一(yī)、架構升級

1.1 軟件(jiàn)架構：分(fēn)層解耦、服務化(huà)、API 接口标準化(huà)

      随著(zhe)企業(yè)向軟件(jiàn)定義汽車₩δ(chē)開(kāi)發方法的(de)轉♦σ α變，軟件(jiàn)架構也(yě)需要(yào)同步進≠ ↔行(xíng)升級，引入面向服務的(de)架構（Service-Oriented Architect±∞ure，簡稱 SOA）方法論。汽車(chē) SOA 是(±♥♣shì)對(duì)整車(chē)智能(néng)化(huà)的(de)底層能(néng)力進行(xíng)組織。将♠&∑←車(chē)端的(de)硬件(jiàn)能(néng)力和(hé)各種功能(néng)服★‍務化(huà)，這(zhè)些(xiē)服務根據 SOA 标準進行(xíng)接口設計(jì)，基于 S↑ OA 标準協議(yì)進行(xíng)通(tōng)信。這(zhè)樣，各服務組件(jiàβ↔←↔n)之間(jiān)就(jiù)可(kě)以相(xiàng)互訪問(wèn)，從(cóng)而擴展了(≈®© le)服務的(de)組合形式。

圖 4-1 SOA 服務化(huà)架構示意圖

      SOA 的(de)引入使汽車(chē)傳統π♣<封閉、固化(huà)的(de)軟件(ji ™↓∑àn)系統逐漸成為(wèi)具備開(kāi)放(f₩λàng)性、重用(yòng)性的(de)軟件(jiàλ¥n)生(shēng)态。在新一(yī)輪的(de)軟件(jiàn)架構升級中，基于分(fēn)層解耦$¥£×的(de) SOA 服務化(huà)架構，利用(yòng)設備抽象和≤×(hé)原子(zǐ)服務實現(xiàn)硬件(jiàn)能(néng)力的(de)±≤'充分(fēn)服務化(huà)，具體(tǐ)對(duì)象包括控制(z→ hì)器(qì)周邊的(de)傳感器(qì)、執行(xíng)器(qì)、傳統總線通(tōng)信，以及控制(zhì)器(qì)自(zì)身(s&<≈hēn)的(de)診斷、存儲設備。同時(shí)，基♠‍于“邏輯語義轉換”的(de)設計(jì)思想，完成接口标準化(huà)，實現(xiàn ε>™)不(bù)同平台、不(bù)同車(chē)型的(de)接口重用(∑≥↕yòng)性目标。

圖 4-2 SOA 架構下(xià)的(de)基礎服務舉例

      &nb≥✔✔βsp;随著(zhe)基礎架構及開(kāi)發方式的(de)變化(huà)，“軟件¶¶≈ (jiàn)定義汽車(chē)”會(huì)颠覆$✔整個(gè)汽車(chē)開(kāi)發流程，基于SOA 的(de)軟件(jiàn)架構方案為(wèi)智能( ¥néng)汽車(chē)系統提供了(le)重要(yà±↓÷♣o)的(de)服務抽象。嚴謹的(de)封裝和"↓‍(hé)分(fēn)層結構支持使用(yòng)敏捷開(kāi)發方法和(hé)針對(duì)接口進行(xíng)測試，并"♣€ 降低(dī)了(le)系統的(de)複雜(zá)性，™™α将大(dà)大(dà)簡化(huà)軟件(jiàn)組件(jiàn)在車(chē)輛(liàng)更新換代時(sσ™β€hí)的(de)重用(yòng)。

圖 4-3 軟件(jiàn)分(fēn)層架構示意圖

架構标準化(huà)：

分(fēn)層架構，在原有(yǒu)的(de)整車(chē ® ₽)架構中，引入原子(zǐ)服務層和(hé)設備抽象層。

• 設備抽象層負責封裝底層的(de)硬件(jiàn)差異，并把硬件(jiàn)層的(≈ de)特性以服務的(de)方式提供接口，供原子(zǐ)服務層進行±​(xíng)調用(yòng)，硬件(jiàn)的(de)調整不(bù)應導緻系統軟件(jiàn™<↔ )對(duì)外(wài)提供的(de)接口β"發生(shēng)變化(huà)，使得(de)應用(yòng)邏輯擺脫底♠γ層硬件(jiàn)平台的(de)束縛；

• 原子(zǐ)服務層作(zuò)為(wèi)中間(jiān)層，與平台解耦，對(duì)上(shàng)承接應∑☆用(yòng)服務的(de)調用(yòng)，對(duì)下(xià)進行(xíng)設®σ÷♠備抽象的(de)訪問(wèn)，體(tǐ)現(xiàn)車(chē)型差異， ≠并配置化(huà)适配，使能(néng)上(shà₹Ωπ₽ng)層應用(yòng)跨車(chē)型複λ®✔用(yòng)；

• 應用(yòng)/組合層服務主要(yào)負責用(yòng)戶需求邏輯的(d→↔ε₹e)實現(xiàn)，通(tōng)過調'↔≤用(yòng)原子(zǐ)服務層提供的(de)接口，組合出千變萬化π$(huà)的(de)場(chǎng)景化(huà)應用(yòng)。

