QNX大中華區(qū)總經(jīng)理張人杰:智能汽車的操作系統(tǒng)架構(gòu)

極客網(wǎng)6月24日消息,今天,由汽車創(chuàng)新港、NewCar??W(wǎng)主辦的“預(yù)見未來:人工智能和自動駕駛技術(shù)論壇”在上海盛大舉行,論壇圍繞人工智能在自動駕駛汽車領(lǐng)域的應(yīng)用實(shí)踐這一話題,深入探討駕駛輔助、自動駕駛、高精度地圖、環(huán)境感知、語音識別、軟件系統(tǒng)等技術(shù)難點(diǎn)和重點(diǎn)。極客網(wǎng)作為合作支持媒體,將為您帶來全程報道。

論壇邀請了沃爾沃汽車智能駕駛事業(yè)部高級經(jīng)理張立存博士、地平線機(jī)器人智能駕駛業(yè)務(wù)總監(jiān)李星宇,亞太機(jī)電智能網(wǎng)聯(lián)事業(yè)部 技術(shù)總監(jiān)梁濤年博士,QNX大中華區(qū)總經(jīng)理張人杰,吉利汽車主動安全科經(jīng)理李博博士,閱面科技創(chuàng)始人(前阿里巴巴算法總監(jiān))趙京雷博士,慧眼科技 CEO(Imprezzeo創(chuàng)始人)單霆博士,上海傲碩信息科技總經(jīng)理鄭天堂先生,中科慧眼創(chuàng)始人副總經(jīng)理孟然先生做主題分享。

第三位出場演講的是QNX大中華區(qū)總經(jīng)理張人杰 ,他演講的標(biāo)題目是《智能汽車的操作系統(tǒng)架構(gòu)》。

以下是演講速記整理內(nèi)容:

接下來非常榮幸有請到黑莓BTS大中華區(qū)業(yè)務(wù)總經(jīng)理張人杰先生,給大家介紹“智能汽車的操作系統(tǒng)架構(gòu)”。

張人杰:各位來賓大家好,很高興今天能夠參加工程師的論壇,我本身也是工程師出身,所以非常高興能跟大家做一個關(guān)于操作系統(tǒng)方面的技術(shù)交流。

大家都知道黑莓原來一直是以手機(jī)著稱,現(xiàn)在我們的重點(diǎn)放在軟件服務(wù)這一塊。我是BTS大中華區(qū)業(yè)務(wù)部門的總經(jīng)理,我下面負(fù)責(zé)的包括像Certicom操作系統(tǒng),以及整個黑莓4萬多項國際專利,這塊都是屬于黑莓的核心資產(chǎn)。

我們現(xiàn)在來討論一下,智能駕駛的概念非常的火。但是我們想想看,與智能駕駛相關(guān)的我們談了很多的方面,比如深度學(xué)習(xí)、人工智能,包括傳感器方面談到了像Mobileye比較擅長的單目攝像頭,還有剛才其他一些合作伙伴他們談到的雙目攝像頭等等這樣一些算法相關(guān)的東西。但是我們有沒有考慮到,其實(shí)在一個系統(tǒng)里頭,最重要、最基礎(chǔ)的部分往往是容易被忽略掉的。

對于一個智能汽車來講它的操作系統(tǒng)架構(gòu)應(yīng)該是怎么樣的?

還跟以前一樣嗎,還是現(xiàn)在這種分離式的架構(gòu)嗎?大家知道現(xiàn)在來講做汽車電子,多半都是聚焦在其中的某一個層面,比如有些廠家會聚焦在中控娛樂信息系統(tǒng)部分,還有一些廠商會聚焦在數(shù)字化部分,還有一些聚焦在ADAS相關(guān)的東西。這些車載電子設(shè)備到了智能駕駛階段它們是不是仍然這樣分離存在?其實(shí)這個地方就給我們提出了很多的疑問。

我們看一下傳統(tǒng)的分離式的結(jié)構(gòu)其實(shí)在未來會有可能被一體化的數(shù)字座艙取代。我們?yōu)槭裁匆劇皵?shù)字座艙”概念,我們大家想想在無人駕駛這種理想狀態(tài)實(shí)現(xiàn)之前,一定有相當(dāng)長一段時間里頭是處在一種,人處于輔助的地位,主要是由機(jī)器來判斷。正因?yàn)槿艘谶@里頭起到一定的決策作用,這個座艙就必不可少。對于這樣一個座艙來講,它的硬件架構(gòu)其實(shí)跟現(xiàn)在是完全不一樣的,用一個業(yè)界比較流行的詞我們稱之為叫“顛覆”。

