縱觀汽車行業(yè)的發(fā)展，一百多年前當(dāng)?shù)谝慌_汽車誕生時，主要通過機械化硬件實現(xiàn)功能。在這一百多年間，汽車逐步向電子化發(fā)展，一輛汽車由至少上百個軟硬一體的電子控制單元協(xié)同構(gòu)成。當(dāng)下隨著自動化技術(shù)、智能化技術(shù)的發(fā)展，智能汽車中軟件開始占據(jù)主導(dǎo)地位，整車電子電氣架構(gòu)也由分布式向集中式演變，并且汽車功能越來越豐富，所以部署在硬件系統(tǒng)中軟件規(guī)模開始變得越來越龐大，在這種背景下，智能汽車軟件在向著基礎(chǔ)平臺化軟件加應(yīng)用軟件分層解耦的方式發(fā)展，從而需要：

軟件架構(gòu)要有強大的兼容性和可擴展性，接口要標(biāo)準(zhǔn)化；

軟件內(nèi)部分層化、模塊化、解耦化；

提高軟件開發(fā)效率，適當(dāng)使用優(yōu)秀的開源代碼；

強大的工具鏈支撐；

高安全性和高可靠性。

隨著AI技術(shù)的發(fā)展，大模型時代拐點到來，世界萬物格局都可能發(fā)生變化，產(chǎn)生新的范式，未來智能汽車軟件也可能會產(chǎn)生更多顛覆性的變革，例如：AI技術(shù)可能替代軟件工程師編寫代碼；現(xiàn)在智能汽車軟件生態(tài)圈將會變成AI為核心的AI生態(tài)圈；當(dāng)下使用感知和規(guī)控等小模型的算法實現(xiàn)自動駕駛的方案可能變?yōu)橥ㄓ?a href="http://www.xsypw.cn/v/tag/150/" target="_blank">人工智能大模型在自動駕駛領(lǐng)域開展應(yīng)用；針對目前場景復(fù)雜、人工智能算法不可解釋性問題，在未來可能通過AI來進行場景泛化、用AI來解釋AI、以及更多意想不到的變化。

隨著智能汽車軟件的發(fā)展趨勢變化，軟件功能安全也在發(fā)生著改變，在傳統(tǒng)汽車時代，功能安全就是圍繞ISO26262標(biāo)準(zhǔn)的內(nèi)容開展即可，而在智能汽車時代，不僅需要功能安全，也需要考慮預(yù)期功能安全，預(yù)期功能安全其實就是在彌補功能安全之前定義的局限性，我們可以將二者統(tǒng)稱為“功能型安全”。在未來，可能還要關(guān)注人工智能模型的安全性，我們統(tǒng)稱為“復(fù)合型安全”，所以隨著軟件發(fā)展，廣義的功能安全需要與時俱進。

每一個功能安全從業(yè)者可能會深有體會，當(dāng)下汽車領(lǐng)域的功能安全就像身處夾縫之中，很難盡情發(fā)展。以下三句話可以概括這種夾縫困局：

說起來重要、做起來次要、忙起來不要；

對外重要、對內(nèi)次要、實際不要；

宣傳重要、實踐次要、花錢不要。

并且有很多客觀或主觀的因素導(dǎo)致夾縫困局：

基于ISO26262標(biāo)準(zhǔn)的傳統(tǒng)功能安全對一些新技術(shù)存在局限性，并且默守陳規(guī)、按部就班的方式無法適應(yīng)快速發(fā)展的智能汽車軟件；

基于ISO21448的預(yù)期功能安全活動還沒有形成行業(yè)最佳實踐，還需要經(jīng)歷時間的考驗，對于未知場景是無窮盡的探索；

以ChatGPT通用人工智能技術(shù)的發(fā)展對社會、科技帶來新格局、新范式，功能安全也可能需要一些新的思考；

當(dāng)下汽車行業(yè)整體環(huán)境安全文化、安全意識不足，大家對功能安全的認(rèn)知存在偏差；

在沒有強制性法律法規(guī)要求的情況下，智能汽車行業(yè)面臨成本、效率與安全沖突時，往往會舍棄安全；

安全這件事，做的好無人知曉，做的不好人盡皆知，并需要背鍋。

如果想在夾縫中生存、成長，那就向自然界取經(jīng)，學(xué)習(xí)小草的精神，要有較強的適應(yīng)能力，突破能力和堅忍不拔的精神。

適應(yīng)能力可以對應(yīng)功能安全流程建設(shè)，智能汽車軟件領(lǐng)域的環(huán)境背景復(fù)雜，多技術(shù)融合、多生態(tài)協(xié)作、人員缺乏安全意識；所以流程體系需要適應(yīng)這些情況，適當(dāng)彈性靈活，建立融合型軟件研發(fā)體系，既有原則也有靈活性。