接口标準化(huà)：

      跨車(chē)型、跨零部件(jiσ àn)供應商，最大(dà)化(huà)複用(yòng)，降低(dī)軟件(jiàn)定義汽車δ©☆‌(chē)軟硬件(jiàn)開(kāi)發複雜(zá)度。

      在架構标準化(huà)的÷"←(de)基礎上(shàng)，如(rú)何能(néng)實現(xià♥Ω‍Ωn)軟件(jiàn)的(de)跨車(chē)企使用(yòng)？就(jiù)需™©要(yào)對(duì)層與層之間(ji₩δ→γān)的(de)接口進行(xíng)标準化(huà)，不(bù)同整車(chē)廠(chǎ≈σng)、Tier1、平台供應商定義同一(yī)套服務接口，使得‍♥(de)不(bù)同整車(chē)廠(chǎng)之間(jiān)，不(bù)同 Tier1Ω'∑ 之間(jiān)的(de)軟件(jiàn)可(kě)以相(xiàng)互調用(yòng)，大( ÷Ωdà)大(dà)增加軟件(jiàn)的(de)複用(yòng)性，縮短(d¥α×δuǎn)車(chē)輛(liàng)開(kāi)發周期。

      在接口标準化(huà)推動方面，中λ✔國(guó)汽車(chē)工(gōng)業(yè)協會(huì)已經發布了(le)第三版《軟件(jiàn)定義汽車(chē)原子(zǐ)服務 API 接口與設備抽象 AP↕βI 接口參考規範》，包含 700 多(duō)個(gè) API，涵蓋車(chē)  €↔身(shēn)控制(zhì)、熱(rè)管理(lǐ)、能(néng)量管理(lǐ)、運動控制(zh↕&∞↑ì)、智駕域、動力域、底盤域等多(duō)個(gèσ₽≥)功能(néng)域，參與接口标準化(huà)定義₹¶→δ的(de)成員(yuán)包含整車(chē)廠(chǎng)、零<≠©♦部件(jiàn)、基礎平台供應商、軟件(jiàn)供應商等 100 多(duō)家(jiā)公₩φ£©司。

1.2 通(tōng)信架構：基于車(chē)載以太  ¥網的(de)技(jì)術(shù)應用(yòng)

      随著(zhe)車(chē)輛(liàng)功Ω♦☆ 能(néng)的(de)不(bù)斷增加，§&♠特别是(shì)自(zì)動駕駛、智能(néng)座艙的(Ω φde)不(bù)斷發展，需要(yào)傳遞的(de)信号已呈爆炸式•★增長(cháng)，車(chē)輛(liàng)功能(néng)不(bù)斷升級更新，用(yòng€¶λσ)戶對(duì)于 OTA 升級體(tǐ)驗提出更高(gāo)的( ✘☆de)要(yào)求，傳統的(de) CAN 總線通(tōng)信的(d±φe)方式已不(bù)能(néng)滿足車ε© (chē)輛(liàng)功能(néng)δ↔÷的(de)增長(cháng)速度，采用(yòng)基于以太網服務的(d <₹ e)通(tōng)訊方式，可(kě)實現(xiàn)功能(néng)的(de)靈活重組，有(yǒ×δu)效解決傳統面向信号的(de)通(tōng)信架構中因個(gè)别信号增減/變更，而導緻功能(nα ®éng)相(xiàng)關的(de)所有(yǒu)系統均産生(shēng)變更的(de‍ ')問(wèn)題。

      車(chē)載& ‌↕以太網及其支持的(de)上(shàng)層協議(yìΩ×<↔)架構如(rú)下(xià)圖所示，車(chē)載以太網主要(yào)涉及 OS✔ I 的(de) 1、2層技(jì)術(shù)，車(chē)載以太網同時(α♦≤←shí)支持 AVB、TCP/IP、DoIP、SOME/IP、DDS 等多(du∏σ∑♦ō)種協議(yì)或應用(yòng)形式。

圖4-4車(chē)載以太網及其支持的(de)上(shàng)層協議(yì≈∏)架構

        σ©≈;SOME/IP 的(de)全稱為(wèi)：Scalable service-O∏‌riented MiddlewarE over IP，基于 IP 的(de)可(kě)擴展的(d<☆ ∏e)面向服務的(de)中間(jiān)件(jiàn)，已于 2013 年(nián)納入 A∞©ΩUTOSAR 4.1 規範。

圖 4-5 支持面向服務的(de) SOME/IP中間(←÷jiān)件(jiàn)

通(tōng)信架構升級之後帶來(lái)的(de)‍ ≥變化(huà)：

• 更靈活的(de)溝通(tōng)機(jī)制(zhì)：CAN 總線為(wèi)廣播式通(tōn♦γα g)信，多(duō)主方式的(de)工(gōng)作(<₹✘zuò)使得(de)每個(gè)節點發送的(de)信息都(dōu)可(kě)能(néng)↑δΩα占據所有(yǒu)的(de)通(tōng)信媒介，隻是(shì)接收節點可(kě)以選≠ ∞↔擇是(shì)否接收該信息。而以太網以一(y↑₹ī)對(duì)一(yī)或一(yī)對(duì)多(duō)兩種方式$®±進行(xíng)通(tōng)信，一(yī)對(duì)一(yī)的(de)方式✔€∏發送節點的(de)報(bào)文(wén)中涵蓋¥φ₽↔自(zì)己和(hé)一(yī)個(gè)接收節點的(de)地(dì)址；一(yī)對(duìε↓)多(duō)的(de)方式中發送節點的(de)報(bào)文(wé↓∏±n)中涵蓋自(zì)己和(hé)多(duō)個(gè)接收節點的(de)地₩≈ (dì)址。二者都(dōu)不(bù)影(yǐng)響其他(tā)節點的(de)通(tōng)'σδ信。

