【汽车与环境】广汽硅谷研发中心总经理尚进：智能网联平台技术开发实践

2018年12月7日-8日，以“创新驱动、技术引领”为主题的2018第六届“汽车与环境”创新论坛在上海·安亭正式举办。本次论坛完整覆盖汽车行业技术领域的研讨，旨在进一步促进整车企业与零部件企业之间对技术发展趋势的探讨、加强汽车行业专家之间的交流互动、增强整车与零部件企业的交流、搭建合作平台，通过活动促进汽车零部件产业创新转型升级、打造更具竞争力的整零协同创新关系，助力实现向汽车强国的转变。以下是广汽硅谷研发中心总经理、清华大学汽车工程系客座研究员、北美清华汽车行业校友会副会长尚进在本次论坛上的发言：

广汽硅谷研发中心首席运营官、清华大学汽车工程系客座研究员、北美清华汽车行业校友会副会长 尚进

智能网联很热门，会议很多。这个行业里面，我是比较少的有混合背景。我现在经常交流加入汽车行业这一年半来，对智能网联的深刻体会。今天的题目，很多人以为我是来自广汽会谈整车厂，我更偏重于以清华老师的身份，谈一下对这个行业的体会，我的题目叫“智能网联平台技术的开发实践”，我今天加了一个词“第一性原理”，我更想花时间交流一下我的体会。

面对这么一个多种学科交叉的领域，我们到底应该以什么样的方法论，或者以什么样的观点来从事这个行业，这里提到目前经常提的第一性原理，也包括我们现在国内比较关心的三大平台技术自动驾驶、大数据分析、信息安全。

今天主要分几部分，先简单介绍一下我对这个智能网联第一性原理的总结，并针对三个领域信息安全、自动驾驶、大数据分析，最后是一个总结。在谈平台技术和第一性原理之前，先看目前行业提的很多东西，其中抽象出来、整理出来仍然是分了两块，云和车。比如，车内自动驾驶的意义对整个行业、生活、出行影响很大，但是回到本质上，自动驾驶对我们来说就是如何做好一块（嵌入式系统）板；另外也包括数据收集，以及云端AI学习、分析、交互等。所以从生态圈来看基本上是智能车和云端。下面谈一下平台技术。 

平台技术

我们经常说做平台，特别是从整车厂或者从一个比较大的框架来看。首先平台技术是核心技术，也可以说是核心的平台技术；第二，肯定是有一定程度的蓝海，虽然可能很多（人）做但还不是很成熟，或者可能还没有看到；第三，我下面可能也会重点说这些，这里平台技术是强调多种学科的融合或者交叉。相对应，也有很多（平台）技术是某种领域本身的直接应用，我经常称为借鉴或者是一些引用。

对我们最具有挑战的或者新的东西是融合，怎么把几种学科的东西融合在一起，这个平台技术我归结为是一个核心平台方面的技术。蓝海和学科融合的，并不仅仅是一个叠加，我们经常说叠加和融合是不一样的。这种平台技术包括以下几方面：

首先第一个是自动驾驶，这点很明显，因为自动驾驶是安全、出行、共享、车辆设计变革都是最基本和最重要的推动力。另一点，我们知道，谷歌、Uber、苹果这些公司已经进入到自动驾驶领域，我们无论再怎么做都是零部件，这些IT公司进来这么多，从另外一个行业进到汽车行业绝对不是为了零部件，反而为了看到随着自动驾驶，或者智能网联辅助驾驶的普及，车辆会成为继十多年前搜索引擎，四五年前的移动终端之后另一个更大的数据源，比以前还要更大的一个移动数据源。

当然现在大家知道数据是经济源泉，这也是为什么很多IT行业会进来，要抢占数据源。数据并不是最大的价值，加工数据才是最大的价值，所以说第二个我为什么会提到大数据分析。大数据分析可以更延伸一点，比如说对自动驾驶的直接应用是现在经常提的云控。随着智能网联和大数据或者云控普及会发生什么现象，就是我们看到车真的是有很大的价值，这个车并不仅仅是现在这种机械带来的价值，更是会带来潜在价值，这样也会吸引黑客攻击，信息安全防护体系也成为重要，这是第三个平台技术。