突破能力對應(yīng)功能安全技術(shù)，面對新技術(shù)，在功能安全方面需要突破與創(chuàng)新：

首先識別痛點：認(rèn)識智能汽車軟件的復(fù)雜性、不確定性；

然后創(chuàng)新思維：不拘泥于標(biāo)準(zhǔn)，技術(shù)方法勇于創(chuàng)新，但有底線、不盲目；

最后突破壁壘：突破傳統(tǒng)約束，建立新規(guī)則、新方法、新標(biāo)準(zhǔn)。

小草的堅忍不拔的精神適用于功能安全從業(yè)者，需要樂觀積極面對：

首先堅定態(tài)度：對安全永遠(yuǎn)要抱有敬畏之心；

積極向上突破：頂住壓力說服領(lǐng)導(dǎo)重視安全，創(chuàng)建自上而下安全文化；

積極向下蔓延：傳播安全理念，督導(dǎo)全員遵循流程重視安全開發(fā)細(xì)節(jié)。

對抗夾縫困局，需要有文化、體系等基礎(chǔ)支撐，所以構(gòu)建新型智能軟件研發(fā)體系至關(guān)重要。智能汽車領(lǐng)域既要求汽車行業(yè)的規(guī)范性，也要求高科技行業(yè)的高效性，所以在構(gòu)建軟件研發(fā)體系時需要借鑒傳統(tǒng)汽車行業(yè)和ICT行業(yè)特點：傳統(tǒng)汽車行業(yè)講究元器件的車規(guī)級要求、注重過程符合性、研發(fā)過程遵循整車開發(fā)流程和軟件開發(fā)V模型；ICT行業(yè)講究冗余可靠設(shè)計、注重過程高效性、研發(fā)過程遵循頂層架構(gòu)-功能-設(shè)計-測試的階段性流程。

在模式上，ICT行業(yè)主要采用圍繞產(chǎn)品進行設(shè)計開發(fā)與集成驗證的開發(fā)模式，技術(shù)融合性強、應(yīng)用可以靈活衍生；支持需求快速迭代，面向服務(wù)的架構(gòu)可靈活擴展，采用冗余設(shè)計使得可靠性較高；利用自動化測試能夠快速提高效率。而傳統(tǒng)車企的模式只負(fù)責(zé)整體集成，供應(yīng)商負(fù)責(zé)模塊或系統(tǒng)的完整開發(fā)。在智能汽車軟件變革和ICT模式的影響驅(qū)動下，車企和供應(yīng)商的模式及分工將有所變化，OEM不僅做整體硬件集成，還要負(fù)責(zé)軟件集成，需要關(guān)注軟件架構(gòu)，側(cè)重應(yīng)用軟件開發(fā)，讓技術(shù)變得更加自主可控。而供應(yīng)商則側(cè)重平臺化技術(shù)，統(tǒng)一架構(gòu)，統(tǒng)一接口，能夠靈活擴展，需要支持各種應(yīng)用快速開發(fā)；并且應(yīng)能夠快速響應(yīng)客戶需求變化，使得產(chǎn)品不斷迭代改進。

此外，在研發(fā)體系構(gòu)建過程中，需要深入理解現(xiàn)有的成熟體系要求：

ASPICE體系特點：以軟件質(zhì)量為核心的一套方法論；關(guān)注過程，側(cè)重雙向追溯一致性，流程-計劃-實際執(zhí)行的一致性。

功能安全體系特點：以失效的危害分析與防護為核心的一套方法論；關(guān)注過程與技術(shù)，側(cè)重故障檢測和故障處理的有效性；

SOTIF體系特點：圍繞將未知轉(zhuǎn)化為已知，將不安全轉(zhuǎn)化為安全的一套方法論；關(guān)注觸發(fā)條件，側(cè)重已知場景的驗證和未知場景的驗證；

敏捷特點：以需求快速迭代發(fā)布為核心的體系；個體和互動高于流程和工具；工作的軟件高于詳盡的文檔；客戶合作高于合同談判；響應(yīng)變化高于遵循計劃。

Devops特點：開發(fā)、技術(shù)運維和質(zhì)量保障這三方面融合，促進相互之間的溝通、協(xié)作與整合；通過協(xié)作提高產(chǎn)品開發(fā)、測試、發(fā)布效率。