  
  

• 更高(gāo)的(de)帶寬，更低(dī)的(de)時(shí)延：車(chē)內(nèi)數(shù)據傳輸總量及對(d•₩δuì)傳輸速度的(de)要(yào)求持續提升，以及在跨行(xín∞♦g)業(yè)的(de)标準協議(yì)需求的(de)驅動下(xià)，支π✘δ撐更多(duō)應用(yòng)場(chǎng)景、更高(gāo)速的(de)以太網取♥✘>代CAN/LIN 等傳統汽車(chē)車(chē)內(nèi)通(tōng)信網絡已經成為(w↔Ω"<èi)必然。

  
  

• 更多(duō)的(de)應用(yòng)場(→α≥chǎng)景，易互聯易擴展：車(chē)載以太網與車(chē)外(wài)網絡基于相(xiàng)↓σ←​同協議(yì)，在與車(chē)外(wài)網絡進行(xíng)通(tōng)信時₹<(shí)，接口過渡更加平滑。傳統車(chē)內(nèi)通(tō♣∏→≠ng)信網絡基于獨有(yǒu)的(de)網絡協©♠議(yì)，且接口标準化(huà)差；與車(chē)外(wài)網絡進行(xíng♥←∏®)交互時(shí)，需要(yào)對(duì)不(bù)同系統¥←♠的(de)協議(yì)進行(xíng)轉換。在網聯化(h∞​uà)趨勢下(xià)，車(chē)載以太網的(de)協議(yì)轉換成本更小(xiǎo)。

  
  

• 更快(kuài)的(de) OTA 升級速度Ωβ¶<，更易用(yòng)的(de)體(tǐ)驗：采用(yòng)以太網進行(xíng) OTA 升級，通(tōng)訊速度相(x✔®iàng)對(duì)傳統的(de) CAN 升級，提升了(le)←≥≥← 10 倍以上(shàng)，大(dà)大(dà)降低(dī)了(le)用∏♥"(yòng)戶等待的(de)時(shí)間(jiān✘¥↔)。采用(yòng)基于服務的(de)通(tōng)訊 SOME/IP，可(kě)實現§☆(xiàn)功能(néng)的(de)靈活重組，有(yǒu)效解↕₹決傳統以功能(néng)需求為(wèi)核心的(₹λde)架構中因個(gè)别功能(néng)增減/變更，而導緻功能(néng)相(​£βxiàng)關系統均需變更的(de)問(→γ'₩wèn)題，降低(dī)系統OTA 升級的(de)複雜(zá)度。

1.3 硬件(jiàn)架構：區(qū)域接入+算(suàn)力集中↕♠化(huà)

      整車(chē)電(diàn)子(zǐ)電(σπ¥diàn)氣架構是(shì)實現(xiàn)軟件(jiàn)定義汽車(chē)的(d®♣αe)基石，目前市(shì)場(chǎng)上( ₹shàng)銷售的(de)傳統汽車(chē)大(dà)部分πα(fēn)是(shì)分(fēn)布式電(dià↕≤≠♣n)子(zǐ)電(diàn)氣架構，如(rú)下(xià)圖所示。

圖 4-6 傳統分(fēn)布式電(diàn)子(zǐ)電(diàn)氣架構示意圖

      在分(fēn)布式電(diàn)子(z± ↓ǐ)電(diàn)氣架構中，首先将汽車(chē)功能(néng)劃分(fēn)為(w₩✔∑èi)不(bù)同的(de)模塊，如(rú)動力控制(zhì)、底盤控制(zhì)、主動安全、被動↔↓安全、智能(néng)駕駛、信息娛樂(yuè)和(hé‌σ≥≥)車(chē)身(shēn)等。然後再将每個(gè)模塊的(de)功能(néng≈↕)再進一(yī)步細分(fēn)，例如(rú)車(chē)身(shē ¥ n)功能(néng)又(yòu)細分(fēn)為(wèi)車(chē)燈控制(zhì)、車("₽"☆chē)門(mén)控制(zhì)、座椅控制(zhì)等功能(néng)。不(b÷÷€ù)同的(de)電(diàn)控功能(néng)采用(yòng)獨立電(diàn)控單元（E×↑σ₹CU）實現(xiàn)，不(bù)同 ECU 之間(jiān)通(t±δōng)過 CAN/CAN FD 進行(xíng) ₽通(tōng)信。

      因為(wèi)每個(gè) ECUδδ™≈ 由不(bù)同的(de)供應商開(kāi)發，有(yǒu)著(zhe)不(bù)同的(de)嵌入♦↕式軟件(jiàn)和(hé)底層代碼，所以分(fēn)布式電(diàn)子(zǐ)電(diàn→β∏ )氣架構在整車(chē)層面造成大(dà)量的(de)冗餘和(hé) BOM 成本。另外( ↓↕wài)，因為(wèi)車(chē)內(nèi)軟件(jiàn)都(dōu)✔©<•分(fēn)布于各 ECU 上(shàng)，且 ECU 都(dōu)由各供應商獨立完成，其軟↕γ✔硬件(jiàn)是(shì)緊密耦合的($βde)，整車(chē)廠(chǎng)并沒有(yǒu)權限去(qù)維護和(hé)更新€σ✔σ ECU 上(shàng)的(de)軟件(jiàn)。

