软件定义汽车：智能与可信 | 第五期CCF秀湖会议报告

中国计算机学会 2023-12-06 09:06

编者按：2023年10月13日至15日，第五期CCF秀湖会议在苏州CCF业务总部&学术交流中心举行。在为期三天的会议中，来自学术界与工业界的20余位专家围绕“软件定义汽车：智能与可信”这一主题进行了深入交流和研讨，形成如下报告。

1．背景与意义

软件及人工智能（Artificial Intelligence, AI）技术已经深入渗透到汽车产业中，成为智能网联汽车技术的重要支撑。作为智能网联汽车方案重要组成部分的车路云一体化系统通过新一代信息与通信技术将人、车、路、云的物理空间、信息空间融合为一体，其中软件同样发挥着基础支撑作用。在这一软件定义汽车的新时代，一方面我们希望通过各种人工智能技术快速提升汽车的智能化水平，另一方面希望汽车保持高度的可信性。

针对以上问题，本次会议邀请了来自学术界和产业界的20余位专家围绕“软件定义汽车：智能与可信”这一主题开展观点报告和集中研讨。会议的报告和讨论按照五个专题进行组织：“智能网联汽车发展现状”专题通过行业专家介绍帮助大家了解整个智能网联汽车产业发展的现状及主要问题，为后续的交流与研讨提供背景知识；“软件定义汽车新架构”专题关注于智能网联汽车电子电气架构的发展趋势，特别是车用芯片和操作系统的发展；“自动驾驶前沿技术及应用”和“智能座舱前沿技术及应用”两个专题分别关注于智能网联汽车当前最主要的两个智能化应用子领域，即自动驾驶和智能座舱；“软件定义汽车可信保障”专题关注于智能网联汽车软件系统的安全和可信保障。值得一提的是，出席本次秀湖会议的专家中具有计算机和汽车专业背景的各占一半，同时来自学术界和工业界的专家也接近各占一半。具备产学研不同背景以及来自人工智能、软件工程、系统软件、芯片设计、车辆工程等不同专业领域的专家一起进行观点分享和思想碰撞，拓展了与会者的眼界同时也启发了大家的思考。会议最后，与会专家通过集中讨论形成了初步共识并发出了相应倡议。

2．行业现状与发展趋势

当前，智能网联汽车已成为带动车辆控制、信息通信、云计算、大数据、AI等发展的战略制高点。汽车与相关产业加速跨界融合和深度协同，产业链重构，价值链不断扩展延伸。在这个智能汽车时代，软件已经成为价值差异化的关键，而操作系统则作为一种重要的新型数字化零部件和软件基础设施成为构建产业新生态的核心。

2.1

实践分享

“软件定义汽车”正在一步步成为现实，其背后的驱动力可以从三个视角去理解：从用户的视角看，汽车从代步工具转变为家庭、办公场所之外的第三移动生活空间，由此产生多样化和个性化的用户体验以及办公、娱乐与社交需求；从厂商的视角看，汽车从一次性销售的产品转变为可持续创造价值的平台，软件及服务成为产品创新和差异化竞争的主要手段以及盈利的主要来源；从产业的视角看，汽车从封闭系统转变为开放平台，通过智能网联提高驾驶体验并产生更大的经济价值，同时通过开放生态促进算法和应用创新。

整车控制系统正从分布式电子电气架构向域集中电子电气架构演进，并将进一步向车辆中央集中电子电气架构发展，体现了分层解耦、跨域融合的趋势。在此过程中，软件扮演着越来越重要的角色并成为汽车产品差异化竞争的关键。据统计，智能汽车上所运行的软件代码已经达到上亿行，其规模还在持续增长。在这一“软件定义汽车”的发展浪潮中，智能网联汽车计算基础平台（iVBB）扮演着重要作用，作为其中核心部分的操作系统是实现软硬件分离、促进产业生态发展的核心。然而，当前智能汽车产业在操作系统发展方面面临着复杂度高、投资大、周期长等困境以及新的垄断风险，相应的创新生态亟待建立。

