闲谈智能汽车软件开发流程︱汽车软件开发-夜雨聆风

闲谈智能汽车软件开发流程︱汽车软件开发

会议推荐

2026首届中国汽车企业项目管理大会

2026第二届中国AI项目管理大会

2026第十五届中国PMO大会

2026第五届中国项目经理大会

2026第三届中国医药企业项目管理大会

本文目录

需求管理与可追溯 | 如何降低软件定义汽车（SDV）开发风险与召回成本？

智能座舱软件架构平台大总结

智能汽车车机系统软件开发的前景

车载基础软件——国产基础软件开发平台：架构设计

高效开发下一代智能汽车所需的不同软件开发流程、语言和工具

一、需求管理与可追溯 | 如何降低软件定义汽车（SDV）开发风险与召回成本？

（原创 Jama合作伙伴龙智DevSecOps）

通过使用能够提高需求管理效率和准确性的工具，可以降低产品返工和召回的风险，同时帮助满足UL 4600（自动驾驶评估安全标准）的合规性要求。

向软件定义汽车（SDV）的转型标志着汽车行业迈向完全自动化的关键转折。最初，行业热衷于开发全自动驾驶汽车，但其复杂性迫使行业转向更加渐进、分阶段的方法。这一市场转变催生了软件定义汽车，与传统车辆（购买后基本保持不变且基于过时的架构拓扑）不同，汽车OEM（原始设备制造商）现在可以扩大软件投资，同时简化和优化车辆架构。这不仅对开发者有好处，例如降低总拥有成本、加速开发并提高安全性和可靠性，还为消费者提供了更多选择、新的商业模式以及售后更新和修复的可能性。

通过改进产品和软件开发流程及其支持工具，可以更有效地提高安全标准，同时降低代价高昂的中期返工和售后召回的风险。

2023年，发生了300多起召回事件，影响了超过2500万辆汽车，每次召回的成本可能高达数百万美元。

软件定义汽车的四大挑战

过去十年，汽车行业取得了显著进步。曾经的基础功能（如触屏导航）已经发展为复杂的互联选项、语音助手、应用生态系统等。然而，这些变化也带来了若干的开发挑战。

1、管理日益复杂的软件

随着车辆越来越多地采用软件定义，管理来自不同供应商的多个软件组件变得更加复杂。这些组件功能各异，例如电子控制单元可以操作防抱死制动系统，而驾驶舱域控制器则负责完全不同的任务。在软件定义汽车中，这些不同的软件系统必须在整个车辆上无缝运行，给本就充满挑战的开发周期增添了更多复杂性。

2、确保功能安全和合规性

随着复杂性的增加，汽车企业在满足安全和合规标准方面面临着更多挑战。多年来，开发届一直将ISO 26262作为所需的功能安全标准。虽然该标准在历史上是一个很好的基准，但却未能涵盖软件定义汽车、自动驾驶汽车以及许多新的使用案例。

为了跟上行业步伐，标准也在不断演变，新的标准（如针对自动驾驶车辆的UL 4600）已经诞生。不过，这些标准仍然要求企业构建需求、测试需求，并证明他们已竭尽全力打造安全可靠的产品。

使用软件定义汽车的过程非常复杂，尤其是考虑到其中涉及到数亿行代码。企业必须证明代码不存在缺陷，并且没有在无意中引入可能造成安全问题或可能违反安全目标的情况。因此，企业必须重新审视传统的需求管理流程和工具，以适应当前的开发环境，降低潜在风险。

3、难以满足加速的开发周期

快速交付产品和软件是一项巨大的挑战。随着技术的迅速发展，车辆刚刚完成开发，消费者的需求和市场机会就已出现，迫使企业不得不重新设计，以跟上市场的步伐、实现差异化并脱颖而出。

然而，满足加速的开发周期往往与保持质量和合规性产生冲突，因此找到适当的平衡点至关重要。采用支持自动化和更快流程的工具，可以帮助满足这些要求，同时符合安全要求和标准。随着越来越多的企业采用敏捷开发方法，开发工具能否充分支持敏捷开发变得越来越重要。一个很好的例子是 “可追溯敏捷” 的概念，它为敏捷开发团队提供了覆盖范围内的即时、周期内洞察。

