汽車(chē)領(lǐng)域的操作系統(tǒng)正伴隨電子電氣架構(gòu)的集成化而不斷演進(jìn)。

2002年前，操作系統(tǒng)以簡(jiǎn)單輕量為主要特點(diǎn)，被應(yīng)用于低性能MCU中，其功能也僅限于簡(jiǎn)單信號(hào)的處理；2002-2017年間，Classic AUTOSAR引入了RTE標(biāo)準(zhǔn)中間通信模型和標(biāo)準(zhǔn)BSW，操作系統(tǒng)開(kāi)始在高性能MCU中得到應(yīng)用；軟件定義汽車(chē)的浪潮下，CarOS的市場(chǎng)空間將愈發(fā)廣闊。

2022年11月15日，由蓋世汽車(chē)主辦，上海虹橋國(guó)際中央商務(wù)區(qū)管委會(huì)、上海閔行區(qū)人民政府指導(dǎo)，上海南虹橋投資開(kāi)發(fā)（集團(tuán)）有限公司協(xié)辦的2022第二屆智能汽車(chē)域控制器創(chuàng)新峰會(huì)上，零念科技工程總監(jiān)程宇昕表示，基于行業(yè)痛點(diǎn)，零念科技提供符合SOA架構(gòu)、自主可控且經(jīng)過(guò)全球多款量產(chǎn)車(chē)型驗(yàn)證的車(chē)規(guī)級(jí)智能駕駛操作系統(tǒng)與配套中間件服務(wù)，為智能汽車(chē)和智能駕駛提供自主可控、高度可擴(kuò)展的基礎(chǔ)軟件平臺(tái)和定制化解決方案。

零念科技工程總監(jiān) 程宇昕

今天的議題是智能汽車(chē)操作系統(tǒng)的演變，零念是基于SOA架構(gòu)提供車(chē)規(guī)級(jí)軟件中間件和工具鏈的公司，講到操作活動(dòng)和中間件，先簡(jiǎn)單回顧一下操作系統(tǒng)演進(jìn)的過(guò)程。

操作系統(tǒng)演進(jìn)歷程

未來(lái)十年，我們?cè)谄?chē)領(lǐng)域需要一個(gè)什么樣的軟件操作系統(tǒng)？這是一個(gè)很開(kāi)放性的話(huà)題，也是最近很多同仁們共同討論和演進(jìn)的話(huà)題，這個(gè)話(huà)題特別大，但是比如操作系統(tǒng)需要的核心特性，比如開(kāi)放性、可擴(kuò)展性、高安全性、面向服務(wù)的特點(diǎn)則是大家已達(dá)成的共識(shí)性技術(shù)要求。

2002年，OSEK操作系統(tǒng)標(biāo)準(zhǔn)提出，旨在向?qū)崟r(shí)性和兼容性達(dá)到一定的平衡，這個(gè)標(biāo)準(zhǔn)出來(lái)之后，大量Tier1開(kāi)始將自己的標(biāo)準(zhǔn)引入到產(chǎn)品中，但還是沒(méi)有解決應(yīng)用層和操作系統(tǒng)，尤其是實(shí)時(shí)系統(tǒng)解耦的問(wèn)題。

到了2011年，針對(duì)OEM的應(yīng)用層開(kāi)發(fā)需求，CP AUTOSAR得到廣泛應(yīng)用，CP AUTOSAR為軟硬件解耦帶來(lái)革命性的變化。2017之后，面向服務(wù)或者更高階的需求被提出，面向服務(wù)的架構(gòu)偏偏是CP AUTOSAR的缺陷，這一情況下AP誕生了，從而引入了面向服務(wù)和更多高階SOA的架構(gòu)。

我們看來(lái)，AP是對(duì)CP的補(bǔ)充，而非完整的替代。在未來(lái)的HPC和區(qū)域控制器更高融合性的架構(gòu)下，如何融合CP和AP共同的特點(diǎn)，從而更好地保證汽車(chē)高級(jí)功能的引入，保障信息安全與功能安全，這些都是未來(lái)OS發(fā)展的重點(diǎn)方向。

軟件架構(gòu)的發(fā)展方向

接下來(lái)具體介紹軟件架構(gòu)的發(fā)展方向，高階功能應(yīng)用正慢慢從傳統(tǒng)的IT行業(yè)/AI行業(yè)向汽車(chē)行業(yè)引入，直接推動(dòng)車(chē)規(guī)級(jí)芯片的發(fā)展，像英偉達(dá)、地平線(xiàn)，SOC架構(gòu)的高階算力芯片快速走入市場(chǎng)，帶動(dòng)域控架構(gòu)的發(fā)展。