在深入理解的基礎(chǔ)上，結(jié)合智能汽車軟件特點，將這些體系進行深度融合，建立一種新型高效的軟件研發(fā)體系，以ASPICE為基礎(chǔ)，增加功能安全和預(yù)期功能安全的要求，在設(shè)計階段進行充分的安全分析，在測試階段進行全面的故障插入測試和觸發(fā)條件驗證，并融入ICT的CICD流程和自動化測試流程，借鑒敏捷思想，不斷進行需求迭代，并且需要完善工具鏈，確保每個流程環(huán)節(jié)在工具鏈的支撐下，能夠達(dá)到事半功倍的效果。

有了最基本的體系保障之后，智能汽車軟件還需要面對技術(shù)上的痛點，找到相應(yīng)的解決方案。

在產(chǎn)品形態(tài)及開發(fā)模式上，對比傳統(tǒng)電控功能的ECU開發(fā)，ECU開發(fā)的痛點為開發(fā)單一電控功能，周期較長；軟件中沒有OS或只有簡單的OS；一般采用匯編或C語言，開發(fā)效率低，學(xué)習(xí)成本高。而傳統(tǒng)ECU開發(fā)通過MATLAB/simulink工具來實現(xiàn)圖形化開發(fā)即可解決上述痛點。智能汽車軟件同理，針對其軟件架構(gòu)復(fù)雜，復(fù)用性和移植性差、標(biāo)準(zhǔn)化的框架和模塊匱乏、全代碼開發(fā)缺乏便捷易用的開發(fā)工具，學(xué)習(xí)和遷移成本高，人才培養(yǎng)難度大等痛點，需要采用計算基礎(chǔ)平臺加圖形化開發(fā)工具來解決這一問題。

在功能安全技術(shù)層面上，智能汽車軟件面臨四大痛點及解決方案如下：

基于以上這些思考和探索，下面進行智能汽車軟件功能安全方面“夾縫生長”的實踐經(jīng)驗分享，要想在夾縫中生長，首先需要挖掘“夾縫困局”的本質(zhì)，針對性的制定“生長策略”。

夾縫困局的本質(zhì)問題在于：

一、智能汽車軟件功能安全實現(xiàn)難度大；

二、功能安全成果難以量化體現(xiàn)，無法短期見效；

三、對安全的重視度不高。

針對第一條，采取挖掘本質(zhì)、循序漸進策略：從第一性原理解決功能安全技術(shù)難題；從0-1的過程可以分為從0到0.1再到0.5最后到1，例如在單元測試MCDC覆蓋率的要求上，如果開始直接要求100%，那么可能根本做不到，并且研發(fā)人員會慢慢喪失信心，所以可以從一個及格線開始，不斷提高要求，最終滿足真正的需求。

針對第二條，采取認(rèn)證推動、從點到線再到面的落實策略：認(rèn)證能夠帶來成就感和凝聚力，鼓舞團隊士氣，通過在功能安全項目中，先努力帶動一小部分人提高安全認(rèn)識和功能安全能力，再用星星之火燎原。

針對第三條，采用換位思考、綜合成本計算的策略：站在別人的角度考慮問題才能說服別人，功能安全從業(yè)者需要站在老板的角度考慮問題，找到切入點；并在功能安全這件事上，不能光看短期利益，而要綜合產(chǎn)品質(zhì)量、社會責(zé)任、品牌價值、企業(yè)發(fā)展綜合計算成本，做企業(yè)不能有僥幸賭徒心理，需要敬畏安全，在研發(fā)階段就投入功能安全要比量產(chǎn)后補救成本低的多，智能汽車時代，進入全自動駕駛后一旦發(fā)生安全事故，可能對有些企業(yè)就面臨致命的打擊。

雖然當(dāng)下功能安全還不是強制性要求，但是一定要提前布局，才無后顧之憂。對于我們這種負(fù)責(zé)智能汽車平臺軟件開發(fā)的企業(yè)，夾縫困局更加艱難，由于是平臺化基礎(chǔ)軟件，沒有特定具體軟件安全需求輸入，并且需要為所有應(yīng)用提供基礎(chǔ)安全保障，所以功能安全，完全要靠我們的安全自驅(qū)力。

我們在實踐中總結(jié)了功能安全實現(xiàn)的四個最佳實踐：

注重強大的軟件架構(gòu)設(shè)計：軟件架構(gòu)需要分層、解耦、可擴展；

建立融合型軟件研發(fā)流程體系；、

正向設(shè)計加逆向安全分析貫穿全過程；

全面的測試驗證是確保安全性的重要保障。

國汽智控作為計算基礎(chǔ)平臺的定義者和引領(lǐng)者，目的打造融合、藍(lán)海及平臺型的計算基礎(chǔ)平臺產(chǎn)品，高安全，高可靠，可擴展；賦能中國自主品牌車企實現(xiàn)核心產(chǎn)品及技術(shù)自主可控；