4、管理激增的第三方软件

汽车开发的进步促使OEM从多个供应商处采购软件。要集成如此多样化的软件，同时要避免安全和可靠性问题，是一项艰巨的挑战。现如今，企业不仅要整合来自不同供应商的硬件，还需要管理来自多个供应商的大量软件物料清单（BOM），确保所有系统能够无缝协作。

此外，还需要确保系统之间的兼容不会引发漏洞，以避免出现意外故障、安全漏洞和安全问题。这些问题都是代价高昂的，可能会影响产品发布，并对品牌造成负面影响。

通常，数百甚至数千个软件组件整合在一起，可能会达到数千万行代码。在保证所有这些组件协同工作的同时，还需确保安全性和可靠性，并满足消费者对现代车辆的期望，这是一项至关重要的任务。

如何优化开发流程并应对挑战

可靠的工程实践包括明确需求、定义需求、构建需求并对其进行测试。这一开发生命周期围绕需求管理展开，确保解决的是正确的问题。

但是，许多组织仍然在使用 Excel表或Word文档来存储需求。起初，这种方法可能看似无碍，但随着产品越来越复杂，需求越来越多，这种方式逐渐变得难以管理。跨文档复制和粘贴需求容易出错，并且缺乏单一的事实来源，也缺乏可追溯性，从而导致代价高昂的产品或软件问题的风险。

您可以通过将涉及电子表格和其他解决方案的旧流程替换为专为需求管理设计的更强大的自动化工具来应对这一挑战。此更改消除了容易出错的手动流程，提高了效率，并降低了错过需求的风险，从而可能节省数百万美元。

对此，企业可以采用专门为需求管理而设计的更强大、更自动化的工具，来取代传统的手动流程。这种改进不仅能消除手动错误，还能够提高效率、降低遗漏需求的风险，从而节省潜在的巨额成本。

福特如何为软件定义汽车架构选择需求管理工具

2022年，福特选择Jama Connect作为需求管理工具并开始部署，以用于开发未来的软件定义汽车架构。

采用Jama Connect之前：

工程师通常缺乏编写需求的正式培训。
非限制性的自然语言通常包含大量复杂规范（非原子规范）。
不良的需求规格是常态，工程师无法自动接收反馈。
供应商收到数千份PDF格式的需求规格，但有些并不适用。
产品签核过程是手动的，工程师经常不得不追踪测试结果。

采用Jama Connect后：

需求管理成为一门学科，培训资源触手可及。
工程师可以即时且自动地获得有关需求质量的反馈。
产品线工程会自动确定哪些内容适用于产品的不同变体。
仪表板实时、透明地显示产品签核的进展情况。

Jama Connect如何支持软件定义汽车开发？

Jama Connect通过解决软件和硬件两方面的需求管理，帮助应对软件定义汽车（SDV）开发过程中的独特挑战。

许多提供需求管理的解决方案通常还为产品和软件生命周期管理提供全面的解决方案。虽然这听起来很理想，但使用专注于需求管理的专业解决方案，能够与其他领先的工具（如Jira）无缝集成，可提供更多的功能和灵活性，确保项目保持正轨，并以更快、更高效、更少出错的方式开发产品和软件。

Jama Connect 的优势：

简化合规性。通过自动化跟踪和管理，满足合规性和安全标准。
提高可追溯性。Jama Connect中的实时可追溯功能（Live Traceability™）允许您在需求、风险测试和其他工件之间进行追溯，确保项目的所有元素都相互关联。允许用户跟踪变更的影响，并验证所有需求都得到满足，从而降低错误和需求遗漏的风险。
高效协作。为所有项目需求提供单一的事实来源，使团队能够轻松访问、审查和协作处理需求。集中式管理减少了沟通不畅，确保每个人都使用最新的信息。
与您喜爱的工具轻松集成。Jama Connect可与其他工具（如Jira）轻松集成，您无需“推倒重来”，可以继续使用喜爱的工具（如Jira），从而避免中断团队工作。
简单易用。Jama Connect简单易用，具有直观的基于Web的界面，可以让您的团队快速上手。

