在软件定义汽车的发展进程中,从传统汽车思维向互联网思维的转变,带来了诸多新的问题与挑战,其中迭代与安全的矛盾关系贯穿始终,并在不同阶段以不同形式呈现。深入剖析这一矛盾及其解决策略,对理解汽车行业的发展趋势、优化产品设计和系统架构具有重要意义。
一、迭代与安全矛盾的演变及本质
在软件定义汽车概念出现之前,传统汽车行业并不存在迭代与安全之间的显著冲突。随着软件在汽车领域的深度渗透,这一矛盾逐渐凸显。在汽车开发过程中,一方面要遵循汽车行业严格的质量控制和安全保障流程,确保产品质量和安全性;另一方面,互联网思维下追求快速迭代,以满足市场对新功能和新体验的需求,两者之间的冲突日益加剧。这种冲突不仅体现在整体开发流程上,还深入到工程师之间、工程师与产品及项目之间的日常工作中,大量的工作矛盾都与这两者的冲突密切相关。
从第一阶段向第二阶段的转变过程中,迭代与安全的矛盾成为关键问题。而当发展到以大模型为特征的第三阶段时,这一矛盾并未消失,只是换了一种表述方式,即大模型的可控性和可扩展性问题。实际上,从本质上讲,安全可以理解为可控性,迭代则等同于可扩展性。
在人类的认知和行为模式中,存在着类似的平衡机制。例如,人们常说的“外圆内方”,即在对外适应环境时要灵活多变,而对内则需坚守原则底线。大脑的运行机制也体现了这种平衡,一般认为大脑的工作和生活有序,但认知学观点表明,大脑是在无序和有序之间不断切换的,处于相变临界状态。这种相变切换与汽车开发中迭代和安全之间寻求动态平衡的问题相契合,反映了这一矛盾的普遍性和根本性。
二、快慢周期系统的解耦策略
在处理迭代和安全的矛盾时,核心在于在这两个维度上建立独立的系统,并保证快迭代系统和慢迭代系统之间的解耦。在实际工程中,常常出现违背这一原则的情况。对于快迭代系统,过度添加质量要求,导致其无法快速迭代,质量也未能得到有效提升;对于慢迭代系统,又不合理地要求其快速推进,忽视了其自身的特性和规律。
造成这种情况的根本原因是没有从两个时代的逻辑去分解问题。汽车产品,尤其是涉及软件架构和系统架构设计时,必然包含安全逻辑和快捷逻辑两个部分。在设计过程中,不能仅从功能角度去解耦,而应将快慢问题提升到主要矛盾的高度去考虑。
为实现快慢系统的有效解耦,需遵循两个重要原则:一是两个快慢系统之间应保持低耦合,接口交互尽可能少且简洁,减少相互之间的干扰;二是快系统和慢系统各自的管理文化、管理逻辑、技术架构、技术堆栈等,都应分别围绕快和慢的逻辑主轴构建,避免混用不同阶段的技术和管理方式。
以仿真系统为例,传统汽车行业和互联网行业的仿真系统在表象上可能相似,但在行业标准、认知范围和技术重点等方面存在巨大差异。若将两者混用,在汽车产品链中引入互联网企业的环节,由于各自标准和逻辑的不同,项目往往难以成功,最终导致快不快、慢不慢的尴尬局面。同样,在人员管理方面,让汽车文化背景的人管理互联网团队,或反之,都可能引发严重问题。
三、汽车不同领域的快慢系统实例分析
座舱系统在发展过程中,其快慢系统的特点较为明显。早期,座舱系统更注重外观和功能的多样性,在一定程度上缺乏对可控性的深入考虑,呈现出以快为主的互联网性质,对慢周期的因素关注较少。例如,在屏幕相关的开发中,做前仪表评审和其他屏幕评审的可能是不同团队,这种方式在一定程度上实现了解耦。然而,随着座舱系统向智能化方向发展,对可控性的要求逐渐提高,其发展趋势将逐渐走向智能驾驶的逻辑,面临更多迭代与安全的平衡问题。
智能驾驶系统在迭代与安全的平衡上更为关键。以调车环节为例,快周期调车和慢周期调车需要采用不同的策略。快周期调车时,应充分利用云端等技术手段提高效率,避免过度依赖上车调试;而对于一些设备昂贵、生态不支持上云且对功能严谨性要求高的情况,则需要上车进行严谨测试。这就要求团队在处理不同任务时,要根据快慢周期的特点,采用不同的工作方式和管理逻辑。