人工智能技术无疑是智能汽车的灵魂，其主要应用包括智能座舱和智能驾驶两方面。其中，智能座舱的发展路径可以充分参考智能手机产业，而智能驾驶则面临着较大的挑战同时也是智能汽车的主要价值所在。在智能驾驶中，智能辅助驾驶（例如ADAS，即高级辅助驾驶系统）也有明确的实现途径和应用场景，而自动驾驶则面临较大的挑战。美国汽车工程师学会（即SAE）按照人和车之间的驾驶任务（包括纵向控制、横向控制、交通环境观察、接管、安全处置等）责任分配将自动驾驶分为了五级（即L1-L5）。当前，开放场景下量产车的自动驾驶能力面临L3级这道鸿沟，车企在L2级别上不断改进产品的自动驾驶能力，从而形成大量L2+形态的自动驾驶汽车产品。这种L2+级别的自动驾驶介于“辅助驾驶”和“自动驾驶”之间，车企只愿意承担“辅助驾驶”的产品责任而用户却能够获得“自动驾驶”的体验。由此导致两极分化的观点：激进类用户把L2+级别产品误作为L3自动驾驶使用，容易导致事故；保守类用户看到“自动驾驶”事故后落入“恐怖谷”而对智能驾驶避而远之。

当前，用户需求已经成为汽车技术创新和产业变革的重要驱动力，推动汽车由交通工具向跨界融合的智能终端发展。全球智能网联汽车加速发展，感知、定位、决策、控制、网联等方面的核心技术不断突破。跨界融合的产业生态加速形成：整车厂（即OEM）转型探索新型产品定义、研发、销售和服务模式；信息与通信技术（即ICT）企业加速跨界赋能进程；产业边界日益扩展，汽车、交通和城市融合构成新型生态；车辆控制、智能计算、通信技术跨行业融合态势逐步形成。与此同时，智能汽车产业应用步伐持续加快，2023年上半年中国L2级乘用车渗透率达42.4%，同时L3级自动驾驶逐步实现商业化，多场景L4级及以上自动驾驶加速示范应用与商业模式探索。面对智能网联汽车跨行业技术挑战，全球不同国家及地区充分发挥各自顶层设计、产业基础与体制机制优势，形成重大战略推进智能网联汽车产业发展。当前，中国加速探索车路云一体化发展路线与示范应用，按照点（封闭测试场）、线（公开道路）、块（先导区域）、面（城市级大规模应用），推动智能网联汽车向规模化示范及商业落地新阶段演进。

2.2

观点争鸣

中国科学院院士、北京大学梅宏教授强调，“软件定义”是一种通过软件实现分层抽象的方式来驾驭系统复杂性的方法论。“软件定义”汽车不等于“软件化”的汽车，其不仅意味着汽车中大量的软件使用，而且特别强调以软件为中心实现整个汽车系统的构造与演化并驾驭系统复杂性。软件定义的方法论又可具象为平台思维和编程思维，即通过平台凝练应用共性，通过语言和API提供应用开发支撑。当前，智能网联汽车的整体架构演进及基础软件的发展充分体现了泛在操作系统的特征，其中包括面向单车的节点操作系统和面向车路云一体化大系统的网络操作系统两部分。与此同时，汽车产业正在从以硬件为主的产品供应体系向以软件为主的产品供应体系转变，其中的软件供应体系可信保障以及软件供应链风险管理都面临一系列挑战，亟需建立基于软件制品及研发过程数据及相关自动化分析技术的质量保障体系。

中国工程院院士、清华大学李克强教授强调，智能网联汽车产业尚没有成功经验和既定道路可以借鉴，必须立足高新技术与产业发展要求，并结合国情，打造智能网联汽车创新发展的中国方案，其主要特征包括：采用车路云一体化的系统架构，具有分层解耦、跨域共用两大技术特征，同时符合中国基础设施标准、联网运营标准和新体系架构汽车产品标准。智能汽车产业发展亟需支撑自动驾驶应用快速高效开发的新一代操作系统（包含内核与虚拟化模块、中间件以及功能软件）支持，其架构符合分层解耦、跨域共用两大技术特征。为此，中国智能汽车产业需要围绕支持“车路云一体化，分层解耦、跨域共用”的计算基础平台（iVBB）建立战略共识。针对这一问题，李克强院士提出四条具体建议：成立部际协调机制，加强组织领导和统筹协调；统一行业参考架构，开展核心技术攻关，加强技术应用与产业落地；推进技术标准体系；促进产业生态建设，加强跨域协同与产业共生。