顛覆這個詞來講,其實(shí)很適合對于硬件架構(gòu)的變化。大家知道以前在車?yán)镱^有很多個分離的電子板卡,到了智能駕駛階段有可能我們就會把它變成一塊單獨(dú)的板卡。我不知道大家對通信領(lǐng)域有沒有理解,因?yàn)槲冶旧硪彩亲鐾ㄐ懦錾淼?,通信是我的老本行,我的?dǎo)師也是工程院的院士。對于通信這塊來講,我們很看中的一點(diǎn)它是一個聚合的過程。最早的時候大家想我們一塊板卡可以完成基本的功能,多個板卡需要經(jīng)過一些走線的方式連接起來,到了后期可能有1—2塊的CPU板卡,加上多個的子線卡。在汽車?yán)镱^其實(shí)有這種類似的可能性會發(fā)生,有可能會有一塊主控板控制汽車的所有的車載電子部分,在主控板上可以插入多個不同的子線卡,這些子線卡就可以完成目前看到的這些分離設(shè)備它所完成的這些功能,這個在整個的硬件架構(gòu)上就發(fā)生了變化。

與之而來的是硬件變了軟件一定會變,軟件大家知道最核心的部分是什么?就是操作系統(tǒng)。操作系統(tǒng)這個層面跟以前一樣嗎?肯定不一樣,以前的分離式架構(gòu),每一個電子器件上會有一個OS,這個OS可以是相同的也可以是不同的。整個系統(tǒng)之間一定要有通信來完成相互的協(xié)同工作。對于一體架構(gòu)來講,跟以前的軟件架構(gòu)一定會有很大的變化。我們來看一下在這樣子的架構(gòu)底下會有什么樣的情況會發(fā)生?就是虛擬化技術(shù)。虛擬化技術(shù)并不是一個很新的詞,真正對于嵌入式設(shè)備的虛擬化這塊應(yīng)該大約是在十年前左右,十年前虛擬化技術(shù)在通信領(lǐng)域里頭開始慢慢做推廣。汽車電子這塊其實(shí)它仍然是一個很新的概念,我記得大概在四五年前我跟哈曼的一個總架構(gòu)師,他是一個德國人我跟他聊過,他對這個技術(shù)非常感興趣。他當(dāng)時就指出來,我們一定要改變現(xiàn)在的架構(gòu),我覺得他說得非常有道理。也就是說這種虛擬化的技術(shù)來講,可以把一體化的硬件模擬成多個不同的子硬件,這種子硬件是虛擬硬件,每一個虛擬硬件對應(yīng)著現(xiàn)在大家比較熟悉的各自的一個功能,比如說一個虛擬機(jī)可以完成傳統(tǒng)的中控娛樂信息系統(tǒng)的功能,另外一個虛擬機(jī)可能是數(shù)字化儀表,還有可能是ADAS的設(shè)備,到了后來這些東西它們之間的界限可能會模糊。像奧迪TT它是沒有中控娛樂信息系統(tǒng)的,只有一個集成功能的儀表盤,未來可能會有很多類似這樣集成化的設(shè)備出現(xiàn)。比如說我們大家都知道,其實(shí)大家談自動駕駛我們經(jīng)常會有一個視頻去捕捉這些運(yùn)動中的人或者物或者車,這個時候你想想看,如果都是從這個中控娛樂信息系統(tǒng)去看的話你覺得別扭不別扭?其實(shí)是完全不適合未來自動駕駛的發(fā)展。

