軟件質(zhì)量：汽車智能化新課題

文 本刊記者 朱熙

追求“萬無一失”的汽車產(chǎn)業(yè)，正面臨數(shù)字化變革帶來的質(zhì)量挑戰(zhàn)。如何造一輛不會“死機”的汽車，將成為智能汽車普及道路上的重要一關(guān)。

汽車“死機”

在1998年的計算機博覽會（COMDEX）上，微軟創(chuàng)始人比爾·蓋茨曾表示：“如果通用汽車像計算機行業(yè)一樣緊跟技術(shù)更新節(jié)奏，那我們都將駕駛25美元的汽車，而且每1000英里只需一加侖汽油?！敝?，通用汽車給出了一篇回復(fù)表示，這輛25美元且超節(jié)油的汽車，將每天無理由失控兩次，“操控車輛轉(zhuǎn)向或倒車時，可能導(dǎo)致熄火并拒絕再度發(fā)動……毫無理由將你鎖在車外……必須使用通用汽車牌導(dǎo)航地圖，否則車輛失控次數(shù)會增加……每次通用汽車推出新車型時，車主必須重新學(xué)習(xí)駕駛方式?！?/p>

如今，“老笑話”正成為新現(xiàn)實。汽車“死機”正越來越多的見諸于媒體。2019年，一輛蔚來ES8在行駛過程中OTA升級時當(dāng)場黑屏“死機”，不僅無法啟動，且連車窗也無法升降，影響北京長安街交通一個小時；今年1月，美國NHTSA國家公路交通安全管理局致信特斯拉，由于中控屏MCU故障，要求其召回15.8萬輛Model S和Model X。

“智能”導(dǎo)致的缺陷問題并不僅局限于新造車勢力。市監(jiān)總局缺陷產(chǎn)品管理中心汽車召回管理部主任肖凌云提供的數(shù)據(jù)顯示，2013-2018年的汽車召回案例中，與汽車智能系統(tǒng)和功能相關(guān)的召回共有20次，涉及20.69萬輛；涉及軟件的召回次數(shù)109次，召回車輛191萬輛，呈明顯上升趨勢。

顯然在機械功能日趨完善的同時，軟件系統(tǒng)的功能安全作為汽車質(zhì)量的另一大門檻，其重要程度正愈發(fā)凸顯。

究其原因，一方面是智能汽車中的軟件占比相比傳統(tǒng)汽車正在大幅提升。如可實現(xiàn)L2級駕駛輔助、智能座艙、語音助理、OTA等現(xiàn)階段功能的智能汽車實現(xiàn)代碼量相較傳統(tǒng)汽車增加了十倍左右。

另一方面，則是由于智能汽車內(nèi)部功能區(qū)域不再“涇渭分明”。當(dāng)前汽車的電子電氣架構(gòu)正在由傳統(tǒng)的分布式電子控制單元（ECU）向域控制器架構(gòu)逐步升級，汽車動力域、座艙域、底盤控制域、自動駕駛域等功能需求正在逐步形成?！斑@種轉(zhuǎn)變使得原本清晰的軟件開發(fā)邊界變的模糊，軟件的耦合性變大，軟件的復(fù)雜度也隨之大幅增加?！敝袊嚬I(yè)協(xié)會（以下簡稱中汽協(xié)）秘書長助理兼技術(shù)部部長王耀表示。

如何打造車規(guī)級軟件

事實上，在智能汽車大行其道之前，汽車產(chǎn)業(yè)已對軟件質(zhì)量高度重視。

“隨著系統(tǒng)技術(shù)復(fù)雜度、軟件規(guī)模、機電部件的不斷增加，由系統(tǒng)性失效和硬件隨機失效導(dǎo)致的風(fēng)險也在增加?！?011年針對電子電氣系統(tǒng)安全相關(guān)的國際標(biāo)準(zhǔn)ISO26262發(fā)布，其開篇這樣論述道。

