QNX大中華區(qū)總經(jīng)理張人杰：智能汽車(chē)的操作系統(tǒng)架構(gòu)

極客網(wǎng)6月24日消息，今天，由汽車(chē)創(chuàng)新港、NewCar?？W(wǎng)主辦的“預(yù)見(jiàn)未來(lái)：人工智能和自動(dòng)駕駛技術(shù)論壇”在上海盛大舉行，論壇圍繞人工智能在自動(dòng)駕駛汽車(chē)領(lǐng)域的應(yīng)用實(shí)踐這一話題，深入探討駕駛輔助、自動(dòng)駕駛、高精度地圖、環(huán)境感知、語(yǔ)音識(shí)別、軟件系統(tǒng)等技術(shù)難點(diǎn)和重點(diǎn)。極客網(wǎng)作為合作支持媒體，將為您帶來(lái)全程報(bào)道。

論壇邀請(qǐng)了沃爾沃汽車(chē)智能駕駛事業(yè)部高級(jí)經(jīng)理張立存博士、地平線機(jī)器人智能駕駛業(yè)務(wù)總監(jiān)李星宇，亞太機(jī)電智能網(wǎng)聯(lián)事業(yè)部 技術(shù)總監(jiān)梁濤年博士，QNX大中華區(qū)總經(jīng)理張人杰，吉利汽車(chē)主動(dòng)安全科經(jīng)理李博博士，閱面科技創(chuàng)始人（前阿里巴巴算法總監(jiān)）趙京雷博士，慧眼科技 CEO（Imprezzeo創(chuàng)始人）單霆博士，上海傲碩信息科技總經(jīng)理鄭天堂先生，中科慧眼創(chuàng)始人副總經(jīng)理孟然先生做主題分享。

第三位出場(chǎng)演講的是QNX大中華區(qū)總經(jīng)理張人杰 ，他演講的標(biāo)題目是《智能汽車(chē)的操作系統(tǒng)架構(gòu)》。

以下是演講速記整理內(nèi)容：

接下來(lái)非常榮幸有請(qǐng)到黑莓BTS大中華區(qū)業(yè)務(wù)總經(jīng)理張人杰先生，給大家介紹“智能汽車(chē)的操作系統(tǒng)架構(gòu)”。

張人杰：各位來(lái)賓大家好，很高興今天能夠參加工程師的論壇，我本身也是工程師出身，所以非常高興能跟大家做一個(gè)關(guān)于操作系統(tǒng)方面的技術(shù)交流。

大家都知道黑莓原來(lái)一直是以手機(jī)著稱，現(xiàn)在我們的重點(diǎn)放在軟件服務(wù)這一塊。我是BTS大中華區(qū)業(yè)務(wù)部門(mén)的總經(jīng)理，我下面負(fù)責(zé)的包括像Certicom操作系統(tǒng)，以及整個(gè)黑莓4萬(wàn)多項(xiàng)國(guó)際專利，這塊都是屬于黑莓的核心資產(chǎn)。

我們現(xiàn)在來(lái)討論一下，智能駕駛的概念非常的火。但是我們想想看，與智能駕駛相關(guān)的我們談了很多的方面，比如深度學(xué)習(xí)、人工智能，包括傳感器方面談到了像Mobileye比較擅長(zhǎng)的單目攝像頭，還有剛才其他一些合作伙伴他們談到的雙目攝像頭等等這樣一些算法相關(guān)的東西。但是我們有沒(méi)有考慮到，其實(shí)在一個(gè)系統(tǒng)里頭，最重要、最基礎(chǔ)的部分往往是容易被忽略掉的。

對(duì)于一個(gè)智能汽車(chē)來(lái)講它的操作系統(tǒng)架構(gòu)應(yīng)該是怎么樣的？

還跟以前一樣嗎，還是現(xiàn)在這種分離式的架構(gòu)嗎？大家知道現(xiàn)在來(lái)講做汽車(chē)電子，多半都是聚焦在其中的某一個(gè)層面，比如有些廠家會(huì)聚焦在中控娛樂(lè)信息系統(tǒng)部分，還有一些廠商會(huì)聚焦在數(shù)字化部分，還有一些聚焦在ADAS相關(guān)的東西。這些車(chē)載電子設(shè)備到了智能駕駛階段它們是不是仍然這樣分離存在？其實(shí)這個(gè)地方就給我們提出了很多的疑問(wèn)。

我們看一下傳統(tǒng)的分離式的結(jié)構(gòu)其實(shí)在未來(lái)會(huì)有可能被一體化的數(shù)字座艙取代。我們?yōu)槭裁匆劇皵?shù)字座艙”概念，我們大家想想在無(wú)人駕駛這種理想狀態(tài)實(shí)現(xiàn)之前，一定有相當(dāng)長(zhǎng)一段時(shí)間里頭是處在一種，人處于輔助的地位，主要是由機(jī)器來(lái)判斷。正因?yàn)槿艘谶@里頭起到一定的決策作用，這個(gè)座艙就必不可少。對(duì)于這樣一個(gè)座艙來(lái)講，它的硬件架構(gòu)其實(shí)跟現(xiàn)在是完全不一樣的，用一個(gè)業(yè)界比較流行的詞我們稱之為叫“顛覆”。