这三个是平台技术，确实是至少这几年看，整车厂及供应商和从业人员都关注的这三个方面，并不仅仅是平台核心技术，也更多是蓝海即还没有成熟，也需要多个行业的融合，如果仅仅是另一个行业就可以做好，就没有其他人的事。 

第一性原理

回到第一性原理，当我们遇到一个新的领域或者要解决一个问题，或者是一个新的平台技术，所谓第一性原理提的很多，第一性原理是指解决问题回到本质，回到一个最基本的方法。我们遇到一个新的问题或者一个新的领域我们怎么来解决怎么来思考，首先还是分析，分析会发现很多相似性；第二点基于相似性就可以很明显发现有很多东西可以借鉴，或者是引用另外一个行业已经成熟的方法甚至产，品等于是借鉴或者是引用；第三点真正挑战我们的是新的东西怎么来解决，比如说如何融合。

我想万变不离其宗，不论是智能网联、自动驾驶，还是第一性原理，很多是相似性的分析，从中我们会很快的看到哪些东西可以借鉴，更主要的是怎么来做好融合，这也是我今天想跟大家交流的。

首先智能网联系统问一个最基本的问题，我们现在车内的CPU和网络到底是什么东西，这可能就是一个相似性，一个最基本的分析，比如说是IoT吗,是否是企业网？智能网联车跟我们公司的企业网络是一样的，有边界、内部的局域网，有很多处理器，内部是相通的，对外是连接的。我们从局域网很多问题就可以来分析借鉴，当然肯定会有很多需要跟我们融合，这是一个基本的分析。

我认为并不是IoT，因为它内部的处理器太复杂，所以看作是IoT不太准确。最近又有人提到这（车内网络）可能是一个数据中心。随着自动驾驶的发展到4级、5级，我们发现如果只用一个控制器是不够的，需要考虑时延这些东西，可能就要有一个分布式的域控制器。因为域控制器是不可避免，需要怎么来利用资源来做虚拟化，也有物理层、逻辑层，这就是一个典型的小的数据中心。特别是有不同行业背景的，你会发现很多问题，或者很多事情我们会找到一个正确的路来解决。 

信息安全

回到信息安全。从信息安全角度来讲，基于此，我们一开始提出来就是因为这个CPU和网络的相似形，很显然黑客他们很容易利用信息安全这20年发展的经验攻击车的网络和车的处理器，他们也是积累了二十几年经验。同理来讲，这可能是他们来借鉴，同理我们做防护的，需要借鉴我们做信息安全防护的过去二十年积累的经验。一方面是架构及体系，另一方面仍然是怎么来做相似性的分析借鉴技术，在你借鉴中会发现有许多需要做融合重新思考的。

信息安全防护这二十年，到底有什么经验或者怎么建立起来的，这是我们积累的几个方向。在我们看来攻击和防护都具有挑战性，攻击和防护都不容易。为什么说攻击极具挑战性，现在来讲我们的防护是天罗地网，我们叫纵深防御。从防御方法来看，传统的防火墙到现在各种智能技术，包括用机器学习这些手段，而且还有长期监控所有的这些东西，所以说真的造成损失是很难的，因为这么多来监控它，攻击经常会潜伏很长时间，平均会潜伏半年。

虽然说潜伏期很长，同时给防护造成机会。只要发现一次就能定位到，防护当然也很难，一方面天罗地网，一方面总有漏洞，攻击总会找到漏洞。另一方面我们积累了很多经验，这里就不一一来讲，这还是信息安全防护，也相当于说做了二十年积累了一些基本经验，其实现在你也会听到这些词也会用到车网平台里面，信息安全防护体系，信息安全防护是叠加而不是迭代。实际上背后有很多经验的积累，同时这些东西其实都可以移植到车网信息安全的里面去。

车网来看，首先是思想的借鉴，信息安全的一些思想或者体系建设。我不是特别赞成说云管端这几个词，为什么不太赞成提云管端在车网信息平台里面？第一点，云管端车最多是一个端，我们如果只是把车放在三分之一的位置对车辆系统的强调不够。第二点，云可以是一个节点，端可以是一个节点，管是什么？管只是一个通信的通道，不太适合把云和端放在一起。我们做信息安全的时候，有一阵提过云关端，后来就不太提了。管只是把云端和车通信那块，跟云安全和车端车内的安全放在一起，从专业的角度来讲，其实这不是特别恰当的。

