自动驾驶面临洗牌和革新：宣传上保持克制 研发上确保安全

TTTech汽车中国总经理欧阳扬提到，2030年辅助驾驶/自动驾驶的软件市场将达到330亿欧元。他表示，自动驾驶的市场需求主要由“更高的安全性、更强的便利性和更低的总拥有成本”驱动。

图片来源:TTTech汽车中国总经理欧阳扬

然而，在市场份额很高的情况下，与自动驾驶相关的事故也频繁发生。人们不禁要问，在自动驾驶/辅助驾驶领域，“让消费者满意”和“对生命安全负责”是矛盾的吗？

欧阳扬指出，目前消费者在使用产品的时候，不知道系统什么时候是安全的，什么时候是不安全的，但是从业者对这些情况会比较清楚，他们之间存在一定的信息鸿沟。他认为，在向消费者推产品时，应该以生命为首要考虑，任何技术的推广和发展都不应该以牺牲消费者的生命为代价。比起人生，其他目标都是次要的。

如今的供应链关系已经发生了变化，从原来的Tier2-Tier1-OEM的垂直链关系，变成了以平台为中心，水平分层的架构，而这种新的架构将会催生新的合作模式、新的玩家和新的交互界面，也将使OEM产品在未来更新更快，使用模块更加规范。为了适应这种趋势，企业需要在供应链的各个环节找到自己的位置，与OEM合作，满足消费者的需求。

自动驾驶功能安全领域的难点

以自动驾驶的功能安全领域为例，这个领域面临着很多困难。

首先，在整个汽车开发生命周期中，安全管理的法规要求越来越高。ISO 26262标准会根据不同的ASIL等级衍生出相应的安全目标，基于系统架构识别出可能违背安全目标的系统软硬件元素，并为这些元素分配具体的功能安全需求:比如ASIL D的安全标准最高，对应最严格的功能安全开发需求。

其次，电子电气架构从分布式架构向集中式架构转变，一方面给整车系统带来便利，但同时也给软件开发带来挑战:计算能力的迭代迫使软件开发周期缩短，工程师的工作量大大增加；在一体化的趋势下，多个软件运行在同一个芯片上，相互竞争硬件资源，会在内存、通信、数据处理等方面相互干扰，影响运行时间，甚至出现应用失败，造成安全后果。

图片来源:TTTech

第三，在从L2级别(驾驶员随时接管的自动驾驶的一部分)向L4级别(80%场景下的自动驾驶)跨越的过程中，汽车对外界的感知总是存在一定的误差:比如一辆汽车把白色的汽车认成了天空。那么，当汽车出现错误感知时，如何保证汽车的安全性呢？如何保证深度神经网络在所有极端情况下(比如系统的场景模式和像素点集)都是可靠的？

因此，智能辅助驾驶和高阶自动驾驶需要一个失效的、可操作的系统架构，保证必要的安全冗余，防止共模失效；同时，凭借“创新、开发和友好”的软件架构，它允许快速引入功能升级，从而不断加强安全性。

图片来源:TTTech

第四，自动驾驶系统将从故障沉默、故障退化升级到故障运行状态，这也将导致行业的重新洗牌。可以和航天工业相提并论。企业要想从军用飞机供应商转行到商用飞机供应领域，必须有一定的安全认证积累，否则很难达到商用飞机的安全和认证要求。在这个过程中，企业原有的很多产品都需要重新发明。欧阳扬说:“在军用飞机上没有问题的软硬件产品，在商用飞机领域可能要从底层到架构重新开发。”

同理，在自动驾驶进化到L4级别的过程中，只能满足L2或L2+级别的供应商可能需要重新开发产品，甚至建立全新的产品线。

第五，自动驾驶系统需要应对复杂多变的场景，而业界目前主要关注的是“显而易见”的自动驾驶风险，对于未知的、偶然的拐角情况还没有给予足够的重视。根据长尾理论，这些分散需求的必要性很可能超过头部需求的总和。因此，自动驾驶系统的开发必须使用设计良好的验证策略，还需要在其核心算法中设计一定程度的多样性，以摆脱“长尾”。

图片来源:TTTech

考虑到诸多困难，欧阳扬认为，目前对自动驾驶的宣传可以有所克制，让消费者对自动驾驶的风险形成清晰的认识；另一方面，从车辆的功能安全设计到车辆与道路的协调，企业需要借助大量的模拟、验证和仿真来减少“长尾”。

TTTech以安全为基因

TTTech名称中的“TT”代表时间触发。这个理论来自奥地利国家院士、TTTech创始人赫尔曼·科佩茨教授。他在可靠实时系统理论的研究中创造了时间触发架构和时间触发技术。