在轨迹规划方面,大模型生成轨迹体现了快迭代的特点,而底层设置的安全边界则属于慢周期部分。安全边界用于校验轨迹,若轨迹不满足边界条件,则触发降级策略,确保系统安全。这种快慢结合的方式,在保证系统快速迭代的同时,保障了安全性。
AEB(自动紧急制动系统)等传统汽车安全功能,在现代汽车系统中扮演着安全边界的角色。它们不会直接触发,只有在问题出现不可控的情况下才会启动,与智能驾驶等快迭代功能相互配合,共同保障汽车行驶安全。从硬件层面看,MPU(微处理器单元)由于计算复杂性高、功能安全等级低,更适合快迭代的系统设计;而MCU(微控制器单元)则大多用于功能安全边界类系统和降级处理系统。在业务逻辑分解和团队分配时,必须充分考虑这些硬件特性,避免将不匹配的系统放在同一个团队,以免引发价值观冲突和工作矛盾。
四、功能安全与功能实现的关系及原则
(一)功能安全系统与主功能实现的分离
功能安全系统不应参与主功能实现,这是确保系统稳定和安全的重要原则。这一原则与管理学中的边界管理理念相似。在管理中,领导者可以给予下属一定的自主空间,让其自主决策和行动,但当下属的行为触及预设的红线时,领导者应及时接管管理权。在汽车系统中,功能安全系统就如同领导者的否决权,它不干涉主功能的正常实现过程,但当主功能出现可能危及安全的情况时,功能安全系统必须立即发挥作用,对系统进行控制和调整。
在实际的汽车开发工作中,组织架构和团队协作对这一原则的实施有着重要影响。如果团队成员对功能安全和功能实现的认知不一致,组织架构不能有效支持两者的分离,那么就很难实现这一原则。例如,当一个团队中既包含负责安全的人员,又包含负责体验的人员,且他们的认知和职责划分不清晰时,就容易出现快不上去、慢不下来的问题,导致整个系统的效率和安全性受到影响。
(二)功能安全边界的双重作用
功能安全边界不仅是车上功能安全的保障,也是差异筛选的源头。在汽车系统运行过程中,功能实现系统不断变化以适应外部环境的不确定性,而功能安全系统则像一个稳定的锚点。当功能实现系统的运行触发了功能安全边界时,就会产生差异数据。这些数据对于功能实现系统来说至关重要,它们可以促使系统反思自身的运行状态,进行迭代和改善,从而远离安全边界。
这种差异数据在大模型中具有重要意义,类似于大模型中的“对齐”概念。功能安全系统最好的状态是永远不被触发,这意味着功能实现系统已经相对稳定。通过功能安全边界的双重作用,实现了功能实现系统的快速迭代与功能安全系统的稳定保障之间的平衡,满足了汽车系统快慢周期的需求。
五、实例分析:摩拜自动驾驶系统设计
摩拜的自动驾驶系统设计在处理迭代与安全的关系方面具有一定的借鉴意义。该系统将自动驾驶功能分为两个独立的系统:一个是基于相机的纯视觉快迭代系统,适用于低成本的L2系统。相机配合相关模型和规控算法,能够快速迭代,满足市场对大量L2系统的需求,实现数据的快速收集和功能的快速优化;另一个是包含雷达等功能安全传感器的系统,用于更高安全等级的L3系统。当相机系统运行出现问题,触碰到安全边界时,安全系统会立即介入,通过降级策略保障车辆安全,并将相关数据上传至云端进行再训练。
这种设计方式实现了两个系统的解耦,使得快迭代系统能够专注于功能实现和快速更新,而安全系统则负责保障车辆的安全运行。同时,两个系统之间形成了差异识别结构,通过数据交互和反馈,不断优化整个自动驾驶系统的性能和安全性。与PUA现象相对比,摩拜系统中的安全系统就如同一个稳定的锚点,使得整个系统不会轻易受到外部干扰而偏离正常运行轨道。
六、功能安全的层次结构及系统关系
ISS定义了一系列类似于防御性驾驶策略的规则,在汽车系统中起着重要的功能安全保障作用。在车辆行驶过程中,ISS根据感知得到的结果,对模型做出的决策进行约束和控制。当模型给出的决策可能导致危险情况时,ISS会阻止该决策施加到执行策略中,确保车辆行驶安全。