同济大学汽车学院朱西产教授指出，规则可以处理的情况非常有限，随着智能驾驶可用范围的扩大，规则模式的限制也会越来越大，而端到端的AI自动驾驶便很好地解决了这个问题。当前自动驾驶系统中的环境感知和规划控制算法都高度依赖于标签，这类预测性人工智能模型无法解决边缘场景的长尾难题，目前工程上采用的解决方案是通过“影子驾驶”模式构建用户数据闭环。这种“数据闭环”只形成了仿真数据和道路数据这两个支柱，而道路数据采集无法实现危险程度、遮挡程度、目标物种类和恶劣天气等多个方面的全覆盖。为此，他提出用场景库打通仿真数据、试验场数据、道路数据这三支柱，解决试验场测试“保真度”和AI渲染仿真测试“置信度”问题。针对智能汽车的安全问题，他强调安全必须重视，但安全从来不会阻挡技术的发展，因此也不能因为安全方面的顾虑而否认“软件定义汽车”的发展趋势。

国家智能网联汽车创新中心副主任张文杰指出，我国智能网联汽车行业发展仍处于高级别自动驾驶向商业化目标迈进、技术路线形成共识的过程中，部分关键技术亟待突破。而向中央集中式演进的汽车电子电气新架构对高算力芯片、高带宽实时通讯、软件开发及软件供应链质量管理能力提出了更高要求。为此，智能网联汽车研发体系需要全生命周期覆盖的工具链及软件供应链可靠性验证技术。同时，针对车用操作系统面临的架构不统一、集成难度大等问题，他提出要聚集行业力量，统一技术架构，推进车用操作系统开源、开放、共研、共用，同时以“联合体+实验室”的形式推动车用操作系统核心技术攻关及产品产业化落地。

3．基础软硬件架构

包括芯片、操作系统和中间件等在内的基础软硬件是智能网联汽车的核心组成部分。随着汽车电子电气架构以及芯片与操作系统等相关技术的发展，智能网联汽车的基础软硬件架构也在不断演进。未来，依托自主可控底层芯片、安全高效车用操作系统等技术的先进汽车软硬件架构将持续推动智能网联汽车产业的创新引领与生态构建。

3.1

实践分享

在智能网联汽车的时代，汽车所需芯片数量从一辆车600-700颗已经发展到现在的一辆车3000颗，同时一辆汽车普遍安装150个ECU并运行1亿行软件代码。为支持自动驾驶，汽车对人工智能算力的需求也大幅增加，传统同构计算芯片已经无法满足要求，基于异构芯片实现智能汽车算力保障已成为行业趋势。目前智能汽车渗透率最高的车载芯片是英伟达的Orin，单颗算力254TOPS，英伟达的Thor则整合了高性能CPU（Arm V3 Poseidon AE汽车增强版）和大算力GPU（H100），算力将达到2000TOPS。但是也可以看到汽车底层软硬件系统一般被国外技术所垄断，仅开放有限的接口，应用出现故障时无法进行深入有效的分析及测试，使得汽车软件的安全得不到保障。