目前，时间触发技术已经广泛应用于各行各业，如TTEthernet、TTP、ARIC659等。时间触发技术应用于汽车领域的TSN(时间敏感网络)，TTTech是TSN标准的制定者、推动者和实践者之一。

以上是TTTech命名的由来。TTTech的产品布局聚焦于飞控、供电系统、骨干网等安全关键或混合关键领域，已应用于波音787、空客380、中国C919、NASA猎户座飞船、欧洲航天局阿丽亚娜系列运载火箭等数十个航天项目。欧阳扬强调，安全是TTTech的基因。

图片来源:TTTech

产品和咨询服务并行，确保自动驾驶系统的功能安全

进入汽车领域后，TTTech Auto主要提供安全自动驾驶解决方案、Motionwise和汽车安全咨询服务的组合。

Motionwise属于汽车功能安全中间件，介于硬件、操作系统和上层应用软件之间。它包含了服务和开发项目中需要的所有工具链，提供了符合ISO 26262标准的独立安全元素(SEooC)，可以跨SoC实现全局调度，保证端到端的任务确定性，充分调动车内各类资源，从应用层面降低整体成本，保证整个系统的功能安全。

此外，TTTech正在推出MotionWise的模块化版本，可以填补AUTOSAR AP和ROS2中跨SoC和跨域确定性通信中多任务调度和混合关键任务调度的标准空白，包括OEM自研中间件。

图片来源:TTTech

另一方面，TTTech Auto提供高水平自动驾驶的咨询服务，包括安全活动、安全开发、后期生产和管理，包括车辆危险分析和风险评估、安全审查规则、ASIL分解、第三方软硬件安全手册集成、代码和架构审查等细分方向。

图片来源:TTTech

随着软件定义汽车的趋势，越来越多的人将汽车视为第三生活空间和移动智能体。但是不管这些名字唱得多广，汽车仍然主要作为载人工具而存在。安全永远是所有新功能发展的前提，尤其是自动驾驶领域，解放了驾驶员的双手。因此，自动驾驶的明显风险和偶尔出现的极端场景都需要解决。要做到这一点，必然离不开行业内外的合作共赢。

(以上内容根据2022年8月4日由盖世汽车和AUTOSAR联合主办的第三届软件定义汽车论坛2022暨AUTOSAR中国日，TTTech汽车中国区总经理欧阳扬发表的《加速实现软件定义汽车》主题演讲进行理解和整理。)TTTech汽车中国总经理欧阳扬提到，2030年辅助驾驶/自动驾驶的软件市场将达到330亿欧元。他表示，自动驾驶的市场需求主要由“更高的安全性、更强的便利性和更低的总拥有成本”驱动。

图片来源:TTTech汽车中国总经理欧阳扬

然而，在市场份额很高的情况下，与自动驾驶相关的事故也频繁发生。人们不禁要问，在自动驾驶/辅助驾驶领域，“让消费者满意”和“对生命安全负责”是矛盾的吗？

欧阳扬指出，目前消费者在使用产品时，不知道系统什么时候是安全的，什么时候是不安全的，但从业者会更清楚这些情况……，而且两者之间存在一定的信息鸿沟。他认为，在向消费者推产品时，应该以生命为首要考虑，任何技术的推广和发展都不应该以牺牲消费者的生命为代价。比起人生，其他目标都是次要的。

如今的供应链关系已经发生了变化，从原来的Tier2-Tier1-OEM的垂直链关系，变成了以平台为中心，水平分层的架构，而这种新的架构将会催生新的合作模式、新的玩家和新的交互界面，也将使OEM产品在未来更新更快，使用模块更加规范。为了适应这种趋势，企业需要在供应链的各个环节找到自己的位置，与OEM合作，满足消费者的需求。

自动驾驶功能安全领域的难点

以自动驾驶的功能安全领域为例，这个领域面临着很多困难。

首先，在整个汽车开发生命周期中，安全管理的法规要求越来越高。ISO 26262标准会根据不同的ASIL等级衍生出相应的安全目标，基于系统架构识别出可能违背安全目标的系统软硬件元素，并为这些元素分配具体的功能安全需求:比如ASIL D的安全标准最高，对应最严格的功能安全开发需求。

其次，电子电气架构从分布式架构向集中式架构转变，一方面给整车系统带来便利，但同时也给软件开发带来挑战:计算能力的迭代迫使软件开发周期缩短，工程师的工作量大大增加；在一体化的趋势下，多个软件运行在同一个芯片上，相互竞争硬件资源，会在内存、通信、数据处理等方面相互干扰，影响运行时间，甚至出现应用失败，造成安全后果。