软件定义汽车的发展不太可能会放缓，反而会加速发展。跟上市场步伐并应对SDV的复杂性，需要采取不同的方法。升级用于支持开发的工具可以帮助您保持合规，减少昂贵的返工和召回风险，并为下一个市场变化做好准备。

使用Jama Connect，您将始终清楚自己的开发进展。您可以查看开发流程，并随时了解当前的需求覆盖率。这有助于避免中期返工和额外的开支，并减少遗漏需求的错误（这种错误可能导致车辆上市后面临数百万美元的昂贵召回）。

平均而言，Jama Connect可将需求管理的返工减少40%–60%。

使用Jama Connect简化合规性并加速开发

汽车行业的产品开发要求汽车软件符合合规性。Jama Connect for Automotive 专为符合关键框架而设计，支持汽车产品开发中的安全关键标准和法规，已通过ISO 26262认证，能够满足复杂的需求管理需求。

ISO 26262: 2018（功能安全）
ISO/SAE 21434 / SAE J3061（网络安全）
汽车ASPICE
ISO/PAS 21448: 2019（预期功能安全性（SOTIF））
IEC（国际电工委员会）关键法规
IEC 60812 – 故障模式与影响分析（FMEA）及故障模式、影响与危害分析（FMECA）
MISRA（汽车工业可靠性协会）

二、智能座舱软件架构平台大总结

（来源知乎作者Rick）

一、智能汽车基础软件平台分类

汽车软件主要分为应用软件和基础软件。应用软件和业务形态高度关联，不同控制器的应用软件之间差异较大。基础软件介于应用软件和硬件之间，用于屏蔽硬件特性、支撑应用软件。可有效地实现应用软件与硬件之间解耦，非常适合平台化最终形成基础软件平台。根据中国汽车基础软件发展白皮书3.0所描述，车用基础软件平台分为车用基础软件开发平台和车用基础软件验证平台。其中，基础软件开发平台包含内核、虚拟化模块，中间件，功能软件以及与之相配套的开发工具链，用于支撑应用软件的快速迭代开发。基础软件验证平台通过调试、分析、仿真、测试等手段验证设计和实现的一致性。

1.1 安全车控基础软件平台

安全车控基础软件开发平台主要面向车辆经典控制领域，如动力系统、底盘系统和车身系统等，该类基础软件开发平台对实时性和安全性的要求极高。目前，主流的安全车控基础软件开发平台兼容 OSEK/ VDX 或 Classic AUTOSAR 标准，其功能安全等级需要达到 ASIL-D。

1.2 自动驾驶基础软件平台

自动驾驶基础软件开发平台主要面向智能驾驶领域，用于智能驾驶辅助，以及全自动驾驶功能的控制器上。目前智能驾驶控制器主要使用的底层操作系统有 QNX 以及 Linux。与安全车控基础软件开发平台相比，对智能驾驶基础软件开发平台的要求主要体现在：

强大的计算能力，以满足图像识别和决策计算的要求；
强大的数据吞吐能力，以满足多传感器数据的实时接入和处理要求；
高度的灵活性、扩展性、可编程性，以满足多种算法模型的需要；
易用性，以满足 ADAS 和自动驾驶算法所需调试、调优、调测的需要

当前异构分布硬件各单元所要求的功能安全等级有所不同，AI 单元需要达到 QM 至 ASIL-B，计算单元需要达到 QM 至 ASIL-D。

1.3 信息娱乐基础软件平台

车载信息娱乐基础软件开发平台主要为车载信息娱乐服务以及车内人机交互提供控制平台，是汽车实现座舱智能化与多源信息交互的必要运行环境。

车载信息娱乐基础软件开发平台对于实时性、安全性、可靠性的要求处于中等水平，既可以使用 Android、Linux 等非实时操作系统，也可以使用 QNX、VxWorks 等实时操作系统。为便于应用程序移植，当前越来越多的车载信息娱乐基础软件开发平台采用 Android Automotive OS 或其他类 Linux 系统。

