京东，淘宝，拼多多等购物都只在纯血鸿蒙系统版本下才有更多补贴，何愁国产系统推广不起来？？？？？？

必现报错{8636} put object from buffer failed(AbortedByCallback-37).

 辽阔的露天矿坑层层叠叠，伴随着阵阵轰鸣声，一百台巨型无人电动矿卡穿梭于煤海之中。白色的车身前方并没有传统印象中的驾驶室，只有两根上竖的传感器，将生产调度指挥中心的指令，通过5G—A的网络进行实时传输控制，无人电动矿卡按照设置好的运行轨迹，秩序井然地排列前行。图为无人电动矿卡行驶在华能伊敏露天矿区。王轶群摄这里是位于内蒙古呼伦贝尔市鄂温克族自治旗的华能伊敏煤电公司伊敏露天矿，5月15日，全球首个百台无人电动矿卡集群“华能睿驰”在这里正式投入编组运营，这也标志着全球首个露天矿生产实现5G—A网络下的“车-云-网”规模化协同。“我们矿作为全国第二大产能露天矿，是东北三省的重要能源供应基地，也是国内首家煤电一体化大型企业、首个露天矿数字化智能作业平台。”伊敏露天矿副矿长赵耀忠介绍，“由于地处高寒地带，冬季气温最低可达零下三四十摄氏度，因此我们对于无人电动矿卡的相关要求极高。”为此，由中国华能集团有限公司牵头主导，联合徐州徐工汽车制造有限公司、华为云计算技术有限公司、国网商用电动汽车投资有限责任公司、北京科技大学组成创新联合体共同研制，在高寒地区露天煤矿进行数智化转型的探索与实践。图为无人电动矿卡集群在矿区作业。王轶群摄经过4年多的共同研发，创新联合体以无人驾驶、5G—A通信、智能换电、智能安全管控等技术为核心，研究了高寒环境下零碳排放智能换电无人驾驶运输系统关键技术与应用，攻克了高寒环境下纯电驱动、智能换电、多模态感知融合等关键技术难题。“‘‘华能睿驰’无人驾驶电动矿卡最大载重可达90吨，连同车身重达135吨，无惧严寒，可以在零下40摄氏度的恶劣环境中实现全天候作业。”赵耀忠说。该无人电动矿卡彻底取消了驾驶室，将其替换为装载磷酸铁锂电池，实现矿卡全电力驱动，降低生产能耗。“我们依托排土场光伏绿电驱动，运输环节实现零碳排放，即便是在长期高寒的条件下，也能够实现每公里每立方米仅消耗0.2度绿电，百台‘华能睿驰’每年可替代柴油超1.5万吨，减排二氧化碳4.8万吨，具有绿色低碳的显著优势。”伊敏露天矿无人电车运维部主任刘强介绍。该无人电动矿卡还智能融合了激光雷达、毫米波雷达、摄像头与AI算法，可以实现40米能见度的雪地、沙尘、夜间等低照度环境下稳定感知，自动绕行障碍物，如落石、挡墙、异常停车等，掘沟、狭小作业面一次掉头、匀速过弯，实现车安全、路安全。图为无人电动矿卡集群在矿区作业。王轶群摄“该无人电动矿卡基于华为云，众包建图采集多源数据，可以实时生成地图，通过行业领先的作业点位分钟级自动更新，提前规划装排土路线，支撑车辆精准停靠在不规则、动态变化的排土场，结合碰撞保护等多机制保障作业安全，实现‘一车停，全队知，在哪停，提前知’，相比人工调控实现运营效率提升20% ，最多可调度300台无人电动矿卡。”华为油气矿山军团露天矿山总经理邵琦说。为实现流畅的车云协同，伊敏露天矿还成为了全球首个5G—A露天矿，内蒙古移动联合华为5G—A 3CC技术，对无人驾驶行车线路、采掘区、排土区、换电区进行精准网络覆盖。“每辆无人电动矿卡需要5台摄像头，100辆车对于远控和视频回传对网络上行容量要求极高，通过部署5G—A网络，单个基站可覆盖500至600米，满足500兆比特每秒的稳定上传和20毫秒的低延时，支撑高清视频回传、自动驾驶、远控运输持续稳定在线，实现超百辆无人电动矿卡24小时不间断生产。”邵琦介绍。图为华能伊敏露天矿生产调度指挥中心。王轶群摄“我们将积极践行国家能源安全新战略，在矿山运输环节推动用能变革，全面实现以电代油，全力打造安全矿山、智能矿山和绿色矿山。”华能内蒙古东部能源有限公司董事长李树学表示。预计2026年，该矿将投入300台“华能睿驰”无人电动矿卡，减少柴油用量4.7万吨，减少二氧化碳排放14.9万吨。*原文转载自人民日报客户端，原文链接：https://www.peopleapp.com/column/30049152662-500006275338

         车路云一体化在落地方面遇到了瓶颈，主要是路不适合无人驾驶汽车，包括道路质量、交通秩序、周边环境，与其花大力气去提高无人驾驶技术等级，不如给无人驾驶汽车提供专用道路。        高轨出租车系统包括高轨出租车、高轨轨道网络、高轨站台、高轨控制中心，高轨出租车是无人驾驶电动车，高轨轨道是四通八达的高轨出租车专用道路，高轨站台就在老百姓出发地和目的地附近，高轨控制中心是整个系统的指挥中心。       高轨出租车系统是在现有交通体系外独立的系统，不但不会增加现有交通体系的压力，还会大幅缓解现有交通压力，还能将现有交通体系进行融合，高轨出租车具有安全、省时、省钱、省事、环保、恶劣天气正常运行等优点，将成为解决交通问题的法宝。      迫切希望有更多的有识之士加入到高轨出租车系统工作中来！

在同样的网络环境下，从mdc610内通过scp向服务器上传文件的速率，明显低于从mdc300f内上传，平均速率只有后者的三分之一左右。从mdc610内上传起始速率较高，但随着上传进度，速率逐渐降低，最后稳定在一个较低的速率上上传。请问下这是什么原因呢？