防护性来讲，云和管的技术很明显是IT行业的成熟技术，大家没有做过安全。但是我做过云安全的工作，那里面有很多事情，而且这也是一个行业，肯定是那个行业在往云里面移植，你会发现云信息安全是做IT云安全，包括云端和车的通信，这个通信基于HTTPS等这些是很成熟的，从另一个行业直接借鉴过来就可以了，跟车辆行业并没有关系，这点来看我也不认为把云管端往车辆上推是一个很恰当的词。

你看任何国外的主机厂有人提过云管端这个词吗？不会有人提，信息安全行业也很少有人提。 

防护体系

我们是从四个维度来谈这个防护体系，第一个就是边界；第二个是主机；第三个就是通信；第四个叫服务服务另一方面也包括生态圈，云安全、手机安全，这是我建议分成四个角度四种纬度来建立车联网信息安全防护体系。一方面大家知道需要花更大精力往车上投入，另一方面有很多东西可以借鉴过来，服务端无论是产品还是方法技术。

还有应用层，现在典型的两个大应用一个是OTA，一个是自动驾驶，每个应用都会对四个纬度有要求，同时也会有新的需求。这是一个典型来阐述上面的防护体系，防护体系仍然是分析相似性来尝试借鉴信息安全的经验，也许会有部分需要一些新的东西，或者需要结合车产生新的东西。

很明显借鉴方面（领域）能够充分利用现有的市场，让另一个行业为主充分竞争移植（或微小适应改动）过来。真正的挑战需要融合技术的，是我们遇到的蓝海技术，也是比较核心的关键部位。 

防火墙的实践

关于防火墙的实践，这是IT一个典型的最强大的防火墙的例子，通过一个融合怎么把这个概念，把这个东西能够重新设计过来，变成到我们车网关这么小的一个板上的产品化东西。上图显示了很多思想或者说很多方法论，很多架构是一样的，这是做防火墙这个东西的精髓。据我们所知，这个车网关防火墙实践业界第一份，包括防火墙核心基本架构比如包的健康检测，有访问控制，有异常检测，前端有一些策略的检测等。

我说融合就是怎么找它的核心，这个直接用肯定不行。怎么把这个核心重新设计，基于车载的协议来做一些工作，还能高效的实现出来。这个也是我想强调的，刚刚说相似性的分析及借鉴，更具有挑战的是一个新的东西，但是完全不可能是一个行业能做的。

这是（录像）全行业第一份比较专业的网关防火墙设计实践并能放回车内，现在很多OEM都在做这个事情，但是并没有看到宣传，姑且算第一份。这里显示的是没有开启防火墙的时候很容易被攻击，开启后攻击被阻断，更想提的是怎么设计一个专业的防火墙概念及架构，并放到车那么小的芯片上，把这么小的东西实现出来，能够实现异常检测、健康检测等。

从自动驾驶应用的信息安全角度来讲。每个应用分三部分，刚才说四个纬度或者说建立体系的四个方面，在每一方面每个应用在自动驾驶方面都会有新的要求，或者适用的标准，比如说在边界、CPU/主机、通信、服务，除此之外每个应用都会产生一些新的要求，从应用层提的安全要求，另外是功能安全。这个是自动驾驶的应用层的新要求，比如说自动驾驶内部多模块之间防火墙或者说访问的防护问题，这是属于应用层的要求。

第二个通信，这个我自己也不一定赞同，自动驾驶的控制是不是要加密和认证，否则大家感觉很危险。另外跟云端通信，更新地图什么的，以及数据安全。自动驾驶会带来很多新的东西，自动驾驶是一个很复杂的域控制器，会跟我们服务器一样会用很多开源的东西。最近大家关心的是AI的攻击，谈攻击的很多还没人谈防守，我经常问AI攻击有很多例子，但我们到底怎么防。另外勒索软件，可能真正车里面的攻击会从勒索软件开始。

信息安全也有功能安全，防火墙本身是需要冗余备份的功能。自动驾驶会对我们的信息安全造成一个很重要的影响和转变，我相信可能真正的自动驾驶或者L3开始普及的时候，大家会发现IT的信息安全跟车网的信息安全几乎持平，那些攻击都可能到车内，防护也是一样的。