未來的自動駕駛如果真的要做這塊的分析,比如車道偏移、行人監(jiān)測你希望應(yīng)該怎么做?我個人覺得可能(抬頭顯)技術(shù)是最合適的,跟手機(jī)的藍(lán)牙互聯(lián)這個不是真正意義上的抬頭顯,真正意義上的抬頭顯應(yīng)該是實(shí)體與我們計算出來結(jié)果的一個有效的融合。我們大家知道我們的車前面有一個擋風(fēng)玻璃,如果你的數(shù)據(jù)僅僅是投射在這個擋風(fēng)玻璃上是非常不科學(xué)的。因?yàn)閷τ谖覀冎v,我們的實(shí)景跟擋風(fēng)玻璃之間的距離很遠(yuǎn)。我們應(yīng)該把計算的這些結(jié)果投射在擋風(fēng)玻璃之前的區(qū)域,也就是說成像的距離一定不是在擋風(fēng)玻璃上,而是在擋風(fēng)玻璃比如說1.8米或者2.5米這樣的一個距離。你想想看,如果在這樣一個距離,正好和你肉眼看到的道路上的那些比如說畫線,計算出來的結(jié)果如果也是投影到類似的區(qū)域,這才是真正意義上ADAS的一個輔助駕駛。

所以隨著整個智能駕駛的發(fā)展,很多熟悉的這些電子器件有可能會在車載里頭消失掉,多個技術(shù)有可能會融合在新的硬件里頭。舉例,我們現(xiàn)在中控娛樂信息系統(tǒng),你的副駕駛或者后座這些乘客他們看中控娛樂信息系統(tǒng)一點(diǎn)不方便,正常我們實(shí)際上應(yīng)該把這個娛樂的部分、多媒體部分投射到副駕駛的遠(yuǎn)端,這個時候副駕駛?cè)丝梢宰谒母瘪{駛位置上可以欣賞大片一樣看整個視頻節(jié)目或者一些別的東西,這才是真正意義上的在無人駕駛之前有人類參與輔助駕駛階段所應(yīng)該給大家?guī)淼囊恍┕δ?。其?shí)它的目的很單純,就是把真實(shí)的硬件虛擬化成多個硬件實(shí)體,在這些實(shí)體上可以運(yùn)行不同的操作系統(tǒng),完成獨(dú)立的功能。從整個硬件成本來講也下樣了,以前想想看,通信領(lǐng)域里頭也是百家爭鳴,現(xiàn)在為什么只剩下幾家公司?很簡單,因?yàn)樾〉墓径荚谝惠喴惠喞顺敝械瓜铝?。我們再來看一下汽車電子領(lǐng)域不是這樣的,百家爭鳴,有1000家、1萬家甚至幾十萬家的小公司在生存著,但是這個趨勢僅僅只能保持幾年,未來一定是巨顎的時代,巨顎時代就是通吃,那就是說如果這種一體化硬件出現(xiàn)的話,如果你作為一個小的供應(yīng)商你可能在這個里面一點(diǎn)份額拿不到,因?yàn)檎麄€硬件都是大的供應(yīng)商做的,上面所有的這些應(yīng)用全部是一家吃掉了,這就是像現(xiàn)在華為他們做的這些事情,未來有可能在車載電子里頭就會出現(xiàn)。對在座各位來講都會有一個非常大的挑戰(zhàn)。

我們再來觀察一下,如果我們做了幾個獨(dú)立的虛擬器件之后,怎么完成通信?可以用虛擬以太網(wǎng),因?yàn)橐蕴W(wǎng)是最容易理解的技術(shù)。就像現(xiàn)在大家都說走線非常麻煩不好用或者怎么樣,但是大家可以看到有一個趨勢,就是以太網(wǎng)走線越來越多在車載里頭占據(jù)了主導(dǎo)地位。我們想一下,如果在一體化的硬件里頭,其實(shí)以太網(wǎng)沒有用了。為什么?大家就是一塊板,這些虛擬的硬件直接一定要有一個虛擬的以太網(wǎng),虛擬的以太網(wǎng)就像兩個分離的節(jié)點(diǎn),雖然是兩個獨(dú)立的虛擬硬件,但是它們之間可以利用類似以太網(wǎng)的方式來通信,就會變得比較簡單。通過這樣子的方式,我們想想看,如果你覺得生態(tài)系統(tǒng)很好,完全可以保留在車載電子領(lǐng)域的使用,可以把它在其中一個虛擬硬件上實(shí)現(xiàn)。如果你覺得與車身安全相關(guān)的部分,你需要有一個實(shí)時操作系統(tǒng)控制,來提高它的安全性,這個時候可以把大部分的硬件資源的訪問交給實(shí)時操作系統(tǒng)來管,各為其政相互之間沒有任何的影響,所以我們在這個地方是有一個非常大的靈活性在里面。