      快(kuài)速滿足用(yòng)戶需求是(shì)整÷✔€φ車(chē)廠(chǎng)搶占市(shì)場(chǎng)份額的(dδ♦δe)關鍵，而分(fēn)布式電(diàn)子(zǐ)電(d©✘↔©iàn)氣架構嚴重制(zhì)約整車(chē)廠(chǎn↕$g)響應市(shì)場(chǎng)需求的(de)速度。假設某車(chē)型中設計(jì)完成後✘∏，用(yòng)戶提出增加駕駛員(yuán)位置記憶功能(nén÷™<₹g)，即駕駛員(yuán)将車(chē)輛(liàng)的(de)座椅、方向盤、外(w•★♥↑ài)後視(shì)鏡等相(xiàng)關系統調'♥€♥整到(dào)舒适的(de)位置後，可(kě)以将其設置為(wèi)記憶位置，方便後續快(kα$uài)速調整。需要(yào)對(duì)車(chē)門(mén)控制(zhì> ≈π)器(qì)、座椅控制(zhì)器(qì)、方向♦Ω盤控制(zhì)器(qì)、網關等多(duō)個(gè)部件(jiàn)進★♦行(xíng)軟件(jiàn)變更，隻有(γ→yǒu)當各個(gè)零部件(jiàn)供應商完成變更，并且整車(chē)廠(chǎng)完成集成σ ★測試和(hé)整車(chē)測試後，才能÷&β♦(néng)夠将新功能(néng)投放(fàng)市(shì)場(chǎng)，這(zhè)将造成↑✔開(kāi)發和(hé)變更周期長(cháng∏©)、成本高(gāo)等問(wèn)題。

      為(wèi)此，各整車(chē)廠(chǎng)早β<★™已開(kāi)始儲備新型電(diàn)子(♠'☆®zǐ)電(diàn)氣架構方案，以促進軟件(jiàn)‍ 定義汽車(chē)的(de)快(kuài)速實現(xiàn)。新型電♥&$(diàn)子(zǐ)電(diàn)氣架構±§<↔的(de)顯著特征是(shì)功能(néng)（軟件(jiàn)）集中化(huà)、硬件(jiàπδ×n)标準化(huà)。通(tōng)過中央計(δ&γλjì)算(suàn)平台/域控制(zhì)器(qì)對(♥'≥☆duì)控制(zhì)功能(néng)進行(xíng)統一(yī)管理(lǐ)，從(cβ☆£↑óng)而降低(dī)硬件(jiàn)冗餘和(hé) BOM 成本，減少(s→'÷φhǎo)整車(chē)廠(chǎng)對(duì)✘✔衆多(duō)供應商的(de)依賴。根據功能(néng)集中程度不±™(bù)同，新型電(diàn)子(zǐ)電(diàn)氣架♥‍≈構主要(yào)分(fēn)為(wèi)三種類型。

第一(yī)種：域集中式電(diàn)子(zǐ)電(diàn)氣架構¶•> 

      在域集中式電(diàn)子(↑‍$γzǐ)電(diàn)氣架構中，将整車(chē)電(diàn)子(zǐ)電( ♦σ"diàn)氣控制(zhì)功能(néng)劃分(fēn)為(wèi)σ×★₽ N 個(gè)功能(néng)域，每個(gè)功能(nén↓₽←€g)域設計(jì)一(yī)個(gè)域控制(zhì)器(qì)，其餘控制(zhì)器(qì±'§)均為(wèi)域內(nèi)控制(zhì)器(qì)，各域內(nèi)控制(zhì)器(qì×< )一(yī)般為(wèi)智能(néng)傳感器(qì)、↓←執行(xíng)器(qì)和(hé)傳統控制(zhì)器(qì)。

      域集中式電(diàn)子(zǐ)電(di↓☆¥àn)氣架構示意圖如(rú)下(xià)圖所示，示例中将整車(chē)電(diλ∑×>àn)子(zǐ)電(diàn)氣控制(zhì)功能(néng)劃分(fēn)為(wèiφ ∑©)五大(dà)功能(néng)域：動力域、底盤安全域、智能(néng)駕駛域、信息娛樂(yu✔$≈è)域和(hé)車(chē)身(shēn)舒适域。

圖 4-7 域集中式電(diàn)子(zǐ)電(diàn)氣架構示意圖

第二種：跨域集中式電(diàn)子(zǐ)電(diàn)氣架構 ∏

      在域集中式電(diàn)子(‌Ω↑‍zǐ)電(diàn)氣架構中，域控制(z​↕♥hì)器(qì)隻負責一(yī)個(gè)域的(de)功能(néng)集中控制↑®®Ω(zhì)；而在跨域集中式電(diàn)子(zǐ)電(diàn)氣架構中，有↔ >€(yǒu)些(xiē)域控制(zhì)器(qì)負責₩"&→兩個(gè)或兩個(gè)以上(shàng)域的(de)功能(néng)集中控制(zhì)，進一✔∞(yī)步提升了(le)系統功能(néng)集成度。比較常見(jiàn)的(de)跨域集中式電(d ≈✘ iàn)子(zǐ)電(diàn)氣架構是(shì)三域架構，跨域集中式電(diàn)子(zǐ)←&↑電(diàn)氣架構的(de)示意圖如(rú)下(xià)圖所示÷✔。