ISS体现了功能安全的层次性。在汽车的硬件电子电器架构或控制器架构中,功能安全系统和功能体验系统通常运行在不同的控制器中,它们之间构成了安全边界和安全体验的关系。从算法层面的决策到基于第一性原理的规则,各个层次之间相互配合,共同保障系统的安全性。即使某个位置出现单点失效,也不至于导致整个系统崩溃,就像人体细胞在面对各种病菌和异常情况时,通过多层次的防御机制维持身体的正常运转一样。
此外,在整个汽车系统中,安全系统对实现系统具有绝对控制权。功能安全系统关心的是决策信息、执行信息和控制信息的最高安全等级和决策权。在信息交互过程中,功能安全系统优先获取所需信号,只有在其确认安全后,才会允许其他系统使用这些信号。如果功能安全系统对某些决策存在异议,它的决策将具有最终决定权。
而功能实现系统虽然负责具体业务的实施,但通常没有裁决权。这种控制权和信息交互的原则,确保了在系统设计和运行过程中,安全始终处于首要地位,避免出现体验系统抑制功能安全系统的情况,防止因功能实现系统的故障而导致功能安全系统失效,保障了整个汽车系统的稳定和安全。
七、系统分类及迭代更新机制
在汽车系统中,可将其分为配置系统、业务系统和诊断系统。业务系统是汽车每时每刻都在运行的核心系统,负责实现各种具体功能。当业务系统出现问题,导致安全系统和业务系统之间产生矛盾时,诊断系统会被触发。诊断系统的核心任务是对问题进行反思和复盘,获取相关数据,并将这些数据上传至云端。
云端系统根据上传的数据总结经验,更新业务系统。更新后的业务系统再通过配置系统应用到汽车中,实现整个系统的迭代更新。这种迭代更新机制,通过不同系统之间的协同工作,不断优化汽车系统的性能和安全性,使其能够更好地适应市场需求和技术发展。
在L3及更高等级的自动驾驶功能中,对功能安全的等级要求极高。对于大模型在安全系统中的应用,目前存在一定的争议。从理论上讲,体验系统可以使用大模型来实现快速迭代,因为大模型化是体验类系统迭代最快的方式,并且安全可以由独立的安全系统保障。然而,对于安全系统本身能否使用大模型,目前仍存在技术难题。当下的大模型,如ChatGPT,存在“幻觉”等无法彻底解决的问题,这使得其在安全系统中的应用受到限制。但研究人员认为,未来可能存在能够解决这些问题的模型,这也是当前汽车安全领域最前沿的研究方向之一。
八、汽车行业发展中的文化与平衡
在汽车行业的发展过程中,互联网文化和汽车文化相互交织。互联网文化强调快速迭代、创新和灵活性,而汽车文化注重质量、安全和稳定性。这两种文化在汽车产品的不同维度上有所体现,例如在产品的软件部分,更倾向于互联网文化的快速迭代模式;而在硬件和一些规则的制定上,则遵循汽车文化的慢周期、高稳定性原则。
在分析和处理汽车相关问题时,可借鉴《道德经》中“道生一,一生二,二生三,三生万物”的思想。理解汽车行业发展的背景和目的,明确互联网文化和汽车文化的核心观点及其在产品各个维度上的映射关系。对于从事汽车行业的人员来说,在处理熟悉的业务时,经验和方法论能够帮助快速决策;但当面临复杂、矛盾的决策时,从最基础的层面重新梳理问题,有助于更好地把握整体情况,做出合理的决策。
在硬件和规则逻辑方面,它们属于慢周期部分,但却是软件转型和大模型应用的前置条件。在智能化产品的开发中,要注重汽车和互联网元素的平衡,以及可控性和可迭代性的平衡,各占50%左右,确保产品既具有创新性和灵活性,又能保证安全性和稳定性。
从第一阶段到第二阶段,汽车行业经历了从传统思维向互联网思维的转变,迭代与安全的矛盾逐渐凸显并成为关键问题。在第二阶段,通过建立快慢周期系统的解耦策略、明确功能安全与功能实现的关系等方式,为解决这一矛盾提供了思路和方法。这些成果不仅为当前汽车开发工作提供了指导,也为向以大模型为特征的第三阶段发展奠定了坚实基础。在未来的汽车行业发展中,持续关注和优化迭代与安全的平衡关系,将是推动汽车技术不断进步、产品不断升级的核心动力。
推荐阅读:
专题推荐: