通用用全新电子架构的安全性回敬特斯拉

近年来，特斯拉总是被汽车行业外人士拿来当做“羞辱”传统汽车企业的“利器”。其中被对比最多的是美国的通用汽车。从股价到整车OTA，似乎凡是特斯拉所做的，就是前卫与正义，但事实真的是如此吗？笔者并不这么认为。

用安全性能回敬特斯拉

就拿整车OTA为例，海外媒体就曾用“通用落后特斯拉十年才拥有整车OTA能力”的刺眼标题进行比较。但通用汽车真的这样“孱弱”吗？其实在2016年，当时的通用全球产品开发负责人就给出了整车OTA面世之所以会晚于特斯拉的原因——安全。

不可否认，特斯拉的整车电子化架构，确实有概念超前之处。以博世在2017年汽车行业会议上分享的整车电子电气架构战略图为例，它将整车电子电气架构发展划分为6个阶段：模块化阶段，功能集成阶段，中央域控制器阶段，跨域融合阶段，车载中央电脑和区域控制器，车载云计算阶段。

当下大部分汽车仍处在最底层阶段时，特斯拉的Model3已然处在了六阶段中的第二高阶段。仅通过自动驾驶及娱乐控制模块（中央计算模块CCM）、右车身控制模块（BCM RH）、左车身控制模块（BCM LH），三个控制器控制整个车辆。但这样做的最大弊端就是安全问题。

虽然这样的设计简化了汽车电子网络拓扑结构，但由于各种数据的相互融合也带来了安全隐患。例如，智能座舱系统 ECU 将原有的车载信息娱乐系统与 V2X，HMI，仪表等数据融合在一起处理；但根据功能安全 ISO 26262 标准定义，仪表的某些关键数据和代码与 HMI 的代码属于不同等级要求（ASIL），从安全角度应该进行物理上的隔绝。因而这样的设计与汽车电子功能安全标准背道而驰。一旦自动驾驶及娱乐控制模块失守，黑客便可以通过扰乱驾驶室内的信息，以及车辆的ADAS信息，对安全构成威胁。特别是将容易接入外部信息的娱乐模块与自动驾驶模块绑定至同一个控制器。从结构上看由于缺少物理阻隔，也没有对应的冗余控制设计，这无疑给黑客创造了足够大的操作空间。

虽然特斯拉一直喜欢邀请白帽黑客来帮助其验证系统安全性，但架构上的设计缺陷，使其必须采用类似苹果的系统开发思路——环境相对封闭，笔者猜测这就是为什么到目前为止，在特斯拉的大屏幕上仅有少的可怜的，而且仅是资方腾讯的应用，因为安全性可控。

因为一旦向广大第三方开放，系统安全将受到极大威胁。在今年三月举行的“世界黑客大赛Pwn2Own”，两位安全员就是在受CCM控制的网络浏览器上发现JIT (just-in-time)漏洞，成功攻破Model 3的系统，并在仪表显示屏上留下“到此一游”的字样。这一例证再次证明了，Model 3所谓“创新”的电子电器架构，实际存在着结构安全缺陷。

借鉴飞机安全系统思路的混合型架构

对于汽车行业而言，步子迈得大，路不一定走得好。晚于特斯拉的通用，带来的电子架构，被命名为Global B。

这套近期登陆中国的全新电子电器架构，通用官方对其性能进行了如下表述：“每小时能够处理多达4.5TB的数据，数据处理能力相比目前提升五倍。在100Mbps，1Gbps 及10Gbps高速以太网的支持下，该电子架构能实现更快速的车内、外通信，极大地提升系统运行效率。”

如此高的传输速度，对于数据安全性的管理能力是极大的挑战。就好比地铁入口处的客流量突然暴增五倍，如果不优化安检措施，便会给图谋不轨者可乘之机。

通用的有备而来，笔者认为可能是源于其在架构层面的独创性。在与通用汽车全球电气化产品、系统及软硬件副总裁丹·尼科森（Dan Nicholson）的沟通中，他向BAO爱车工作室透露，这套电子电气架构安全系统的开发，是对标的航空安全系统。采用的是混合型---域+非域控制器方案。它确实存在应用于某个域的主导控制器，例如控制发动机、电气化的驱动控制器；同时也有基于位置的控制器，比如车辆尾部控制模块主要负责管理车辆尾部的功能。但主体思路，并非特斯拉式的“万物集成”。

从飞机的安全系统开发来看，最核心的思路之一就是物理隔绝。例如大部分飞机的飞行管理系统（Flight management system）都是在一个封闭内网环境中运行，与飞机娱乐系统（In-flight entertainment system）使用的是不同网络，即使黑客通过机上WiFi，USB，亦或者是通过座位下的娱乐电脑信息接口（非开放，需人为打开），黑入飞机娱乐系统，也无法对飞机的飞行进行操控。

不过，随着技术的发展，部分机型也采用了与特斯拉同样的架构，由以太网连接，并将娱乐系统与核心操作系统相连。根据海外航空专家的报告显示：“此前，波音787的系统让乘客可通过网络接触到以前封闭的数据系统，这一数据系统又与飞行安全保障体系紧密相连。”报告指出，这一情况可能让心怀不轨的人得以通过这一系统侵入飞行系统。

不过全新的Global B或许不会出现同样的问题。通用汽车是最早创建全球产品网络信息安全组织的汽车制造商之一，Global B 架构由通用汽车全球团队共同开发，整个研发团队由 300 多名电气、硬件和软件工程师以及计算机科学家组成，研发过程中产生了 100 多项专利。根据尼科森透露，这套架构在关键控制单元实现了物理隔离之外，在软件层面，也使用了Hypervisor虚拟器设计，也就是说在软件层面，也进行了应用层系统与底层代码的隔离，做到了双保险。

为了保证质量和可靠性，通用对该架构进行了三种不同级别的验证测试，哪怕由供应商负责的零部件验证，也是按照通用的标准严格执行。在早期模型阶段，通用对整个电子架构进行了车辆环境验证，以确保其在车辆环境中的工作。而台架验证则贯穿了整个开发过程。

值得一提的是，位于通用汽车中国前瞻技术中心和泛亚技术中心的实验室也参与了这个新系统的验证和测试，确保它可以在中国的网络环境中正常运行。相信未来在安全层面，Global B会有尚佳的表现。

2025年半数中国上市全球车型替换为Global B架构

据悉，通用汽车正在向电气化、智能互联、自动驾驶和共享领域加大投入，以早日实现“零事故、零排放、零拥堵”的愿景。全新的电子架构将为各方面的技术革新提供硬件基础，特别是在电动车和自动驾驶领域，使先进技术快速实现跨品牌、跨平台的广泛应用。预计到2025年，通用汽车在中国推出的全球品牌车型中超过半数都将搭载这一全新电子架构。

作为这套架构的排头兵，凯迪拉克CT5将于第四季度在中国上市，其上市时间将与美国市场几乎同步。凭借全面提升的带宽和处理能力，全新电子架构将加速包括Super Cruise超级智能驾驶系统、智能网联系统在内的先进技术的推广。据悉，CT5车型上的Super Cruise将包含转向灯自动并线功能。而CT5上，几乎所有基于软件调校的车载系统都可以在整个车辆使用周期中实现类似智能手机OTA的软件在线升级和功能更新。根据通用官方透露，Global B的性能和效率将能够助力未来智能电动汽车实现更高的续航里程。

写在最后：

不可否认，造车新势力，包含特斯拉在内，在很多层面都给予了汽车产业非常重要的启示和变革，但传统造车企业，在新技术的开发方面其实也同样积极，只是模式不一样。相比于特斯拉，笔者个人更倾向于通用的做法，认为他们的做法相对更加稳妥，对车主的生命、信息安全也更有保障。希望所有汽车新晋玩家都能有所启示。还是那句话，造车，步子迈的大，不一定路走的好。把每一步走稳，走踏实，才能走得长远。

更多资讯，欢迎关注“BAO爱车工作室”！