解锁车辆软件的安全性和创新

与波士顿咨询集团合作 第四次工业革命中心 解锁车辆软件的安全性和创新 BRIEFINGPAPERJUNE2023 图片：盖蒂图片社 该行业正在迅速发展，我们需要一种通用的“通用语言”来提供清晰度。世界经济论坛的“软件驱动时代的汽车”倡议有助于满足这一需求。 GeorgKopetz，TTTech首席执行官 免责声明本文档由 世界经济论坛是对项目，见解领域或互动的贡献 。此处表达的发现，解释和结论是世界经济论坛促进和认可的合作过程的结果，但其结果不一定 代表世界经济论坛的观点，也不是其成员、合作伙伴或其他利益攸关方的整体观点。 ©2023年世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或通过任何方式复制或传播，包括影印和记录，或通过任何信息存储和检索系统。 软件驱动时代的汽车计划 汽车行业正在经历一个多世纪以来最具挑战性的变革，其标经济论坛推出了“软件驱动时代的汽车”倡议。该倡议旨 志是从内燃机向电动发动机的转变，以及从几乎完全是机械在释放跨行业和公私合作的潜力，以帮助改善 机器的车辆向具有日益复杂的软件定义系统的车辆的转变。汽车行业的安全性、包容性、可持续性和整体系统弹性。 软件定义的工具刚刚出现， 它将在未来十年继续发展。为了为未来的变化做准备，世界 迄今为止，该计划已吸引了来自汽车，新出行和技术行业的 30多家领先公司加入该计划。 挑战：更统一、全行业、可扩展的车辆软件方法 软件定义车辆的关键组件之一是软件平台，该平台协调车辆中的所有信号，数据，活动和过程（有关软件定义的车辆层的完整图片，请参见方框1）。作为汽车的“大脑”， 车辆软件平台对于确保安全至关重要，同时还可以更有效地利用资源和计算能力，并支持更快的更新周期，以用户为中心的创新。 每个主要的OEM和许多大型汽车和技术供应商都在开发自己的完整软件平台。此外，一些专业参与者和科技公司正在为这些平台定制部分组件。 更统一、全行业、可扩展的车辆软件方法将： –提高安全性。更清晰、更标准化的接口和一致的平台架构设计有助于提高软件集成的稳定性和降低错误率。对于像软件定义的车辆这样高度安全关键的设备来说，安全性至关重要，尤其是随着自主性水平的提高。 –提高可维护性。车辆的生命周期，不同于智能手机和其他智能 设备跨越数十年。还需要确保整个生命周期的安全性。一个更统一的行业解决方案可以简化20多年来管理、更新和维护软件的能力。 –例如,软件创新有助于节能驱动和电池管理,具有积极的可持续性影响。 –降低成本。更统一的行业解决方案减少了不必要的重复 ，释放了预算和人才资源，专注于增强安全性、维护工作和差异化增值创新。 目的是帮助业界在一个更加统一、全行业、可扩展的车辆软件解决方案上保持一致,在软件定义的车辆生命周期中提高安全性 。 BOX1车辆软件平台及其在软件定义车辆中的作用 车辆软件平台是软件定义车辆的六个关键层之一(见图1)，该平台包括四个组件:硬件抽象层(HAL)，它简化了操作系统和不同硬件之间的交互；基础操作系统，它控制所有硬件资源，如 I/O和安全性；基础服务（通常称为中间件），涵盖所有服务和应用程序的基本功能，包括网络、通信、诊断和 API管理；以及扩展服务，这些服务提供跨应用程序的关键功能，例如感知和驱动程序监控。 Figure1软件定义车辆的六层 层是边缘和云分布式的 智能移动生态系统实现无缝用户旅程、更快的创新和扩展 智能移动生态系统 Applications 数据平台 Applications 为用户提供差异化和日益复杂的功能/服务 数据平台 联合对用户和车辆的见解并提供相关预测 车辆软件平台 提供安全、高性能的运行时环境和可重用的软件组件 3计算平台 以最低的能耗实现高性能计算 车载平台 2跨模型缩放和简化常见机械部件 计算平台 车辆软件平台 1 车载平台 需要一个行业北极星：整车软件平台目标图片 图2概述了车辆软件平台目标图片的八个关键要素,这将有助于 简化当前的开发工作，提高软件的可维护性和安全性。 