底軟方面，剛才也提到了AP的發(fā)展，包括Linux在汽車(chē)領(lǐng)域的引入，這些都帶來(lái)了結(jié)構(gòu)性的整體變化，從零念科技的角度看，我們的專(zhuān)注點(diǎn)還是在中間層，我們希望利用中間件這個(gè)方向，能夠?yàn)檐浻布怦睢⒉僮飨到y(tǒng)的使用、綜合使用、跨域使用等提供更好的解決方案。

除了中間件解耦，安全性仍然是目前自動(dòng)駕駛域最大的挑戰(zhàn)，智駕安全性的頻發(fā)是L3或者L4落地的最大瓶頸。講到操作系統(tǒng)安全性，其問(wèn)題的表現(xiàn)和原因?yàn)楹危靠赡芫C合起來(lái)有以下幾個(gè)方面的影響：第一，缺乏Failed-Safety邏輯。傳統(tǒng)汽車(chē)領(lǐng)域強(qiáng)調(diào)功能安全，建立了完善的系統(tǒng)分析方法論，會(huì)有失效、診斷、保障、冗余備份等各種各樣的系統(tǒng)邏輯來(lái)保證安全，而現(xiàn)在進(jìn)入跨域和智駕領(lǐng)域之后，行業(yè)在這方面的思考和布局都不是很充分。

第二，系統(tǒng)資源的無(wú)序搶占甚至造成系統(tǒng)死鎖，這也是安全的根本瓶頸，尤其在SOA架構(gòu)所帶來(lái)一致性的挑戰(zhàn)，偶發(fā)的無(wú)序搶占和系統(tǒng)鎖死都會(huì)導(dǎo)致系統(tǒng)崩潰。第三，缺乏必要的安全隔離，單體的漏洞導(dǎo)致系統(tǒng)安全問(wèn)題，我也是有十幾年CP經(jīng)驗(yàn)的工程師，在從業(yè)過(guò)程中，CP一直在不斷地迭代安全隔離的方法論，而轉(zhuǎn)入面向服務(wù)的SOA架構(gòu)后，其安全隔離的方法論仍待更新。

第四，通信缺乏嚴(yán)格實(shí)時(shí)性和可靠性保證。第五，未知的極端案例，類(lèi)似像障礙物識(shí)別過(guò)程中的未知極端情況等問(wèn)題。第六，信息安全的問(wèn)題，這一點(diǎn)已經(jīng)耳熟能詳，尤其在歐洲對(duì)于信息安全方面是非常重視的，如何保障信息安全，其實(shí)很大程度上要從中間件層面切入，而不是在算法的層面，因?yàn)樗惴ū旧砀P(guān)注于自己的具體功能。

前面的話(huà)題特別多，不可能每個(gè)話(huà)題都用很短的時(shí)間為大家展開(kāi)，細(xì)數(shù)目前智能駕駛在安全性上的缺陷，是為了將話(huà)題專(zhuān)注在安全性、特別是實(shí)時(shí)性問(wèn)題上。現(xiàn)實(shí)情況往往會(huì)引入高度復(fù)雜的任務(wù)流程，系統(tǒng)的安全在全鏈條下的面臨著許多相互依存、相互排斥的任務(wù)的挑戰(zhàn)。

相比過(guò)去，在域控制器的發(fā)展大勢(shì)下，信號(hào)的鏈路長(zhǎng)度，跨系統(tǒng)MCU實(shí)時(shí)系統(tǒng)，SOC非實(shí)時(shí)的、或面向服務(wù)的操作方式，這三者構(gòu)成了一個(gè)多學(xué)科、需綜合性考量的執(zhí)行鏈路結(jié)構(gòu)。因?yàn)槠鋸?fù)雜性導(dǎo)致了研發(fā)團(tuán)隊(duì)在整個(gè)安全方法論上面臨著巨大的挑戰(zhàn)。

再回到剛才的感知過(guò)程，如果將整個(gè)任務(wù)分組到計(jì)算鏈路當(dāng)中，通過(guò)高精度的組織和安排滿(mǎn)足這些任務(wù)的相互依存性和延遲要求，這是確保系統(tǒng)的任務(wù)執(zhí)行的必要性關(guān)鍵因素。