随着车辆由单纯的交通工具向智能移动终端转变，车载信息娱乐基础软件开发平台需要满足如下要求：

支持多样化应用，满足支付、娱乐、导航、信息服务等多样化功能需求
支持多生态资源，将手机端庞大的信息娱乐服务生态资源，通过采用相同或类似的操作系统，快速移植到车辆智能终端，避免重复开发
安全，通过深度定制达到车辆信息安全和功能安全的标准

1.4 智能座舱软件全景

随着新能源汽车的快速普及，智能座舱成为了一个重要的研发方向。智能座舱是汽车内部的控制中心，可以提供多种信息和服务，包括车辆状态、导航、娱乐等功能。为了实现这些功能，智能座舱需要一个可靠、高效的软件平台来支持。

对于智能座舱软件来说，主要的功能定义就是上述信息娱乐基础软件平台。

在智能座舱的软件平台中，操作系统内核、中间件和虚拟化技术都是非常重要的组成部分。其中，操作系统内核是整个软件平台的基础，它负责管理硬件资源、提供系统调用和进程管理等功能。常见的操作系统内核有Linux、QNX、RTOS等。

在智能座舱的软件平台中，中间件是连接不同组件的重要工具。中间件可以提供消息传递、进程通信、远程调用等服务，从而方便系统的开发和维护。优化中间件可以提高系统的可靠性和性能。

虚拟化技术是将物理资源虚拟化为多个逻辑实例的技术。在智能座舱中，虚拟化技术可以用于隔离不同的系统组件，提高整个系统的可靠性和安全性。常见的虚拟化技术包括Hypervisor和容器技术。Hypervisor是一种虚拟化技术，它可以将物理服务器虚拟化为多个虚拟机，从而提高整个系统的可扩展性和灵活性。而容器技术则是将操作系统层面进行虚拟化，从而提高系统的性能和资源利用率。

二、车用操作系统

2.1 AutoSAR CP

AUTOSAR CP 是 Classical Platform AUTOSAR 的简称，广泛用于对实时性、安全性要求高的动力域控、底盘域控、车身域控等方面，以达到软硬件解耦、提高开发效率、提升软件复用性等目的。在智能汽车软件平台领域方面，AUTOSAR CP一般不用于信息娱乐域。本文只简要介绍AutoSAR CP的基本概念，不做详细解读。

AutoSAR CP的软件分层架构

在 AUTOSAR CP 分层架构中，自上而下分别为应用软件层（Application Layer）、运行时环境（Runtime Environment）、基础软件层（Basic Software Layer）

应用软件层：

包含若干个软件组件，软件组件间通过端口进行交互。每个软件组件可以包含一个或者多个运行实体，运行实体中封装了相关控制算法，其运行可由 RTE 事件触发。

运行时环境：

作为应用软件层与基础软件层交互的桥梁，为软硬件分离提供了可能，是 VFB 的具体实现。RTE 可以实现软件组件间、基础软件间以及应用软件组件与基础软件之间的通信。RTE 封装了基础软件层的服务、提供了标准化接口，使得应用软件层可以通过 RTE 接口调用基础软件服务。此外 RTE 抽象了 ECU 之间的通信，即 RTE 使用标准化接口将 ECU 之间的通信抽象为软件组件之间的通信。

基础软件层：

又可分为四层，包括服务层、ECU 抽象层、微控制器抽象层和复杂驱动。各层又由一系列基础软件组件构成，包括系统服务、存储服务、通信服务等，它们主要用于提供标准化的基础软件服务。

服务层提供了汽车嵌入式系统软件常用的一些服务，包括系统服务、存储服务以及通信服务三大部分。还提供包括网络管理、存储管理、模式管理和实时操作系统等服务。
ECU 抽象层与 ECU 平台相关，但与微控制器无关，包括板级硬件抽象、存储硬件抽象、通信硬件抽象和 I/O 硬件抽象。该层将 ECU 结构进行了抽象，负责提供统一的访问接口，实现对通信、存储器或者 I/O 的访问，从而不需要考虑这些资源是由微控制器片内还是片外提供的。
微控制器抽象层是实现不同硬件接口统一化的特殊层，包括微控制器驱动、存储驱动、通信驱动以及 I/O 驱动。通过微控制器抽象层可将硬件封装起来，避免上层软件直接对微控制器的寄存器进行操作。
最后，由于对复杂传感器和执行器进行操作的模块涉及严格的时序问题，难以抽象，所以在 AUTOSAR CP 规范中没有被标准化，统称为复杂驱动。

