汽車(chē)領(lǐng)域的操作系統(tǒng)伴隨著電子和電氣架構(gòu)的集成而發(fā)展。

在2002年之前，操作系統(tǒng)因其簡(jiǎn)單輕便而用于低性能的MCU，功能僅限于簡(jiǎn)單的信號(hào)處理2002—2017年，經(jīng)典AUTOSAR引入RTE標(biāo)準(zhǔn)中間通信模型和標(biāo)準(zhǔn)BSW，操作系統(tǒng)開(kāi)始在高性能MCU中應(yīng)用，在軟件定義汽車(chē)的浪潮下，CarOS的市場(chǎng)空間會(huì)越來(lái)越廣

日前，由蓋世汽車(chē)主辦，上海虹橋國(guó)際中央商務(wù)區(qū)管理委員會(huì)，上海市閔行區(qū)人民政府指導(dǎo)，海南虹橋投資發(fā)展有限公司協(xié)辦的2022第二屆智能車(chē)輛域控制器創(chuàng)新峰會(huì)上，零念科技工程總監(jiān)程雨欣表示，基于行業(yè)痛點(diǎn)，零念科技提供符合SOA架構(gòu)，自主可控，全球多款量產(chǎn)車(chē)型驗(yàn)證的車(chē)輛級(jí)智能駕駛操作系統(tǒng)及配套中間件服務(wù)，

零壹科技工程總監(jiān)程雨欣

今天的話題是智能汽車(chē)操作系統(tǒng)的進(jìn)化零度智控是一家提供基于SOA架構(gòu)的汽車(chē)級(jí)軟件中間件和工具鏈的公司說(shuō)到操作活動(dòng)和中間件，先簡(jiǎn)單回顧一下操作系統(tǒng)的進(jìn)化過(guò)程

操作系統(tǒng)的演變

未來(lái)十年，汽車(chē)領(lǐng)域需要什么樣的軟件操作系統(tǒng)這是一個(gè)很開(kāi)放的話題，最近很多同事都在討論和演變這個(gè)題目特別大，但是比如操作系統(tǒng)所要求的核心特性，比如開(kāi)放性，可擴(kuò)展性，高安全性，面向服務(wù)的特性，是大家都達(dá)到的共同技術(shù)要求

2002年，OSEK操作系統(tǒng)標(biāo)準(zhǔn)提出，旨在實(shí)現(xiàn)實(shí)時(shí)性和兼容性之間的某種平衡這個(gè)標(biāo)準(zhǔn)出來(lái)后，大量Tier1開(kāi)始將自己的標(biāo)準(zhǔn)引入產(chǎn)品，但仍然沒(méi)有解決應(yīng)用層和操作系統(tǒng)，尤其是實(shí)時(shí)系統(tǒng)的解耦問(wèn)題

到2011年，CP AUTOSAR已經(jīng)被廣泛應(yīng)用于滿足OEM的應(yīng)用層開(kāi)發(fā)要求，CP AUTOSAR為軟硬件的解耦帶來(lái)了革命性的變化2017年以后提出了面向服務(wù)或者更高階的需求，但是面向服務(wù)的架構(gòu)是CP AUTOSAR的缺陷在這種情況下，AP誕生了，從而引入了面向服務(wù)和更高階的SOA架構(gòu)

在我們看來(lái)，AP是CP的補(bǔ)充，不是完全的替代在未來(lái)HPC和區(qū)域控制器更高集成度的框架下，如何整合CP和AP的共同特性，從而更好地保證汽車(chē)高級(jí)功能的引入，保證信息安全和功能安全，是未來(lái)OS發(fā)展的重點(diǎn)方向

軟件體系結(jié)構(gòu)的發(fā)展方向

接下來(lái)詳細(xì)介紹了軟件體系結(jié)構(gòu)的發(fā)展方向高級(jí)功能應(yīng)用正從傳統(tǒng)的IT行業(yè)/AI行業(yè)慢慢引入到汽車(chē)行業(yè)，直接推動(dòng)了汽車(chē)級(jí)芯片的發(fā)展采用NVIDIA，Horizon和SOC架構(gòu)的高級(jí)計(jì)算芯片快速進(jìn)入市場(chǎng)，推動(dòng)了域控制架構(gòu)的發(fā)展

