安全關(guān)鍵組件和非安全關(guān)鍵組件(如在同一個電子控制單元內(nèi)),則應證明非安全關(guān)鍵環(huán)境不會對系統(tǒng)中的安全部分造成干擾,進而引發(fā)安全問題。
例如,應確保調(diào)度器不會被破壞,某個進程不會終止系統(tǒng),且內(nèi)存堆可應對緩沖區(qū)溢出的情況。
在查看了CVE事件之后,我們發(fā)現(xiàn),大多數(shù)CVE事件都是基于后門、內(nèi)存溢出或軟件(或硬件)組件的意外/無意行為:因此CVE的重點在于強調(diào)安全威脅。我們每天都會發(fā)現(xiàn)新的CVE漏洞。即便按照ISO 26262(《道路車輛功能安全》標準)設(shè)計,且嚴格遵循Automotive Spice(軟件流程改進和能力測定標準)流程,具備ASIL D等級的實時操作系統(tǒng)(RTOS)也會存在安全漏洞。
但不管怎么說,沒有保護措施就意味著缺乏安全性,這是大家一致公認的事實。
ISO 26262標準并不足以確保汽車的安全性。根據(jù)現(xiàn)有先進技術(shù)要求,我們應按照ISO/PAS 21448(《道路車輛預期功能安全》標準),將預期功能安全(SOTIF)納入對系統(tǒng)的分析之中。這是另一個亟需解決的難題。 "系統(tǒng)越復雜,就越難評估和證明其安全合規(guī)性。"
建議
尋找解決難題及安全性問題的有效方法
?
現(xiàn)階段,我們可解決以下問題:
? 處理更多車輛數(shù)據(jù),速度更快
? 不斷攀升的硬件復雜性所帶來的挑戰(zhàn)
? 軟件泛濫問題
? 網(wǎng)絡威脅帶來的其他難題
? 軟件的長期維護需求
? 軟硬件各自或共同的安全要求
接下來,我們將探索航電、開源軟件開發(fā)等行業(yè)應對這些挑戰(zhàn)的最佳實踐案例。
限制安全污染
我們已經(jīng)證明,使用開源是唯一的可持續(xù)發(fā)展方式。但這并不代表我們應該寄希望于修改開源軟件來滿足對汽車的需求。例如,安全污染是指系統(tǒng)中越來越多的部分開始需要安全保護。如果我們一味地追求縮短上市時間,而非提升最終用戶的安全性,最終會導致忽略相應的架構(gòu)研究。安全污染極大地限制了開源軟件的使用性,
因為絕大多數(shù)開源軟件都不符合、也不可能符合安全要求。對OEM而言,對系統(tǒng)各部分實行高安全合規(guī)性要求,例如要求每個組件都是ASIL D等級,似乎比將ASIL B等級系統(tǒng)升至ASIL D等級更為容易。然而,這樣做會導致復雜性和成本增加,同時還降低了功能。例如,與更通用的操作系統(tǒng)相比,符合安全標準的操作系統(tǒng)支持的功能更少。此外,每做一次更改(如CVE補?。?,都需要進行一次安全評估,因此同時兼顧安全性和保護措施的合規(guī)性會導致復雜程度再次升級。
因此,一旦在車輛上配置此類系統(tǒng),運行成本會迅速增加。而且配置完成后,系統(tǒng)架構(gòu)可能很難更改。對原始設(shè)備制造商而言,避免成本激增的唯一方法是理性控制系統(tǒng)的安全邊界。
最近,隨著自動駕駛和電子控制單元的整合,安全要求已經(jīng)對車載信息娛樂系統(tǒng)等許多車輛組件造成了影響。
在避免安全污染方面,汽車公司可以借鑒其他行業(yè)的經(jīng)驗。例如,航電系統(tǒng)架構(gòu)就明確規(guī)定了系統(tǒng)安全與非安全相關(guān)組件之間的區(qū)別。比方說機載信息娛樂系統(tǒng)不會干擾飛機的安全組件。某些安全組件還可以控制非安全組件,比如機長廣播可以控制機載信息娛樂系統(tǒng)。
我們針對未來電子電氣架構(gòu)的建議是考慮支持兩種類型的通信通道(在電子控制單元硬件層面):安全通道和通用通道。系統(tǒng)中的通用組件可與符合安全標準的組件交互(訪問傳感器或執(zhí)行器并從中讀取狀態(tài)),在可用時,使用云原生類型的消息傳遞系統(tǒng)(安全組件)進行回復:安全第一。應禁止通用組件設(shè)置參數(shù)或控制安全組件。
不建議重建電子控制單元安全和非安全組件。建議由兩種不同類型的片上系統(tǒng)(SoC)/中央處理器(CPU)負責同一電子控制單元中的安全性和通用特性,(如前述選項c)硬件分離所示)。這樣,就無需將所有的高性能計算或邊緣計算SoC/CPU連接到安全通信通道上,從而降低軟硬件設(shè)計的復雜性。
?
麥肯錫預計,硬件和軟件將實行分開采購,使“采購更具競爭力,擴展更簡單,并允許使用應用軟件標準化平臺,同時保持硬件方面的競爭”。
出于這一原因,原始設(shè)備制造商和一級供應商下一步將分別采購軟硬件安全和通用組件。
硬件安全要求催生了進入壁壘,從而阻止了更大規(guī)模的競爭。而取消系統(tǒng)架構(gòu)中部分硬件模塊(如HPC)的安全要求,將導致競爭局面重演,并降低物料清單(BOM)成本。
例如,半導體公司可能會借此機會,為汽車行業(yè)提供符合AEC-Q100標準的CPU,且無需經(jīng)過ASIL標準認證。我們可以期待看到功能更加強大、具備多個內(nèi)核的CPU,同時相比個人電腦/服務器,它們的價格也不會出現(xiàn)大幅上漲的情況。 如今,有多少在Linux操作系統(tǒng)上創(chuàng)建的原型,為了最后能夠在“安全實時操作系統(tǒng)”上運行,不得不進行重新設(shè)計、移植和調(diào)整?試想一下,如果開發(fā)出能夠立即在目標硬件上運行的概念驗證(POC),把符合安全標準的組件與通用組件區(qū)分開來,這樣將大大減少對符合安全標準的虛擬化解決方案的需求,并增加符合安全標準的定制化操作系統(tǒng)的使用(無論是否基于Linux操作系統(tǒng))。屆時,原始設(shè)備制造商將能夠使用Linux操作系統(tǒng)和開源軟件。與安全操作系統(tǒng)的使用情況相同,獲得有限領(lǐng)域內(nèi)的安全要求也將改善資源的使用情況:降低所需的具備安全知識的工程師數(shù)量。招聘壓力會更小。
采用開源和Linux操作系統(tǒng)
Facebook/Meta、Airbnb、Netflix(以及許多其他公司)之所以成功,是因為他們試圖用自己的操作系統(tǒng)取代微軟的Windows或Linux,還是因為他們使用了開源并專注于客戶服務呢?他們肯定非常熟悉自己的軟件棧,但不會浪費精力去重新發(fā)明開源社區(qū)中已經(jīng)存在的東西。如果他們發(fā)現(xiàn)了一個漏洞,或者開發(fā)了一個增強版開源模塊,他們就會將其發(fā)布到社區(qū),從而讓模塊功能進入上游,獲益更多人,并促使整個社區(qū)共同參與維護過程。這就是開源的改進和發(fā)展方式。
我們建議原始設(shè)備制造商和一級供應商與Linux的商業(yè)供應商合作,以此對Linux內(nèi)核及擴展開源軟件包進行長期支持和安全維護。這樣,他們就得以專注于自身的軟件解決方案,并通過客戶應用程序開發(fā)和服務推動差異化競爭。
同時,由于車輛與云端連接,原始設(shè)備制造商應考慮與Linux發(fā)行商合作,為云服務器、工程師桌面及車載Linux軟件提供支持。這樣,原始設(shè)備制造商就能以較低的費用獲得更高級的支持,同時減輕管理多家供應商、多份合同及多個開發(fā)環(huán)境的負擔。
開發(fā)下一代汽車應用程序
軟件代碼庫的擴展并非汽車行業(yè)所特有。為維持軟件復雜性和日益多樣的功能之間的平衡,整個IT行業(yè)不再固守靜態(tài)和單一方法,而是開始采用微服務和高可用性軟件設(shè)計。
微服務案例 基于微服務的應用程序架構(gòu)實現(xiàn)了將單個應用程序開發(fā)為一套小型的、狹義的且可獨立部署的服務。每個微服務都在各自獨立的進程中運行,并與輕量級機制(通常是超文本傳輸協(xié)議應用程序編程接口)通信。這些服務將聚焦特定的業(yè)務功能,并使用完全自動化的機制獨立部署。
打個比方,我們可以用一座老舊的房屋來理解向微服務的過渡。這種過渡就好比打通這座房屋內(nèi)廚房和客廳之間的墻,拆除手工制作的櫥柜,然后以大品牌的模塊化系統(tǒng)取而代之,并添設(shè)可通過家庭局域網(wǎng)和互聯(lián)網(wǎng)通信的廚房電器和電視機。這座房屋的外墻沒有任何改變,內(nèi)部也仍設(shè)有一個廚房和一個客廳,但這些設(shè)施都更加現(xiàn)代化,舒適度更高,且具備一系列全新功能。
在這個重構(gòu)遺留應用程序的過程中,部分遺留代碼是由其他人(即社區(qū))維護的,因此通常會被開源代碼所取代,也就是說使用這些代碼的人無需承擔所有維護成本。此外,與取代的遺留代碼相比,開源代碼的用戶使用量更高,覆蓋更多案例:換言之,這種開源代碼的可靠性也更高。
向微服務架構(gòu)模型的過渡應旨在以等價開源軟件取代70%(或以上)的遺留軟件。這樣,就可以將精力集中在剩下30%(或以下)可帶來關(guān)鍵差異的軟件上,從而為公司創(chuàng)造附加值。
如何處理單點故障
高可用性軟件設(shè)計的目的是識別單點故障(SPOF)。SPOF是系統(tǒng)的一部分,如果它停止運轉(zhuǎn),將導致整個系統(tǒng)停止工作。例如,如果一架單引擎飛機的引擎發(fā)生故障,那么飛機就無法起飛,而相比之下,搭載雙引擎的商用飛機在起飛過程中即使其中一個引擎發(fā)生故障,飛機也能順利起飛。使用具備微服務設(shè)計的應用程序,能更輕松識別SPOF,并嘗試消除它們。消除SPOF的方法有以下幾種:鏡像、負載平衡、復制、自我修復等等。本文的目的并非深究細節(jié),其關(guān)鍵在于,IT行業(yè)使用高可用性設(shè)計來確保服務器的容錯性和99.9%的正常運行時間。
此外,其還能在不關(guān)機的情況下,立刻進行服務器維護、升級和實驗。車輛不就是應該具有容錯性,并在大部分時間內(nèi)保持正常功能和較長的正常運行時間嗎?我們不就是應該能在不用停車的情況下進行升級嗎?當IT行業(yè)工作者設(shè)定下這些目標時,他們充滿了斗志。但這些目標的實現(xiàn)是十分有益的,應該應用于汽車行業(yè)。
事實證明,互聯(lián)網(wǎng)具備穩(wěn)定性,并且能夠全天候運行。高可用性軟件和基于微服務的應用架構(gòu)是實現(xiàn)這一目標的關(guān)鍵支柱。數(shù)據(jù)中心運行的軟件在很大程度上是與硬件無關(guān)的。它可以輕松部署在世界上的許多地方,也可以由Amazon Web Services,谷歌云平臺,微軟Azure等公共云托管,甚至可以在企業(yè)內(nèi)部托管,切換主機時無需重寫應用程序/服務。這只是其優(yōu)勢之一。
微服務應用程序是容器化的軟件:也就是說它們在一個“盒子”(即容器)中運行,這個盒子中包含了它們需要執(zhí)行的內(nèi)容。容器化的軟件有幾大優(yōu)點:
? 如果微服務出現(xiàn)故障,受影響的只是它所運行環(huán)境或容器中的部分,并不會導致整個系統(tǒng)癱瘓。
? 為支持微服務運行,容器中配置了一個虛擬硬件和操作系統(tǒng)環(huán)境。
由此產(chǎn)生了硬件抽象,使得微服務與實際的物理硬件無關(guān)。
網(wǎng)站、網(wǎng)頁游戲或網(wǎng)頁應用與硬件無關(guān):它們可以在許多具有硬件特性(如屏幕尺寸、方向、圖形處理器、網(wǎng)絡攝像頭)的設(shè)備上運行。 我們認為在嵌入式關(guān)鍵任務軟件中,Snap軟件包能夠?qū)崿F(xiàn)所需的硬件抽象(讓應用程序與硬件無關(guān)),同時提高整個系統(tǒng)的穩(wěn)定性(應用程序中的某個功能故障不會危及整個系統(tǒng))。
Snap是一項應用程序及其所有依賴項的捆綁集成包,無需修改即可在所有主要的Linux發(fā)行版,甚至集成Snap支持的定制發(fā)行版上運行。已經(jīng)有數(shù)以百萬計的人使用了41個Linux發(fā)行版中的上千個Snap。其中包含了教程、支持材料、創(chuàng)建和部署新應用程序或補丁的工具。原始設(shè)備制造商和一級供應商也有可能創(chuàng)建Snap,并將其部署到運行Linux的新舊電子控制單元中。每個人都可以在Linux電腦(和物聯(lián)網(wǎng)設(shè)備)上免費使用這些Snap,無需付費或解鎖。