用計算基礎(chǔ)平臺加配套開發(fā)工具解決智能汽車產(chǎn)品形態(tài)和開發(fā)模式痛點，如下圖所示：

在功能安全方面，我們的總體原則是：

將安全機制盡可能的添加在平臺化軟件中；

功能軟件作為承上啟下的一層，是功能安全的重點；

用第一性原理解決智能汽車軟件功能安全問題。

功能軟件作為計算基礎(chǔ)平臺及智能駕駛操作系統(tǒng)的核心，功能軟件框架提供智能駕駛pipeline的編排，調(diào)度及部署。通過 SOA 服務(wù)接口，提供環(huán)境模型，算法，數(shù)據(jù)安全服務(wù)等自動駕駛基礎(chǔ)服務(wù)。支持多車型、多傳感器數(shù)據(jù)接入，并提供任務(wù)的編排、調(diào)度、部署，具有實時、可靠、高性能等的特點，所以我們對其進行了ASIL D功能安全產(chǎn)品認(rèn)證，提供一系列的安全機制對應(yīng)用程序及服務(wù)進行監(jiān)控，通過配置，可以為應(yīng)用程序及服務(wù)提供安全保障。對于系統(tǒng)軟件，主要包括內(nèi)核和通信中間件，通信中間件主要通過端到端的保護實現(xiàn)功能安全，而在我們的方案中，在功能軟件層對通信等基礎(chǔ)功能已進行了功能安全防護，可保障通信中間件相應(yīng)功能的安全性。對于操作系統(tǒng)內(nèi)核，重點關(guān)注內(nèi)核的實時性，可采用滿足功能安全的內(nèi)核，但智能汽車領(lǐng)域linux廣泛應(yīng)用，通過對linux進行實時化改進設(shè)計，逐步提高功能安全。對于應(yīng)用軟件，與特定項目相關(guān)，根據(jù)每個項目需要，具體制定應(yīng)用層面的功能安全防護策略，并且依靠平臺軟件的安全機制。

在軟件功能安全實踐中，采用SEooC的開發(fā)方式，依次對應(yīng)用場景、安全目標(biāo)和系統(tǒng)安全需求進行假設(shè)分析，推導(dǎo)出軟件安全需求，并做進一步詳細(xì)分解，對于假設(shè)的內(nèi)容，需要納入安全手冊中供使用方知悉。

具體的功能安全設(shè)計是基于獨立的安全監(jiān)控框架，通過異常監(jiān)測機制和異常處理機制實現(xiàn)。監(jiān)測機制總結(jié)起來主要涵蓋三個方面的監(jiān)測：數(shù)據(jù)、邏輯和時間。處理機制在平臺軟件中設(shè)置多種方式，可根據(jù)應(yīng)用情況靈活選擇。

在預(yù)期功能安全方面，實踐內(nèi)容主要在于設(shè)計階段的分析與大量的測試驗證，目前主要研究內(nèi)容包含如下方面：

感知觸發(fā)條件分析及測試驗證；

決策算法評價方法研究及測試驗證；

場景庫建設(shè)；

隨機測試及長期路測。

在實踐過程中，基于功能設(shè)計，開展功能安全分析和預(yù)期功能安全分析，并基于場景進行仿真測試和實車測試，同時不斷豐富、泛化場景內(nèi)容，完善場景庫、數(shù)據(jù)庫和事故庫。當(dāng)下預(yù)期功能安全工作任重而道遠(yuǎn)，目前的探索是遠(yuǎn)遠(yuǎn)不夠的，需要行業(yè)內(nèi)共同努力，在安全這件事上，大家永遠(yuǎn)不是競爭關(guān)系，而是協(xié)作關(guān)系，分享經(jīng)驗，共享數(shù)據(jù)，共同探索，才有可能總結(jié)出最佳實踐成果，助力自動駕駛落地實施，為智能汽車的安全性造福。

最后，總結(jié)說明一下智能汽車軟件開展功能安全和SOTIF的必要性：

責(zé)任主體轉(zhuǎn)移，需要系統(tǒng)保證安全；

提升客戶認(rèn)可度和信心；

提高產(chǎn)品競爭力；

社會責(zé)任；

能力儲備，應(yīng)對未來強制要求。

同時，也有三句話送給所有智能汽車領(lǐng)域及功能安全領(lǐng)域從業(yè)者：

1、有能力的影響一群人，沒能力的被一群人影響！

2、對安全永懷敬畏，即使處于夾縫，也要頑強生長！

3、智能汽車安全需要我們每一個具有小草精神的安全從業(yè)者的共同努力！

End