顛覆這個(gè)詞來(lái)講，其實(shí)很適合對(duì)于硬件架構(gòu)的變化。大家知道以前在車(chē)?yán)镱^有很多個(gè)分離的電子板卡，到了智能駕駛階段有可能我們就會(huì)把它變成一塊單獨(dú)的板卡。我不知道大家對(duì)通信領(lǐng)域有沒(méi)有理解，因?yàn)槲冶旧硪彩亲鐾ㄐ懦錾淼?，通信是我的老本行，我的?dǎo)師也是工程院的院士。對(duì)于通信這塊來(lái)講，我們很看中的一點(diǎn)它是一個(gè)聚合的過(guò)程。最早的時(shí)候大家想我們一塊板卡可以完成基本的功能，多個(gè)板卡需要經(jīng)過(guò)一些走線的方式連接起來(lái)，到了后期可能有1—2塊的CPU板卡，加上多個(gè)的子線卡。在汽車(chē)?yán)镱^其實(shí)有這種類(lèi)似的可能性會(huì)發(fā)生，有可能會(huì)有一塊主控板控制汽車(chē)的所有的車(chē)載電子部分，在主控板上可以插入多個(gè)不同的子線卡，這些子線卡就可以完成目前看到的這些分離設(shè)備它所完成的這些功能，這個(gè)在整個(gè)的硬件架構(gòu)上就發(fā)生了變化。

與之而來(lái)的是硬件變了軟件一定會(huì)變，軟件大家知道最核心的部分是什么？就是操作系統(tǒng)。操作系統(tǒng)這個(gè)層面跟以前一樣嗎？肯定不一樣，以前的分離式架構(gòu)，每一個(gè)電子器件上會(huì)有一個(gè)OS，這個(gè)OS可以是相同的也可以是不同的。整個(gè)系統(tǒng)之間一定要有通信來(lái)完成相互的協(xié)同工作。對(duì)于一體架構(gòu)來(lái)講，跟以前的軟件架構(gòu)一定會(huì)有很大的變化。我們來(lái)看一下在這樣子的架構(gòu)底下會(huì)有什么樣的情況會(huì)發(fā)生？就是虛擬化技術(shù)。虛擬化技術(shù)并不是一個(gè)很新的詞，真正對(duì)于嵌入式設(shè)備的虛擬化這塊應(yīng)該大約是在十年前左右，十年前虛擬化技術(shù)在通信領(lǐng)域里頭開(kāi)始慢慢做推廣。汽車(chē)電子這塊其實(shí)它仍然是一個(gè)很新的概念，我記得大概在四五年前我跟哈曼的一個(gè)總架構(gòu)師，他是一個(gè)德國(guó)人我跟他聊過(guò)，他對(duì)這個(gè)技術(shù)非常感興趣。他當(dāng)時(shí)就指出來(lái)，我們一定要改變現(xiàn)在的架構(gòu)，我覺(jué)得他說(shuō)得非常有道理。也就是說(shuō)這種虛擬化的技術(shù)來(lái)講，可以把一體化的硬件模擬成多個(gè)不同的子硬件，這種子硬件是虛擬硬件，每一個(gè)虛擬硬件對(duì)應(yīng)著現(xiàn)在大家比較熟悉的各自的一個(gè)功能，比如說(shuō)一個(gè)虛擬機(jī)可以完成傳統(tǒng)的中控娛樂(lè)信息系統(tǒng)的功能，另外一個(gè)虛擬機(jī)可能是數(shù)字化儀表，還有可能是ADAS的設(shè)備，到了后來(lái)這些東西它們之間的界限可能會(huì)模糊。像奧迪TT它是沒(méi)有中控娛樂(lè)信息系統(tǒng)的，只有一個(gè)集成功能的儀表盤(pán)，未來(lái)可能會(huì)有很多類(lèi)似這樣集成化的設(shè)備出現(xiàn)。比如說(shuō)我們大家都知道，其實(shí)大家談自動(dòng)駕駛我們經(jīng)常會(huì)有一個(gè)視頻去捕捉這些運(yùn)動(dòng)中的人或者物或者車(chē)，這個(gè)時(shí)候你想想看，如果都是從這個(gè)中控娛樂(lè)信息系統(tǒng)去看的話你覺(jué)得別扭不別扭？其實(shí)是完全不適合未來(lái)自動(dòng)駕駛的發(fā)展。

未來(lái)的自動(dòng)駕駛如果真的要做這塊的分析，比如車(chē)道偏移、行人監(jiān)測(cè)你希望應(yīng)該怎么做？我個(gè)人覺(jué)得可能（抬頭顯）技術(shù)是最合適的，跟手機(jī)的藍(lán)牙互聯(lián)這個(gè)不是真正意義上的抬頭顯，真正意義上的抬頭顯應(yīng)該是實(shí)體與我們計(jì)算出來(lái)結(jié)果的一個(gè)有效的融合。我們大家知道我們的車(chē)前面有一個(gè)擋風(fēng)玻璃，如果你的數(shù)據(jù)僅僅是投射在這個(gè)擋風(fēng)玻璃上是非常不科學(xué)的。因?yàn)閷?duì)于我們講，我們的實(shí)景跟擋風(fēng)玻璃之間的距離很遠(yuǎn)。我們應(yīng)該把計(jì)算的這些結(jié)果投射在擋風(fēng)玻璃之前的區(qū)域，也就是說(shuō)成像的距離一定不是在擋風(fēng)玻璃上，而是在擋風(fēng)玻璃比如說(shuō)1.8米或者2.5米這樣的一個(gè)距離。你想想看，如果在這樣一個(gè)距離，正好和你肉眼看到的道路上的那些比如說(shuō)畫(huà)線，計(jì)算出來(lái)的結(jié)果如果也是投影到類(lèi)似的區(qū)域，這才是真正意義上ADAS的一個(gè)輔助駕駛。