图片来源:TTTech

第三，在从L2级别(驾驶员随时接管的自动驾驶的一部分)向L4级别(80%场景下的自动驾驶)跨越的过程中，汽车对外界的感知总是存在一定的误差:比如一辆汽车把白色的汽车认成了天空。那么，当汽车出现错误感知时，如何保证汽车的安全性呢？如何保证深度神经网络在所有极端情况下(比如系统的场景模式和像素点集)都是可靠的？

因此，智能辅助驾驶和高阶自动驾驶需要一个失效的、可操作的系统架构，保证必要的安全冗余，防止共模失效；同时，凭借“创新、开发和友好”的软件架构，它允许快速引入功能升级，从而不断加强安全性。

图片来源:TTTech

第四，自动驾驶系统将从故障沉默、故障退化升级到故障运行状态，这也将导致行业的重新洗牌。可以和航天工业相提并论。企业要想从军用飞机供应商转行到商用飞机供应领域，必须有一定的安全认证积累，否则很难达到商用飞机的安全和认证要求。在这个过程中，企业原有的很多产品都需要重新发明。欧阳扬说:“在军用飞机上没有问题的软硬件产品，在商用飞机领域可能要从底层到架构重新开发。”

同理，在自动驾驶进化到L4级别的过程中，只能满足L2或L2+级别的供应商可能需要重新开发产品，甚至建立全新的产品线。

第五，自动驾驶系统需要应对复杂多变的场景，而业界目前主要关注的是“显而易见”的自动驾驶风险，对于未知的、偶然的拐角情况还没有给予足够的重视。根据长尾理论，这些分散需求的必要性很可能超过头部需求的总和。因此，自动驾驶系统的开发必须使用设计良好的验证策略，还需要在其核心算法中设计一定程度的多样性，以摆脱“长尾”。

图片来源:TTTech

考虑到诸多困难，欧阳扬认为，目前对自动驾驶的宣传可以有所克制，让消费者对自动驾驶的风险形成清晰的认识；另一方面，从车辆的功能安全设计到车辆与道路的协调，企业需要借助大量的模拟、验证和仿真来减少“长尾”。

TTTech以安全为基因

TTTech名称中的“TT”代表时间触发。这个理论来自奥地利国家院士、TTTech创始人赫尔曼·科佩茨教授。他在可靠实时系统理论的研究中创造了时间触发架构和时间触发技术。

目前，时间触发技术已经广泛应用于各行各业，如TTEthernet、TTP、ARIC659等。时间触发技术应用于汽车领域的TSN(时间敏感网络)，TTTech是TSN标准的制定者、推动者和实践者之一。

以上是TTTech命名的由来。TTTech的产品布局聚焦于飞控、供电系统、骨干网等安全关键或混合关键领域，已应用于波音787、空客380、中国C919、NASA猎户座飞船、欧洲航天局阿丽亚娜系列运载火箭等数十个航天项目。欧阳扬强调，安全是TTTech的基因。

图片来源:TTTech

产品和咨询服务并行，确保自动驾驶系统的功能安全

进入汽车领域后，TTTech Auto主要提供安全自动驾驶解决方案、Motionwise和汽车安全咨询服务的组合。

Motionwise属于汽车功能安全中间件，介于硬件、操作系统和上层应用软件之间。它包含了服务和开发项目中需要的所有工具链，提供了符合ISO 26262标准的独立安全元素(SEooC)，可以跨SoC实现全局调度，保证端到端的任务确定性，充分调动车内各类资源，从应用层面降低整体成本，保证整个系统的功能安全。

此外，TTTech正在推出MotionWise的模块化版本，可以填补AUTOSAR AP和ROS2中跨SoC和跨域确定性通信中多任务调度和混合关键任务调度的标准空白，包括OEM自研中间件。

图片来源:TTTech

另一方面，TTTech Auto提供高水平自动驾驶的咨询服务，包括安全活动、安全开发、后期生产和管理，包括车辆危险分析和风险评估、安全审查规则、ASIL分解、第三方软硬件安全手册集成、代码和架构审查等细分方向。

图片来源:TTTech

随着软件定义汽车的趋势，越来越多的人将汽车视为第三生活空间和移动智能体。但是不管这些名字唱得多广，汽车仍然主要作为载人工具而存在。安全永远是所有新功能发展的前提，尤其是自动驾驶领域，解放了驾驶员的双手。因此，自动驾驶的明显风险和偶尔出现的极端场景都需要解决。要做到这一点，必然离不开行业内外的合作共赢。

(以上内容根据2022年8月4日由盖世汽车和AUTOSAR联合主办的第三届软件定义汽车论坛2022暨AUTOSAR中国日，TTTech汽车中国区总经理欧阳扬发表的《加速实现软件定义汽车》主题演讲进行理解和整理。)

标签：

汽车资讯热门资讯