第二，自动驾驶仍然是怎么分析它的相似性，找到它哪些可以借鉴，哪些融合或者新技术的挑战。谈自动驾驶的更多，最近交流很多，整个行业需要更加系统的分析这个问题。从自动驾驶来看这是一个典型的应用平台，自动驾驶对我们来说，就是一块负责嵌入式系统板，一般三部分，一部分是做AI加速，一部分是计算单元的，另一方面是控制单元，前面两块经常用SoC放在一起，如英伟达的方案。从系统看几乎就是这三大功能，而且这也是一个典型复杂系统。

从软件来看，这是我借用的一个图，软件无外乎就是这样的，顶层会有一些算法，底层硬件分三块功能或者三大块的CPU。最主要中间的系统软件提的很少，很少有人注意到我们在做什么，我们在做一个系统，怎么做一个更好更可靠的高性能系统。这方面网络设备行业有很多成熟的经验可以考虑借鉴。

对于一个有多种实时操作系统并高性能通信系统，也需要广泛的可靠冗余，从硬件的冗余到我们软件内部的，到一个软件内部CPU之间，到CPU内部及OS内部等，怎么保证做的更可靠安全，大家好像提的很少，忘了最根本的事情。我们在做什么，我们在做一个复杂的系统，是多CPU可能是异构，仍然是一个实时系统，上面算法是一个应用，这个产品应该怎么做。

自动驾驶到底是什么？

这是我总结的几条，自动驾驶到底是什么？我经常说是车辆行业主导的一个IT设备产品，从市场需求来看，以及自动驾驶的3级、4级的工况来看，那是车辆行业的事情，从产品来看是IT设备产品。具体来看，3级我相信大家最近关注这个，最近自动驾驶会有一个变化谈AI的少了，谈安全的多了，这是一个好事情。量产和成本，成本代表着高性能，安全也代表着高的可靠性，这两个加起来，大家真正谈怎么来做一个最好的产品，特别是企业级产品可靠性、高性能、低成本，这肯定是我们首要考虑的，并不仅仅车辆行业来做，IT行业也是这样的。

分成几块，首先这是一个系统工程，或者说需要一个架构设计，从需求到内部的通用架构，功能安全其实是提出更多的设计需求；还有芯片硬件与平台软件（包括操作系统），平台软件与应用的解耦，这个在IT行业做系统的通用思维。我们今天大家没有太关注，一直在强调说是用什么芯片，或者说软件和芯片的绑定，一直在强调算法本身如何。产品化是通用架构，3、4级的通用架构是一样的，可以最终来讲我们需要一个自动驾驶的操作系统。

自动驾驶的仿真，刚才提到也要做一个复杂的系统或者工业级、企业级的产品，或者一个IT设备产品。这也有需要仿真，怎么把仿真做好也需要借鉴。我们做这个自动驾驶的仿真平台，提一下我们的一个观点，大部分是从IT角度，分成几块，一个是场景库的平台，把各种场景都吸收进来。另外仿真计算平台，整个可以放在我们的数据中心，更主要这是一个仿真测试平台，能测试各种模块，同时也能测试系统软件。你可以跑到单一CPU上，跑到云上测你整个系统软件，也可以测感知模块，甚至只测控制模块，当然测的目的也需要一个客观评价模块和可视。

这是我们做的仿真平台，这是车道线识别的模块。另外我们想提的车模块系统，谷歌经常会说，很多公司也是经常提，这是我们用一个标准的服务器，这只是一个车道线识别。我们可以在服务器同时测64个实例，在扩展到多个服务器集群，就可以大幅度提高仿真效率，这是一个很好的借鉴例子。但是车联网行业或者自动驾驶，肯定需要相适应来采用。这是我们相当于说子模块，做车辆动力学的。相当于分析它的相似性，然后相当于借鉴和融合技术。

大数据分析基于车载数据的一个分析，但是万变不离其宗，仍然是一个大数据的一个产品，所有的产品都是一样的，都是可以来做可视、分析、云控，首先数据怎么在云端做可视，内部离线、在线做进一步的分析，有统计学习，机器学习模型，然后是控制。

车载数据能做什么？

这是基于车的数据，这是我们今年GTC会议上，英伟达提出来，我看出来两点和我们是一样的，到底车载数据能做什么，有两个方面，一方面利用车载数据提高车的质量，把大数据相当于一个牛刀一样解决现在不好解决的问题；另一方面是车联网，车联网现在大家看70%的市场还是从基于使用的保险，也就是说UBI这方面，这也是我们做的两方面，一方面是UBI，一方面是基于新能源车，跟国家现在的新能源数据统一中心有点类似，我们基于广汽的车也是做电池的模型，分析并提高电池的续航里程和电池的寿命。

大数据的平台建设粗看是跟所有的计算平台和云平台是一样的，如果真要做大数据都是基于一些比较成熟的开源搭起来，从数据搜集到数据中心内部的分布，到相当于说一个计算和可视。有挑战性的一个是实时架构，车辆现在有离线、有实时、也有延时的，给我们的挑战是实时的，这是数据中心的架构去做，这是一个很好的借鉴的例子。

首先针对新能源电池，我们其实分析的还是相当不错，可以真正提前2-3月能预测到电池的续航问题，能够提前的帮助用户改善用户的体验。另一点基于用户和基于使用保险的行为，根据我们收集的数据，相当于驾驶员的操作行为，也包括周围环境可以判断驾驶员的习惯。

可视包括进一步分析的一些，也相当于一个可视的动态地图。大数据分析是一个很好的借鉴例子，从他来讲数据是从车来的，对于这个行业来讲数据跟车，唯一是模型，如果基于用户更是一样。还是有很多的一些融合，比如说做电池需要把BMS这些结合在一起。 

关于人工智能

今天提的AI很多跟车辆有关，国内还没有一个整车厂或者汽车方面有系统的论述和分析，人工智能到底跟车辆生态圈有多大关系呢。视觉这些只是AI很小的一部分，整个AI是很庞大的，整个生态圈会起到很大的作用，从车内3级、4级、到V2X、到云端，可以很好的利用除了所说的感知及NLP之外，包括现在有提4级的规划问题；同时更广泛的，我们还有V2X，目前提了如何通信，但是没有太多人想到或者说没有看到下面会出现什么，V2X通信建立起来但是人和机怎么通信的，人和人通信绝对不是机械协议，这是一个AI通信问题如Common ground，这个有点偏理论。另外是学习训练问题，现在的数据，有上汽的数据跟广汽的数据绝对不可能一起共融，但是AI的角度能够跨域cross domain学习是需要的也是更好的。

另外最大的就是AI的可解释性，真正的自动驾驶现在大家有另外一个观点，自动驾驶都使用了AI，都使用了(深度学习)CNN。CNN绝对不可能是满足车规Asil-B或D的，从这个角度看几乎限制了AI的车辆产品化，其中视觉感知肯定是主要的功能，必须符合功能安全。因此AI必须有可解释性（符合功能安全），这也是AI理论界需要做的事情。另外也包括AI在云端的规划。这里定义成两个轴向，车辆生态圈里面AI是怎么用的，另外车辆生态圈对AI也提出了要求，这也相当于如何相似、借鉴和融合。

最后总结，智能网联平台技术，近几年仍然是自动驾驶、大数据分析或者云控、信息安全平台技术，作为一个平台，来支撑所有的功能。当我们谈智能网联的时候，怎么来发力，或者哪些东西应该具有最大的挑战性，还是秉承第一性原理的方法，怎么做借鉴融合。

对这三个平台方面根据我们的实践体会，也是某种对当前一些说法或问题的纠正和解释，下面是我最近总结的五条，也是作为专业产品化的指导建议： 

第一，关于自动驾驶，谈“安全、成本”多于AI，谈系统软件（自驾OS）多于芯片，甚至算法模块；

第二，自驾功能安全（分析）成为功能（设计）。自动驾驶的功能安全分析过程变成功能的时候，自动驾驶的正向系统架构包括安全就更完善了；

第三，信息安全不再谈论加密解密，不再执着于云管端，谈防护多于攻击；

第四，信息安全是功能，也有功能安全。

第五，关于大数据，谈数据维度定义、云机协同分工（模型）多于数据中心建设和收集过程，这些是大数据分析和云控融合的核心点。