現(xiàn)在做智能駕駛可能比以前普通的全部的人工駕駛來講,最重要的一點(diǎn)是什么?就是它的安全性。安全性里頭有一個非常重要的考量的一點(diǎn),就是數(shù)據(jù)性安全。如果一個很容易被黑客黑掉了,大家知道特斯拉,都被國內(nèi)一家公司360花了不到一個小時就破解了它的系統(tǒng),為什么?因?yàn)槟愕南到y(tǒng)數(shù)據(jù)性安全這塊做得不夠。我們就要來考量,如果真的黑客把我們的系統(tǒng)給黑了,讓這個系統(tǒng)做一些自動駕駛的操作,比如說在高速上猛的來一個剎車怎么辦?那就是車毀人亡。所以在這種情況下一定要對行為做限制,如果黑客入侵的進(jìn)程,即使有這個進(jìn)程存在,沒辦法訪問某些硬件資源或者對權(quán)限做很大的控制,這個時候沒有關(guān)系,讓它去黑好了,黑不到黑心,所以安全控制要放在很重要的位置。

分布式處理,我們學(xué)計算機(jī)的時候可能在二十年前就會得到一個概念,就是說分布式處理,我的系統(tǒng)很牛是分布式處理的,什么是分布式處理?就是多個分離的計算節(jié)點(diǎn)它們能夠協(xié)同起來完成一項操作,這就是分布式處理。在我們的汽車?yán)镱^我們想想看,我們的這些虛擬硬件它們之間其實(shí)是有關(guān)聯(lián)的,比如說現(xiàn)在有一個設(shè)備它能夠探頭線去訪問底層的傳感器傳過來的資源,這個時候我們想看,另外一個設(shè)備壓根訪問不了,為什么?我記得剛才有一個朋友提出來,哪些是要通過安全認(rèn)證而哪些不需要。其實(shí)我們有一個非常簡單的指標(biāo)來確定這個系統(tǒng)是不是需要通過安全性認(rèn)證?就是它和車最關(guān)鍵的部分,最關(guān)鍵的電控部分是否有關(guān)聯(lián),如果有關(guān)聯(lián)在某種意義上講就是一個安全鍵,安全鍵和非安全鍵相比它一定要有一些這方面的考慮。對于這種分布式計算來講,好處就是我們可以讓安全鍵去控制汽車底層的汽車資源,讓非安全鍵通過特定的通信方式來控制這樣的資源,所以很多的時候只能做讀操作而不能做寫操作。分布式操作非常簡單的一點(diǎn)就是完成系統(tǒng)之間的協(xié)作,并且保證系統(tǒng)的健壯性。

為什么我們說在虛擬化之上的系統(tǒng)安全控制部分要用實(shí)時操作系統(tǒng),因?yàn)閷?shí)時操作系統(tǒng)相對于大家熟悉的基于桌面的系統(tǒng)來講有一定的時間響應(yīng)的要求。在規(guī)定的時間里頭,它對外界的行為要極快做出反映。對于實(shí)時操作系統(tǒng)來講目前應(yīng)用場合非常廣,包括拉斯維加斯,中國澳門有很多的博彩機(jī),運(yùn)行的是實(shí)時操作系統(tǒng),比如你現(xiàn)在選擇了一組擬定的規(guī)則,最后沒有任何的響應(yīng)怎么辦?這只是一個比喻,也就是說整個的行為必須是確定的,而且是即時的。

Mobileye做到現(xiàn)在只敢做識別,不敢做決策,為什么?它把決策留給人去做,這是很聰明的一個做法。因?yàn)槿嗽谀壳皝碇v可以通過倫理的也好,是是自己視覺的感知也好,我們跟機(jī)器相比都一個絕對的優(yōu)勢。所以Mobileye不敢冒險,把這個決策交給人來做。未來來講隨著這個人的干預(yù)越來越少,機(jī)器的仲裁變得越發(fā)重要,如果機(jī)器的仲裁在特定的時間里頭沒有響應(yīng)這個系統(tǒng)就非常的危險,比如高速上看到前面即將追尾,但是半天這個行為應(yīng)該要做的行為執(zhí)行不了,對不起還是撞上去了,智能汽車?yán)镱^我們一定要保證系統(tǒng)的相應(yīng)性。