Snap的一大優(yōu)點體現(xiàn)在操作和應用管理上。實際上,它們不僅能保證開箱即用的安全性,還能在不損害系統(tǒng)的完整性和可靠性的前提下,充分利用硬件的可移植性。任何原始設(shè)備制造商都可輕松部署Snap,無需在任何設(shè)備上移植即可運行。 Ubuntu Core ,一種完全基于snap的容器化版本。Ubuntu Core的設(shè)計具備安全性:通過AppArmor和安全計算模式提供安全性隔離。其還提供TPM支持,安全啟動和全磁盤加密。
利用Snap的整體安全方法,嵌入式系統(tǒng)具備了安全性、不變性、模塊性和可組合性等優(yōu)點。軟件可通過delta進行無線更新,delta在出現(xiàn)問題時會(從Linux操作系統(tǒng)到任何單個應用程序)自動回滾。
?
汽車工業(yè)從CAN總線到以太網(wǎng)的過渡用了30多年的時間(而且只是部分過渡)。構(gòu)建故障抵御系統(tǒng)是汽車行業(yè)的必備條件,有許多方法可以實現(xiàn)這一目標。此外,系統(tǒng)的網(wǎng)絡安全維護設(shè)計需具備成本效益。隨著ISO/SAE 21434(《道路車輛網(wǎng)絡安全工程》)網(wǎng)絡安全法規(guī)的實施,當前正是從安全性、保護措施和可擴展性三大角度重新考量汽車軟硬件架構(gòu)的合適時機。
以客戶為中心
與手機的設(shè)計和功能相比,車載信息娛樂系統(tǒng)已經(jīng)過時了長達4年多。
?
實現(xiàn)與手機相同的功能只是一個里程碑,并非我們的目標。車輛可開發(fā)的功能遠超手機(比如自動駕駛)。
固件或軟件在線升級(FOTA/SOTA)是第一步,但它并不具有突破性:人們在相關(guān)領(lǐng)域已對手機和電腦展開了探索。問題在于,更新能為最終用戶創(chuàng)造哪些好處。如果還保留2年前的功能或外觀,很可能會讓客戶大失所望。
原始設(shè)備制造商和一級供應商需要提升軟件開發(fā)與交付的速度,以便與其他行業(yè)(如手機)保持同步創(chuàng)新。再者,汽車是最先進的消費品。它們具備實現(xiàn)更高期望的潛力,而不應只達到其他行業(yè)的同等水平。
對于原始設(shè)備制造商來說,軟件開發(fā)成本應更低,且上市時間應更快。如果軟件的主要部分(將取悅最終客戶的部分和承載第三方服務的部分)能夠在非安全環(huán)境中運行,這一切將成為可能。同時,硬件的采購也需更容易(至少是在非安全環(huán)境下運行的硬件),并減少使用汽車專用片上系統(tǒng)。
這樣,原始設(shè)備制造商就可為其客戶和第三方生態(tài)系統(tǒng)提供新的服務。智能手機的成功很大程度上歸因于平臺(即智能手機及其應用程序商店)提供的第三方應用程序和服務生態(tài)系統(tǒng)。
集成軟件公司的思維方式
雖然汽車行業(yè)正在探索從硬件定義汽車向軟件定義汽車的過渡,但我們有必要了解這兩者之間的區(qū)別:
? 硬件設(shè)計通常以節(jié)約成本為主:如何在硬件上做出改變,使成本降低1美元?每臺設(shè)備節(jié)省1美元,那么100萬臺設(shè)備就能節(jié)省100萬美元。
? 軟件通常要考慮可擴展性因素:我們怎樣才能使軟件解決方案適用于上百萬的用戶呢?每月向每個用戶收取1美元費用,就能產(chǎn)生100萬美元的收益。 這兩者之間有著本質(zhì)區(qū)別。
傳統(tǒng)汽車制造商曾鉆研過硬件設(shè)備的物料清單。汽車在開發(fā)過程中需要明確和詳細的規(guī)范。為滿足規(guī)范要求,制造商選擇了最具成本效益的硬件。最終,車輛在一定程度上受到了這些硬件的限制,且這種影響會持續(xù)整個生命周期。