圖 4-8 跨域集中式電(diàn)子(zǐ)電(diàn)氣架構示意圖

      三域架構分(fēn)别為(wèi)車(ch∑¥ē)輛(liàng)控制(zhì)域、智能(néng)駕駛域和(hé'¶ )智能(néng)座艙域，将原來(lái)的(de)動Ω‌₽©力域、底盤安全域和(hé)車(chē)身(s↕✘←♥hēn)舒适域整合為(wèi)車(chē)輛(liàng)控制(®↑<αzhì)域，智能(néng)駕駛域和(hé)智能(néng)座艙域專注實現(xiàn)汽♠•≈車(chē)智能(néng)化(huà)和(hé)網聯化(huà≈↓♦)。

      三域架構有(yǒu) 3 ₽γ♥↕個(gè)域控制(zhì)器(qì)：

      車(chē)輛(liàng)域控制(zhì $§∏)器(qì)負責整車(chē)控制(zhì)，對(duì)實時(shí)性和(hé)安全性≥¥¥要(yào)求高(gāo)；

      智能(néng)駕駛域控制(zhì)器(δ​↕qì)負責自(zì)動駕駛相(xiàng)關感知±φ☆(zhī)、規劃、決策相(xiàng)關功能(néng)實現(xi  àn)；

      智能(n± éng)座艙域控制(zhì)器(qì)負責 HMI 交互和(hé)座艙相(xiàng)關功能(néng)實現(xiàn)。

第三種：區(qū)域接入+中央集中式電(diàn)子(zǐ≈€¥)電(diàn)氣架構

       中央集中式電(diàn)子(zǐ)電☆§$≥(diàn)氣架構不(bù)再按照(zhào)功能(néng)去(qù)部署車(chē)內(n&¶èi)的(de)電(diàn)子(zǐ)電↑'$✔(diàn)氣系統，而将整車(chē)所有(yǒu)功能>£♥≤(néng)域的(de)控制(zhì)邏輯均集中于中央計(jì)★§算(suàn)平台，進一(yī)步提升了(le)系統功能(néng)集成度。原有(yǒu)分(™​ε£fēn)布式和(hé)域集中式架構中的(de) ECU 的(de)控制(zhì)/計(jì)算(↑∏suàn)功能(néng)被中央計(jì)算(suàn)平台收編，轉變為(wèi)更加簡單的(™∑$•de)傳感器(qì)或執行(xíng)器(qì•δ)。

      為(wèi)了(le)減± →少(shǎo)線束長(cháng)度，簡化(huà)通(<¥±←tōng)信，就(jiù)近(jìn)接入和(hé)供←'電(diàn)，在中央集中式架構下(xià)可(kě)以按照(zhào)物(wù)理(lǐ)位₹↕γ∏置劃分(fēn)區(qū)域并在區(qū)域內(nèi)部署區(q♣≤γ÷ū)域控制(zhì)器(qì)，形成中央計₽₹™§(jì)算(suàn)平台和(hé)多(duō)個(gè)區(qū)域控制‍↕"(zhì)器(qì)的(de)架構，中央集中式電♣<(diàn)子(zǐ)電(diàn)氣架構的(de)示意$≥圖如(rú)下(xià)圖所示。

圖 4-9 中央集中式電(diàn)子(zǐ)電(diàn)氣架構示意圖

      硬件(ji£↑àn)架構的(de)升級，同時(shí)需要(yào)考慮跨域功能(♥♦néng)的(de)融合、SOA 架構下(xià)的(de)軟件(jiàn)功能(nén↕✔φg)分(fēn)層、服務化(huà)後的(de)控制(zhì)實時(shí)性、功能(néng)☆"安全設計(jì)、複雜(zá)的(de)硬件(jiàn)設計(jì)∏™與集成等等。

二、安全升級：構建多(duō)層次的(de)整車(c →ε∑hē)縱深防禦體(tǐ)系

2.1 功能(néng)安全

      随著(zhe)電(diàn)子(zǐε≠σ≤)電(diàn)氣架構技(jì)術(shù↑™←÷)的(de)不(bù)斷升級，整車(chē)越來(lái)越多(d£‍uō)的(de)系統和(hé)組件(jiàn)對(dλ£uì)功能(néng)安全産生(shēng)×₹φ₽影(yǐng)響，為(wèi)此，功能(n₽✔​₽éng)安全也(yě)從(cóng)部分(fēn)關鍵系統開(kāi)發，向整車(chē)σα各系統全面開(kāi)發拓展。

      同時(shí)，由β✔于域控制(zhì)器(qì)、中央計(jì)算(suàn)♣♦↔¥平台等新架構技(jì)術(shù)的(de)出現(xiàn)，對(duì)功能(néng)安全提出♠₩了(le)新的(de)技(jì)術(shù)挑戰，功能(néng)安全必須建立針對(π≈π≥duì)這(zhè)些(xiē)複雜(zá)系統及軟件(jiàn₩÷₹)的(de)開(kāi)發和(hé)測評手段。