Prescan模型概览如下：一、车道线预瞄思路及代码解析初始化雷达探测器 检测雷达探测器工作状态。在扫描点序号680-800范围内寻找最近的障碍物，并标记其位置，msg.ranges[ ]储存了距离信息，下标i与扫描点的角度之间存在映射关系。计算并记录离小车最近障碍物的距离。当最近障碍物的距离小于0.8时，记录has_obs = True。先确定雷达避障状态，再执行小车的行为。基本原理：通过高速旋转及高频收发激光对平面进行采样，以前进正方向为采样角度θ零点，在连续的两个采样点间的夹角角分辨率为Δθ=ω/f≈0.25其中，ω为雷达转速，f为激光发射频率。​二、激光雷达避障思路及代码解析定义如下：nwindows: 窗口数；window_height: 窗口高度；nonzero: 画面中所有不为0的像素点的坐标索引；lane_current: 当前窗口底边中点的x坐标；margin: 窗口底边长度的一半；good_inds: 所有处在当前窗口中不为0的像素点的索引；lane_inds: 当前跟踪的车道线上的所有像素点索引，即所有good_inds的并集。通过二次函数拟合出车道曲线。根据aimLanP的斜率正负来计算像素点的x坐标求车道线端点。计算目标点的真实坐标，其中红框部分是为了避免行人的存在所产生的误导。计算轮胎旋转角度。根据相机及雷达的打开状态控制小车的行为，其中初始值为FALSE。

由于项目实际部署需求，需要开发自定义算子，当前模型转换成了ONNX格式，也可以转换成caffe格式（原格式pytorch的pt格式），但根据官方文档及论坛参考信息，无法有效开发对应的算子(算子编译，安装后无法找到)，请问该问题如何解决呢？

请问，如果要采购MDC系统设备应该怎么联系呢？标书上面有这款产品，所以想要了解下

以下文章来源于焉知智能汽车 ，作者Ammie超异构芯片最近是比较火的一个名词，其集中特性是将各类不同的芯片内核进行融合，这种集成式芯片设计可以充分整合芯片资源，进一步提升数据计算效率。并且由于芯片在设计之初就打通了相互之间互通兼容性，其内部功能划分和交互统一构建的逻辑优化，相比单芯片功能方案而言，可以显著降低彼此功能和交互的各种掣肘；并且很多设计原理图上可以在芯片之间通过共享某些资源，融合型单芯片可以进一步降低成本。另外，对于自动驾驶系统设计而言，（80%-90%）的轻量级场景+10%左右的挑战场景+10%左右的极端场景需要提供高性能以行业领先的功率/性能比计算传统和深度学习算法，这些完全可以通过超异构的不同芯片核进行覆盖，充分降低复杂度和系统规模。超异构芯片是具有高水平的系统集成，以实现先进汽车的可扩展性和更低成本的支持集中式 ECU。关键核心包括具有标量和矢量内核的下一代 DSP，专用深度学习的NN计算核和传统算法加速器，用于通用计算的最新 ARM 和 GPU 处理器，集成的下一代生成成像子系统 (ISP)，视频编解码器，以太网集线器和隔离的 MCU 功能安全岛，所有受保护汽车级安全和安保硬件加速器等。一般情况下，除了芯片选型外，设计超异构芯片时需还要满足如下设计规则：片上存储器应设计 ECC 保护并互连内置自检 (BIST) 、故障注入CPU 和片上RAM对于引脚错误设置故障信号模式运行时安全诊断、电压、温度和时钟监控，窗口化看门狗定时器，用于存储器的 CRC 引擎完整性检查可用于应用的功能安全需要满足 ISO26262 要求的ASIL D启用需要大量数据的系统带宽、PCIe 集线器和千兆以太网交换机以及 CSI-2 端口以支持许多传感器输入的吞吐量。转载于汽车电子与软件微信公众号

以下文章来源于智能汽车开发者平台 ，作者明琴车辆数字钥匙是汽车智能化变革下的一项创新技术，NFC、UWB、BLE（蓝牙）等不同通信技术，将NFC智能卡片、智能手机、智能手表等智能终端变成汽车钥匙，从而实现无钥匙启动、钥匙分享、远程车辆控制等功能，为人们提供更加智能便捷的用车体验。但汽车钥匙的数字化发展，也带来了新的安全风险挑战。攻击者通过重放攻击 、滚码遍历等手段，破解车辆钥匙，恶意解锁车辆，给车主带来的较大的人身及财产安全风险。本文通过数字钥匙类型及风险点、常见攻击场景和手法介绍、防御方案介绍三个方面，阐述数字钥匙面临的常见攻击及防御方法。一、数字钥匙类型和风险点1、数字钥匙种类目前常见的车辆数字钥匙有如下5种：无线车钥匙，由发射器、遥控中央锁控制模块、驾驶授权系统控制模块三个接受器及相关线束组成的控制系统组成。遥控器和发射器集成在车钥匙上，车辆可以根据智能钥匙发来的信号，进入锁止或不锁止状态。大家基本上都用过，上面有解锁按钮、锁定按钮和后备箱打开按钮。NFC卡片钥匙，现在一些新能源汽车会配备NFC卡片钥匙，很薄，刷卡即可解锁车辆。开车时把这个卡片放在中控台上，就可以启动车辆。手机蓝牙钥匙，使用汽车App开启手机蓝牙钥匙后，手机便可以取代随车的遥控钥 匙，进行解锁、上锁和启动车辆。现在一些新能源车辆会配备一个手机蓝牙钥匙，比如极氪APP，跟车辆绑定之后，就可以使用手机APP去解锁车辆、启动车辆。UWB+BLE钥匙，是当下比较重点的一个发展方向。从遥控钥匙诞生，一直发展到后面的蓝牙数字钥匙，中继攻击 一直是绕不开的话题。UWB方案中加入了安全时间戳的技术， 极大提升了UWB防中继攻击能力。生物特征钥匙，基于生物特征信息进行身份识别的一种技术，是当下比较潮的应用。一般会在B柱上方安装一个摄像头，当靠近车辆时通过人脸识别来解锁车辆。2、五大数字钥匙面临的风险每一种数字钥匙因为使用了特定的技术,都具有特定的风险。比如，无线钥匙面临的重放攻击 、滚码遍历攻击，目前一些厂商已发现重放攻击对车辆数字钥匙影响比较大，已经升级使用了回码机制。NFC 、BLE 面临的中继攻击，目前车辆的NFC卡片配备的都是安全等级较高的CPU卡，但是这种卡片对于中继攻击也没有很好的防御办法。