如上所述，AUTOSAR CP 良好的分层架构为软硬件之间解耦、软件模块之间解耦提供了坚实的保障。

AutoSAR CP的发展历程

对于传统汽车电子开发领域，早期使用的OS是OSEK OS, 其中OSEK是德文“Offene Systeme und deren Schnittstellen für die Elektronik im Kraftfahrzeug”的缩写，译为汽车电子开放系统及接口。OSEK OS是一个为满足汽车电子可靠性、实时性、成本敏感性等需求而打造的实时单核操作系统(RTAOS)。

AUTOSAR CP 与 OSEK OS联系：

首先，AUTOSAR CP是基于OSEK OS继承发展而来，所以上述的OSEK OS的基本特点在AUTOSAR CP都能够得到满足，所以AUTOSAR CP是向后兼容的，也就意味着在OSEK OS上能够运行的应用程序同样也可以在AUTOSAR CP上运行。

除此之外，AUTOSAR CP也存在自身的一些独特的基本特点，下面将从基本属性与系统基本服务两个方面对比OSEKOS 与AutoSAR CP：

AutoSAR CP 的优缺点

架构充分解耦导致标准和接口规范繁多。AUTOSAR CP 的规范文档非常详尽，但正是两百多个多达几万页的标准文档让一些传统的嵌入式工程师望而止步。同时 AUTOSAR CP 提出了很多新概念，比如标定量通过描述文件进行描述；应用接口不通过传统全局变量的方式与底层软件交互，而是对接口进行描述定义通过 RTE 统一接口进行匹配等。AUTOSAR CP 的软件开发理念和传统嵌入式工程师的认知偏差也是其普及率不高的原因之一。
工具链价格昂贵。目前AutoSAR CP的工具链都是老牌经典的AutoSAR OS公司所有，软件授权和开发费用非常高。
工具链之间兼容性差影响合作开发的灵活性。由于各厂商对 AUTOSAR CP 规范的理解并不完全一致，而且各厂商的工具也并不完全兼容，导致 OEM 集成各家供应商开发的软件模块需要花费大量的精力和时间。
自动化程度低导致开发和集成效率偏低。基础软件与应用软件的接口集成需要大量的手动配置工作，不仅操作上低效出错率高，而且在错误检查方面也不如传统软件集成方便。
代码可读性差导致调试困难。这是代码生成工具普遍存在的问题，和 MATLAB 的 AUTOSAR 工具箱生成的代码一样，一些 AUTOSAR 工具链的 RTE 代码生成工具生成的代码可读性也较差，这给软件调试带来了不少麻烦。

2.2 AutoSAR AP

在基于域的EEA架构体系中，智能座舱域通常使用Linux 或者Android作为操作系统；车身控制域一般使用AutoSAR CP；自动驾驶域通常使用Linux或者QNX。

新能源汽车在由分布式EE架构向中央计算-区域控制EE架构发展的过程中，一些厂商认为，需要在中央计算平台中提供一个高灵活，高性能且支持SOA的新软件平台– Adaptive Platform AutoSAR，简称AutoSAR AP。

什么是AutoSAR AP

AUTOSAR 组织在 2017 年推出了新的 AUTOSAR 平台—— AUTOSAR AP。AUTOSAR AP 的出现是为了填补高性能计算平台上缺乏好用中间件的空白，采用面向对象的 SOA 架构，旨在为上层应用提供灵活的软件开发平台；同时利用汽车行业经验和优势，让所有汽车软件能持续迭代，更快更好地量产上车。