而確定性任務(wù)計(jì)算鏈可以妥善管理許多相互依存、相互排斥的任務(wù)，通過(guò)時(shí)間確定性確保系統(tǒng)的安全：

如果按照這樣一個(gè)計(jì)算鏈路過(guò)程和系統(tǒng)分析方法論，我希望可以在700毫秒完成40米的冗余剎車(chē)。并且要在系統(tǒng)設(shè)計(jì)的過(guò)程中安排一定的措施，保障700毫米的精確性，只有通過(guò)這樣精確的編排才能夠保證系統(tǒng)的可確定性，確定性才能最后安全的合理保證條件。

PowerD-Sch確定性調(diào)度中間件

針對(duì)這種確定性，現(xiàn)在已經(jīng)有很多標(biāo)準(zhǔn)在行業(yè)內(nèi)推出，零念科技在這個(gè)基礎(chǔ)上也做了很多嘗試和努力，我個(gè)人也研究了很多標(biāo)準(zhǔn)，希望可以打造一個(gè)既有安全性又不會(huì)破壞開(kāi)放生態(tài)的融合性平臺(tái)。

在MCU端，我們推出了一個(gè)PowerD-Sch軟件模塊，這是CP結(jié)構(gòu)下類(lèi)似CDD的軟件模塊，是充分基于CP的方法論實(shí)現(xiàn)軟件的移植嵌入和融合；AP側(cè)也設(shè)置了一個(gè)PowerD-Sch的軟件模塊，也是類(lèi)似CDD，但屬于service的軟件模塊。

結(jié)合AP+CP兩端的軟件模塊，和標(biāo)準(zhǔn)通信中間件，我們就可以實(shí)現(xiàn)跨域的時(shí)間統(tǒng)一編排，保障任務(wù)執(zhí)行鏈路的確定性和完整性。

圖片來(lái)源：零念科技

那么PowerD-Sch確定性調(diào)度中間件包含了什么呢？我們看下圖，首先包含了TTS時(shí)間觸發(fā)調(diào)度模組，用以將整個(gè)任務(wù)分組到計(jì)算鏈路中，而且在經(jīng)過(guò)確定編排的時(shí)間內(nèi)進(jìn)行觸發(fā)，一旦有一些任務(wù)超時(shí)，就可以在可感知的狀態(tài)下進(jìn)行應(yīng)對(duì)，提供安全性保障。還包含SES事件觸發(fā)調(diào)度。

我們還考慮到兩種觸發(fā)調(diào)度的融合性，兩者的優(yōu)先級(jí)和狀態(tài)都在統(tǒng)一service的監(jiān)控下。下面挑幾個(gè)模塊具體說(shuō)一下，首先是狀態(tài)管理，狀態(tài)管理當(dāng)然離不開(kāi)AP AUTOSAR的EM和SM，實(shí)際這個(gè)任務(wù)的狀態(tài)管理就是為了向EM和SM提供我們自己的輸入和輸出，能夠把目前有的接口和機(jī)制融合進(jìn)來(lái)。

配置管理基于AP的方法論，希望通過(guò)Jason文件的方式，在運(yùn)行過(guò)程中或者動(dòng)態(tài)加載的配置信息，而不是靜態(tài)的，所以這套軟件中間件能夠更好的融合AP的方法論，這里會(huì)有一個(gè)配置管理的組件部分去做這部分工作。

資源管理針對(duì)的是一個(gè)普遍的行業(yè)痛點(diǎn)：目前在SOC領(lǐng)域，大家對(duì)于CPU內(nèi)存等資源沒(méi)有一個(gè)統(tǒng)一管理、預(yù)分配的標(biāo)準(zhǔn)，沒(méi)有資源隔離，會(huì)造成一定的潛在安全問(wèn)題。我們希望基于需要調(diào)度的可執(zhí)行單元，提供資源的預(yù)分配和優(yōu)先級(jí)管理，讓這部分形成一定的安全隔離，最終達(dá)到安全性的提升。

調(diào)度策略這方面，更多是為了優(yōu)先級(jí)；安全策略是為了讓更多的調(diào)度符合功能安全的方法論，線(xiàn)程池更多是為了解決SOC側(cè)的并發(fā)性問(wèn)題；而日志記錄和時(shí)鐘同步就是標(biāo)準(zhǔn)化的模塊了；最左側(cè)有一個(gè)上位機(jī)工具，這個(gè)主要是為了調(diào)度的統(tǒng)一編排管理。

我們自己也做了很多代碼生成和GUI配置信息生成的組件，還有一個(gè)靜態(tài)可觀察、用于review的狀態(tài)調(diào)度表，還設(shè)置了調(diào)度監(jiān)控和通信監(jiān)控模塊，以用于設(shè)計(jì)之后的驗(yàn)證階段。這一套東西其實(shí)是完整的確定性調(diào)度中間件的解決方案，希望能夠?yàn)檎麄€(gè)系統(tǒng)的安全提供必要的保障。

