编者按：《郭继舜带你读汽车科技》旨在从第一性原理出发，尝试拨开迷雾，解读热点背后的汽车科技真相。

本栏目由智能驾驶专家郭继舜博士与汽车之心联合出品，每周一至周五更新，每日一期，内容独家授权汽车之心发布。

今天我们来聊聊华为的智能驾驶域控制器 MDC。

这段时间关于华为的新闻非常多：一方面美国政府对华为的打压力度不断加重，限制令也越来越严苛；另一方面，华为发布的下一代"四无"生态型摄像机，展现自己在机器视觉方面强大研发能力。

在智能驾驶领域，华为在软硬件以及系统上的技术突破也一直受到大家关注。

上个星期，华为在官方微博上宣布，华为自动驾驶操作系统内核，也就是大家所熟知的鸿蒙内核，已获得了功能安全领域最高等级功能安全认证——ISO 26262 ASIL D 认证，华为的鸿蒙内核成为了我国首个获得 ASIL D 认证的操作系统内核。

另外，鸿蒙内核还在 2019 年 9 月获得了信息安全领域最高等级信息安全认证，CC EAL 5+认证。这样，华为自动驾驶操作系统鸿蒙内核已成为业界首个拥有信息安全与功能安全双最高认证的商用 OS 内核。

除此之外，华为的自动驾驶全栈解决方案、MDC 智能驾驶计算平台都先后获得了 ISO 26262 功能安全 ASIL D 级的认证。

华为 OS 内核

刚才我提到的 ISO 26262 汽车功能安全标准是国际标准化组织在 2011 年制定的一项全球性的标准，并且在 2018 年 12 月正式发布了更新版本。

这个标准涵盖了汽车功能性安全需求规划、设计、实施、集成、验证、确认和配置的方方面面，目的是希望通过完善开发流程，将汽车电气或电子系统故障的风险降到最低，是全球电子零部件供应商进入汽车行业的准入门槛之一。

我们在前面的音频里曾经讲过，对于 L3 及以上级别的智能驾驶系统，系统整体必须达到 ASIL-D 的功能安全等级。

我们该如何去理解 ASIL-D 的系统有多安全呢？

我给大家举一个例子。因为汽车功能安全的分析非常复杂，我就简单拿硬件的失效概率这个典型特征给大家举例。

如果我们把华为 MDC 这种满足 ASIL-D 功能安全的控制器量产装车，在大于 10 的 8 次方个小时才会有一次随机硬件失效。

我们按照每天有 3 个小时处在智能驾驶功能开启状态来计算，每年我们用车大约 200 天，这款智能驾驶汽车在全国有 10 万名用户正常使用，配合合理的人机交互机制，这个域控制器每 1667 年才会有一次因为硬件失效造成的严重安全风险。

当然，汽车的功能安全机制是非常复杂的，为了方便大家理解，我在此把它大大简化了。

但从分析结果可以看到，这样高稳定性的硬件系统是非常让人放心的。

回到我们今天讨论的主角，MDC 智能驾驶计算平台，就是华为自动驾驶全栈解决方案中的硬件平台，鸿蒙内核的系统未来是运行在 MDC 硬件上，再与智能驾驶软件算法紧密配合，最终形成可以量产搭载的智能驾驶核心域控制器。

机缘巧合，我有幸在 MDC300 发布没多久就拿到了尚在开发和完善中的华为 MDC300 域控制器的样件。

在半年的时间里，我在这个硬件平台上进行了比较深入的测试与开发工作。今天，咱们就来聊聊华为的智能驾驶域控制器 MDC。

如果不出意外，我们应该是行业内第一个对华为 MDC 公布详细测试结果的。

为此，我专门打电话给华为 MDC 开发的负责人——李振亚老师，获得了他的授权。

接下来的分享可能会非常技术和极客，我会努力把这些信息用相对易懂的方式表达出来。

首先，说说我手里这款华为 MDC300 的硬件。

半年前拿到手的第一印象就是，这是一个完成度很高的车载运算设备：黑色的 MDC300 主机、接口转接模块，一些连接线缆，细节上继承了华为一贯的做工精良。

但可能是样件的原因，仍然采用的是主动风扇散热，以及非密封防水防震的普通接插件，还没有达到车规级的标准，但相信后续在量产车型上使用的时候应该都是车规级状态了。

<p style="color:#333333;font-weight:normal;font-size:16px;line-height:30px;font-family:Helvetica,Arial,sans-serif;hyphens:auto