我們大家都知道怎么考量一個系統(tǒng)是不是真的實(shí)時操作系統(tǒng)呢?有一個非常重要的指標(biāo),就是它的內(nèi)核可挑戰(zhàn)程度。我們在07年加入了一個布丁,已經(jīng)變成了一個實(shí)時操作系統(tǒng)。我們比較一下實(shí)時操作系統(tǒng)和非實(shí)時操作系統(tǒng)的兩個重要的指標(biāo)參數(shù),第一個就是中斷延遲,當(dāng)一個中斷產(chǎn)生到中斷被真正的去執(zhí)行,這樣之間的一個延遲。整個的性能基本上延遲只有Linux的1/4,我們考慮平均情況還要考慮惡劣情況,惡劣情況Linux有的時候會達(dá)到1秒鐘,即使安卓系統(tǒng),上面的虛擬機(jī)運(yùn)行非常順暢,不排除有可能是底下的內(nèi)核的一個響應(yīng)慢導(dǎo)致的,所以在這個地方有很多的指標(biāo),其實(shí)跟操作系統(tǒng)都是相關(guān)的,所以在這個地方有一個重要的參數(shù)叫做抖動,所謂抖動就是平均的狀態(tài)和惡劣狀態(tài)之間的一個比較。如果兩邊性能下降非常厲害,我們說這個系統(tǒng)是一個抖動性很大的一個系統(tǒng)。

系統(tǒng)的可用性,可用性在英語里頭比較容易理解,當(dāng)這個系統(tǒng)在極端的情況底下真的出錯了,但是出錯了沒有關(guān)系,但是要保證系統(tǒng)某些最關(guān)鍵的功能是可用的。我們大家知道現(xiàn)在與我們?nèi)粘I钭罹o密的一個電子設(shè)備,大家想想看是什么呢?可能就是我們通常出行有的時候坐的軌道交通,軌道交通里頭這個地方于于可用性提到一個非常重要的程度,就是我們現(xiàn)在從龍陽路開到浦東國際機(jī)場中間有一個磁懸浮,一些外地游客來還是想感受一下這種極速。但是怎么保證這個東西的可用性?如果去坐的話會發(fā)現(xiàn)有一個細(xì)節(jié),從龍陽路到浦東國際極長的時候會宕機(jī)。你想想看,兩次故障之間的時間是多少?所以你不斷的重啟它自然能提高它的安全性和可用性,這就是我們在軌道交通里頭經(jīng)常使用的一個技術(shù)。

對于汽車來講比較麻煩,尤其是智能汽車,未來大概有些公司不是炒作生態(tài)、共享、經(jīng)濟(jì)這種嗎,未來有可能這個車永遠(yuǎn)就不會停,你現(xiàn)在在家里頭你按一個按紐,瞬間一輛車,這輛車可能已經(jīng)開了兩年了,因?yàn)楣蚕斫?jīng)濟(jì),來接你如果出現(xiàn)了可用性的問題怎么辦,所以可用性在未來智能駕駛里頭,比現(xiàn)在重新啟動的這種狀態(tài)要更加的考慮。

我們來看一下,比如說這個系統(tǒng)真的出現(xiàn)問題的時候我們一定要有一些辦法去解決,以前大家在做硬件的時候,覺得我有一個硬件可以監(jiān)視是否正常,但是對于軟件來講一定要有類似的技術(shù)。它可能是有一組相互協(xié)同工作的進(jìn)程來對其他的進(jìn)程做監(jiān)視這樣一個工作,比如說我這個地方如果啟動了一個叫高可用性的監(jiān)視器,當(dāng)某個模塊出現(xiàn)問題的時候內(nèi)核會通告這個高可用的監(jiān)視器,這個模塊出問題了,接下來相關(guān)的信息會被收集,這個模塊退出,并且把資源返還給這個系統(tǒng)。接下來就是HA Manager重啟,整個程序操作是非??斓模簿褪钦f這樣的操作可能在幾十個毫秒到100多個毫秒就能恢復(fù)。假如在高速公路上我們的智能駕駛汽車在那兒跑,突然有一個模塊出問題了,沒關(guān)系在100毫秒里頭給它恢復(fù)過來了,這個系統(tǒng)仍然是安全的,因?yàn)閷τ谌藖碇v有的時候開著開著突然打個盹有一兩秒的時間。一樣的道理,如果我們讓這個系統(tǒng)有100毫秒的可恢復(fù)能力,這個系統(tǒng)仍然是安全的,所以在這個地方一定要有相應(yīng)的機(jī)制。所以整個操作系統(tǒng)來講對于智能駕駛非常關(guān)鍵。