基础软件是百年汽车变革的新引擎，是构建汽车产业生态体系的关键。当前，在全球范围内车用智能控制基础软件（尤其是智驾基础软件）还处于起步阶段，技术路线并不统一，市场格局未定，车用基础软件的研发及产业化正处于“春秋战国”的阶段。总体上看，车用基础软件包含操作系统内核、虚拟化、中间件、功能软件等层次。操作系统内核存在宏内核、微内核、多核等不同架构，负责管理系统进程、内存、设备驱动、文件和网络，决定系统性能和稳定性。智能座舱域通常使用Linux或者Android作为操作系统；车身控制域一般使用AutoSAR Classical Platform (CP)；自动驾驶域通常使用Linux或者QNX。虚拟化层一般基于Type1类型的技术直接运行在物理服务器硬件上，提供虚拟平台支持多操作系统。中间件处于应用和操作系统之间，实现分布式异构网络环境下软件互联和互操作等共性问题，提供标准接口、协议。目前较为知名的中间件包括ROS2、CyberRT、AutoSAR等，其中AutoSAR Adaptive Platform (AP) 采用面向对象的SOA架构，旨在为上层应用提供灵活的软件开发平台。功能软件包含自动驾驶的核心共性功能，包括感知、决策、控制等，一般由厂商自行开发，但在未来也可将其共性进行沉淀，构成车用操作系统中高价值的可复用组件。

3.2

观点争鸣

中国科学院深圳先进技术研究院李慧云研究员强调，RISC-V具有开源、免费、不受地缘政治影响等优势，有利于我国突破西方限制，实现自主可控的底层芯片。为此，需要建立统一的检测及验证体系，满足软硬件高度耦合和快速迭代的验证需求，验证其国产替代一致性，通过软硬件协同验证并改进芯片，逐步替代国外产品，提升国产芯片的竞争力。

重庆长安汽车股份有限公司芯片开发总工程师李长青从整车厂的角度分析了汽车芯片需求。他强调要定义舱驾一体融合芯片，包括应用层面融合，即通过舱驾各控制器信号服务共享，在功能层面实现更多的创新；多芯片物理形式融合，即通过舱驾统一集中设计，降低部分冗余成本，实现更高效通讯，节省布置空间；单芯片融合，即芯片进一步融合，系统架构更精简，成本更低、算力共享、通讯时延更短、OTA升级管理更便捷。为此，长安汽车提出“共建生态、共赢未来”的发展方针，基于自身需求与相关芯片厂商开展合作，共同开发或定制符合新汽车需求的芯片。

清华大学计算机科学与技术系陈渝副教授指出，二十一世纪以来，尝试用新语言重构操作系统的探索一直在进行，而安全和高效是新一代语言试图代替C语言的重要因素。其中，Rust语言在产业界的操作系统内核开发中正受到越来越多的关注。他认为，操作系统架构设计需要细化内核模块属性，形成单向依赖、独立存在的内核模块，包括与操作系统无关的语言级核心库、独立于操作系统的组件库、耦合操作系统的组件库、挂接组件的内核主干等。安全操作系统内核应该实现一端连接智能网联汽车整车企业，确保整车应用层面自动驾驶、智能网联、信息娱乐等功能的实现；一端连接芯片企业，确保不同功能的硬件资源可以充分适配调用。

广东省工业软件联盟DISA（Digital Industrial Software Alliance）MBSE顾问专家张玉宏博士认为，汽车软件面临着统一概念定义以及引入新思想、新架构、新人才要求等方面的挑战。尤其是对于汽车软件需求完备性以及操作系统分层设计等问题，需从系统之系统（System of Systems）的角度进行理解和定义。他认为，要采用基于模型的系统工程思维，对汽车软件及其架构进行升维思考，探索研发新范式。这套范式通过全生命周期的建模来定义需求，包括系统模型、硬件模型、软件模型、各类领域模型等，代替传统基于手工文档的方式。这样一方面可以快速生成不同产品的架构，另一方面也能够基于严格的形式化逻辑证明对需求场景进行完备性、完整性、正确性等方面的验证。

此外，与会专家还对面向舱驾一体芯片的软硬件解决方案进行了集中研讨。总体上看，舱驾一体是一个发展趋势，能够实现更好的交互与性能，且对于不同车型可以支持算力等资源的灵活调度。但也需要注意，不同域的安全（功能安全、信息安全）等级不同，因此也需要谨慎对待舱驾一体方案。另一方面，芯片上不同的域软件存在多种部署方式，例如硬隔离、虚拟机等，需要找到一个折中方案来对应不同方式在灵活性和可管理性上存在的差异。最终舱驾一体芯片的软件方案需要面向消费者来检视其是否降低了成本、提高了效率。