生物特征钥匙面临对抗攻击，比如常见的AI对抗，通过使用特定的对抗算法，把车主的人脸和攻击者人脸做混合，比如说做成面具或者做成生物指纹或雕刻出来，攻击生物特征识别机制，导致车辆被偷窃。UWB+BLE钥匙暂无特定风险攻击。二、常见攻击场景和手法介绍下面将对常见的攻击场景及手法进行介绍。1、重放攻击 重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的设备已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。比如，一个车主在车辆附近使用没有滚码技术的无线车钥匙，通过按车钥匙上的解锁按钮，发送一串解锁信号给车辆，此时旁边的攻击者可以使用特定的监听设备，把这个信号记录下来，等到车主不在车辆旁边时，就可以通过重放解锁信号，达到解锁车辆的目的。在这个过程中，黑客并不需要接触到车钥匙，只需要在几十米到一百米左右的距离，接收到解锁信号即可。重放攻击的成本很低，并且非常有效。2、中继攻击 “中继攻击”是目前比较难防御的一种攻击手法，指犯罪分子利用汽车的无钥匙进入系统欺骗汽车，让汽车认为无线 遥控器就在它旁边。比如，车主正在办公室工作，车辆放在相距几百米的地库。此时两名攻击者黑客A和黑客B，其中黑客A就站在车辆旁边，黑客B在车主附近。黑客A拿出模拟设备，对车辆发出解锁请求，黑客A拿到了要求认证的信息，通过4G、5G技术传输给黑客B。黑客B也有一个模拟出来的蓝牙设备，他把要求认证的信息在靠近车主之后发送给车主真正的蓝牙钥匙，真正的蓝牙钥匙误以为是车辆发过来的认证要求就会进行处理，并返回一个合法的认证信息。黑客B再通过4G、5G通道把认证信息返回给黑客A，黑客A将认证信息发送给车辆，就达到了远程解锁车辆的目的。在整个过程中，车主和车辆相距较远，车主没有办法发现车辆已经被偷走。黑客A和B并不需要提前知道车辆有没有加密信息，只需要在中继认证挑战、返回认证信息、利用信息，从而实现解锁车辆的目的。3、人脸识别—对抗攻击 对抗样本是结合攻击者的图像与被攻击 的图像通过算法计算生成的干扰图案，干扰图案可以使人脸识别系统误判两个面部特征不一致的人为同一个人。网上有一个例子，一家公司的研究成果，把车主的照片加入一些干扰图像之后，做成类似于这么一个形状的眼镜，攻击者戴上眼镜之后，就可以绕过手机上的一些人脸识别机制。在整个应用测试过程中，研究员验证了大概20部手机，当时除了iPhone以外，其他基本上所有安卓手机都可以被这种攻击手法所绕过。2D相对3D来说，其安全性会更弱一些。因为3D有深度信息，有面部的立体信息，有对人脸整体特征的计算，然后进行比对，准确度会更高。如果是单纯的2D，很有可能被一些照片欺骗，导致对抗攻击。4、逻辑漏洞比如，特斯拉数字钥匙的逻辑漏洞案例。特斯拉汽车各使用 NFC 卡解锁后 130 秒内自动启动，而且还让汽车处于接受全新钥匙的状态（无需身份验证，车载显示屏提供零指示）。研究人员构建了自己的应用程序，名为 Teslakee，该应用程序使用VCSec，特斯拉官方应用程序用于与特斯拉汽车进行通信的语言相同。在特斯拉汽车使用NFC卡片解锁后的130秒内，通过 VCSec调蓝牙后向车辆添加NFC卡片，这样车辆在第二天停在这里的时候，车主在车辆旁边攻击者就可以拿着新添加的NFC卡片去解锁车辆，从而达到偷窃车辆的目的。智能手机里APP的数字钥匙有分享功能、添加车钥匙配对新车辆等功能，这些复杂功能背后也存在较多的逻辑问题。比如，车辆在分享车钥匙时，没有很好地控制分享钥匙的时效性，也没有很好地在分钥结束后把相关钥匙删除掉等，都是主机厂在做数字钥匙时，需要主动考虑的业务逻辑上的安全问题5、物理攻击上述都偏向于远程无线的攻击手法，下面再给大家介绍一下，如何通过物理的方式去攻击。比如说无钥匙启动场景。车钥匙有高频和低频两个信号发射器，按下解锁按钮时，车钥匙通过高频信号来远程解锁车辆，当车主拿着车钥匙进入到车辆内部以后，通过低频信号进行通讯，通过低频的方式判断车钥匙是否在车内，并判断是否是合法的车钥匙。当发现车钥匙是合法钥匙，接收器会发送类似于验证通过的指令给引擎启动ECU以启动车辆。如果指令每次都相同的，就可以通种物理攻击的方式，通过一些设备直接对引擎ECU发送启动指令，这样就可以绕过车钥匙校验，从而实现无钥匙启动车辆。接下来介绍几种数字钥匙分析工具，来分析各种数字钥匙的工作机制是否存在安全问题。—— 数字钥匙分析工具Ubertooth/Ellisys Vanguard：蓝牙通信分析工具。Ubertooth可以进行低功耗蓝牙相关的分析，进行通信申报调频的跟进，捕获相应的通信数据。Ellisys Vanguard可以对低功耗蓝牙及经典蓝牙的通信进行跟踪和分析。Proxmar：NFC卡片分析工具。可以用来跟NFC卡片或车辆进行通信，使用NFC通信协议，可以去了解NFC卡片在验证过程中的应答机制，包括它所涉及到的指令以及发送哪些数据。如是一张包含历史漏洞的卡片，也可以使用这个工具进行破解。HackRF/USRP ：433Mhz通信分析工具 。可以被用来捕获数据，然后使用特定的软件对通信数据进行协调，把它反映成数字信息，去观察分析通讯过程中发送了什么数据、有没有使用规划技术、有没有使用相应的加密技术或者防护技术。DWM1001-DEV ：UWB信号分析工具 。可以捕获UWB信号并还原成数字信息，进而分析UWB在与车辆交互中是否按照标准和规范对数据进行处理。—— 要分析无线信号，首先要知道什么是调制，什么是解调。调制就是用基带脉冲对载波波形某个参数进行控制，形成适合于线路传送的信号。