縱觀汽車行業的發展，一百多年前當第一臺汽車誕生時，主要通過機械化硬件實現功能。在這一百多年間，汽車逐步向電子化發展，一輛汽車由至少上百個軟硬一體的電子控制單元協同構成。當下隨著自動化技術、智能化技術的發展，智能汽車中軟件開始占據主導地位，整車電子電氣架構也由分布式向集中式演變，并且汽車功能越來越豐富，所以部署在硬件系統中軟件規模開始變得越來越龐大，在這種背景下，智能汽車軟件在向著基礎平臺化軟件加應用軟件分層解耦的方式發展，從而需要：

軟件架構要有強大的兼容性和可擴展性，接口要標準化；

軟件內部分層化、模塊化、解耦化；

提高軟件開發效率，適當使用優秀的開源代碼；

強大的工具鏈支撐；

高安全性和高可靠性。

隨著AI技術的發展，大模型時代拐點到來，世界萬物格局都可能發生變化，產生新的范式，未來智能汽車軟件也可能會產生更多顛覆性的變革，例如：AI技術可能替代軟件工程師編寫代碼；現在智能汽車軟件生態圈將會變成AI為核心的AI生態圈；當下使用感知和規控等小模型的算法實現自動駕駛的方案可能變為通用人工智能大模型在自動駕駛領域開展應用；針對目前場景復雜、人工智能算法不可解釋性問題，在未來可能通過AI來進行場景泛化、用AI來解釋AI、以及更多意想不到的變化。

隨著智能汽車軟件的發展趨勢變化，軟件功能安全也在發生著改變，在傳統汽車時代，功能安全就是圍繞ISO26262標準的內容開展即可，而在智能汽車時代，不僅需要功能安全，也需要考慮預期功能安全，預期功能安全其實就是在彌補功能安全之前定義的局限性，我們可以將二者統稱為“功能型安全”。在未來，可能還要關注人工智能模型的安全性，我們統稱為“復合型安全”，所以隨著軟件發展，廣義的功能安全需要與時俱進。

每一個功能安全從業者可能會深有體會，當下汽車領域的功能安全就像身處夾縫之中，很難盡情發展。以下三句話可以概括這種夾縫困局：

說起來重要、做起來次要、忙起來不要；

對外重要、對內次要、實際不要；

宣傳重要、實踐次要、花錢不要。

并且有很多客觀或主觀的因素導致夾縫困局：

基于ISO26262標準的傳統功能安全對一些新技術存在局限性，并且默守陳規、按部就班的方式無法適應快速發展的智能汽車軟件；

基于ISO21448的預期功能安全活動還沒有形成行業最佳實踐，還需要經歷時間的考驗，對于未知場景是無窮盡的探索；

以ChatGPT通用人工智能技術的發展對社會、科技帶來新格局、新范式，功能安全也可能需要一些新的思考；

當下汽車行業整體環境安全文化、安全意識不足，大家對功能安全的認知存在偏差；

在沒有強制性法律法規要求的情況下，智能汽車行業面臨成本、效率與安全沖突時，往往會舍棄安全；

安全這件事，做的好無人知曉，做的不好人盡皆知，并需要背鍋。

如果想在夾縫中生存、成長，那就向自然界取經，學習小草的精神，要有較強的適應能力，突破能力和堅忍不拔的精神。

適應能力可以對應功能安全流程建設，智能汽車軟件領域的環境背景復雜，多技術融合、多生態協作、人員缺乏安全意識；所以流程體系需要適應這些情況，適當彈性靈活，建立融合型軟件研發體系，既有原則也有靈活性。

突破能力對應功能安全技術，面對新技術，在功能安全方面需要突破與創新：

首先識別痛點：認識智能汽車軟件的復雜性、不確定性；

然后創新思維：不拘泥于標準，技術方法勇于創新，但有底線、不盲目；

最后突破壁壘：突破傳統約束，建立新規則、新方法、新標準。

小草的堅忍不拔的精神適用于功能安全從業者，需要樂觀積極面對：

首先堅定態度：對安全永遠要抱有敬畏之心；

積極向上突破：頂住壓力說服領導重視安全，創建自上而下安全文化；

積極向下蔓延：傳播安全理念，督導全員遵循流程重視安全開發細節。

對抗夾縫困局，需要有文化、體系等基礎支撐，所以構建新型智能軟件研發體系至關重要。智能汽車領域既要求汽車行業的規范性，也要求高科技行業的高效性，所以在構建軟件研發體系時需要借鑒傳統汽車行業和ICT行業特點：傳統汽車行業講究元器件的車規級要求、注重過程符合性、研發過程遵循整車開發流程和軟件開發V模型；ICT行業講究冗余可靠設計、注重過程高效性、研發過程遵循頂層架構-功能-設計-測試的階段性流程。