过去，安全关键型和非安全关键型工作负载是分开的。然而 ，对于大多数用例，混合关键解决方案允许更有效地使用车辆计算，帮助最大限度地减少执行时间，并通过优化的硬件和软件分配降低功耗。最终,更高效的计算允许ADAS(高级驾驶员辅助系统)应用所必需的更多高性能操作,并且有助于驾驶。 更好的下一代数字客舱用户体验。 1 Figure2 车辆软件平台目标图片特征及其最终目标野心 1混合临界 统一的HW/SW基础可以为所有应用安全运行安全和非安全关键负载 2云边缘分布式 软件可以进行虚拟测试 在云中并在运行时通过空中部署 3云原生原则 服务可以单独处理（例如通过容器化、 API） 4标准化架构 行业遵循通用技术堆栈与模块化模板结构和接口 任务任务任务任务 更快的开发测试和部署 更新服务 更快的更新和创新 OEM1OEM2 高效的计算分布 服务服务服务 服务 服务 更好的故障隔离 简化 的集 成 服务和重用 5集成工具链 行业采用共同商定的工具链标准，允许共同创造 6芯片不可知 代码可以在不同的硅上运行，并计算满足性能要求 7云不可知 可以组合多个云与SW平台进行交互 8语言不可知 任何编码语言都可以用来开发服务 构建测试合并释放... 任务灵活性和更好 服务 C++ OEM 工具 OEM 工具 OEM 工具 OEM 工具 ... 可更新性 Python 简化协作 工具加速进程 灵活性和更好 高性能用例可能需要特定的硅工作负载的平 衡 … 代码的灵活性和更容易重用 在可预见的将来，具有严格实时限制的安全关键功能（例如电子稳定程序或ESP）需要单独处理。 管理越来越多的软件需要在作为边缘设备的车辆和云或云边缘分布式之间进行无缝交互。这包括在云中开发、验证和测试新服务，在车辆运行时进行空中部署，获得 云实时交通信息，或将高强度计算转移到云环境。 为了有效地协调服务的发展，应单独开发和更新服务。为此，平台应遵循云原生原则，其中软件由具有清晰API的微服务组成，以简化微服务之间的相互作用，而不是整体堆栈。这不仅可以实现个性化和更快的更新和创新，而且可以更好地隔离故障，从而提高整体软件安全性。 为了不仅在公司内部而且在整个汽车行业中大规模利用云原生优势，公司应该就标准化的体系结构模板达成一致-具有清晰接口的模块化技术堆栈。这将有助于在整个行业中利用云优势，简化集成并减少冗余。此外，集成工具链，行业采用通用 工具链标准，将支持简化和加速软件开发、验证和集成过程 。 互操作性不仅对于车辆软件平台内的服务，而且对于与其他车辆层的交互（请参见方框1与车辆层）创建灵活性至关重要。这也驱动 长期可维护性，因为不同的软件可以单独更新。 车辆软件平台的互操作性应扩展到芯片（与芯片无关） ，云（与云无关）和编码语言（与语言无关）。这三者对于提高可更新性，更好地平衡工作负载和更轻松地重用代码至关重要。 最后，在图2中的车辆软件平台目标图片的旅程中，应该保证网络安全。确保在设计级别为车辆软件构建网络安全-软件“按设计安全和默认”-对于从长远来看解锁安全和创新至关重要 。尤其是考虑到高连接性和开源依赖性 软件网络安全的新原则正在由不同的美国网络安全机构和欧盟委员会发布。 催化迈向目标画面的旅程 Currentvehiclesoftwarecapabilitiesdivergesignificantlyfromtheeight-parttargetpicturedescribedabove.Notallthesecharacteristicsareequallyeasytoachieve(seeFigure3).Forexample,hardwareandsoftwareareclothlyinterlined 在许多车辆中。