圖片來(lái)源：零念科技

面向服務(wù)的軟件架構(gòu)

下圖是一個(gè)簡(jiǎn)單的配置生成工具方法界面展示，最左側(cè)是如何配置時(shí)間、系統(tǒng)事件的時(shí)間點(diǎn)、前后順序、邏輯關(guān)系，可以組合一些事件和時(shí)間的因素（與/ 或），類(lèi)似AUTOSAR的模型搭建過(guò)程，搭建完了以后就會(huì)很容易生成一個(gè)arxml文件，利用這樣一套工具，就可以在1-2個(gè)小時(shí)內(nèi)完成軟件的系統(tǒng)迭代，然后在嵌入式軟件里進(jìn)行API的修改，整套東西就跑起來(lái)了。

圖片來(lái)源：零念科技

下圖左是調(diào)度表，可以看到有很多的可能性單元，在一個(gè)系統(tǒng)迭代完之后，這個(gè)調(diào)度表會(huì)檢查在編排過(guò)程中間是否有問(wèn)題，甚至可以調(diào)優(yōu)，如果你一直用一些Default的方式，這個(gè)調(diào)度表就可以按照可容許的時(shí)間線(xiàn)，所有的東西都盡量錯(cuò)開(kāi)去運(yùn)行，保障不會(huì)發(fā)生無(wú)序鎖死的狀態(tài)。

能夠看到經(jīng)過(guò)優(yōu)化之后，它有一條完全錯(cuò)開(kāi)、直線(xiàn)上升的線(xiàn)程，不會(huì)有任何的執(zhí)行單位處在相互交錯(cuò)的狀態(tài)。最右側(cè)是一個(gè)上位機(jī)工具，叫Runtime，用以檢測(cè)運(yùn)行結(jié)構(gòu)和編排的狀態(tài)是否一致。

圖片來(lái)源：零念科技

我們這套工具的核心優(yōu)勢(shì)在于，第一，確定性執(zhí)行。我們做過(guò)很多時(shí)間片的優(yōu)化和系統(tǒng)優(yōu)化的工作；第二，更廣泛的多核異構(gòu)。不僅在SOC側(cè)，在傳統(tǒng)的MCU側(cè)也有布置，能夠在不同芯片之間形成聯(lián)系；第三，高安全的SOA通信；第四，支持仿真和虛擬化；第五，功能安全/信息安全策略。

零念科技About LinearX

零念科技成立于2021年，專(zhuān)注于智能駕駛平臺(tái)軟件，尤其是安全領(lǐng)域的開(kāi)發(fā)，聚焦于自主研發(fā)的中間件技術(shù)，我們的工具鏈和整套中間件軟件，都是團(tuán)隊(duì)技術(shù)不斷迭代而來(lái)的，這種可靠性、安全性、實(shí)時(shí)性的互通是最核心的價(jià)值。

雖然成立時(shí)間不長(zhǎng)，但是因?yàn)閷?zhuān)注于行業(yè)內(nèi)缺少穩(wěn)定解決方案的方向，我們已經(jīng)獲得OEM和Tier1的諸多定點(diǎn)項(xiàng)目，能夠在量產(chǎn)系統(tǒng)中提供自己的這套方案。

零念科技不僅有自己的產(chǎn)品，也會(huì)提供中間件和底軟服務(wù)，包括跨域通信，本著初創(chuàng)公司的開(kāi)放態(tài)度為行業(yè)提供定制化的服務(wù)與工作。應(yīng)用層方面，尤其擅長(zhǎng)調(diào)度和量產(chǎn)功能安全的服務(wù)，提供全流程化的工具鏈，零念科技將持續(xù)提供專(zhuān)業(yè)、可靠、安全的產(chǎn)品和服務(wù)，為整個(gè)行業(yè)貢獻(xiàn)自己的力量。

（以上內(nèi)容來(lái)自零念科技工程總監(jiān)程宇昕于2022年11月15日由蓋世汽車(chē)主辦，上海虹橋國(guó)際中央商務(wù)區(qū)管委會(huì)、上海閔行區(qū)人民政府指導(dǎo)，上海南虹橋投資開(kāi)發(fā)（集團(tuán)）有限公司協(xié)辦的2022第二屆智能汽車(chē)域控制器創(chuàng)新峰會(huì)發(fā)表的《CarOS的進(jìn)化之路--一場(chǎng)安全性與靈活性的博弈》主題演講。）

返回第一電動(dòng)網(wǎng)首頁(yè) >