而且，早在2005年，由歐洲20多家主流汽車制造商共同制定的ASPICE（Automotive Software Process Improvement and Capacity Determination，汽車軟件過程改進及能力評定）就已發(fā)布，在歐洲汽車行業(yè)內(nèi)被廣泛應(yīng)用。近年來，隨著軟件在汽車研發(fā)中的比重不斷增加，ASPICE也被引入國內(nèi)用以指導(dǎo)車載軟件開發(fā)流程，改善軟件質(zhì)量。此外，包括車載軟件的功能安全、網(wǎng)絡(luò)安全都已有相關(guān)技術(shù)標(biāo)準(zhǔn)。

盡管已有相當(dāng)嚴(yán)苛的流程指導(dǎo)和技術(shù)標(biāo)準(zhǔn)，但軟件數(shù)量和復(fù)雜程度幾何級增長的智能汽車，仍將打造“萬無一失”的車規(guī)級軟件的難度推到了新高度。

一方面，可靠性驗證的內(nèi)容和手段更加復(fù)雜。中國汽車技術(shù)研究中心有限公司的專家表示：盡管汽車行業(yè)軟件開發(fā)依據(jù)統(tǒng)一代碼書寫標(biāo)準(zhǔn)和統(tǒng)一軟件架構(gòu)標(biāo)準(zhǔn)并基于模型設(shè)計開發(fā)，但軟件代碼撰寫難度仍較大，無法有效及時保證其代碼質(zhì)量。因此，智能汽車相比傳統(tǒng)汽車在可靠性驗證上不再只關(guān)注車輛動力和底盤性能，同時需要驗證車輛信息安全、功能安全、數(shù)據(jù)安全、駕乘安全和軟件升級安全等多方面的可靠性和安全性。

另一方面，這是場時間金錢與可靠性之間的博弈。王耀指出：遵循ASPICE等相關(guān)流程和技術(shù)標(biāo)準(zhǔn)，可有效保證汽車軟件的可靠性，“但未來隨著汽車軟件代碼劇增，如果未來所有的汽車軟件開發(fā)完全遵循上述的開發(fā)流程，汽車的研發(fā)周期以及研發(fā)成本將倍增。目前IT領(lǐng)域比較流行的敏捷開發(fā)模式雖然可以實現(xiàn)快速交付，但這種模式如何有效保證汽車系統(tǒng)級軟件的質(zhì)量，迭代頻次一旦過高是否同樣會帶來軟件開發(fā)成本過高等問題仍需要行業(yè)進行思考?！?/p>

誰來“造”汽車軟件？

保證智能汽車的軟件質(zhì)量，不僅受制于量大、復(fù)雜、要求高的自身特性，同時還因開發(fā)者的邊界愈發(fā)模糊而變得更加困難。

傳統(tǒng)汽車開發(fā)流程中，主機廠只需要定義零部件信號接口，由零部件供應(yīng)商根據(jù)定義提供軟硬件一體的解決方案，主機廠更多的工作是做系統(tǒng)集成，無需關(guān)心零部件中的軟件是如何實現(xiàn)功能的。

而智能汽車則打破了這一線性的合作模式。在引入域控制器甚至中央計算平臺之后，各部件功能高度融合，“軟硬分離”成為汽車行業(yè)共識。與此同時軟件產(chǎn)品也已被進一步細(xì)分為軟件工具鏈、基礎(chǔ)軟件、軟件中間件、應(yīng)用軟件等產(chǎn)品。

由此，行業(yè)開發(fā)分工進一步明確，產(chǎn)業(yè)鏈上各方都開始“重新學(xué)習(xí)”。王耀表示，此前站在供應(yīng)鏈核心位置的硬件Tier1需要具備一定的軟件開發(fā)能力，如提供外設(shè)驅(qū)動及編譯工具、底層操作系統(tǒng)等；曾處于第三甚至第四級供應(yīng)商位置的“外行人”IT領(lǐng)域軟件供應(yīng)商，則需進一步了解智能汽車，具備更深與更廣的軟件開發(fā)能力；而主機廠除開始將硬件和軟件產(chǎn)品分開，進行獨立招標(biāo)外，還需要擁有強大的系統(tǒng)架構(gòu)、硬件架構(gòu)、軟件架構(gòu)和通信架構(gòu)的能力，并對總體集成負(fù)責(zé)。