从长远来看，硬件和软件肯定会常规地解耦，但选定的高性能或高安全性用例可能始终需要专用的硅/计算来满足性能要求。 为安全性、灵活性和效率而设计的全行业架构模板和工具链可以作为催化剂。虽然目标图片中的一些元素今天已经出现，但其他元素可能永远无法完全实现(例如与芯片无关)。 围绕某些行业的行业话语 提到的特征，特别是芯片不可知和云边缘分布式，受到不同的技术和商业利益的影响，即使目标图片方向在参与者之间共享。 三个要素刺激了其余五个要素的进步（如图3所示），即具有遵循云原生原则的架构，在整个行业中实现了标准化 ，并与整个行业的集成工具链配对。 方框2为未来讨论采用云原生原则的联合标准化架构提供了起点。 Figure3 车辆软件平台特性的轨迹 新车的轨迹 现在 (2023) 在5年 (2028) 在10年 (2033) 1混合临界新兴缩放成熟 2边缘分布式新兴缩放 3云原生原则新兴成熟 4标准化架构新兴成熟 成熟 新兴 5集成工具链 新兴 6芯片不可知缩放 缩放 新兴 7云不可知成熟 8语言不可知新兴缩放成熟 催化剂需要加速努力 新兴 特性已开始在第一个解决方案/领域实施 缩放 特性正在多个提供商/制造商中实施 成熟 特性被市场广泛采用 解锁车辆软件中的安全和创新6 背板 云原生，分层 建筑 SoC 工作负载 通信 针对车辆软件平台的架构模板 具有云原生原则的标准化架构模板应通过设计提供安全性，效率和灵活性（参见图4）。 具有专用功能和用途的三种类型的堆栈可以实现这一点。首先 ，大多数功能将由具有分层架构(ASIL&QM)的混合关键堆栈领导，其中工作负载是动态分布的。这实现了计算的有效使用和软件的扩展。 注意到构建这种混合关键堆栈的安全关键和非安全关键部分需要不同的方法-例如，尽管非安全关键应用程序可以遵循标准质量管理（QM）方法进行开发和验证-安全关键（ASIL-汽车安全和完整性级别）需要特殊和更长的验证方法 。 其次，至少在目前，为了隔离处理具有硬实时约束（ASIL -D）的安全关键案例，需要一个整体的垂直集成堆栈，以最大程度地减少延迟。第三，云堆栈，它将实现车辆和云之间的无缝交互，包括软件的开发、测试、验证和部署。实现软件的真实虚拟测试和验证。 在云中，云栈应该反映车辆架构，以获得最高的安全性。 通信发生在几个两端。首先，在云和车载堆栈之间 在运行时进行敏捷，普遍的空中更新。第二，在车辆内，在安全关键ASIL-D堆栈和混合关键堆栈之间。第三，通信努力已经到位，以与基础设施和更广泛的移动生态系统进行通信。 图4车辆软件平台的架构模板。改编自Eclipse和SOAFEE 车内云 具有硬实时约束的安全关键执行 (ASIL-D) ADAS/AD、数字客舱服务(ASIL&QM)的混合关键执行(安全和非安全关键) 服务的开发、测试、验证、部署(ASIL&QM) 例如电子稳定程序(ESP)例如，用于ADAS，导航系统，HVAC控制的轨迹计算例如，ADAS系统功能的验证 应用层 Applications 语义信号抽象 数据转换 车载云原生基础设施车载分布式通信中间件 中间件和操作系统 车辆软件平台 计算平台 中间件和 RTOS 基本硬件抽象 基本硬件抽象 单片建筑 加速实现理想目标的途径之一是通过促进协作的协调的全球跨行业举措。 开源工作尤其与安全相关的主题相关，它们在帮助补充竞争方面发挥着重要作用 行业动态。几个举措已经 为此目的而形成。图5显示了一些主要举措及其独特的好处 ，这些举措有助于加速通往可扩展车辆平台的道路。当前的努力在 在各项举措之间进行协调，以最大限度地发挥不同举措的协同作用及其在实现目标路线图中的影响。 Figure5选定车辆软件平台计划概述2 SDV工作组 野心联网车辆的开放标准统一的软件架构 +工装 开源SW协作统一的软件体系结构 AD协作生态系统 Focus 安全- 非安全-关 安全- 非安全-关 安全- 非安全-关 安全- 非安全-关 安全- 非安全-关 关键键 关键键