解调就是当已调制信号到达接收端时，将经过调制器变换过的类比信号去掉载波恢复成原来的基带数位信号。射频通信常用的调制模式有三种，PSKASK和FSK。—— 在分析数字钥匙的时候，如何通过专业的硬件和软件把它还原成二进制数据？使用URH+SDR设备抓取无线信号，然对它进行解调，无线信号被解调后就会被还原成二进制数据，也可以还原成16进制等，就可以还原出通信当中它所发送的数字信息，这就是整个把无线信号转换成数字信号的过程。如果需要对还原出来的信号进行篡改，需要先把模拟信号给转换成数字信号，再对数据信号进行调整把它还原成无线信号发送出去。此时候就用到了调制技术，把二进制数据跟特定的载波，用特定的调制模式变成无线信号，最终再通过HackRF硬件设备把它发送出去，这样就可以在接收车钥匙信号后，对它进行篡改，再发送给车端。下面介绍两种常见的无线信号分析工具。URH、GNURadio是两个比较常用的无线信分析软件。URH是一个用来分析无线私有协议的工具，通过把硬件设备接到电脑，再启动这个软件，就可以接收无线信号，并把无线信号转换成01等序列。还具有调制模式，有规律地去调整一些二进制数据，再把它发送出去。GNURadio是一个强大的开源软件，是一个无线开发工具包，可提供多种信号处理模块，来实现软件无线电，通过它与HackRF等硬件设备联用，来模拟发射各种无线信号，可以广泛用来研究频道频率、各种类型的通信。三、防御方案介绍1、防御重放攻击--Rolling Code传统的解锁指令，无论按多少次解锁指令，Pass code都是相同的，攻击者只用捕获其中一次通信就可解锁车辆。目前主流车厂都配有滚码技术，每次的Pass code是随机的，攻击者无法预测下一次应该发送什么解锁指令，车辆会认为是非法钥匙，就不会去开门，这样就达到了防御重放攻击的目的。滚码技术涉及两个比较重要的点，首先要有一个计算随机数的种子，第二车钥匙和车端要有一个相同的随机数生成算法。两者把相同的种子丢到随机树生的方法当中之后，车钥匙和车端通过相同算法，每次就会得出一个相同的随机数。因为外部人员不知道种子，也就不知道随机数产生的办法，所以就没有办法预测下一次的解锁指令。2、防御中继攻击 -- UWB基于IEEE802.15.4a/f/z标准的「超宽频」(Ultra-Wideband;UWB)技术是一种利用纳秒级窄脉冲进行资料传输的无线通讯技术。其优势如下图所示UWB技术可以终止中继攻击。原因是 UWB 芯片总是测量车钥匙和汽车之间的直线距离(测量光速 TOF)，如果车钥匙不在车内，汽车的引擎就无法启动，非常有效地进行防御中继攻击。3、BLE安全机制—跳频机制BLE具有跳频机制，蓝牙信道有两种通信信道，广播信道和数据信道(advertisingchannelsand datachannels)。其中广播信道只使用37，38，39这三个通道。数据信道共包含37个信道。在进行数据通信的时候，会在37个通道中快速跳频，从比如说从8跳到10、从10跳到15，大概一分钟可以跳1000多次。所以对攻击者来说，如果想要捕获跳频数据，普通的设备是没有办法捕捉到。主机厂可通过采购专业的蓝牙设备，把37个信道都监听起来，然后计算出通讯过程中完整的通讯数据，在此基础之上对两种通信的数据进行分析，查看是否有加密等。BLE安全机制具有4个安全等级4、AUTOSAR SecOC –- 车载通信协议安全The Autosar concept Secure Onboard Communication(SecOC) 检查单个传输协议数据单元的真实性，以检测攻击，例如重放、欺骗和篡改。SecOC提供了真实性的功能，它会在数据包当中添加 MAC值去校验完整性，如果尝试重放指令，因为计数器没有及时更新及没有完整性的MAC值做保护，所以就无法存放指令。因此，对于一些关键部位的通信，比如接收器与启动控制器与ECU之间的通信，要使用SecOC进行保护，防止出现物理攻击绕过数字钥匙的场景。车辆钥匙的数字化发展，为人们带来了更加便捷舒适的用车生活，但其带来的安全风险也不容忽视。主机厂、科技公司及政府机构，都在不断研究新的防御方法、制定相应的安全规范，去解决数字钥匙的安全问题。未来在大家的共同努力下，相信车辆数字钥匙面临的安全风险将逐步得到解决，为人们的智慧安全出行保驾护航。本文来源于“车辆数字钥匙安全与应用——2022智能汽车安全守护者云大会 (第六期)”演讲嘉宾：极氪车联网安全实验室 王仲宇转载于汽车电子于软件微信公众号

以下文章来源于焉知智能汽车 ，作者Jessie由于智能汽车集中化趋势，导致在网络连接上已经由传统的低带宽Can网络升级转换到高带宽以太网网络为主的升级过程。为了提升车辆升级能力，基于为车主提供持续且优质的体验和服务，需要在现有系统基础（由原始只对车机上传统的 ECU 进行升级，转换到实现以太网增量升级的过程）之上开发一套可兼容现有 OTA 系统的全新 OTA 服务系统，实现对整车软件、固件、服务的 OTA 升级能力，从而最终提升用户的使用体验和服务体验。软件升级触及的两大领域-FOTA/SOTA整车软件升级是通过OTA技术，是对车载娱乐、导航、人机互动等应用软件及转向、制动、车身控制等固件进行升级。整车OTA升级包是由升级对象中可升级ECU的升级包组合而成。对于整车OTA类型，主要分为两类，FOTA（Firmware-over-the-air）和SOTA（Software-over-the-air），两者均为主机厂重点关注及逐步落地的领域，可适应不同场景的OTA需求。FOTA（又称为移动终端空中下载软件升级技术），通过给车辆控制器下载安装完整的固件镜像，来实现系统功能完整的升级更新。