接下來說到最重要的一個環(huán)節(jié)就是功能性的安全,功能性安全這些年來被提到各個行業(yè),受到很高的一個重視。大家知道在工業(yè)里頭有一個標(biāo)準(zhǔn)叫IC61508,就是對所有的工業(yè)生產(chǎn)中要使用到的電子電氣或者是具備可編程邏輯的電子設(shè)備有一套要求,分為C1到C4四個等級。汽車領(lǐng)域大家知道汽車是工業(yè)的一部分,所以我們延伸出來一個標(biāo)準(zhǔn)叫做ISO26262是針對乘用車功能性安全的規(guī)范。智能汽車?yán)镱^安全鍵一定是大大增加了,像這樣一些東西,一定會放在安全鍵里頭。安全鍵整個的系統(tǒng),系統(tǒng)本身、硬件、軟件、應(yīng)用所有的層面都要通過ISO26262,就是ASIL A到ASIL D的認(rèn)證。ADAS相關(guān)的控制設(shè)備要達(dá)到ASIL C的要求,如果你的系東能夠達(dá)到ASIL D的要求是最好的。對于操作系統(tǒng)層面來講,要通過ASIL認(rèn)證是非常復(fù)雜的過程。這個里頭不光是認(rèn)證的難度還有一個就是成本,大家知道這個社會是講經(jīng)濟(jì)的,你得考慮做一個事情可以做,但是要考慮花多少錢。在這個里頭來講,Linux由于內(nèi)核代碼龐大,要通過相應(yīng)認(rèn)證幾乎不可能。

整個智能汽車有一個安全設(shè)計的流程,可以簡單用一句話來說就是叫失敗模型的概念,我們做任何事情都有可能會失敗,失敗的百分比是多少?這個很關(guān)鍵。而一個系統(tǒng)失敗百分比其實(shí)取決于這個系統(tǒng)里頭多個子模塊各自的百分比,然后和它們之間耦合的一個悉數(shù),所以系統(tǒng)模塊數(shù)越多、耦合性越強(qiáng),系統(tǒng)出現(xiàn)問題的可能性就越大。所以我們一般做功能性安全規(guī)范的時候就是衡量你的系統(tǒng)能不能用一個非常好的失敗模型去闡述,設(shè)計好你這個系統(tǒng)不難,難的是設(shè)計好這個系統(tǒng)之后還要有一種模型能夠計算出當(dāng)前這個系統(tǒng)出現(xiàn)失敗的可能性。前些年我們大家在做一些軌道交通的時候,那個時候通過的叫做EO50128和E050129,我們在中國的很多設(shè)備,我們坐的高鐵大家千萬不要以為它非常安全。因?yàn)橹袊芏喑绦蛟O(shè)計是以測試來保證安全的,大家知道測試本身就是有問題的,測試涉及到有一個測試用力,測試用力里頭能不能涵蓋所有的邊界條件呢?不一定。只要你的測試用力它的涵蓋百分比不夠,這個測試能力其實(shí)就是一個無效的,所以基于測試的所有的這種模型設(shè)計都是不科學(xué)的,而且它的安全等級都是有限的。所以現(xiàn)在來講如果做智能汽車它如果整個的設(shè)計流程沒有按照這樣子一套失敗模型去設(shè)計,這種東西你讓它去闡述,它為什么能夠開上來,開上來失敗的可能性有多少,這些東西沒有人計算。因?yàn)楝F(xiàn)在整個行業(yè)太浮躁了,就是說我們沒有考慮到這個系統(tǒng)安全本身,我們大家都想到兩三年就量產(chǎn)了,可能嗎?兩三年量產(chǎn)的話,那這些人工智能的人已經(jīng)搞了20年為什么到現(xiàn)在沒有搞出來一個真正像樣的東西呢?原因很簡單,系統(tǒng)如果真的從高安全角度去分析的話其實(shí)是非常復(fù)雜的,要把它設(shè)計出來。