      功能(néng)安全技(jì)術(shù)•↑ ₩也(yě)影(yǐng)響著(zhe)電(diàn)子(zǐ)電(diàn)氣✔★架構技(jì)術(shù)的(de)發展，δ♦≠從(cóng)傳統的(de)失效安全（Fail-Safe）向失""效運行(xíng)（Fail-Operational）演變，≠≤↑電(diàn)子(zǐ)電(diàn)氣架&•↕α構設計(jì)中引入了(le)更多(duō)的(de)冗餘（如(rú)通(tōng≠&)信冗餘、冗餘控制(zhì)器(qì)等）及σ<安全保障措施。

      未來(lái)，車(chē)輛(lδ≤φβiàng)智能(néng)化(huà)生(shēng)态的σ"<≠(de)形成，将促進功能(néng)安全技(jì)術(sh>Ω‌ù)走出單車(chē)，向全鏈路(lù)延伸，實現(xiàn←≠₹)整體(tǐ)智能(néng)生(shēng)态的(de)整體(tǐ• λ)安全。

2.2 預期功能(néng)安全

      電(diàn)子(zǐ)電(diàn)氣架構相(xi∞§☆àng)關的(de)預期功能(néng)安全指的(de)是(shìα♣↕☆)規避由于功能(néng)不(bù)足、或可(kě)合理(lǐ)預見(jiàn)的 ®↓ (de)人(rén)員(yuán)誤用(yòng)所導緻的(d±¶λδe)人(rén)身(shēn)危害。預期功能(néng)↓ •安全技(jì)術(shù)屬于汽車(chē)技(jì)↑☆‌術(shù)的(de)一(yī)部分(fēn)，對(duì)應的(de)标準為(wèi) ISO ↔÷€₽21448。根據自(zì)動駕駛功能(néng)及其運行(xíng)設計(jì)域，分(fēn)§€↔析滿足預期功能(néng)安全要(yào)求的(de)系統配置方案，基于系統≠•£φ配置方案确定或選擇合适的(de)電(diàn)子(zǐ)電(diàn)氣架構方案。預期功能(né♠∑←§ng)安全關鍵技(jì)術(shù)點：

（1）自(zì)動駕駛安全準則制(zhì)定技(jì)術(shù)：針對(duì)自(zì)動駕駛已知(zhī)場(chǎ≠×ng)景和(hé)未知(zhī)場(chǎng)景下(xià)的(de)安全♦±表現(xiàn)，制(zhì)定客觀量化ו(huà)準則，科(kē)學判定自(zì)動駕駛的(de)安全水(shuǐ)平；

（2）安全分(fēn)析技(jì)術(shù)：通(tōng)過 STPA 等安全分(fשēn)析手段，識别自(zì)動駕駛安全相(xiàng)關功能(néng)的(de•<σ)不(bù)足性能(néng)局限及危害觸發條件(jiàn)，制σ♦β(zhì)定針對(duì)性措施，開(kāi)展功能(néng> ↑§)更新；

（3）多(duō)支柱法測試技(jì)術(shù)：由仿真測試、定場(chǎng)景測試和(hé)真實道(dào)路(lù)測試組成↑±≠的(de)自(zì)動駕駛預期功能(néng)安全測試體(tǐ)系；

（4）安全論證技(jì)術(shù)：基于安全開(kāi)發、分(fēn)析、測"≤∏↕試等結果，制(zhì)定預期功能(néng)安全檔案策略，通(tōng§© )過 GSN 等論證手段，評估自(zì)動駕駛安全風(fēng)險，完成預期功能  (néng)安全發布；

（5）安全監控技(jì)術(shù)：通(tōng)過車(chē)載和(hé)遠(yuǎn)程手段，監測自(♥ φzì)動駕駛運行(xíng)過程中的(de)安全€δ表現(xiàn)，識别安全風(fēng)險并開(kāi)展必要(yà§αo)的(de)風(fēng)險控制(zhì)措施δ‍♦☆，以确保自(zì)動駕駛運行(xíng)安全。

2.3 網絡安全

      ←≠>智能(néng)汽車(chē)車(chē)輛(liàng)端、通(tō↓×ng)信管道(dào)、雲平台以及移動應用(yòng)均面臨一(αΩ$yī)系列的(de)信息安全威脅。從(cóng)汽車(chē)網絡空(φ♦✘€kōng)間(jiān)維度出發，通(tōng)過多("∞♦₩duō)重技(jì)術(shù)協同、不(‍♥ 'bù)同手段互補、從(cóng)外(wài)到(dào)內(nèi)多≈✔£δ(duō)層次部署安全防線，滿足車(chē)輛(liàng)信息安全防護的(de)縱深♥↔‌性、均衡性、完整性的(de)要(yào)求。±φφ需要(yào)依據新一(yī)代車(chē)輛(liàng)×&電(diàn)子(zǐ)電(diàn)氣架≥™÷>構，從(cóng)網聯安全、內(nèi)網安全、ECU 安全角度實施≠₽₹部署相(xiàng)應防護措施。

圖 4-10 智能(néng)汽車(chē)全方位網絡安全防禦

• 網聯安全

      ↓$' 網聯接入層主要(yào)抵禦針對(duì)以太網的(de∏↓♥) DOS、PING 類型、畸形報(bào)文(∑ ±wén)、掃描爆破、欺騙、木(mù)馬等網絡攻擊。 >↑需要(yào)具備車(chē)雲聯動機(jī)制(zhì₽$​)的(de)主動安全防護能(néng)力，可(k∑‌ě)通(tōng)過雲端系統實時(shí)配置防護策略，主要(yào)包括接入認證機(jΩ π&ī)制(zhì)、通(tōng)信保護機(jī)制(zhì)、以太網防火(huǒ£πε≥)牆機(jī)制(zhì)和(hé)入侵檢測與防禦（IDPS）機(jī)制(zhì)。

• 車(chē)內(nèi)網安全

      車(chē)輛(liàng☆'‍♦)內(nèi)網安全主要(yào)抵禦針對(duì♣≤∑δ)車(chē)載 CAN/CAN FD、車(chē)載以太網的(d♦πe)攻擊入侵，包括報(bào)文(wén)λ‌監聽(tīng)、錯(cuò)誤注入、報(bào)文(wén)重放(fàng)等攻擊。防‍€護的(de)策略包括：總線入侵檢測機(jī)制(zhì)、內(nèi)網防火(huǒγ₽)牆機(jī)制(zhì)、功能(néng)域隔​©€離(lí)機(jī)制(zhì)、總線通(tōng)信保護機(jī)制(zhì)和(hé)診₽€"Ω斷安全保護機(jī)制(zhì)。

• 關鍵 ECU 安全

      為(wèi)确保車(chē)輛(liàng)系統¥↔>∞或關鍵數(shù)據不(bù)被破壞，在車(chē)輛(liàng∞δ↑δ)關鍵 ECU 層面需具備安全啓動、關鍵數(shù)據安全存儲、系統安全運行(₩→←xíng)的(de)安全能(néng)力，并可(kě)為( δwèi)應用(yòng)運行(xíng)提供權限管理(lǐ)能(néng)力。

• 服務安全

      SOA 安全₽∏€框架需要(yào)遵循五個(gè)基本原則：機(jī)密性、完整性、真實性♦​ 、授權性和(hé)可(kě)用(yòng)性，通(¶♠↓αtōng)過信息加密、數(shù)字簽名、密碼認證、設計(jì)訪問(wèn)↑←控制(zhì)列表 ACL、DOS 攻擊監控等多(duō)種方案及産品實現(xi¥↕ àn)網絡安全，同時(shí)保證這(zhè)些(xiē)網絡信息可(kγγλ€ě)被發現(xiàn)、被訪問(wèn)、被通(tōng)信₹©以及被監測。

圖 4-11 車(chē)載 SOA 服務網絡安全原則

• 在服務發現(xiàn)上(shàng)，設定信息安全分(fēn)組隔離(lí)機(jī)制δ£(zhì)，使得(de)服務廣播消息隻發給有(yǒu)需要(yào)的(↔ ↕de)的(de)服務使用(yòng)者；

• 在服務訪問(wèn)上(shàng)，為(wèi)服務提供方設置信息安全訪問(wèn)控制(zhì)™ ✔→機(jī)制(zhì)，認證并授權服務使用(y¥λεδòng)方發起的(de)服務請(qǐng)求；

• 在服務通(tōng)信上(shàng)，根據 SOA 服務實際的(de)業(yè)務應用(yòng)場(chǎng)景決定 SOA☆λφ÷ 消息應采用(yòng)的(de)信息安全傳¶₽≥★輸機(jī)制(zhì)；

  
  

• 在服務監測上(shàng)，設置服務安全監控機(jī)制(zhì)，發現(xi$®λàn) SOA 服務相(xiàng)關的(de£ Ω)異常事(shì)件(jiàn)及安全響應處理(lǐ)機(jī)制('✘→zhì)。

三、流程變革：敏捷開(kāi)發，叠代發布

      汽車(chē)上✘↔↑(shàng)的(de)功能(néng)日(rì)新月(yuè)異，軟件(jiàn)φ≠∞代碼量日(rì)益增加，傳統 V 模型下(xià)的(de)瀑布式開(kāi)發已α↔♣£經不(bù)堪重負，為(wèi)了(le)快(kuài)速ε≠↔交付給客戶最迫切需要(yào)的(de)功能(néng)，軟件(jiàn)開(kāi)發流程的(®≈de)轉變至關重要(yào)。目前，越來(lái)越多(duō)的(de)‌₹汽車(chē)零部件(jiàn)供應商轉向了(le)敏捷開(k'φāi)發。在系統架構實現(xiàn)軟硬件(jiàn)解耦，層次化(huà)架構系統軟件(jiàn₩£)、中間(jiān)件(jiàn)和(hé)應用σ✔‍(yòng)軟件(jiàn)的(de)基礎上(shàng)↓∑≥，實現(xiàn)軟件(jiàn)功能(néng)©δ¥的(de)快(kuài)速叠代、發布，使得(de)整車(chē)廠(chǎng)可(kě)ε££ε以快(kuài)速占領市(shì)場(chǎng↕§)。

      敏↓♥β捷開(kāi)發流程的(de)核心是(shì)培養研發人(rén)員&•♣(yuán)的(de)協作(zuò)意識、責任意識、質量意識、學習(xí)意識、創新意識，進而提₩↔∏升整個(gè)軟件(jiàn)研發團隊的(de)研發能(néng)"✔δ‍力，高(gāo)效地(dì)開(kāi)發高(gāo)質量的(de)軟件(ji ♥ φàn)産品。特性開(kāi)發采用(yòn♥≥§g)以月(yuè)為(wèi)研發周期的(de)叠代開(kāi)發模式，進一(yī  &←)步分(fēn)為(wèi)詳細設計(jì)與評審、特性開(kāi)發與代碼走讀(dú)♥©∏₹、代碼質量檢視(shì)與評估、測試用(yòng)例設計(jì)與編寫、特性功能(néng)聯₹α調、特性合入評審等多(duō)個(gè)子(zǐ)流程。每個(gè)子(zǐ)流程有( ♥yǒu)具體(tǐ)的(de)輸出件(jiàn)（設計(jì)文(wén)檔、源代碼、評•×≈審報(bào)告、測試用(yòng)例、測試報(bào)告等）和(≤↑≤₩hé)量化(huà)評判體(tǐ)系（設計(jì)π✔∑文(wén)檔章(zhāng)節完整性、增量代碼度量報(bào)告×¥​、評審意見(jiàn)密度、測試用(yòng)例 >×$覆蓋率、缺陷密度等），确保每一(yī)個(gè)子(zǐ)流程均按照(zhào)軟件™​‍δ(jiàn)研發質量要(yào)求達成，并對(duì)所有(yǒu)文(¥↑εwén)檔歸檔以支持軟件(jiàn)質量回溯。

      版本發布采用(yòng)以周為(‌©÷wèi)發布周期的(de)軟件(jiàn)版本快(kuài)速叠代模式，每周從(♣©£cóng)穩定分(fēn)支發布版本，對(duì)軟件(jiàn)基本功能(néng)、₩Ω新增特性進行(xíng)充分(fēn)驗證，對(duì)已解決的(de)問(wèn)題進行(↓←♦₩xíng)回歸測試，均通(tōng)過之後 ↕再發布版本。敏捷開(kāi)發的(de)業(yè)務價值：

• 用(yòng)戶體(tǐ)驗能(néng)以月(yuè±✘)為(wèi)單位發布。

  
  

• 漏洞和(hé)補丁按周進行(xíng)快(kuài)速發布。

  
  

• 軟件(jiàn)版本按小(xiǎo)時(shí)叠代，部件(jiàn)與整車(chē)同步集成↔✘γ♣、自(zì)動化(huà)驗證（7*24h ≈↓無人(rén)值守）。

四、工(gōng)具鏈升級：基于 SOA 的(de)&✔Ω整車(chē)服務化(huà)開(kāi)發

      SOA 的(de)總體(tǐ)思路(lù)是(sh↕γ↓£ì)設計(jì)服務模型，将不(bù)同的(de)基礎服務進行(xíng)抽取£←∏，分(fēn)層解耦定義恰當的(de)API 接口，♣"→應用(yòng)調用(yòng)服務 API 接口實現(xiàn)業(yè)務邏輯。AP∑γ♥§I 接口定義獨立于實現(xiàn)服務的(de)硬件(jiàn)平台、操作(zuò)‍≠γ系統和(hé)編程語言，确保構建在不(bù)同系統中的(de)服務可(k✔↕→₩ě)以以一(yī)種統一(yī)通(tōng)用(yòng)的(de)方式進行('επxíng)交互。

      對(duì)于汽±₹車(chē)行(xíng)業(yè)而言，SOA 是(shì®♠α)一(yī)套新引入的(de)技(jì)術(shù)，需要(yào∞™‌)一(yī)套有(yǒu)效的(de)流程、方δ"®法和(hé)工(gōng)具鏈，三者相(xiàng)輔相(xiàn→©g)成，當前業(yè)界還(hái)沒有(yǒu)一(yī)套非常成熟★♣σ的(de)方法論和(hé)工(gōng)具鏈，大(dà)部分(fēn)整車(chē)廠(ch♦φ<ǎng)和(hé) Tier1/Tier2 都(dōu)處于探索階段，下(xβ≥ià)圖展示了(le)一(yī)種基于服務的(de)功能(néng)開(kāi)發流©¶∞程方法。

圖 4-12 基于服務的(de)功能(néng)開(kāi)發流程方法

      首先對(duì)€​ 功能(néng)進行(xíng)需求分(fēn)析，輸出場(chǎng)景定義和(hé↔¥)特性設計(jì)，以及對(duì)應的(de☆★✘×)物(wù)理(lǐ)拓撲和(hé)模塊功能(néng)定義接著(zh"‍e)繼續進行(xíng)系統設計(jì)，包括服務架構設計(jì)≤≤"₽、服務設計(jì)和(hé)通(tōng)信設計(jì)，服務定義需依據中國(guó)汽車(c↓<‌→hē)工(gōng)業(yè)協會(huì)軟件(jiàn)定義汽車(ch ¶¥↑ē)工(gōng)作(zuò)組發布的(de) API 接口參考規範。

轉自(zì)汽車(chē)電(diàn)子(zǐ)與軟件(jiàn)