4．自动驾驶与智能座舱

自动驾驶与智能座舱是实现汽车智能化的两大关键组成部分。自动驾驶技术赋予汽车自主导航和决策的能力，智能座舱则强调将车辆转变为第三生活空间，提供个性化的乘坐体验，从而增加舒适性和便捷性。二者共同推动了从传统汽车向全功能移动智能平台的转变，为用户提供了更安全、更舒适、更智能的驾乘体验。

4.1

实践分享

在自动驾驶领域的最新技术研究与产业实践探讨中，端到端自动驾驶技术的发展路线成为焦点。当前技术所面临的问题，如数据集上的闭环检测难题及模型性能的限制，虽然对发展构成挑战，但仍然显示出端到端技术的进一步发展潜力。在自动驾驶的大模型构建方面，通用基础模型的建立被认为具有重要意义，同时，语言模型在视觉识别和环境理解应用中的潜力，为技术的未来发展开辟了新的思路。精确的真值标注，尤其是Bird Eye View（BEV）和4D标注，对于提升自动驾驶的准确性和可靠性至关重要。自动驾驶开源数据集的现状和趋势表明，其推广和应用对技术发展起到了关键作用。而自动驾驶技术在配送、矿山、交通等多个领域的应用情况，展现了其在不同行业的广泛应用潜力和前景。

智能座舱的发展正迎来人工智能技术应用的新机遇与挑战。近年来，汽车行业在智能座舱领域进行了深入的技术探索，特别是在语音交互、感知算法和大模型应用等方面的突破，推动座舱功能从单一向泛在服务场景扩展。尽管已取得显著进展，智能座舱的交互方式还处于初级阶段，大多局限于产品经理预设的功能，真正的人机交互体验有待开发。为实现更智能的座舱体验，车载系统与移动设备生态的整合成为关键挑战。这一挑战需要通过软硬件分离和即插即用的算法赋能来提升智能化水平。随着人工智能技术的不断进步，大模型、具身智能、知识图谱等前沿技术将开辟智能座舱研发的新天地。未来智能座舱的核心竞争力将在于如何利用人工智能深度赋能用户体验和实现软硬件的创新融合。例如，系统能够通过语音交互和感知算法精准理解乘客需求，并提供相应服务。同时，利用大模型和知识图谱技术，智能座舱将展现出更强的学习适应能力，为乘客带来更加个性化的服务体验。

4.2

观点争鸣

地平线副总裁、软件产品线总裁余轶南深入分析了我国在自动驾驶计算领域的发展，特别是面向自动驾驶的汽车智能芯片方面有了长足进步和创新。同时，他进一步指出中国品牌汽车在智能化市场上的竞争力正逐渐提升，其中自动驾驶技术的普及对产品竞争力的影响至关重要。最后，他认为在系统架构方面，更加智能的自动驾驶技术未来对芯片和操作系统将提出新的需求，构建统一平台的可行性需要进一步论证。

上海人工智能实验室青年科学家李弘扬分析了端到端自动驾驶系统的动机、优缺点，以及与非端到端系统的性能比较。他强调了端到端系统的简洁性、防止级联错误、直接优化规划/轨迹预测的能力，以及计算效率。同时，他也指出端到端系统在闭环评估、缺乏实际数据和解释性方面的局限。最后，进一步从世界模型的背景探讨了自动驾驶与大模型结合的可能性，以及开源自动驾驶数据集的建设必要性。

美团自动车配送部高精地图和定位负责人穆北鹏介绍了自动驾驶在即时配送中的技术挑战和落地应用，重点分析不同自动驾驶技术的特点，如基于机器学习的决策规划、自动标注技术，以及自动驾驶在特定场景（如城市环境、最后一公里配送）中的落地方案。最后，她结合美团自动配送在商业化方面的进展，详细阐述了在生鲜食杂即时配送领域，自动驾驶技术的技术落地价值，以及面临的规模化、商业化挑战。