在模式上，ICT行業主要采用圍繞產品進行設計開發與集成驗證的開發模式，技術融合性強、應用可以靈活衍生；支持需求快速迭代，面向服務的架構可靈活擴展，采用冗余設計使得可靠性較高；利用自動化測試能夠快速提高效率。而傳統車企的模式只負責整體集成，供應商負責模塊或系統的完整開發。在智能汽車軟件變革和ICT模式的影響驅動下，車企和供應商的模式及分工將有所變化，OEM不僅做整體硬件集成，還要負責軟件集成，需要關注軟件架構，側重應用軟件開發，讓技術變得更加自主可控。而供應商則側重平臺化技術，統一架構，統一接口，能夠靈活擴展，需要支持各種應用快速開發；并且應能夠快速響應客戶需求變化，使得產品不斷迭代改進。

此外，在研發體系構建過程中，需要深入理解現有的成熟體系要求：

ASPICE體系特點：以軟件質量為核心的一套方法論；關注過程，側重雙向追溯一致性，流程-計劃-實際執行的一致性。

功能安全體系特點：以失效的危害分析與防護為核心的一套方法論；關注過程與技術，側重故障檢測和故障處理的有效性；

SOTIF體系特點：圍繞將未知轉化為已知，將不安全轉化為安全的一套方法論；關注觸發條件，側重已知場景的驗證和未知場景的驗證；

敏捷特點：以需求快速迭代發布為核心的體系；個體和互動高于流程和工具；工作的軟件高于詳盡的文檔；客戶合作高于合同談判；響應變化高于遵循計劃。

Devops特點：開發、技術運維和質量保障這三方面融合，促進相互之間的溝通、協作與整合；通過協作提高產品開發、測試、發布效率。

在深入理解的基礎上，結合智能汽車軟件特點，將這些體系進行深度融合，建立一種新型高效的軟件研發體系，以ASPICE為基礎，增加功能安全和預期功能安全的要求，在設計階段進行充分的安全分析，在測試階段進行全面的故障插入測試和觸發條件驗證，并融入ICT的CICD流程和自動化測試流程，借鑒敏捷思想，不斷進行需求迭代，并且需要完善工具鏈，確保每個流程環節在工具鏈的支撐下，能夠達到事半功倍的效果。

有了最基本的體系保障之后，智能汽車軟件還需要面對技術上的痛點，找到相應的解決方案。

在產品形態及開發模式上，對比傳統電控功能的ECU開發，ECU開發的痛點為開發單一電控功能，周期較長；軟件中沒有OS或只有簡單的OS；一般采用匯編或C語言，開發效率低，學習成本高。而傳統ECU開發通過MATLAB/simulink工具來實現圖形化開發即可解決上述痛點。智能汽車軟件同理，針對其軟件架構復雜，復用性和移植性差、標準化的框架和模塊匱乏、全代碼開發缺乏便捷易用的開發工具，學習和遷移成本高，人才培養難度大等痛點，需要采用計算基礎平臺加圖形化開發工具來解決這一問題。

在功能安全技術層面上，智能汽車軟件面臨四大痛點及解決方案如下：

基于以上這些思考和探索，下面進行智能汽車軟件功能安全方面“夾縫生長”的實踐經驗分享，要想在夾縫中生長，首先需要挖掘“夾縫困局”的本質，針對性的制定“生長策略”。

夾縫困局的本質問題在于：

一、智能汽車軟件功能安全實現難度大；

二、功能安全成果難以量化體現，無法短期見效；

三、對安全的重視度不高。

針對第一條，采取挖掘本質、循序漸進策略：從第一性原理解決功能安全技術難題；從0-1的過程可以分為從0到0.1再到0.5最后到1，例如在單元測試MCDC覆蓋率的要求上，如果開始直接要求100%，那么可能根本做不到，并且研發人員會慢慢喪失信心，所以可以從一個及格線開始，不斷提高要求，最終滿足真正的需求。

針對第二條，采取認證推動、從點到線再到面的落實策略：認證能夠帶來成就感和凝聚力，鼓舞團隊士氣，通過在功能安全項目中，先努力帶動一小部分人提高安全認識和功能安全能力，再用星星之火燎原。

