TrustMotion：软件定义汽车时代,软件部署的新挑战

当前，汽车电子电气架构从分布式向集中式、区域式转型，硬件集成难度降低，但复杂度全面转移至软件层面，中间件、软件集成验证等领域市场规模持续增长。汽车软件兼具云软件的迭代需求与芯片行业的高可靠性要求，智驾功能、整车控制功能向中央计算平台上移后，多芯片、多ECU协同带来严苛的端到端时延、任务调度难题。传统依赖人工试错、经验调优的模式效率低下，新增功能极易打乱原有系统运行，已无法适配行业发展。

2026年6月17日，TrustMotion中国总经理夏青青在盖世汽车第九届智能驾驶与出海大会上表示，针对行业痛点，TrustMotion通过形式化定义、自动化部署、全维度验证三步，替代传统测试迭代模式，有效缩减集成验证周期、提升OTA部署可靠性。其核心产品MotionWise及模块化组件MotionWise Schedule，可实现整车跨系统确定性调度与通信，在高低负载场景下均能稳定控制时延与抖动，保障功能安全与实时性。 

夏青青｜TrustMotion中国总经理

以下为演讲内容整理：

E/E架构变革：复杂度从硬件转向软件

过去十年间，汽车行业的电子电气架构经历了深刻变革。最初，一个电子控制单元通常只承载单一功能；而现在，多个电子控制单元的功能被集成到一个高性能芯片上，实现了功能的集中化。这一转变的背后驱动力，一方面是微控制器和系统级芯片的性能大幅提升，使得承载更多功能成为可能；另一方面则是软件定义功能的兴起，让终端用户可以更快地享受到创新的功能和持续的迭代更新。

多个电子控制单元的整合使得硬件架构本身趋于简化，硬件的集成难度相比以往有所降低。然而，整车的开发复杂度并未因此减少，实际上，它只是从硬件集成转移到了软件集成。中间件作为承上启下的关键层，其重要性日益凸显。根据市场预测，到2035年，中间件市场的份额增长率将仅次于智能辅助驾驶领域。与此同时，行业需要在软件开发上投入更多资源，而对集成、验证和测试的投入增长更为显著。这表明，软件开发本身就是一项挑战，而如何让这些复杂的软件协同工作，更是必须面对的另一大挑战。

图源：演讲嘉宾素材

汽车软件的独特性：兼顾创新与安全

云服务领域的软件部署已相当成熟，能够实现大规模复杂软件的快速迭代和在线升级。芯片设计领域则强调首次即正确，因试错成本极高，必须在流片前反复验证。汽车软件恰恰介于两者之间。一方面，需要通过持续的软件更新为用户带来创新的功能和体验；另一方面，汽车作为出行工具，必须保证其安全可靠。因此，汽车行业需要找到一套方法，既能保持快速的更新迭代，又能保障系统的可靠性与实时性。

以智能辅助驾驶为例，过去算力是瓶颈，但现在系统级芯片的算力越来越强，甚至在芯片内部集成了安全岛、中央处理器、图形处理器及各类硬件加速器。硬件架构的整合并不意味着端到端实时性和时延问题的消失。不同类型的处理器（如M核、A核、AI加速器、GPU）之间仍需协同工作，从传感器到执行器的整个链条上，实时性和确定性依然是必须保证的核心指标。即使采用端到端的人工智能模型，也无法完全消除系统复杂性。人工智能模型运行时仍需要中央处理器、图形处理器和AI加速器的协同，并且它需要与车控、在线升级、功能安全监控、网络安全机制、操作系统、中间件等其他功能在同一系统上协同工作。这本质上仍是多个操作系统、多种功能以及不同类型芯片之间的协同与部署问题。

图源：演讲嘉宾素材

车控功能上移的挑战

另一个典型案例是车辆控制单元的功能迁移。传统上，车辆控制单元有自己的独立电子控制单元。现在，其功能已被集成到区域控制器上。下一步，行业正在探索将车辆控制单元功能进一步上移至中央计算单元，从而可以使用性能更低、成本也更低的微控制器来替代区域控制器上的高性能微控制器，实现降本。车辆控制单元包含众多与实时性和功能安全紧密相关的任务，例如踏板处理、扭矩仲裁、制动协调等。无论车辆控制单元位于区域控制器还是中央计算单元，都必须保证从传感器到执行器的端到端延迟在10毫秒以内。在分布式系统中，这种端到端的延迟需要跨越中央计算单元、区域控制器以及底层的CAN总线信号等多层结构，这对系统的实时性和确定性提出了极高的要求。