FOTA涉及控制器相关策略核心功能的一个完整的系统性更新，对整车性能影响较大，升级过程对时序、稳定性、安全性要求极高，同时升级前置条件包括挡位、电量、车速等要求，升级过程一般不支持点火用车。FOTA通过给车辆控制器下载安装完整的固件镜像，来实现系统功能完整的升级更新。例如升级车辆的智驾系统，让驾驶员享受越来越多的辅助驾驶功能；升级车辆的座舱系统，提高驾驶员疲劳检测的准确率；升级车辆的制动系统，提升车辆的制动性能。SOTA实际可看成一种软件可售策略的核心需求，他是通过给车辆控制器安装“增量包”，来实现控制器功能的一个“增量”更新，一般应用于娱乐系统和智驾系统。例如更换多媒体系统操作界面，优化仪表盘显示风格，更新娱乐主机里的地图程序时，用到的都是SOTA升级方式。SOTA涉及控制器应用层一个小范围的功能局部更新，对整车性能影响较小，升级前置条件要求较低。SOTA的增量更新策略，可以大幅减小升级包文件大小、从而节约网络流量和存储空间。这里我们举例说明FOTA和SOTA分别如何在智能驾驶升级中进行有效定义。例如升级智能驾驶汽车系统，为了让驾驶员享受越来越多的辅助驾驶功能；通常根据功能开发难度、时间长度来确定对阶段性功能的不断更新迭代（包含从低级别功能向高级别功能进阶的软件更迭）。同时，过程中需要升级车辆的座舱系统，提高驾驶员疲劳检测的准确率；升级智能驾驶车辆的关联子系统（如制动、转向系统等模块），提升车辆的制动性能。智驾系统中的软件升级架构对于整个OTA升级而言，从下至上主要包括如下三方面：升级对象、OTA管理器、OTA云服务平台。自动驾驶域控制器与座舱域控制器通过以太网连接，升级协议一般为常用的DoIP，除开域控本身外，升级过程还包括高精定位模块升级，传感器升级。对于由以太网连接的摄像头而言，其升级过程主要是通过主域控端所搭载的整个集成程序进行升级。也就是说对于纯摄像头传感器而言，没有单独的程序升级过程。对于由CANFD搭载的毫米波/超声波雷达而言，由于是自带控制器的，其升级过程主要是通过CANFD连接控制器，域控通过CANFD接入公CAN，由座舱域负责刷写CANFD域控制器转发报文到各雷达控制器上。如上图所示，OTA云服务平台主要对OTA升级包进行管理与下发，并完成升级任务的配置、调度及跟踪。OTA管理器主要完成升级包的下载、解密、验签、差分包重构等功能，最终将升级包发送至对应的升级对象。升级对象是由一个或多个ECU构成，升级对象接收到升级包后，将对应的ECU升级包发送至对应的ECU，ECU完成升级包的刷写。智驾系统中的升级过程原理目前的升级方式主要是静默升级。即包含常态化模式下的有感升级和非常态模式下的无感升级。常态模式实际就是在工厂模式下，多媒体接收升级命令后，在满足升级条件的情况下下载升级包，进行车辆的自动化升级。升级过程中，如收到解闭锁/开车门/按下启动按钮/云服务解锁信号后，车辆显示屏不显示 OTA 升级，常规升级过程中车辆处于静默状态。非工厂模式下做无感升级，在用户不感知的情况下进行升级作为一保留方案。由于受国家相关法律的限制，这种方案的实现需要智能驾驶所有模块满足两面分区升级策略。这里的两面区分指的是A/B双面升级过程。即针对域控中的SOC开辟A/B两个存储空间，每个存储空间上均安装有一个系统，其中一个系统处于激活使用状态时，另一个系统就会处于待命备用状态。在进行系统升级时，可在激活的系统中对备用系统进行升级，升级完成后重启切换成新升级的系统。由此，在智驾域控的SOC中的升级过程可描述为当运行区为 A 区，则升级 B 区，升级完成后，从 B 区重启，启动后，择时将 B 区同步到 A 区。且当 SOC 升级失败的时候，不允许使用使能驾驶。此外，对于域控中的MCU刷写而言，最好采用双APP机制。即MCU采用bootloader单区+app双区部署方式，bootloader一般没有升级需求。因此，对MCU的升级过程只需要对双区部署的APP进行即可。整个升级过程中，需要完成如下升级过程中的任务：1）升级前置条件判断：通过以太网、CAN 等车内网络获取车辆当前状态检查，根据项目实际需求定制包含但不限于蓄电池电量、发动机转速、车辆速度、车辆档位、手刹状态、座椅传感器状态、门状态、锁状态等。座舱域控制器在升级开始前，需要针对升级车辆进行状态检查后继续后续动作。其当前状态的检查项目包括：模块剩余内部存储空间、模块硬件版本、模块固件版本、模块软件版本。通常情况下，升级过程中需要判断是否满足车辆是否静止，档位是否为P档，域控制器的SOC电量是否大于一定阈值条件。在适当的情况下，由中控界面/电检电脑显示屏上弹出预约升级或立即升级指示。有两种情况会触发升级：上下电自检与用户主动触发。升级条件触发，触发成功进入下一步，否则退出本次升级流程。2）下载升级包：在云端升级策略和升级包下发过程中，云端需要检测版本号是否更新，OTA升级服务器下发升级策略包到座舱域控制器，此过程中用户不会感知。座舱域控制器支持常规的刷写升级方式，DoIP 和 CAN烧写。基于CAN协议的软件刷写CAN 烧写过程实际是一种根据规范（规范主要是根据 ISO 14229 ）进行编程的过程。编程过程中需要指定参照如下几种类型的不同步骤进行有效的寻址及服务访问：标准步骤作为一种强制性的步骤，要求无论任何情况下客户端和服务器都应按照规定行事。推荐步骤是可选的，他需要使用特定的诊断服务标识符，并包含有关如何执行操作的建议。这种可选的方案仅要求在使用指定的功能的情况下，客户端和服务器应按照规定行事。OEM实施步骤：其使用和内容（例如，使用的诊断服务标识符）由车辆制造商自行决定，当然也可作为另一种可选的步骤。