不同于传统的AutoSAR CP，它们的主要区别在于：

AUTOSAR经典平台（CP）标准满足了深度嵌入式ECU的需求，而智能ECU的需求却无法满足。传统ECU的设计目的是专为目标车辆而设计，在车辆使用寿命期间不会有特别大的改动。智能ECU则适应新型EE架构的发展，引入了以太网，高性能计算平台，以及OTA软件升级等。因此，AUTOSAR主持修订了第二个软件平台规范，AUTOSAR自适应平台（AP）。AP主要提供高性能的计算和通信机制，并提供灵活的软件配置，例如支持空中软件更新。专门为CP定义的功能，如访问电信号和汽车专用总线系统，可以集成到AP中，但不在标准化的重点中。

AutoSAR AP的分层架构

AutoSAR AP的基本构成包括应用程序层、运行时层、操作系统和硬件抽象层。这些组件通过标准化的接口进行通信和协作，以实现整个AUTOSAR Adaptive Platform的功能。

1.应用程序层（Application Layer）：

应用程序层是AUTOSAR Adaptive Platform中的最高层，它包括了所有的应用程序组件。应用程序层通过服务层和运行时层与其他组件进行通信和协作，以实现整个应用程序的功能。User Application 通过原子服务接口(Atomic Service)获取服务：Atomic Service 原子服务提供了一系列的标准化服务，例如通信服务、诊断服务、存储服务等。这些服务为应用程序组件提供了一些基本的功能和接口，以便它们能够相互通信和协作。

2.运行时层（Runtime Layer）：

运行时层提供了一些基本的软件组件和操作系统服务，例如操作系统抽象层、内存管理、进程管理等。这些组件和服务为应用程序组件提供了一个运行环境，以便它们能够在AUTOSAR AP中运行。

3.操作系统和硬件抽象层（Operating System Layer）：

AUTOSAR Adaptive Platform使用基于POSIX标准的操作系统，例如Linux。操作系统层提供了一些基本的操作系统服务和驱动程序，例如文件系统、网络协议栈、设备驱动程序等。这些服务和驱动程序为运行时层和应用程序层提供了底层的支持。硬件抽象层则提供了一个通用的硬件接口，以便AUTOSAR Adaptive Platform可以在不同的硬件平台上运行。硬件抽象层将硬件平台与操作系统层和运行时层分开，以便AUTOSAR Adaptive Platform可以在不同的硬件平台上进行移植和扩展。

AutoSAR AP的应用场景

根据上述软件架构图可见，AutoSAR AP主要作为中间件而存在，它支持POSIX操作系统，通过服务和API为上层服务提供功能。

在向中央集中式的计算平台发展过程中，目前还按自动驾驶域，车身和底盘域，智能座舱域等进行功能划分。这些域控制器均需得到高性能 MPU 芯片的支撑。基于 POSIX 系统之上的 AUTOSAR AP 平台及相关工具链，为应用开发过程中的效率带来显著提高，而智能座舱域控制器从生态的角度考虑，一般在 Linux 基础之上搭载安卓系统。而诸如 SOA 通信、整车诊断、健康管理的方面则可以参考 AUTOSAR AP 平台标准进行实现。如果考虑到多域融合的发展，在舱驾一体化的道路上，AutoSAR AP和Android将有很大的可能在Hypervisor的基础上实现统一。

AutoSAR AP的案例

基于AutoSAR AP的应用场景，可以以一个OTA升级的案例来进行讲述。

本节主要介绍基于 AP 的智能域控制器（后续简称 IDC）OTA 升级场景及其实现方案。

IDC 的 OTA 功能可以进行自身应用软件及系统软件、关联器件固件的升级，并在数据管理、软件升级、可追溯性、安全验证方面满足 AP 的相关要求。

在OTA的功能实现过程中，IDC与外界的数据交互如图所示。

云端OTA云服务器向车端HUT（终端信息展现单元 Head Unit & Telematics）推送升级任务，用户确认升级后，HUT 会通过网关向 IDC 及其他 ECU 以 UDS 的形式发送升级指令及升级数据，IDC 接收升级指令与数据后，在确保安全的情况下完成软件升级并向 HUT 反馈安装进度及安装结果。

1. 数据传输与管理

a. IDC 内部分为 OTA 进程和 UDS Server 进程，UDS Server 进程与 HUT 端交互，负责处理、转发指令和接收软件包，OTA 进程处理软件包进行升级。b. OTA 使用专用的磁盘分区保证有足够的资源来存储软件包及相关数据，从而保证数据的安全性。c. IDC 会进行完整性校验以保证软件包的完整性。d. OTA 结束后，IDC 会删除临时数据，最大限度节省空间。

2. 软件升级

a. OTA 采用双分区机制，通过活跃分区去升级备份分区，升级成功后重启备份分区，完成备份分区和活跃分区的互相切换，轻松实现 IDC 上的应用软件、中间件、操作系统、配置数据的安装、更新、删除。b. OTA 采用双分区机制，通过切换启动分区，可以实现 IDC 上所有软件及数据的快速回滚功能。c. OTA 支持周边器件的升级，如 MCU、相机等。d. OTA 内部维护状态机，状态变化实时落盘，可以支持在异常中断后恢复升级。

3. 可追溯性

a. OTA 提供获取当前软件版本号、安装进度、安装结果的接口。b. OTA 会记录升级过程中的日志，供 HUT 获取。

4. 安全性

a. OTA 在软件升级前会使用强加密算法校验证书链与软件包签名，保证软件包的真实性及完整性。b. OTA 在软件升级前会检查当前车速、IDC 的温度、供电情况，保证在安全的情况下进行 IDC 软件升级。c. OTA 时会激活 IDC 心跳监控机制及分区损坏回滚机制，当切换到备份分区启动失败后，IDC 不会给 MCU 发送心跳报文，MCU 会认为 IDC 在 OTA 后变砖，会给 IDC 断电重启，切回原分区启动，保证车机可用。

2.3 虚拟化Hypervisor

为什么需要虚拟化

随着汽车电子电气架构从分布式架构到Domain域架构，再到中央计算-区域控制架构的演变，分散的ECU 功能集成到车载中央计算机，这就是多域融合的趋势。汽车电子底层硬件不再是由单一芯片提供简单的逻辑计算，而是需要复杂的多核 SoC 芯片提供更为复杂控制逻辑以及强大的算力支持。但是多域业务具有不同的技术需求，比如座舱域业务强调交互体验、应用生态丰富，比较适合的操作系统是 Android；车控域有实时性、可靠性要求，操作系统倾向于 RTLinux、RTOS；智驾域强调大算力融合感知、推演规划，也有实时性、可靠性要求，也会选择RTLinux、RTOS。

在未来，多域融合技术集成到一颗SOC之上时，需要考虑关键业务的安全可靠和实时性技术要求，又要考虑到丰富的生态应用，这些需要不同的操作系统才能支持。如何在一颗SOC上划分资源，并发运行多种操作系统，保证多域融合的可靠性，需要有资源隔离技术的支持。

资源隔离技术有多种，从硬件底层逐层向上包括硬件隔离、虚拟化隔离、容器隔离、进程隔离等。硬件隔离的隔离性最好，性能、安全、可靠性都有保证；但灵活性、可配置性差，不能实现硬件共享，导致整个系统的资源利用率差，不能充分达到软件定义汽车的目标。容器隔离、进程隔离可以更轻量级地实现业务隔离，但还是在同一个操作系统内，存在着资源干扰、相互安全攻击的隐患，并且无法支持异构操作系统业务域融合，影响传统业务继承，不利于生态发展。

目前，在智能座舱域的实际应用中，硬件隔离和虚拟化隔离都有实际的使用范例。

Hypervisor

在新能源汽车智能座舱中，虚拟化技术也被广泛应用，以提高系统的资源利用率、可靠性和安全性。虚拟化技术可以将一台物理服务器划分成多个虚拟机，每个虚拟机都可以独立运行不同的应用程序和操作系统。

虚拟化技术可以分为两种类型，一种是基于Type1类型的Hypervisor的虚拟化技术，另一种是基于Type2类型的虚拟化技术。

Type1类型的Hypervisor是一种直接运行在物理服务器硬件上的虚拟化软件，也被称为裸机Hypervisor。Type1类型的Hypervisor能够直接访问服务器的硬件资源，包括处理器、内存、网络和存储等，能够提供更高的性能和稳定性。在智能座舱中，Type1类型的Hypervisor可以被用来运行多个虚拟机，每个虚拟机可以运行不同的操作系统和应用程序。同时，Type1类型的Hypervisor还可以提供强大的安全隔离功能，确保不同的虚拟机之间互不干扰，从而提高整个系统的可靠性和安全性。

相比之下，基于Type2的虚拟化技术则是运行在操作系统之上的虚拟化技术。虚拟机OS可以与主机OS共享同一个操作系统内核，这样可以减少虚拟化层的开销和系统资源的占用。虚拟机OS位于主操作系统之上，可以将应用程序及其依赖项封装成一个完整的软件单元，从而实现应用程序的快速部署和扩展。在智能座舱中，基于Type2的虚拟化技术可以用于隔离不同的应用程序和服务。

Type 1类型的Hypervisor直接运行在物理硬件之上，直接访问物理硬件并管理所有硬件资源，在延时、安全性和效率上更胜一筹。但此类型Hypervisor需要硬件支持，移植难度大，开发成本也较高，在互联网领域常用于数据计算中心。

Type 2类型的Hypervisor运行在某个操作系统之上，利用操作系统访问物理硬件，因此在延时方面具有不可避免的劣势。且底层操作系统的任何Bug都将危及其上的虚拟机，因此安全性方面相对较弱。但是移植难度小，开发成本低。在互联网领域常用于客户端系统。

Hypervisor可以将一台物理服务器划分成多个虚拟机，每个虚拟机可以独立运行不同的操作系统和应用程序。Hypervisor能够提供强大的安全隔离功能，确保不同的虚拟机之间互不干扰，从而提高整个系统的可靠性和安全性。同时，Hypervisor还能够动态调整虚拟机的资源分配，以满足系统运行的需求。在智能座舱中，使用Hypervisor可以实现多个应用程序之间的隔离，从而提高系统的可靠性和安全性。

Hypervisor具有如下功能：

（1）设备模拟。Hypervisor可以创建客户操作系统可以访问的一些虚拟硬件组件，是否需要取决于客户操作系统上运行的应用程序；

（2）内存管理。Hypervisor负责为自身和客户操作系统管理和分配硬件内存资源；

（3）设备分配和访问。Hypervisor通常可以将硬件组件分配给客户操作系统，并控制客户操作系统实际可以访问哪些硬件组件；

（4）上下文切换。当Hypervisor需要在内核上安排新的客户操作系统时，Hypervisor必须通过将在该处理器内核上运行的现有客户操作系统的“上下文”（即操作条件）保存到内存中来“切换上下文”。然后进行加载新的客户操作系统时，可以从内存中访问新的客户操作系统，而不会中断执行环境；

（5）捕获指令。客户操作系统可能会根据其访问权限级别执行技术上不应执行的指令。Hypervisor可以分析客户操作系统尝试发送到硬件的指令，并模拟硬件对客户操作系统指令的响应；

（6）异常处理。发生异常（即异常行为）时，可以将某些异常路由到Hypervisor进行处理；

（7）虚拟机管理。如前所述，Hypervisor最终负责启动和停止客户操作系统在其上运行的虚拟机。

区域硬隔离

与Hypervisor虚拟化相对应的一种多操作系统应用方式，是区域硬隔离。

它是通过物理隔离来保障不同系统组件之间的安全。比如说，在智能座舱SOC规划与设计的时候，根据功能划分的不同，在同一颗SOC内部划分出不同的CPU内核，以及其他物理硬件资源，并分配给不同的功能来使用。比如，仪表盘就可以使用独立的CPU核和独立的显示模块，并运行独立的RTOS操作系统。

区域硬隔离能够提供更高的安全性和隔离性，避免不同的系统组件之间的相互干扰。在智能座舱中，区域硬隔离可以被用于对关键系统组件的保护，从而提高整个系统的可靠性和安全性。在智能座舱中，使用Hypervisor和使用区域硬隔离都有其优势和不足。实际上，二者的选择取决于智能座舱芯片供应商的所选择的技术路线，也取决于主机厂对可靠性和芯片性能的判断。