随着智能汽车全面走向“算力中心化”,“舱驾一体”成为新晋热词——它将座舱与智能辅助驾驶系统,整合至同一平台,让算力更集中、资源更高效、响应更迅速。卓驭在行业首量产的 SA8775P 舱驾一体方案,正是该技术路线的开山之作:单芯片、同一域控,即可同时驱动座舱和智能辅助驾驶,并支持城市NOA。
在享受“舱驾一体”带来的性能与效率提升的同时,部分用户对其安全性也提出了担忧。接下来,我们将对这些关切逐一解答。
01
Q:系统出了问题,会不会直接死机?它的安全冗余机制怎么做?
A:在“舱驾一体”这种高集成架构里,对系统稳定性、容错性、安全冗余都有更高要求。因此,卓驭SA8775P舱驾一体方案在安全上必须做到“既要、也要、还要”。
卓驭从设计阶段就重点考虑了系统级容错能力与故障隔离机制,并构建了一套完整的安全冗余机制:
首先,在硬件工程层面,设计初期即严格遵循 ASPICE 体系,从需求分析、架构设计、元器件选型到开发设计全链路管控,从源头降低失效率;比如在域控制器的方案设计中,需通过高温运行、盐雾腐蚀、随机振动等极端环境可靠性验证,确保设计满足车规级全生命周期要求。
其次,在操作系统底层,在SA8775P平台上,通过Hypervisor虚拟化技术,让QNX(辅助驾驶系统)和Android(座舱系统)运行在不同的虚拟机里,实现 CPU、内存、外设等硬件资源的独立隔离与合理调度,杜绝出现“座舱卡顿拖垮辅助驾驶”这类风险。
在子系统中,卓驭在方案设计中涵盖了全生命周期的容错能力,从故障容忍、故障避免、故障检测、故障恢复等多个角度展开产品设计:包括 AB 分区冗余、双模定位、自恢复机制等,确保关键功能“丢一份还有一份”,异常发生时能快速恢复。
最后,在辅助驾驶应用方面,卓驭构建了多级纵深安全策略。系统具备实时自监测能力,可在识别异常或潜在风险时,分层响应:首先通过语音与灯光提示警示驾驶员;如风险持续升级,将自动触发功能降级,包括主动制动、限制辅助驾驶权限,发出接管请求,直至驾驶员接管,或系统进入安全状态,拉起EPB,打开双闪,保障人机共驾安全。
简言之,“舱驾一体”方案不仅有完善的问题预防机制,更强调“出了问题也能快速隔离,稳定运行”。
02
Q:如果车机卡了,辅助驾驶还能不能用?两个系统会不会“一崩全崩”?
A:不会。卓驭基于SA8775P平台研发的舱驾一体的设计初衷之一,就是为了避免“共因失效”带来的连锁反应。
如上文介绍的安全机制所说,虽然这套方案将座舱与辅助驾驶系统部署在同一个硬件平台上运行,但通过底层虚拟化技术,实现了操作系统、算力资源和硬件接口的严格隔离。车机系统和辅助驾驶系统分别运行在独立的虚拟机中,互不干扰,哪怕车机卡住,辅助驾驶依然可以稳定工作。
同时,在系统安全分析阶段,卓驭方案构建了多道防护机制,比如独立硬件通道、进程隔离、防火墙策略、寄存器锁等,最大幅度降低了座舱异常对辅助驾驶域的干扰可能。
即便出现极端情况导致两个系统同时异常,仪表屏也会自动显示故障提示,辅助驾驶系统立刻引导驾驶员接管。与此同时,平台会触发自恢复机制,优先保障仪表显示等核心功能的快速恢复,确保用户不被“黑屏+接管”双重暴击。
03
Q:软件病毒能通过车机系统入侵辅助驾驶系统吗?
A:这是一个听起来有点“科幻”的问题,有用户可能会想:“在车机上装了个 App,插了个 U 盘,会不会整个车都被黑了?”
答案是:不会。
这是对“舱驾一体”架构最常见的误解之一。但在卓驭基于SA8775P平台研发的舱驾一体解决方案中,车机系统和辅助驾驶系统本质上就是两个完全隔离的操作环境,病毒跨系统传播的路径几乎被彻底封死。
从底层来看,车机系统运行在由辅助驾驶系统虚拟化出的独立虚拟机空间中。虽然它们共用同一块物理硬件,但包括内存、存储、执行权限在内的关键资源都已彻底隔离。车机上的 App 没有任何权限访问辅助驾驶系统的关键资源,更别提控制它了。
再者,两套系统运行的操作系统完全不同:车机跑的是 Android,辅助驾驶跑的是 QNX。这种“异构系统”隔离也会将病毒隔离开。系统之间也建立了严密的通信安全策略:两者只开放经过白名单授权的通信链路,非法数据进不来;再配合MAC(强制访问控制)权限机制,从机制上彻底封住了“越权通道”。
所以就算用户自己在座舱里“瞎折腾”,辅助驾驶系统也能稳稳当当,不受干扰。
04
Q:除了这些之外,还有哪些机制在保障用户安全?
A:除了前面提到的资源隔离、故障容错、权限封闭之外,卓驭基于SA8775P平台研发的舱驾一体在“防止非预期异常影响驾驶安全”这件事上,其实还埋了不少“暗桩”。
首先是硬件级安全加固与可信执行环境,平台在硬件层面集成了安全启动(Secure Boot)和可信平台模块(TPM)等机制,确保只有经过数字签名的固件和软件才能加载,防止恶意代码在启动链中植入。同时,关键计算单元(如辅助驾驶核心)运行在隔离的硬件 enclave(如TrustZone)中,即使其他部分被干扰,辅助驾驶功能也能在受保护的环境中持续运作。
其次是纵深防御与最小权限原则,系统采用“纵深防御”(Defense in Depth)策略,在虚拟化层、操作系统层、应用层均部署了独立的安全网关和审计模块。例如,通信总线(如CAN)增加了数据加密和完整性校验,防止中间人攻击;每个功能模块的权限被严格限定为“最小必需”,即使某一组件被突破,也无法横向移动。
结语
融合≠风险叠加,反而是一次安全重构
表面看,卓驭基于SA8775P平台研发的舱驾一体像是把车机系统和辅助驾驶系统“绑定”在了一起;但本质上,它做的是系统安全的再设计与重构。
通过虚拟化隔离、通信权限最小化、防火墙式架构策略与多级容错机制,这套“舱驾一体”方案在性能和资源协同之间找到了更优平衡点,同时又构筑起一套“严控、严防、可恢复”的安全底座。
与过去那种“你走你的、我跑我的”的分布式架构不同,卓驭方案更像是一次把算力中心与功能逻辑统筹在一套体系内的全面进化——它不是简单的集成,而是一次有控制、有边界、有闭环的安全融合。
卓驭始终坚信:安全,永无止境!
唯有坚持重视安全文化、深耕产品安全、筑牢安全流程、严抓安全验证,方能打造出真正安全的产品。