特斯拉等公司則傾向于選擇功能更加強大的硬件方案。但這并不意味著他們不注重物料清單成本。他們在考慮競爭優(yōu)勢因素時,有更大的自由度。特斯拉甚至在車機系統(tǒng)內(nèi)引進了游戲。這些游戲指的并非機載娛樂設(shè)備上的游戲,而是需要在家里用游戲本玩的游戲。提供車載游戲這個功能可以奏效嗎?也許沒有,但這不是問題的關(guān)鍵。問題是,如果客戶在知曉這一功能之后,是否會感到滿意?因為不管怎么說,客戶滿意度都比功能本身更重要。
這樣的硬件和片上系統(tǒng)更加昂貴,但每年部署的新功能,也為吸引客戶提供了更多優(yōu)勢。同樣,客戶滿意度是關(guān)鍵驅(qū)動因素。而且可以肯定的是,大多數(shù)客戶更傾向于功能不斷完善的汽車:這會讓他們擁有一種定期獲得新車似的新奇感受。的確,與較低端的片上系統(tǒng)方案相比,這樣的選擇會導致物料清單成本增加。
但每家原始設(shè)備制造商都做出了戰(zhàn)略選擇,比如彎曲復雜的車門形狀、添加可伸縮的后擾流板、使用特定的輪輞……這些選擇有助于將他們的產(chǎn)品做出區(qū)分,以及建立各自的品牌認知。一些原始設(shè)備制造商認為,車載硬件和軟件的計算能力能有效提升客戶滿意度。
但還有另一個有趣的影響因素:30年前,制造商在生產(chǎn)消費電子設(shè)備、手機或車輛時,在產(chǎn)品生命周期內(nèi)花費的電子硬件成本為零。但現(xiàn)在的情況已截然不同,因為軟件在這些設(shè)備中發(fā)揮著重要作用。如今,客戶希望看到不斷推出新的產(chǎn)品功能,此外,系統(tǒng)安全也需要維護,這樣一來,每年都會產(chǎn)生與軟件相關(guān)的費用。因此,除了硬件的物料清單成本外,還需要評估和優(yōu)化電子電氣架構(gòu)的總體擁有成本(TCO)。減少系統(tǒng)復雜性將成為降低維護成本的關(guān)鍵。
最后,選擇主要基于現(xiàn)成組件架構(gòu),且對汽車的適應性要求最低的原始設(shè)備制造商(例如,在CPU方面僅要求AEC-Q100認證和擴展產(chǎn)品可用性),將更能適應采購短缺問題:這一點不僅體現(xiàn)在芯片方面,也包括工程和招聘方面。
為未來發(fā)展做足準備
幾十年來,原始設(shè)備制造商一直致力于打造卓越的內(nèi)燃機產(chǎn)品,以及各自的品牌定位和識別,但最近,他們發(fā)現(xiàn)局勢已截然不同:新的品牌誕生,市場上出現(xiàn)了更快、更動感的電動汽車,而且能創(chuàng)造豐厚的利潤(就特斯拉的市值和利潤而言)。為了迎合這些市場變化,他們推出了多個方面的舉措。但只有未來需要維護部署在某領(lǐng)域的車輛時,他們才能真正履行如今的決議。我們的建議旨在幫助原始設(shè)備制造商及其供應商做出正確的決定,以實現(xiàn)可持續(xù)發(fā)展的未來。
審核編輯:劉清
-
OEM
+關(guān)注
關(guān)注
4文章
402瀏覽量
50366 -
SoC芯片
+關(guān)注
關(guān)注
1文章
612瀏覽量
34923 -
ecu
+關(guān)注
關(guān)注
14文章
886瀏覽量
54521 -
AMS
+關(guān)注
關(guān)注
10文章
212瀏覽量
87038 -
自動駕駛
+關(guān)注
關(guān)注
784文章
13825瀏覽量
166489
原文標題:一文讓您讀懂:什么是“軟件定義汽車”—如何實現(xiàn)軟件未來可維護性
文章出處:【微信號:智能汽車電子與軟件,微信公眾號:智能汽車電子與軟件】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。
發(fā)布評論請先 登錄
相關(guān)推薦
評論