接下來就是數(shù)據(jù)性安全,數(shù)據(jù)性安全比功能性安全還要復(fù)雜,因?yàn)樵谶@個里頭有很多可能的漏洞。我們以前在去破解一個系統(tǒng)有很多種可能。舉例,就像高鐵里頭或者地鐵里頭經(jīng)常有一些電子顯示屏,會播放一些東方衛(wèi)視或者東方明珠衛(wèi)視之類的新聞,但是突然中斷了,這個破解就是屬于自己破解。如果你侵入到這個系統(tǒng)把當(dāng)前運(yùn)行的主程序給它停下來,通過這個程序你就可以侵入這個系統(tǒng)做其他的操作,這個系統(tǒng)的數(shù)據(jù)性安全其實(shí)已經(jīng)被你破壞了。所以這就是為什么像iphone這樣的設(shè)計經(jīng)常有一個BUG,然后需要做布丁。因?yàn)楹芏鄸|西只要把它放到實(shí)際的層面來講都會變得很簡單,因?yàn)槲覀兛春芏鄸|西很復(fù)雜,實(shí)際上我們讓這個東西回歸本質(zhì)就很簡單。

我們的系統(tǒng)來講,一定要增強(qiáng)數(shù)據(jù)安全性,否則的話以后這種智能駕駛一定是不安全的。還有就是它對系統(tǒng)權(quán)限這塊一定要有精細(xì)化的控制,我們現(xiàn)在用像Linux也好,或者其他的系統(tǒng)也好,經(jīng)常會發(fā)現(xiàn)大部分人喜歡用根用戶,但是根用戶是不安全的,實(shí)際上我們?nèi)绻o用戶接口,一定是一個設(shè)定的特定訪問權(quán)限的應(yīng)用,不像以前做的后裝的機(jī)器,進(jìn)去以后隨便裝盜版就可以了,原因就是把權(quán)限給你了,本來不應(yīng)該把這個權(quán)限給你的,但是智能駕駛不能這樣,智能駕駛一旦出現(xiàn)以后,一定會有一些別有用心的人來做破壞,為了顯示自己很牛逼,其實(shí)并不牛逼。因?yàn)榇蠹抑榔茐暮芎唵危S護(hù)最難,但是很多小孩可能就愿意為了秀自己這種事情,這是很可怕的??赡鼙秽従拥男『涯愕能嚲徒o黑了。而且現(xiàn)在APP的連接也變得非常普及,所以未來可能破解你的汽車,破解你的手機(jī),手機(jī)跟它的連接,手機(jī)本身已經(jīng)連接部分獲得了這部分系統(tǒng)的根用戶權(quán)限,你自然它破解了你的手機(jī)就可以通過這個通道來控制你的汽車,非常的危險。

還有一個就是系統(tǒng)的重啟。我們想一下,一個智能汽車如果出現(xiàn)極端情況下,我們必須得重啟的時候,它的時間要求,不能說用一兩秒再啟動,這個時候在高速上,或者在非常復(fù)雜的駕駛的路況下會非常危險。所以這個地方一定要保證未來的智能駕駛系統(tǒng)它的重新時間一定是非常小的。