武汉理工大学智能交通系统研究中心智能所副所长陈志军教授则从地下矿区的特殊领域和场景层面，介绍了井下自动驾驶矿车的技术难点，如无卫星信号下高精度定位和狭束空间内可靠的决策控制。他进一步指出自动驾驶技术在提高矿区生产安全性和效率方面具有重大潜力。

清华大学车辆与运载学院助理研究员何雷介绍了自动驾驶中数据闭环真值标注的关键技术，如静态和动态4D系统的构建，包括利用Static SLAM和Dynamic SLAM融合多传感器数据、离线感知模型预标障碍物信息、以及融合高精地图和高精定位来实现低成本数据标注。他强调在自动驾驶领域中解决Corner Case问题的重要性，以及面临的重大技术挑战，并重点阐述如何基于无监督纯视觉实现4D GT自动化标注，快速提高模型训练的效率和准确性是未来数据闭环重要的研究方向。

长城汽车AI Lab负责人杨继峰强调了大模型在感知、认知、交互和数据处理方面的强大能力，以及这些技术已经开始逐渐推动车企的创新和转型。他提到目前在智能座舱领域应用这些先进技术时存在诸多挑战，包括算法的复杂性、数据的安全性和隐私保护、以及整个行业的技术和业务模式转变。他认为AI技术在推动车企向智能化、自动化转型过程中将扮演关键作用，以及围绕AI为核心的座舱研发转型对行业未来将产生深远影响。

极氪汽车SNC技术开发部负责人曹栓指出，随着汽车座舱技术的发展，AI的紧密集成在交互设计、功能覆盖、生态资源利用和场景体验中的作用已经不可忽视。他强调了AI大模型在座舱应用中的潜力，如通过多模态、场景识别和自主决策算法来增强用户体验。同时，他也指出大模型在智能座舱领域工程化实现充满复杂性，如垂域模型的业务逻辑遵循、多轮对话能力和ASR错误下的内容稳定性。

同济大学设计创意学院王萌副教授指出智能座舱作为“用户+汽车+环境”交互的第三生活空间，提供了多样化、多维度的丰富用户体验。他指出大模型和知识图谱在智能座舱应用中带来了新机遇，如通过“大模型+知识图谱”结合的方式在多模态交互、智能推荐和对话技术来提升用户体验。同时，他也指出了新技术在智能座舱领域落地过程中所遭遇的挑战，如跨平台的数据共享、知识对齐、以及数据的隐私等。最后，他提到具身智能、社会学习等前沿领域的进展对于智能座舱这一交叉领域的研究具有重要指导意义。

总的来看，在自动驾驶方面，多位专家都强调了道路测试采集、试验场测试和仿真三者结合的必要性，但尚需进一步验证仿真数据的可靠性。在技术路线方面，学术界与产业界专家均认为WAYMO逐步扩大地区的方法和特斯拉不断迭代优化的方法各有长处，业界期待技术能力的进一步突破。总体来看，自动驾驶技术仍面临诸多挑战，如感知定位、路径规划、难以收集数据、解释性等方面的问题。然而，通过业界持续共同努力，有理由相信这些挑战将逐渐被克服，自动驾驶技术将会取得更加显著的进展。

在智能座舱方面，企业和高校的专家均指出智能座舱应用还处在初级阶段，智能座舱的商业模式上还需要通过进一步讨论和试验来取得共识，同时还面临如何整合手机、PC等其他平台生态的挑战。不过，专家们对未来智能座舱的发展持乐观态度，认为可以利用人工智能技术为智能座舱应用研发与用户体验提供更加多样化的服务，特别是大模型技术将发挥重要作用。最后，与会专家均认为进一步的软硬件创新才能真正实现智能化，随着技术的不断进步，我们有理由相信未来的智能座舱将会变得更加智能化、更加人性化，为乘客带来更加便捷、舒适、安全的出行体验。

5．可信与安全保障

可信性与安全保障一直是智能汽车领域至关重要的方面。随着汽车软件的不断发展和智能化模块功能的增强，软件架构特性和联网功能的引入对车辆的接口控制、信息安全、法规合规性等多方面提出了全新挑战。同时，随着智驾功能的引入，预期功能安全也为智能汽车安全和质量保障提出更高要求。针对智能汽车的安全可信，行业正加紧形成统一的标准规范以及相应测试手段，共同推动智能汽车安全发展。

5.1

实践分享

随着汽车内部软件体量的飞速增长，传统软件或智能软件在当今车载系统和车路云一体化系统中都扮演着非常重要的角色。其可信和安全保障亦是汽车软件不可忽略的方面。与传统汽车中占主导地位的硬件模块不同，智能汽车的软件模块有着“研发生态开放”、“部署运维依赖网络环境”、以及“用户非接触便捷使用”三大特性，促使智能汽车的可信保障需从结构层次、功能层次以及实现层次三方面构建安全可信体系架构，同时配以相应工具、流程和管理体系共同保障智能汽车的稳定运行。

智能网联汽车是车路云一体化体系的核心，我国已将发展智能网联汽车上升到国家战略高度。汽车的智能化和网联化使得汽车从外部环境到内部设备的交互日益增强，传统汽车原有封闭的控制系统在智能网联汽车时代下变得开放。结合智能网联汽车核心四要素“人、车、路、云”，车联网信息安全分为“数据安全、车联网服务平台安全、通信安全、智能网联汽车安全、移动智能终端安全”五大类型。其中，数据安全作为重点内容贯穿于各类互联场景。根据工信部车联网动态检测情况显示，2020年以来，全球整车企业和信息服务提供商等车联网相关企业遭受了超过28万次的恶意攻击。国家高度重视信息安全管理，迅速颁布多项法律法规及其他规范性文件，用以加强信息安全监管。

软件定义汽车给汽车带来了全新的软件特性，面对不断增加的网络安全和信息安全威胁，智能汽车从安全运营中心、安全网关与SecOC通信机制、安全ECU刷写和硬件安全模块等方面提供了汽车网络安全保障解决方案。国际ISO21434标准、欧盟R155和R156标准从车辆的概念设计阶段直至车辆报废阶段这一全生命周期提出了汽车网络安全和风险管理的规范要求。我国也颁布了《汽车信息安全通用技术要求》等国家标准，对汽车的网络安全提出了技术要求及试验方法。各方需通过安全开发符合性验证、合规性验证、网络安全渗透测试及安全确认等方面对汽车开展安全性保障测试。目前，业界已有各类通用/专用测试工具及解决方案可满足多项细分领域测试需求，但也存在测试工具零散、测试专业技能门槛高、测试方法偏差大以及测试设备本身的安全性保证等问题，给智能汽车的安全测试带来持续挑战。

预期功能安全是运行于开放不确定场景中的智能汽车必须提供的可信保障，用以应对车辆智能模块运行过程中的感知层误判、决策层错误和执行层错误等风险。面对预期功能安全风险，各方需从认知、检测、强化与防护四方面开展开放不确定场景下的预期功能安全风险认知与评估、以及风险规避与防护工作，为预期功能安全提供准确认知与度量手段、测试与验证方法，指导汽车运行时智能决策安全的学习与增强。

5.2

观点争鸣

西安交通大学图灵交叉信息科学研究中心主任杨子江教授认为自动驾驶已从专注专注功能开发、平台构建和传感器运用的上半场转向软件定义汽车，涉及软件规模化应用，包括软件、模型全栈可迭代以及大规模自动化的测试及验证手段。自动驾驶软件包含大量智能模块，传统软件测试的手段不适用，对自动驾驶整体的商业落地支持有限。需通过数据闭环手段，在海量的测试、运营数据中挖掘有价值的关键场景，将与关键场景相关的数据标注一并放入模型训练集，同时在仿真中重建和泛化该场景。仿真平台的核心作用是作为自动驾驶评价体系引擎中的石油，源源不断为自动驾驶的数据闭环测试提供“动力”。

联合汽车电子有限公司首席信息安全科学家訾小超指出，随着汽车软件从独立开发模式转为合作开发乃至公众开发模式，智能汽车的安全交互从传统的“硬件访问接口”和“信息交互接口”变为通用的“软件调用接口”和统一的“软硬件资源使用池”。因此，车辆的安全保障需重点关注接口调用控制、运行权限管理、第三方软件管理和安全风险隔离等方面。他认为，智能汽车的安全与可信架构需通过软件编码阶段和测试阶段的规范性要求和测试手段保障软件的实现质量，通过安全功能分析和设计对汽车软件的威胁和风险形成通用的理论标准，配以风险控制措施来为智能汽车提供信息安全保障机制。通过形成软硬件风险隔离体系、车辆密钥&证书分层体系和车载环境全链条可信计算从结构设计方面为智能汽车提供安全保障。

新加坡管理大学计算与信息系统学院孙军教授认为，智能汽车的智能驾驶研究除在探索如何避免车辆碰撞的前提下行车外，还需关注当地明确的交通法规。自动驾驶车辆如能真正上路亦需遵循交通法规进行行驶。因此，自动驾驶系统需有一套高效的交通法规违反情况的检测手段，以及保障自动驾驶车辆能够按法规行车的控制手段。

华东师范大学软件工程学院执行院长蒲戈光教授指出，软件定义汽车给汽车带来了多种新特性的同时也带来更多的网络安全威胁。行业需加快汽车信息安全标准建设以及针对标准的测试手段构建。蒲戈光教授认为，基于汽车信息安全标准的测试需形成一套系统性的测试平台，集成管理各类测试工具、测试用例和测试工程；需有明确的测试操作指南和方法说明等规范文档，降低测试人员的操作门槛；测试系统需融合行业专家知识和时间过程，形成一套标准规范用例供测试参考；建立针对测试设备自身的安全保障机制，管理设备访问控制权限，数据保护，以及设备规范的建设。最后，蒲戈光教授认为数字孪生技术可为未来车辆安全测试提供高效助力。

南京大学软件学院卜磊教授认为，智能汽车作为“智能制造” 、 “互联网+”时代的产物，引领我国汽车产业生态及商业模式的升级与重塑。智能汽车系统本质是一类工作于开放不确定场景中的软件定义安全攸关复杂系统。在高度自动化、智能化的同时，在开放不确定场景下，智能汽车极易受到感知系统误判、决策系统失误、人员误操作等因素的影响，从而导致汽车在运行中遭遇预期功能安全风险，并导致不可挽回的财产与人身伤害。如何解决相关预期功能安全问题已成为智能汽车走向应用亟需解决的痛点，迅速成为当前国内外学术界和工业界高度关注的问题。卜磊教授从开放不确定场景下智能汽车的预期功能安全“风险认知与评估”与“风险规避与防护”两大问题出发，分别在基于系统理论过程分析方法（STPA）的预期功能安全认知与度量、面向动态实时连续行为的形式化建模与验证、基于在线验证与控制生成的系统运行时安全监控与防护等方面进行展开研究，并对当前进展进行介绍。

6．共识与倡议

与会嘉宾围绕产学研各方如何分工合作、共同努力实现中国智能网联汽车发展目标进行了深入讨论，达成以下共识并发出相应倡议。

6.1

共识

1）智能网联汽车已成为全球汽车产业发展的战略方向。分层解耦、跨域共用是车路云一体化智能网联汽车系统的关键技术特征。

2）软件定义为应对智能网联汽车系统复杂性提供方法学指导和平台化实现手段。高安全、强实时、智能化的新型车用操作系统是促进自动驾驶、智能座舱等智能网联汽车领域算法与应用创新、构建开放生态的重要基础设施。

3）智能网联汽车算力需求持续快速增长。通过软硬协同发展自主可控车用异构芯片是满足算力需求的重要方向。

4）智驾安全与座舱体验是提高智能网联汽车产品竞争力的核心要素。数据与知识双轮驱动是实现网联汽车智能化的有效途径。

5）智能网联汽车软件供应体系对可信保障提出全新要求。构建涵盖软件测试、评价与标准的全生命周期保障体系是智能网联汽车持续健康发展的重要基础。

6.2

倡议

1）加强跨学科交流，建立以行业为引领的统一术语体系，促进产学研多方面合作，开展跨学科人才培养。