但在產(chǎn)品端“軟硬分離”的同時，行業(yè)端的“軟硬融合”則成為了新的挑戰(zhàn)。2020年底率先在汽車行業(yè)爆發(fā)的“芯片荒”中，“芯片不懂汽車、汽車不懂芯片”便成為困擾雙方協(xié)同破除芯片緊張壓力的阻礙之一。

“目前汽車行業(yè)內(nèi)還沒有形成應(yīng)用于量產(chǎn)自動駕駛汽車產(chǎn)品的汽車軟件架構(gòu)及相關(guān)接口定義。同時，自動駕駛汽車的軟件開發(fā)過程融合了IT領(lǐng)域軟件開發(fā)技術(shù)和汽車領(lǐng)域軟件開發(fā)技術(shù)，大量的跨域協(xié)同工作也增加了軟件的開發(fā)難度?！?王耀表示。

如何監(jiān)管軟件質(zhì)量？

“相較于傳統(tǒng)汽車，智能汽車在車輛穩(wěn)定性、一致性方面均需要滿足更高的要求?！蓖跻硎荆涸谲囕v穩(wěn)定性方面，智能汽車的自動駕駛系統(tǒng)從設(shè)計之初便增加了功能安全與預(yù)期功能安全的要求，通過核心器件冗余備份和提升性能邊界等手段來保證更高的系統(tǒng)穩(wěn)定性。

一致性方面，車輛測試與認(rèn)證要求在相同測試場景下智能汽車完成的駕駛動作與行駛軌跡須保持高度一致，這對于智能汽車的攝像頭、激光雷達(dá)、毫米波雷達(dá)、電控單元以及線控執(zhí)行機構(gòu)等電器元件的軟硬件質(zhì)量一致性提出了很高的要求。同時，智能汽車在生產(chǎn)，制造時要面對更加復(fù)雜、嚴(yán)格的出廠質(zhì)量檢驗要求。

但僅憑行業(yè)自律顯然不夠。近年來，隨著智能化成為汽車產(chǎn)業(yè)轉(zhuǎn)型方向的共識，相關(guān)國際組織和國家也正緊鑼密鼓的制定相應(yīng)的標(biāo)準(zhǔn)和監(jiān)管方向。

“第三方監(jiān)管一定要站在公平公正第三方的立場上，服務(wù)于國家、企業(yè)和消費者，為行業(yè)進行監(jiān)督?！敝衅行牡膶＜蚁蛴浾弑硎荆菏紫?，要引導(dǎo)企業(yè)強化自身的軟件安全意識與安全保障能力，迅速建立OTA升級管理體系，并具備覆蓋全流程的升級實施能力、信息安全保障能力、軟件質(zhì)量管控能力、升級測試驗證能力、升級過程信息記錄存儲能力、風(fēng)險防控和應(yīng)急響應(yīng)能力等；然后，針對汽車軟件的功能不同進行分類，如哪些是影響車輛駕駛的安全性，哪些是提升車輛舒適性等。不同的功能分類，其風(fēng)險定位以及監(jiān)管力度以及手段也是不一樣的。此外，在確保規(guī)范后，應(yīng)對企業(yè)的開發(fā)流程和使用過程進行一定的監(jiān)督，評估、驗證企業(yè)內(nèi)部的相關(guān)文件以及記錄，確保其可供調(diào)取和檢查。

對于創(chuàng)新技術(shù)下誕生的新生事物，容錯與監(jiān)管同等重要。這一道理對于攸關(guān)產(chǎn)業(yè)未來命運，也關(guān)乎普通消費者生命安全的智能汽車尤為重要。如何兼得創(chuàng)新與安全，將是產(chǎn)業(yè)、行業(yè)與政府共同面臨的課題。