CAN软件刷写主要分三个阶段：预编程阶段，编程阶段，结束阶段。相应的各阶段需要进行的业务流程如下图所示：基于DoIP协议的软件刷写详解DoIP（Diagnostic communication over Internet Protocol）作为基于车载以太网的诊断，主要存在于OSI 七层模型中的传输层，DoIP是在以太网网络上传输UDS诊断数据的传输协议。DoIP具有高带宽，适合传输大量数据的场景，这就非常适合作为车上更新的OTA软件升级。相较于CAN，DoIP主要是在物理层和传输层对数据的传输进行了优化并提升了速度。在应用层和诊断服务环节，CAN与DoIP的实现均基于14229协议。ODX数据库部分，除需增加DoIP协议通讯参数和相关控制器外，一般情况下，不需要进行额外调整，这大大节省了诊断数据开发时间与成本。对于DoIP的文件刷写主要包括无文件系统控制器的DoIP刷写和有文件系统控制器的DoIP刷写。针对无文件系统控制器的刷写，其总方案类似于 CAN 节点刷写方案。多媒体主机按地址传输，控制器按地址写入方式。对于有文件系统的控制器，多媒体主机只需要将升级包传到控制器（当然过程中需要能支持断点续传），并没有其他的要求。目前常用的DoIP诊断连接方式分为两种：其一，是以太网线缆直连形式：在整车情况下，制作OBD-Ethernet线缆直连；其二，是兼容CAN/CAN FD通讯，并满足生产和售后需求，通过使用诊断VCI集成以太网激活功能，实现DoIP通讯。数据库创建完成后，使用相关诊断工具，即可实现车辆刷写过程。座舱域控收到服务器下发的整车工厂模式自动化升级指令后，在满足升级条件的情况下请求服务器自动下载升级包，并对车辆进行自动化升级，支持断点续传，完整性校验，存储空间管理等功能。3）智驾域控制器升级状态反馈：智驾域控制器上报域控制器信息到座舱域控制器完成升级前置条件判断，条件满足时方可进入 OTA 升级，升级这类信息需要上传到OTA服务器。这类信息包括域控制器各个模块的软/硬件版本号、序列号(SN) 、定位信息(GPS)等。4）执行升级任务：座舱域控制器将根据服务器下发的升级包，升级策略等信息，进行 OTA 升级。如果同时需要进行多 ECU 联合升级刷写时，需要根据下发的升级任务序列，按照升级顺序与对应控制器发送点对点升级交互信息，即可完成对应的升级任务。5）断点接续升级：断点接续升级是指基于状态机的管理，在升级过程中，对当前升级的文件或块设备进行备份存储。如果在升级过程中出现中断，断电，或其它干扰，导致正在升级的文件被破坏，那么，控制器会记录当前升级状态，后续在下次重启程序时，控制器会执行一定的校验算法（如hash 校验）评估该文件是否已经遭到破坏，如果程序完好，则会直接按照未被标记升级过的程序进行顺序升级。如果文件已损坏，则会用备份的存储来恢复升级。对于整个升级过程一般要求刷写失败后有数次重试机会。且有关联模块依赖时，对于已升级的关联模块需要全部回滚。6）联动升级管理：针对功能相关联的 ECU（比如前毫米波雷达升级可看成同性质下的联动升级），后台可以设定联动升级，也可以针对关联 ECU 设置升级顺序。升级过程为当座舱域控制器自后台取得升级任务后，会检测升级指令中是否有联动升级要求，如果有便会依照顺序进行逐一升级并关联 ECU。座舱域控制器在整个升级过程中会管理并不间断派发升级包，监控整个升级过程直到所有 ECU完成升级，再统一上报后台升级结果。当检测到有任一ECU升级失败需要进行回滚时，控制器会联动所有关联 ECU 同步进行版本回滚。同时，座舱域控制器会有效上报因为哪一个 ECU 升级失败导致回滚。基于如上说明，整车各模块升级可概括为：由 OTA 服务器下发升级策略文件决定升级顺序，在服务器上配置升级时生成策略文件，座舱域控根据策略文件制定各 ECU 升级方案和顺序。智能驾驶相关模块的升级顺序则按照如下优先级顺序进行先后升级控制：CAN 模块—>DoIP 无文件系统模块—>DoIP 有文件系统。相较于CAN，DoIP主要是在物理层和传输层对数据的传输进行了优化并提升了速度。在应用层和诊断服务环节，CAN与DoIP的实现均基于14229协议。总结对于智能驾驶系统而言，软件升级已作为不可或缺的一部分。在为客户提供实时在线升级功能的同时，域控制器需要满足云端安全通信，包括协议通信链接管理，升级指令接收和升级状态发送，升级包下载、升级包解密、差分包重构、对升级包进行合法性验证,还包括密钥证书管理服务，数据加密服务，数字签名服务等功能。可以说，智驾级别的软件升级是引领起其不断发展的源源动力。转载于汽车电子于软件微信公众号

以下文章来源于焉知智能汽车 ，作者Jessie整车域控VDC的设计包含整机设计，具体硬件方案，视频输入/输出，通信链路、供电终端、存储终端。1、硬件总体设计从整个整车域控设计思路上讲，需要考虑MCU和MPU在整车域控中需要达到一定的功能安全等级前提下，满足对整车域控的控制能力输出。此外，设置通用接口GPIO用于对整车其他域控的输出指令控制（如油门开度、制动开关、输入唤醒、输出唤醒等）。设置CAN、ETH、LIN接口用于通信连接分别传输不同的数据类型；设置基础时钟晶振用于上下电时钟同步；设置双路供电电源用于考虑整车域控整体不会因为供电故障导致的失效。从上图可以看出，整车域控从功能角度上讲就是一个多维度的准集中式中央处理单元，不仅需要执行包含低阶行泊车控制功能，还需要执行对整个底盘系统的整体控制，同时也需要承担中央网关的通信路由转发等功能。