功能整合這塊要實(shí)現(xiàn)系統(tǒng)的平臺化。所謂的平臺化就是,我們這個系統(tǒng)千萬不是一個簡單功能的疊加。比如這家公司做了一個雙目的算法,那家公司做了一個單目的算法,這家公司做了一個激光雷達(dá),我們隨意把它放到這個系統(tǒng)里頭,這個系統(tǒng)毫無關(guān)聯(lián),怎么保證這個系統(tǒng)最終產(chǎn)生一個確定性、一致性的決策呢?我們想我們在未來的系統(tǒng)來講一定是要有一個平臺化的要求。平臺化的要求里頭,比如說我們要保證對現(xiàn)有車型的AutoSAR的支持。還有對于未來V2X通信接口的擴(kuò)展性的一個預(yù)流,這塊非常重要,像美國的公路交通管理局已經(jīng)確定了,在所有美國的交通設(shè)備長一定要安裝V2X的模塊,就是通過類似WIFI的無線通信的系統(tǒng)信道來相互之間傳遞這個信息。所以未來來講,你在這兒開到前方一英里的路口就知道那個地方是紅燈還是綠燈,因?yàn)槟沁呉呀?jīng)傳遞過來了。所以智能駕駛?cè)绻阕约翰挥貌扔烷T,你想想看它就可以經(jīng)濟(jì)性控制整個你的油門的深淺,當(dāng)然未來是電動的,可以控制電動的電機(jī)轉(zhuǎn)速,這樣可以整個讓社會的能源損耗降到極低。所以這個地方一些接口的東西一定要預(yù)留。還有就是現(xiàn)在最流行的大家都知道,其實(shí)我們現(xiàn)在的智能駕駛還是停留在圖像識別,圖象識別最重要的一點(diǎn)就是要有一個很好的攝像頭框架,攝像頭框架為什么重要?因?yàn)閿z像頭能夠提供給我們太多的功能,單目的可以做識別,雙目的可以測距,雙目的說白了我們是怎么樣測距的?三角測距,能夠確定它的位置和確定離我們的距離。還有激光雷達(dá)能夠測距,等等這樣一些技術(shù)。在攝像頭這種框架里頭,我們有視覺的處理和計算的加速,這塊可能會用到一些什么東西?用到一些芯片。我們知道現(xiàn)在的ADAS的整個判斷、計算來講一般會用到三種技術(shù),第一種就是視頻引導(dǎo)的GPU的技術(shù),因?yàn)镚PU先天比較適合做適量計算;第二種就是以TR為代表的DSP,就是以數(shù)字信號處理的模式。第三種就是FPGI的模式,各有各的優(yōu)勢。對于國內(nèi)公司來講其實(shí)大部分會去看,基本上我們都得用它們這三種模式里頭的一種,很難完全自定義這一塊。我們整個的系統(tǒng)一定是一個平臺化的,因?yàn)槲磥硎且粋€一體化的狀態(tài)。

我們最后來考慮一種場景,這種場景就是大家現(xiàn)在最熟悉的圖象處理。很多像這樣子的一些很炫的比如捕捉到一個物體、人物、汽車,這些怎么做的?從技術(shù)原理上來講非常簡單。其實(shí)就需要有一套多攝像頭的框架。對于我們攝像頭傳進(jìn)的這些視頻數(shù)據(jù)來講本身就可以在某個顯示屏上面顯示出來,是沒有經(jīng)過任何加工的粗糙的一層。接下來我們增加樣畫一個框框進(jìn)來,其實(shí)這些框歸根結(jié)底是通過相應(yīng)的ADAS的算法,通過特定的ADAS的SOC來及出來的,實(shí)際上你看到的是多個圖層的融合。我們現(xiàn)在以車儀表盤為例,一定要有一個SOC方案,SOC里頭一定有一個通道,可以支持兩路或者四路的通道,我們怎么樣把這些東西轉(zhuǎn)成到這個通道里面去呢?有幾種方式,一個就是一個圖層對于一種硬件通道,這種方式很難。我可能支持四個,但是有N個圖層沒有辦法做。終端看到的就是一個融合過的結(jié)果,所以未來你再看到很多公司給你演示一個一個展示或者怎么抓住的,千萬不要驚訝,其實(shí)技術(shù)本身就是一個原始視頻加上后期處理的算法合成的圖層之間的一個融合,這就是真實(shí)的一個結(jié)果。

總結(jié)一下,未來整個智能汽車的硬件架構(gòu)的改變會帶來車載操作系統(tǒng)乃至底層虛擬化技術(shù)完全的改變。對于未來來講,完全無人駕駛的里狀態(tài)來講,相應(yīng)的這些通信接口也會被集成到車載電子的中央控制板里面去。而這些模塊它們都會帶虛擬化之上的一個或多個操作系統(tǒng)上面去互相地協(xié)同工作。整個系統(tǒng)來講它的安全、協(xié)作、可用性將會成為最重要的一個指標(biāo)。

大家有這方面的需求可以直接跟我聯(lián)系,我的演講就到這里,謝謝大家!

(該演講內(nèi)容全部由現(xiàn)場速記內(nèi)容整理,若有錯誤之處敬請諒解)

 

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2016-06-24
QNX大中華區(qū)總經(jīng)理張人杰:智能汽車的操作系統(tǒng)架構(gòu)
第三位出場演講的是QNX大中華區(qū)總經(jīng)理張人杰 ,他演講的標(biāo)題目是《智能汽車的操作系統(tǒng)架構(gòu)》。

長按掃碼 閱讀全文