針對第三條，采用換位思考、綜合成本計算的策略：站在別人的角度考慮問題才能說服別人，功能安全從業者需要站在老板的角度考慮問題，找到切入點；并在功能安全這件事上，不能光看短期利益，而要綜合產品質量、社會責任、品牌價值、企業發展綜合計算成本，做企業不能有僥幸賭徒心理，需要敬畏安全，在研發階段就投入功能安全要比量產后補救成本低的多，智能汽車時代，進入全自動駕駛后一旦發生安全事故，可能對有些企業就面臨致命的打擊。

雖然當下功能安全還不是強制性要求，但是一定要提前布局，才無后顧之憂。對于我們這種負責智能汽車平臺軟件開發的企業，夾縫困局更加艱難，由于是平臺化基礎軟件，沒有特定具體軟件安全需求輸入，并且需要為所有應用提供基礎安全保障，所以功能安全，完全要靠我們的安全自驅力。

我們在實踐中總結了功能安全實現的四個最佳實踐：

注重強大的軟件架構設計：軟件架構需要分層、解耦、可擴展；

建立融合型軟件研發流程體系；、

正向設計加逆向安全分析貫穿全過程；

全面的測試驗證是確保安全性的重要保障。

國汽智控作為計算基礎平臺的定義者和引領者，目的打造融合、藍海及平臺型的計算基礎平臺產品，高安全，高可靠，可擴展；賦能中國自主品牌車企實現核心產品及技術自主可控；

用計算基礎平臺加配套開發工具解決智能汽車產品形態和開發模式痛點，如下圖所示：

在功能安全方面，我們的總體原則是：

將安全機制盡可能的添加在平臺化軟件中；

功能軟件作為承上啟下的一層，是功能安全的重點；

用第一性原理解決智能汽車軟件功能安全問題。

功能軟件作為計算基礎平臺及智能駕駛操作系統的核心，功能軟件框架提供智能駕駛pipeline的編排，調度及部署。通過 SOA 服務接口，提供環境模型，算法，數據安全服務等自動駕駛基礎服務。支持多車型、多傳感器數據接入，并提供任務的編排、調度、部署，具有實時、可靠、高性能等的特點，所以我們對其進行了ASIL D功能安全產品認證，提供一系列的安全機制對應用程序及服務進行監控，通過配置，可以為應用程序及服務提供安全保障。對于系統軟件，主要包括內核和通信中間件，通信中間件主要通過端到端的保護實現功能安全，而在我們的方案中，在功能軟件層對通信等基礎功能已進行了功能安全防護，可保障通信中間件相應功能的安全性。對于操作系統內核，重點關注內核的實時性，可采用滿足功能安全的內核，但智能汽車領域linux廣泛應用，通過對linux進行實時化改進設計，逐步提高功能安全。對于應用軟件，與特定項目相關，根據每個項目需要，具體制定應用層面的功能安全防護策略，并且依靠平臺軟件的安全機制。

在軟件功能安全實踐中，采用SEooC的開發方式，依次對應用場景、安全目標和系統安全需求進行假設分析，推導出軟件安全需求，并做進一步詳細分解，對于假設的內容，需要納入安全手冊中供使用方知悉。

具體的功能安全設計是基于獨立的安全監控框架，通過異常監測機制和異常處理機制實現。監測機制總結起來主要涵蓋三個方面的監測：數據、邏輯和時間。處理機制在平臺軟件中設置多種方式，可根據應用情況靈活選擇。

在預期功能安全方面，實踐內容主要在于設計階段的分析與大量的測試驗證，目前主要研究內容包含如下方面：

感知觸發條件分析及測試驗證；

決策算法評價方法研究及測試驗證；

場景庫建設；

隨機測試及長期路測。

在實踐過程中，基于功能設計，開展功能安全分析和預期功能安全分析，并基于場景進行仿真測試和實車測試，同時不斷豐富、泛化場景內容，完善場景庫、數據庫和事故庫。當下預期功能安全工作任重而道遠，目前的探索是遠遠不夠的，需要行業內共同努力，在安全這件事上，大家永遠不是競爭關系，而是協作關系，分享經驗，共享數據，共同探索，才有可能總結出最佳實踐成果，助力自動駕駛落地實施，為智能汽車的安全性造福。

最后，總結說明一下智能汽車軟件開展功能安全和SOTIF的必要性：

責任主體轉移，需要系統保證安全；

提升客戶認可度和信心；

提高產品競爭力；

社會責任；

能力儲備，應對未來強制要求。

同時，也有三句話送給所有智能汽車領域及功能安全領域從業者：

1、有能力的影響一群人，沒能力的被一群人影響！

2、對安全永懷敬畏，即使處于夾縫，也要頑強生長！

3、智能汽車安全需要我們每一個具有小草精神的安全從業者的共同努力！

End