因此，在设计过程各种需要将各种不同功能性能的芯片能力充分调动起来，比如考虑实现低阶行泊一体控制能力，可以采用双TDA4VM或双J3这类中度算力芯片进行搭载。而考虑到实现中央网关功能，则可以考虑利用常见的网关芯片DRA821等。同时为了从终端控制上增强其功能安全特性，也可以在执行对整车控制输出端口，加入典型的高安全等级MCU芯片，如英飞凌的TC397或华为的麒麟系列。高配版本的VDC需要考虑一部分功能为智驾功能预留。因此整车域控的设计过程将比传统的简单ECU复杂许多。典型的硬件端口设计思路参照如下图所示。从配置整车智驾系统的角度出发，整车域控考虑了在一些关键设计环节上考虑对智驾域控做协同控制。一些主机厂的方案是将智驾系统的冗余控制放到整车域控端，比如设计将算力要求不高的单独前视摄像头接入整车域控VDC；同时也将只存在逻辑算力的毫米波雷达，超声波雷达数据通过CANFD协议连接至整车域控端。这里主要可以起到两方面的作用：其一，是省功耗的运行低版本ADAS系统，比如在长续航模式或跛行回家这类整车运行状态下，还可以基本保留一些智驾系统功能，比如可以部分承载保留行车安全辅助性功能AEB、FCTA/B、RCTA/B，泊车报警辅助功能。其二，是当主智驾域控失效时，整车域控检测到对应的失效状态后接管控制车辆，启动整车域控的基础视觉感知，并结合雷达数据进行轨迹规划和车辆控制，将车辆刹停至安全状态。2、硬件结构设计对于整车域控板间设计来说，考虑到其尺寸大小限制，同时可以考虑自身硬件级别的失效降级策略，可以将整车域控设计成双层板模式（主板和副板）。两层板间通过一定通信机制进行板间通信，当其中一个板子失效或出现问题时，可以启动另一块板子进行信息处理。 此外，对于硬件结构设计来说，通常比较关注整个域控的散热设计。业界对于整车域控的散热来说，通常可以采用风冷对流散热为主。通常，整车域控的双层板子采用一定的隔热设计，对于热设计来说也无需考虑其中一块板子的发热对另一块板子的散热影响。一般情况下，整车域控制器通常采用风冷散热。整个环境温度和通风程度对其会产生较大的影响。如下公式表示了芯片结温的影响要素。芯片结温=环境温度+热阻*功耗因此，整个散热过程大部分受制于环境温度影响，其中就需要充分考虑热对流的影响。散热设计基本原理：自然散热以辐射为主、风冷以对流为主。热量传递主要是3种方式：传导、对流、辐射。其中热传导主要是指分子之间的传递，主要是指盒子或模块内部的热扩散。主要涉及的传输链路为器件——>PCB——>外壳体。自然对流主要是指流体混合作用的热传递，包含盒子或模块与外部环境的热传递。热辐射主要是物体温度产生的电磁波传递能量。涉及盒子或模块与外部环境的热传递。如上自然对流和热辐射的传输链路都为外壳体——>环境。如下图表示了一种典型的新能源车的散热设计流程图。对于整车域控制器而言，由于其承载的相关联ECU终端是比较多的，就有可能造成计算过程中较大的热能，在做硬件设计中，其热设计过程将显得尤为重要。可以将整车域控制器布置在通风且空气对流较好的环境中，这里需要充分考虑其风道设计出口是否存在热风回灌的现象。举个之前研发设计较为失败的粒子说明如何对散热设计才能取得较好的散热效果。如下图所示，当设计整车控制器的风道朝向一边，而安装位置如果位于一个相对较为封闭的环境中，且出风口一边较为靠近密闭边界，那么就很可能其由控制器输出的热风被阻挡反弹回来。这样反弹回来的热空气又将重新进入入风口处，这样就不可能起到很好的散热。因此在散热设计中需要从安装位置（安装位置不仅考虑通风性，还需要考虑出风口是否有足够的风道距离使其充分接触更多的冷空气来降温）、风道设计、控制器整体尺寸、功能降级（由系统工程师根据需要设定降级温度阈值，当超过某个值时降级全功能为部分功能。比如按照环境最高使用温度为85°，那么超过80°时，就将控制功能降级为仅存储功能）等方面进行全方位考虑。若温度规格降低，则整机尺寸可进一步降低（按照玻尔兹曼定律进行计算）。软件方面也可以增加动态温度-功耗控制措施。当然最重要还是在选定布置位置时候选择最合适的布置位置，考虑痛风性、密闭温度限值等因素。当然也有部分有条件的情况下也可以考虑采用水冷措施，当然设计复杂度和成本也是较高。3、硬件通信设计VDC作为一种典型的中央网关，既要能支持CAN通信路由，也要能支持以太网通信路由。一般情况下，CAN通信由于其稳定性、安全性及成熟性。通常用来作为整车控制的信号协议类型，而Ethernet则是更多的承载智能终端数据通信，比如云端通信、智能驾驶数据显示等。设计整车域控制器需要支持多路以太通信，从考虑缩小域控板子尺寸的角度出发考虑，通常将几种不同的芯片布置于不同的板层。本设计的过程考虑行泊车低阶控制过程中，两大重点发热芯片可能产生较大的发热量，因此，分别将两个MPU放在主板和副板上。此外，MCU放在主板上。主板和副板通过以太网Ethernet Switch连接至外部以太网通信端，整个Ethernet Switch的控制和配置由MCU完成。以太网Switch可以直接连出多路1000BASE-T1以及100BASE-TX接口。同时Switch还通过SGMII口和外扩PHY相连，可以引出多路1000BASE-T1口。对于实际通信连接过程中可以充分考虑通过多合一连接器进行信息合并，同时设计过程中充分考虑欠压监测、过温检测以及SQI的读取能力。设计VDC时还需要使用关联ECU通信所需的N路CAN通信且兼容CAN-FD，CAN-FD接口电路采用标准CAN接口电路，支持ESD防护和终端匹配，每路CAN通信需要对应的终端匹配电阻，并预留一定大小的共模电感，选择性的根据EMC实测结果进行贴片。最重要的是支持任意帧CAN唤醒功能。当然，对于一个标准的中央网关来说，还需要支持一定数量的LIN通信，并支持LIN唤醒，通信速率为1~20Kbps。默认为MASTER模式，通过电阻与二极管上拉配置，也可以根据具体需求配置成从模式，接口设计需要设计成ESD防护电路。转载于汽车电子于软件微信公众号