所以隨著整個(gè)智能駕駛的發(fā)展，很多熟悉的這些電子器件有可能會(huì)在車(chē)載里頭消失掉，多個(gè)技術(shù)有可能會(huì)融合在新的硬件里頭。舉例，我們現(xiàn)在中控娛樂(lè)信息系統(tǒng)，你的副駕駛或者后座這些乘客他們看中控娛樂(lè)信息系統(tǒng)一點(diǎn)不方便，正常我們實(shí)際上應(yīng)該把這個(gè)娛樂(lè)的部分、多媒體部分投射到副駕駛的遠(yuǎn)端，這個(gè)時(shí)候副駕駛?cè)丝梢宰谒母瘪{駛位置上可以欣賞大片一樣看整個(gè)視頻節(jié)目或者一些別的東西，這才是真正意義上的在無(wú)人駕駛之前有人類(lèi)參與輔助駕駛階段所應(yīng)該給大家?guī)?lái)的一些功能。其實(shí)它的目的很單純，就是把真實(shí)的硬件虛擬化成多個(gè)硬件實(shí)體，在這些實(shí)體上可以運(yùn)行不同的操作系統(tǒng)，完成獨(dú)立的功能。從整個(gè)硬件成本來(lái)講也下樣了，以前想想看，通信領(lǐng)域里頭也是百家爭(zhēng)鳴，現(xiàn)在為什么只剩下幾家公司？很簡(jiǎn)單，因?yàn)樾〉墓径荚谝惠喴惠喞顺敝械瓜铝?。我們?cè)賮?lái)看一下汽車(chē)電子領(lǐng)域不是這樣的，百家爭(zhēng)鳴，有1000家、1萬(wàn)家甚至幾十萬(wàn)家的小公司在生存著，但是這個(gè)趨勢(shì)僅僅只能保持幾年，未來(lái)一定是巨顎的時(shí)代，巨顎時(shí)代就是通吃，那就是說(shuō)如果這種一體化硬件出現(xiàn)的話，如果你作為一個(gè)小的供應(yīng)商你可能在這個(gè)里面一點(diǎn)份額拿不到，因?yàn)檎麄€(gè)硬件都是大的供應(yīng)商做的，上面所有的這些應(yīng)用全部是一家吃掉了，這就是像現(xiàn)在華為他們做的這些事情，未來(lái)有可能在車(chē)載電子里頭就會(huì)出現(xiàn)。對(duì)在座各位來(lái)講都會(huì)有一個(gè)非常大的挑戰(zhàn)。

我們?cè)賮?lái)觀察一下，如果我們做了幾個(gè)獨(dú)立的虛擬器件之后，怎么完成通信？可以用虛擬以太網(wǎng)，因?yàn)橐蕴W(wǎng)是最容易理解的技術(shù)。就像現(xiàn)在大家都說(shuō)走線非常麻煩不好用或者怎么樣，但是大家可以看到有一個(gè)趨勢(shì)，就是以太網(wǎng)走線越來(lái)越多在車(chē)載里頭占據(jù)了主導(dǎo)地位。我們想一下，如果在一體化的硬件里頭，其實(shí)以太網(wǎng)沒(méi)有用了。為什么？大家就是一塊板，這些虛擬的硬件直接一定要有一個(gè)虛擬的以太網(wǎng)，虛擬的以太網(wǎng)就像兩個(gè)分離的節(jié)點(diǎn)，雖然是兩個(gè)獨(dú)立的虛擬硬件，但是它們之間可以利用類(lèi)似以太網(wǎng)的方式來(lái)通信，就會(huì)變得比較簡(jiǎn)單。通過(guò)這樣子的方式，我們想想看，如果你覺(jué)得生態(tài)系統(tǒng)很好，完全可以保留在車(chē)載電子領(lǐng)域的使用，可以把它在其中一個(gè)虛擬硬件上實(shí)現(xiàn)。如果你覺(jué)得與車(chē)身安全相關(guān)的部分，你需要有一個(gè)實(shí)時(shí)操作系統(tǒng)控制，來(lái)提高它的安全性，這個(gè)時(shí)候可以把大部分的硬件資源的訪問(wèn)交給實(shí)時(shí)操作系統(tǒng)來(lái)管，各為其政相互之間沒(méi)有任何的影響，所以我們?cè)谶@個(gè)地方是有一個(gè)非常大的靈活性在里面。