“Correct by Design”：应对复杂性的系统性方法

当前，工程实践中通常依赖工程师的经验来解决上述问题。工程师根据经验为应用程序分配优先级、分配资源、选择调度策略，然后在测试过程中发现问题后，再凭经验重新调整配置并测试。这种“试错法”或“Correct by Testing”的方式，高度依赖工程师的个人经验，且时间不可预测。更棘手的是，当系统已经调试到稳定状态，一旦新增一个功能迭代，就需要人工重新对整个系统进行配置，整个过程耗时费力。

为解决这一问题，TrustMotion提出了“Correct by Design”的系统性方法。该方法包含三个步骤：

第一步是形式化输入。将系统的各项边界条件准备好，例如有多少个电子控制单元、多少个芯片、每个芯片有多少个核、每个应用程序的执行时间是多少、端到端计算链的时延要求是什么等。

第二步是自动化。利用先进的工具和算法，根据第一步输入的系统边界条件，自动生成可直接部署到嵌入式系统中的配置文件。

第三步是验证。通过自动化生成的部署方案，能够确保从一开始就满足所有的约束条件，从而将传统的人工、手工操作转为自动化，将“Correct by Testing”转变为“Correct by Design”。

这种方法为整车厂带来了诸多益处。它显著降低了集成和验证测试的时间，加快了产品上市速度。同时，由于工具可以自动快速地生成新的部署文件和方法，也提升了在线升级的效率和可靠性。更重要的是，在设计前期，就能通过工具验证整个系统是否满足时间和功能安全的需求。

图源：演讲嘉宾素材

MotionWise：实现整车级软件安全部署

TrustMotion的核心产品是MotionWise，这是一款专注于软件安全部署的中间件平台。其设计理念是，未来的软件管理不应局限于单一的操作系统、芯片或电子控制单元，而应是一种能够支撑跨操作系统、跨芯片乃至跨电子控制单元的整车级软件部署方案。MotionWise提供跨系统的确定性调度软件、确定性通讯，以及整车级别的端到端实时性和确定性保障。近年来，TrustMotion将MotionWise平台进行模块化和产品化，推出了模块化的调度、通讯、DDS等产品。客户可以根据具体的使用场景和技术需求，灵活选择模块化产品及其组合，以满足实际量产需求。

MotionWise Schedule是该平台的首个模块化产品。它遵循“Correct by Design”的理念。系统工程师将系统边界条件输入MotionWise Creator工具后，工具会自动生成调度表和调度器，并部署到嵌入式端。MotionWise Schedule并非进行单点优化，而是实现跨系统、跨操作系统、跨电子控制单元的整车级调度，以保证跨系统间的实时性、软件协同以及端到端时延要求。

在一个智能辅助驾驶的实际案例中，当交通状况正常、中央处理器负载较低时，有无MotionWise Schedule的差异不大。但当交通流量大、中央处理器负载升高时，没有MotionWise Schedule的系统其时延会超出要求，抖动也超过100%；而搭载了MotionWise Schedule的系统，无论在何种负载下，都能满足时延和计算链路径的需求，并将抖动维持在较低水平。这说明，在中央计算平台上，当多个功能集中在同一芯片或操作系统上，中央处理器负载上下浮动时，MotionWise Schedule能够有效保证关键路径和实时任务的安全与性能。

未来展望与挑战

软件部署已成为软件定义汽车时代最为关键且艰巨的挑战。传统的人工方法已无法适应日益复杂的软件系统发展趋势。TrustMotion认为，“Correct by Design”是一种值得借鉴的思路，通过自动化的方法来提高软件部署和量产的效率。正如TrustMotion所强调的，软件定义汽车时代的赢家，不仅是那些能开发出更好软件或更好人工智能的企业，更是那些能够安全、可预测、大规模地部署复杂软件系统的企业。未来，如何将这一理念更深入地融入到整车开发流程中，将是整个行业共同面对的课题。

（以上内容来自TrustMotion中国总经理夏青青于2026年6月17日-18日在第九届智能驾驶与出海大会发表的《软件定义汽车时代：软件部署的新挑战》主题演讲。）