DoIP全称为基于IP网络的诊断通信Diagnostic communication over Internet Protocol，由ISO 13400标准定义，是基 于IP的汽车诊断协议。由于DoIP可以传输大量数据，以及响应速度快，且可以通过以太网进行远程诊断，因此DoIP逐步成为代替传统的CAN等总线方式，成为车载网络诊断的必然趋势。DoIP诊断经由通用的统一诊断服务 UDS协议引入诊断服务，通过传输控制协议TCP、用户数据报协议UDP和以太网协议IP，完成外部测试设备与ECU间的诊断通信。在OSI 7层模型中，ISO 13400规定了DoIP的传输层、网络层、数据链路层和物理层。应用层和会话层部分和基于CAN总线诊断一样采用ISO 14229实现。当然，DoIP并不仅仅只是UDS的载体，虽然在ISO13400标准中内容不多，但是它也有自己的一些逻辑，不可能说在TCP/IP之上加了一层封装就完成了自己的任务，这样的话安全性就没有保证了，毕竟车载以太网通过网络能够将车内与车外进行网络的连接，而DoIP又是诊断的入口，这个门口如果不好好看住，会存在安全性的问题的。

软件定义汽车是大势所趋，在业界已经形成基本共识。但如何落地，落地过程中需要解决哪些关键问题？是每一个参与企业需要首先面对、认清和解决的难题。随着智能汽车的逐步推进，汽车的复杂度在持续的提升，造成智能汽车的开发复杂度越来越难以管理。影响或滞缓智能汽车产业升级发展的主要原因有以下四点：第一：用户体验带来的复杂度提升。随着智能化的发展与普及，用户驾乘体验逐渐从传统的交通工具向第三空间扩展，汽车使用的场景、用户功能等均在大幅度扩展，成百上千的场景、功能组合形成了现在越发复杂的智能汽车体系。第二：技术进步带来的复杂度提升。如越来越大的电池能量密度的追求和快充性能的追求带来了严重的电池安全挑战；人工智能、5G 通信、云计算等多种数据驱动汽车向智能化不断进化的同时，也大幅度增加了软硬件开发复杂度。第三：竞争带来的堆料、堆配置、各种选配等模式导致汽车配置多样性、复杂度快速增长。第四：监管&法规带来的复杂度提升。智能化、网联化赋予汽车智能、便捷体验的同时，也带来了黑客攻击、数据滥用等严重的安全问题。对于传统汽车产业链上下游企业而言，复杂度提升的四大原因，到底意味着什么？这些原因对汽车产业的具体影响和挑战是什么？这都将导致未来智能汽车在配置、硬件、外设、软件的种类与数量将分别增加 10 倍以上。尤其是软件的大量引入将给汽车产业带来五大挑战：第一：技术架构方面，当前架构下任何一个部件的增加、修改、更新都会对整车带来影响，以传统通信矩阵为例，当前修改和配置需要 N 周时间。未来电子电气软硬件数增加 10 倍以上，大量软件的引入，那又意味着什么呢？第二：安全和隐私保护方面，全量测试时间长、代价高，如果部分测试造成漏测会导致什么后果？尤其是安全漏洞被黑客劫持，那对整车厂的品牌和用户粘性会带来什么样的后果？第三：组织流程方面，整车厂如何建立与软件定义汽车开发模式相匹配的组织架构？面对消费者上千种配置组合、上千种体验场景、上万种组合服务和应用，哪些更新推送给所有的用户？哪些推送给限定的用户？第四：商业模式方面，面对软件定义汽车对传统汽车供应链与合作模式的颠覆，产业中各方利益如何分配？如何共同做大产业蛋糕？第五：生态协同方面，传统汽车供应链是 Tier2->Tier1->整车厂线性模式，但对于软件定义汽车时代，一方面会出现新的玩家，比如互联网公司、ICT 科技公司等，甚至出现个人开发者，另一方面整车厂按照传统的采购和项目模式难以满足消费者对汽车常用常新、千车千面的需求，故各企业将围绕以消费者为中心进行产品创新、研发和供应，传统线性模式将被打破，出现以网状合作的形态。但如何合理分工从而优化整车研发效率和成本，成为行业发展的难题。转载于汽车电子于软件微信公众号

1）德赛西威基于多SoC芯片的舱驾融合方案2022年4月，发布车载智能计算平台“Aurora”—— 实现从了从域控制器向中央计算平台的跨越。在硬件层面，该中央计算平台搭载英伟达Orin、高通SA8295和黑芝麻华山A1000三大SoC芯片；在功能层面集成智能座舱、智能驾驶、网联服务等多个功能域；在结构形式上采用插拔式结构 —— 算力可伸缩配置，用于满足不同价位车型的多样化需求。 2）创时智驾基于多SoC芯片的舱驾融合方案（据推测）在硬件层面，正在规划两类高性能的舱驾一体域控制器：基于J5系列芯片和基于Orin系列芯片；在软件层面考虑采用成熟的中间件软件平台、支持多域融合的CarOS软件框架和支持应用软开发的安全组件产品Safety Copilot。3）中科创达A.基于高通SA8295的舱泊融合方案（座舱和泊车功能融合）2022年初，发布基于高通SA8295芯片的硬件平台，实现一芯多屏座舱域控方案，并在高算力（CPU算力200K DMIPS、GPU算力3000G FLOPS、 NPU算力30 TOPS）和多摄像头支持能力下，实现座舱和低速泊车功能的融合，支持360°环视和智能泊车功能。B. 基于高通SA8795芯片的舱驾融合方案（座舱和智驾功能融合）基于高通SA8795芯片（预计，CPU算力240K DMIPS、 NPU算力60 TOPS）布局座舱和智能驾驶的跨域融合方案，并计划于2024年实现量产。转载于汽车电子于软件微信公众号