現(xiàn)在做智能駕駛可能比以前普通的全部的人工駕駛來(lái)講，最重要的一點(diǎn)是什么？就是它的安全性。安全性里頭有一個(gè)非常重要的考量的一點(diǎn)，就是數(shù)據(jù)性安全。如果一個(gè)很容易被黑客黑掉了，大家知道特斯拉，都被國(guó)內(nèi)一家公司360花了不到一個(gè)小時(shí)就破解了它的系統(tǒng)，為什么？因?yàn)槟愕南到y(tǒng)數(shù)據(jù)性安全這塊做得不夠。我們就要來(lái)考量，如果真的黑客把我們的系統(tǒng)給黑了，讓這個(gè)系統(tǒng)做一些自動(dòng)駕駛的操作，比如說(shuō)在高速上猛的來(lái)一個(gè)剎車(chē)怎么辦？那就是車(chē)毀人亡。所以在這種情況下一定要對(duì)行為做限制，如果黑客入侵的進(jìn)程，即使有這個(gè)進(jìn)程存在，沒(méi)辦法訪問(wèn)某些硬件資源或者對(duì)權(quán)限做很大的控制，這個(gè)時(shí)候沒(méi)有關(guān)系，讓它去黑好了，黑不到黑心，所以安全控制要放在很重要的位置。

分布式處理，我們學(xué)計(jì)算機(jī)的時(shí)候可能在二十年前就會(huì)得到一個(gè)概念，就是說(shuō)分布式處理，我的系統(tǒng)很牛是分布式處理的，什么是分布式處理？就是多個(gè)分離的計(jì)算節(jié)點(diǎn)它們能夠協(xié)同起來(lái)完成一項(xiàng)操作，這就是分布式處理。在我們的汽車(chē)?yán)镱^我們想想看，我們的這些虛擬硬件它們之間其實(shí)是有關(guān)聯(lián)的，比如說(shuō)現(xiàn)在有一個(gè)設(shè)備它能夠探頭線去訪問(wèn)底層的傳感器傳過(guò)來(lái)的資源，這個(gè)時(shí)候我們想看，另外一個(gè)設(shè)備壓根訪問(wèn)不了，為什么？我記得剛才有一個(gè)朋友提出來(lái)，哪些是要通過(guò)安全認(rèn)證而哪些不需要。其實(shí)我們有一個(gè)非常簡(jiǎn)單的指標(biāo)來(lái)確定這個(gè)系統(tǒng)是不是需要通過(guò)安全性認(rèn)證？就是它和車(chē)最關(guān)鍵的部分，最關(guān)鍵的電控部分是否有關(guān)聯(lián)，如果有關(guān)聯(lián)在某種意義上講就是一個(gè)安全鍵，安全鍵和非安全鍵相比它一定要有一些這方面的考慮。對(duì)于這種分布式計(jì)算來(lái)講，好處就是我們可以讓安全鍵去控制汽車(chē)底層的汽車(chē)資源，讓非安全鍵通過(guò)特定的通信方式來(lái)控制這樣的資源，所以很多的時(shí)候只能做讀操作而不能做寫(xiě)操作。分布式操作非常簡(jiǎn)單的一點(diǎn)就是完成系統(tǒng)之間的協(xié)作，并且保證系統(tǒng)的健壯性。

為什么我們說(shuō)在虛擬化之上的系統(tǒng)安全控制部分要用實(shí)時(shí)操作系統(tǒng)，因?yàn)閷?shí)時(shí)操作系統(tǒng)相對(duì)于大家熟悉的基于桌面的系統(tǒng)來(lái)講有一定的時(shí)間響應(yīng)的要求。在規(guī)定的時(shí)間里頭，它對(duì)外界的行為要極快做出反映。對(duì)于實(shí)時(shí)操作系統(tǒng)來(lái)講目前應(yīng)用場(chǎng)合非常廣，包括拉斯維加斯，中國(guó)澳門(mén)有很多的博彩機(jī)，運(yùn)行的是實(shí)時(shí)操作系統(tǒng)，比如你現(xiàn)在選擇了一組擬定的規(guī)則，最后沒(méi)有任何的響應(yīng)怎么辦？這只是一個(gè)比喻，也就是說(shuō)整個(gè)的行為必須是確定的，而且是即時(shí)的。

Mobileye做到現(xiàn)在只敢做識(shí)別，不敢做決策，為什么？它把決策留給人去做，這是很聰明的一個(gè)做法。因?yàn)槿嗽谀壳皝?lái)講可以通過(guò)倫理的也好，是是自己視覺(jué)的感知也好，我們跟機(jī)器相比都一個(gè)絕對(duì)的優(yōu)勢(shì)。所以Mobileye不敢冒險(xiǎn)，把這個(gè)決策交給人來(lái)做。未來(lái)來(lái)講隨著這個(gè)人的干預(yù)越來(lái)越少，機(jī)器的仲裁變得越發(fā)重要，如果機(jī)器的仲裁在特定的時(shí)間里頭沒(méi)有響應(yīng)這個(gè)系統(tǒng)就非常的危險(xiǎn)，比如高速上看到前面即將追尾，但是半天這個(gè)行為應(yīng)該要做的行為執(zhí)行不了，對(duì)不起還是撞上去了，智能汽車(chē)?yán)镱^我們一定要保證系統(tǒng)的相應(yīng)性。

我們大家都知道怎么考量一個(gè)系統(tǒng)是不是真的實(shí)時(shí)操作系統(tǒng)呢？有一個(gè)非常重要的指標(biāo)，就是它的內(nèi)核可挑戰(zhàn)程度。我們?cè)?7年加入了一個(gè)布丁，已經(jīng)變成了一個(gè)實(shí)時(shí)操作系統(tǒng)。我們比較一下實(shí)時(shí)操作系統(tǒng)和非實(shí)時(shí)操作系統(tǒng)的兩個(gè)重要的指標(biāo)參數(shù)，第一個(gè)就是中斷延遲，當(dāng)一個(gè)中斷產(chǎn)生到中斷被真正的去執(zhí)行，這樣之間的一個(gè)延遲。整個(gè)的性能基本上延遲只有Linux的1/4，我們考慮平均情況還要考慮惡劣情況，惡劣情況Linux有的時(shí)候會(huì)達(dá)到1秒鐘，即使安卓系統(tǒng)，上面的虛擬機(jī)運(yùn)行非常順暢，不排除有可能是底下的內(nèi)核的一個(gè)響應(yīng)慢導(dǎo)致的，所以在這個(gè)地方有很多的指標(biāo)，其實(shí)跟操作系統(tǒng)都是相關(guān)的，所以在這個(gè)地方有一個(gè)重要的參數(shù)叫做抖動(dòng)，所謂抖動(dòng)就是平均的狀態(tài)和惡劣狀態(tài)之間的一個(gè)比較。如果兩邊性能下降非常厲害，我們說(shuō)這個(gè)系統(tǒng)是一個(gè)抖動(dòng)性很大的一個(gè)系統(tǒng)。

系統(tǒng)的可用性，可用性在英語(yǔ)里頭比較容易理解，當(dāng)這個(gè)系統(tǒng)在極端的情況底下真的出錯(cuò)了，但是出錯(cuò)了沒(méi)有關(guān)系，但是要保證系統(tǒng)某些最關(guān)鍵的功能是可用的。我們大家知道現(xiàn)在與我們?nèi)粘Ｉ钭罹o密的一個(gè)電子設(shè)備，大家想想看是什么呢？可能就是我們通常出行有的時(shí)候坐的軌道交通，軌道交通里頭這個(gè)地方于于可用性提到一個(gè)非常重要的程度，就是我們現(xiàn)在從龍陽(yáng)路開(kāi)到浦東國(guó)際機(jī)場(chǎng)中間有一個(gè)磁懸浮，一些外地游客來(lái)還是想感受一下這種極速。但是怎么保證這個(gè)東西的可用性？如果去坐的話會(huì)發(fā)現(xiàn)有一個(gè)細(xì)節(jié)，從龍陽(yáng)路到浦東國(guó)際極長(zhǎng)的時(shí)候會(huì)宕機(jī)。你想想看，兩次故障之間的時(shí)間是多少？所以你不斷的重啟它自然能提高它的安全性和可用性，這就是我們?cè)谲壍澜煌ɡ镱^經(jīng)常使用的一個(gè)技術(shù)。

對(duì)于汽車(chē)來(lái)講比較麻煩，尤其是智能汽車(chē)，未來(lái)大概有些公司不是炒作生態(tài)、共享、經(jīng)濟(jì)這種嗎，未來(lái)有可能這個(gè)車(chē)永遠(yuǎn)就不會(huì)停，你現(xiàn)在在家里頭你按一個(gè)按紐，瞬間一輛車(chē)，這輛車(chē)可能已經(jīng)開(kāi)了兩年了，因?yàn)楣蚕斫?jīng)濟(jì)，來(lái)接你如果出現(xiàn)了可用性的問(wèn)題怎么辦，所以可用性在未來(lái)智能駕駛里頭，比現(xiàn)在重新啟動(dòng)的這種狀態(tài)要更加的考慮。

我們來(lái)看一下，比如說(shuō)這個(gè)系統(tǒng)真的出現(xiàn)問(wèn)題的時(shí)候我們一定要有一些辦法去解決，以前大家在做硬件的時(shí)候，覺(jué)得我有一個(gè)硬件可以監(jiān)視是否正常，但是對(duì)于軟件來(lái)講一定要有類(lèi)似的技術(shù)。它可能是有一組相互協(xié)同工作的進(jìn)程來(lái)對(duì)其他的進(jìn)程做監(jiān)視這樣一個(gè)工作，比如說(shuō)我這個(gè)地方如果啟動(dòng)了一個(gè)叫高可用性的監(jiān)視器，當(dāng)某個(gè)模塊出現(xiàn)問(wèn)題的時(shí)候內(nèi)核會(huì)通告這個(gè)高可用的監(jiān)視器，這個(gè)模塊出問(wèn)題了，接下來(lái)相關(guān)的信息會(huì)被收集，這個(gè)模塊退出，并且把資源返還給這個(gè)系統(tǒng)。接下來(lái)就是HA Manager重啟，整個(gè)程序操作是非?？斓?，也就是說(shuō)這樣的操作可能在幾十個(gè)毫秒到100多個(gè)毫秒就能恢復(fù)。假如在高速公路上我們的智能駕駛汽車(chē)在那兒跑，突然有一個(gè)模塊出問(wèn)題了，沒(méi)關(guān)系在100毫秒里頭給它恢復(fù)過(guò)來(lái)了，這個(gè)系統(tǒng)仍然是安全的，因?yàn)閷?duì)于人來(lái)講有的時(shí)候開(kāi)著開(kāi)著突然打個(gè)盹有一兩秒的時(shí)間。一樣的道理，如果我們讓這個(gè)系統(tǒng)有100毫秒的可恢復(fù)能力，這個(gè)系統(tǒng)仍然是安全的，所以在這個(gè)地方一定要有相應(yīng)的機(jī)制。所以整個(gè)操作系統(tǒng)來(lái)講對(duì)于智能駕駛非常關(guān)鍵。

接下來(lái)說(shuō)到最重要的一個(gè)環(huán)節(jié)就是功能性的安全，功能性安全這些年來(lái)被提到各個(gè)行業(yè)，受到很高的一個(gè)重視。大家知道在工業(yè)里頭有一個(gè)標(biāo)準(zhǔn)叫IC61508，就是對(duì)所有的工業(yè)生產(chǎn)中要使用到的電子電氣或者是具備可編程邏輯的電子設(shè)備有一套要求，分為C1到C4四個(gè)等級(jí)。汽車(chē)領(lǐng)域大家知道汽車(chē)是工業(yè)的一部分，所以我們延伸出來(lái)一個(gè)標(biāo)準(zhǔn)叫做ISO26262是針對(duì)乘用車(chē)功能性安全的規(guī)范。智能汽車(chē)?yán)镱^安全鍵一定是大大增加了，像這樣一些東西，一定會(huì)放在安全鍵里頭。安全鍵整個(gè)的系統(tǒng)，系統(tǒng)本身、硬件、軟件、應(yīng)用所有的層面都要通過(guò)ISO26262，就是ASIL A到ASIL D的認(rèn)證。ADAS相關(guān)的控制設(shè)備要達(dá)到ASIL C的要求，如果你的系東能夠達(dá)到ASIL D的要求是最好的。對(duì)于操作系統(tǒng)層面來(lái)講，要通過(guò)ASIL認(rèn)證是非常復(fù)雜的過(guò)程。這個(gè)里頭不光是認(rèn)證的難度還有一個(gè)就是成本，大家知道這個(gè)社會(huì)是講經(jīng)濟(jì)的，你得考慮做一個(gè)事情可以做，但是要考慮花多少錢(qián)。在這個(gè)里頭來(lái)講，Linux由于內(nèi)核代碼龐大，要通過(guò)相應(yīng)認(rèn)證幾乎不可能。

整個(gè)智能汽車(chē)有一個(gè)安全設(shè)計(jì)的流程，可以簡(jiǎn)單用一句話來(lái)說(shuō)就是叫失敗模型的概念，我們做任何事情都有可能會(huì)失敗，失敗的百分比是多少？這個(gè)很關(guān)鍵。而一個(gè)系統(tǒng)失敗百分比其實(shí)取決于這個(gè)系統(tǒng)里頭多個(gè)子模塊各自的百分比，然后和它們之間耦合的一個(gè)悉數(shù)，所以系統(tǒng)模塊數(shù)越多、耦合性越強(qiáng)，系統(tǒng)出現(xiàn)問(wèn)題的可能性就越大。所以我們一般做功能性安全規(guī)范的時(shí)候就是衡量你的系統(tǒng)能不能用一個(gè)非常好的失敗模型去闡述，設(shè)計(jì)好你這個(gè)系統(tǒng)不難，難的是設(shè)計(jì)好這個(gè)系統(tǒng)之后還要有一種模型能夠計(jì)算出當(dāng)前這個(gè)系統(tǒng)出現(xiàn)失敗的可能性。前些年我們大家在做一些軌道交通的時(shí)候，那個(gè)時(shí)候通過(guò)的叫做EO50128和E050129，我們?cè)谥袊?guó)的很多設(shè)備，我們坐的高鐵大家千萬(wàn)不要以為它非常安全。因?yàn)橹袊?guó)很多程序設(shè)計(jì)是以測(cè)試來(lái)保證安全的，大家知道測(cè)試本身就是有問(wèn)題的，測(cè)試涉及到有一個(gè)測(cè)試用力，測(cè)試用力里頭能不能涵蓋所有的邊界條件呢？不一定。只要你的測(cè)試用力它的涵蓋百分比不夠，這個(gè)測(cè)試能力其實(shí)就是一個(gè)無(wú)效的，所以基于測(cè)試的所有的這種模型設(shè)計(jì)都是不科學(xué)的，而且它的安全等級(jí)都是有限的。所以現(xiàn)在來(lái)講如果做智能汽車(chē)它如果整個(gè)的設(shè)計(jì)流程沒(méi)有按照這樣子一套失敗模型去設(shè)計(jì)，這種東西你讓它去闡述，它為什么能夠開(kāi)上來(lái)，開(kāi)上來(lái)失敗的可能性有多少，這些東西沒(méi)有人計(jì)算。因?yàn)楝F(xiàn)在整個(gè)行業(yè)太浮躁了，就是說(shuō)我們沒(méi)有考慮到這個(gè)系統(tǒng)安全本身，我們大家都想到兩三年就量產(chǎn)了，可能嗎？?jī)扇炅慨a(chǎn)的話，那這些人工智能的人已經(jīng)搞了20年為什么到現(xiàn)在沒(méi)有搞出來(lái)一個(gè)真正像樣的東西呢？原因很簡(jiǎn)單，系統(tǒng)如果真的從高安全角度去分析的話其實(shí)是非常復(fù)雜的，要把它設(shè)計(jì)出來(lái)。

接下來(lái)就是數(shù)據(jù)性安全，數(shù)據(jù)性安全比功能性安全還要復(fù)雜，因?yàn)樵谶@個(gè)里頭有很多可能的漏洞。我們以前在去破解一個(gè)系統(tǒng)有很多種可能。舉例，就像高鐵里頭或者地鐵里頭經(jīng)常有一些電子顯示屏，會(huì)播放一些東方衛(wèi)視或者東方明珠衛(wèi)視之類(lèi)的新聞，但是突然中斷了，這個(gè)破解就是屬于自己破解。如果你侵入到這個(gè)系統(tǒng)把當(dāng)前運(yùn)行的主程序給它停下來(lái)，通過(guò)這個(gè)程序你就可以侵入這個(gè)系統(tǒng)做其他的操作，這個(gè)系統(tǒng)的數(shù)據(jù)性安全其實(shí)已經(jīng)被你破壞了。所以這就是為什么像iphone這樣的設(shè)計(jì)經(jīng)常有一個(gè)BUG，然后需要做布丁。因?yàn)楹芏鄸|西只要把它放到實(shí)際的層面來(lái)講都會(huì)變得很簡(jiǎn)單，因?yàn)槲覀兛春芏鄸|西很復(fù)雜，實(shí)際上我們讓這個(gè)東西回歸本質(zhì)就很簡(jiǎn)單。

我們的系統(tǒng)來(lái)講，一定要增強(qiáng)數(shù)據(jù)安全性，否則的話以后這種智能駕駛一定是不安全的。還有就是它對(duì)系統(tǒng)權(quán)限這塊一定要有精細(xì)化的控制，我們現(xiàn)在用像Linux也好，或者其他的系統(tǒng)也好，經(jīng)常會(huì)發(fā)現(xiàn)大部分人喜歡用根用戶，但是根用戶是不安全的，實(shí)際上我們?nèi)绻o用戶接口，一定是一個(gè)設(shè)定的特定訪問(wèn)權(quán)限的應(yīng)用，不像以前做的后裝的機(jī)器，進(jìn)去以后隨便裝盜版就可以了，原因就是把權(quán)限給你了，本來(lái)不應(yīng)該把這個(gè)權(quán)限給你的，但是智能駕駛不能這樣，智能駕駛一旦出現(xiàn)以后，一定會(huì)有一些別有用心的人來(lái)做破壞，為了顯示自己很牛逼，其實(shí)并不牛逼。因?yàn)榇蠹抑榔茐暮芎?jiǎn)單，維護(hù)最難，但是很多小孩可能就愿意為了秀自己這種事情，這是很可怕的?？赡鼙秽従拥男『涯愕能?chē)就給黑了。而且現(xiàn)在APP的連接也變得非常普及，所以未來(lái)可能破解你的汽車(chē)，破解你的手機(jī)，手機(jī)跟它的連接，手機(jī)本身已經(jīng)連接部分獲得了這部分系統(tǒng)的根用戶權(quán)限，你自然它破解了你的手機(jī)就可以通過(guò)這個(gè)通道來(lái)控制你的汽車(chē)，非常的危險(xiǎn)。

還有一個(gè)就是系統(tǒng)的重啟。我們想一下，一個(gè)智能汽車(chē)如果出現(xiàn)極端情況下，我們必須得重啟的時(shí)候，它的時(shí)間要求，不能說(shuō)用一兩秒再啟動(dòng)，這個(gè)時(shí)候在高速上，或者在非常復(fù)雜的駕駛的路況下會(huì)非常危險(xiǎn)。所以這個(gè)地方一定要保證未來(lái)的智能駕駛系統(tǒng)它的重新時(shí)間一定是非常小的。

功能整合這塊要實(shí)現(xiàn)系統(tǒng)的平臺(tái)化。所謂的平臺(tái)化就是，我們這個(gè)系統(tǒng)千萬(wàn)不是一個(gè)簡(jiǎn)單功能的疊加。比如這家公司做了一個(gè)雙目的算法，那家公司做了一個(gè)單目的算法，這家公司做了一個(gè)激光雷達(dá)，我們隨意把它放到這個(gè)系統(tǒng)里頭，這個(gè)系統(tǒng)毫無(wú)關(guān)聯(lián)，怎么保證這個(gè)系統(tǒng)最終產(chǎn)生一個(gè)確定性、一致性的決策呢？我們想我們?cè)谖磥?lái)的系統(tǒng)來(lái)講一定是要有一個(gè)平臺(tái)化的要求。平臺(tái)化的要求里頭，比如說(shuō)我們要保證對(duì)現(xiàn)有車(chē)型的AutoSAR的支持。還有對(duì)于未來(lái)V2X通信接口的擴(kuò)展性的一個(gè)預(yù)流，這塊非常重要，像美國(guó)的公路交通管理局已經(jīng)確定了，在所有美國(guó)的交通設(shè)備長(zhǎng)一定要安裝V2X的模塊，就是通過(guò)類(lèi)似WIFI的無(wú)線通信的系統(tǒng)信道來(lái)相互之間傳遞這個(gè)信息。所以未來(lái)來(lái)講，你在這兒開(kāi)到前方一英里的路口就知道那個(gè)地方是紅燈還是綠燈，因?yàn)槟沁呉呀?jīng)傳遞過(guò)來(lái)了。所以智能駕駛?cè)绻阕约翰挥貌扔烷T(mén)，你想想看它就可以經(jīng)濟(jì)性控制整個(gè)你的油門(mén)的深淺，當(dāng)然未來(lái)是電動(dòng)的，可以控制電動(dòng)的電機(jī)轉(zhuǎn)速，這樣可以整個(gè)讓社會(huì)的能源損耗降到極低。所以這個(gè)地方一些接口的東西一定要預(yù)留。還有就是現(xiàn)在最流行的大家都知道，其實(shí)我們現(xiàn)在的智能駕駛還是停留在圖像識(shí)別，圖象識(shí)別最重要的一點(diǎn)就是要有一個(gè)很好的攝像頭框架，攝像頭框架為什么重要？因?yàn)閿z像頭能夠提供給我們太多的功能，單目的可以做識(shí)別，雙目的可以測(cè)距，雙目的說(shuō)白了我們是怎么樣測(cè)距的？三角測(cè)距，能夠確定它的位置和確定離我們的距離。還有激光雷達(dá)能夠測(cè)距，等等這樣一些技術(shù)。在攝像頭這種框架里頭，我們有視覺(jué)的處理和計(jì)算的加速，這塊可能會(huì)用到一些什么東西？用到一些芯片。我們知道現(xiàn)在的ADAS的整個(gè)判斷、計(jì)算來(lái)講一般會(huì)用到三種技術(shù)，第一種就是視頻引導(dǎo)的GPU的技術(shù)，因?yàn)镚PU先天比較適合做適量計(jì)算；第二種就是以TR為代表的DSP，就是以數(shù)字信號(hào)處理的模式。第三種就是FPGI的模式，各有各的優(yōu)勢(shì)。對(duì)于國(guó)內(nèi)公司來(lái)講其實(shí)大部分會(huì)去看，基本上我們都得用它們這三種模式里頭的一種，很難完全自定義這一塊。我們整個(gè)的系統(tǒng)一定是一個(gè)平臺(tái)化的，因?yàn)槲磥?lái)是一個(gè)一體化的狀態(tài)。

我們最后來(lái)考慮一種場(chǎng)景，這種場(chǎng)景就是大家現(xiàn)在最熟悉的圖象處理。很多像這樣子的一些很炫的比如捕捉到一個(gè)物體、人物、汽車(chē)，這些怎么做的？從技術(shù)原理上來(lái)講非常簡(jiǎn)單。其實(shí)就需要有一套多攝像頭的框架。對(duì)于我們攝像頭傳進(jìn)的這些視頻數(shù)據(jù)來(lái)講本身就可以在某個(gè)顯示屏上面顯示出來(lái)，是沒(méi)有經(jīng)過(guò)任何加工的粗糙的一層。接下來(lái)我們?cè)黾訕赢?huà)一個(gè)框框進(jìn)來(lái)，其實(shí)這些框歸根結(jié)底是通過(guò)相應(yīng)的ADAS的算法，通過(guò)特定的ADAS的SOC來(lái)及出來(lái)的，實(shí)際上你看到的是多個(gè)圖層的融合。我們現(xiàn)在以車(chē)儀表盤(pán)為例，一定要有一個(gè)SOC方案，SOC里頭一定有一個(gè)通道，可以支持兩路或者四路的通道，我們?cè)趺礃影堰@些東西轉(zhuǎn)成到這個(gè)通道里面去呢？有幾種方式，一個(gè)就是一個(gè)圖層對(duì)于一種硬件通道，這種方式很難。我可能支持四個(gè)，但是有N個(gè)圖層沒(méi)有辦法做。終端看到的就是一個(gè)融合過(guò)的結(jié)果，所以未來(lái)你再看到很多公司給你演示一個(gè)一個(gè)展示或者怎么抓住的，千萬(wàn)不要驚訝，其實(shí)技術(shù)本身就是一個(gè)原始視頻加上后期處理的算法合成的圖層之間的一個(gè)融合，這就是真實(shí)的一個(gè)結(jié)果。

總結(jié)一下，未來(lái)整個(gè)智能汽車(chē)的硬件架構(gòu)的改變會(huì)帶來(lái)車(chē)載操作系統(tǒng)乃至底層虛擬化技術(shù)完全的改變。對(duì)于未來(lái)來(lái)講，完全無(wú)人駕駛的里狀態(tài)來(lái)講，相應(yīng)的這些通信接口也會(huì)被集成到車(chē)載電子的中央控制板里面去。而這些模塊它們都會(huì)帶虛擬化之上的一個(gè)或多個(gè)操作系統(tǒng)上面去互相地協(xié)同工作。整個(gè)系統(tǒng)來(lái)講它的安全、協(xié)作、可用性將會(huì)成為最重要的一個(gè)指標(biāo)。

大家有這方面的需求可以直接跟我聯(lián)系，我的演講就到這里，謝謝大家！

（該演講內(nèi)容全部由現(xiàn)場(chǎng)速記內(nèi)容整理，若有錯(cuò)誤之處敬請(qǐng)諒解）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。