軟的方面，剛才我提到了AP的發(fā)展，包括Linux在汽車(chē)領(lǐng)域的引入，都帶來(lái)了結(jié)構(gòu)性的整體變化從零思維技術(shù)的角度來(lái)看，我們的重點(diǎn)還是在中間層我們希望以中間件為方向，為軟硬件解耦，操作系統(tǒng)使用，綜合使用，跨領(lǐng)域使用等提供更好的解決方案

除了中間件解耦，安全仍然是目前自動(dòng)駕駛領(lǐng)域最大的挑戰(zhàn)，智能駕駛的頻繁安全是L3或L4落地的最大瓶頸說(shuō)到操作系統(tǒng)安全，它的問(wèn)題有哪些表現(xiàn)和原因可能會(huì)產(chǎn)生以下影響:第一，缺乏失效—安全的邏輯傳統(tǒng)汽車(chē)領(lǐng)域強(qiáng)調(diào)功能安全性，并建立了完善的系統(tǒng)分析方法會(huì)有各種系統(tǒng)邏輯，如故障，診斷，保護(hù)，冗余備份等以確保安全但進(jìn)入跨領(lǐng)域，智能駕駛領(lǐng)域后，行業(yè)在這方面的思考和布局并不充分

其次，系統(tǒng)資源的無(wú)序搶占甚至導(dǎo)致系統(tǒng)死鎖，這也是安全性的根本瓶頸，尤其是SOA架構(gòu)帶來(lái)的一致性挑戰(zhàn)偶爾的無(wú)序搶占和系統(tǒng)鎖定會(huì)導(dǎo)致系統(tǒng)崩潰第三，缺乏必要的安全隔離導(dǎo)致系統(tǒng)安全問(wèn)題我也是一個(gè)有十幾年CP經(jīng)驗(yàn)的工程師在我的實(shí)踐過(guò)程中，CP一直在不斷迭代安全隔離的方法論，但其安全隔離的方法論在轉(zhuǎn)移到面向服務(wù)的SOA架構(gòu)后，仍然需要更新

第四，通信缺乏嚴(yán)格的實(shí)時(shí)性和可靠性保障第五，未知極端情況，比如障礙識(shí)別過(guò)程中的未知極端情況第六，信息安全的問(wèn)題大家都很熟悉，尤其是在歐洲，信息安全是很受重視的其實(shí)如何保證信息安全，很大程度上取決于中間件層面，而不是算法層面，因?yàn)樗惴ū旧砀⒅刈约旱木唧w功能

我們面前的話題很多，不可能短時(shí)間內(nèi)為大家展開(kāi)每一個(gè)話題盤(pán)點(diǎn)目前智能駕駛的安全缺陷，是為了關(guān)注安全，尤其是實(shí)時(shí)性問(wèn)題現(xiàn)實(shí)中經(jīng)常會(huì)引入高度復(fù)雜的任務(wù)流程，系統(tǒng)的安全性面臨著全鏈條下眾多相互依賴(lài)又相互排斥的任務(wù)的挑戰(zhàn)

與過(guò)去相比，在域控制器的發(fā)展趨勢(shì)下，信號(hào)的鏈路長(zhǎng)度，跨系統(tǒng)的MCU實(shí)時(shí)系統(tǒng)和SOC的非實(shí)時(shí)或面向服務(wù)的運(yùn)行模式構(gòu)成了多學(xué)科，綜合性的執(zhí)行鏈路結(jié)構(gòu)由于其復(fù)雜性，R&D團(tuán)隊(duì)在整個(gè)安全方法論上面臨著巨大的挑戰(zhàn)

回到剛才的感知過(guò)程，如果將整個(gè)任務(wù)分組為計(jì)算環(huán)節(jié)，通過(guò)高精度的組織和安排，滿足這些任務(wù)的相互依賴(lài)和延時(shí)要求，這就是保證系統(tǒng)任務(wù)執(zhí)行必要性的關(guān)鍵因素。

確定性任務(wù)計(jì)算鏈可以恰當(dāng)?shù)毓芾碓S多相互依賴(lài)又相互排斥的任務(wù)，通過(guò)時(shí)間確定性保證系統(tǒng)的安全性:

按照這樣的計(jì)算環(huán)節(jié)流程和系統(tǒng)分析方法論，我希望能在700毫秒內(nèi)完成40米的冗余制動(dòng)并且在系統(tǒng)設(shè)計(jì)過(guò)程中，要安排一定的措施來(lái)保證700mm的精度只有通過(guò)這樣精確的安排，才能保證系統(tǒng)的確定性，而的確定性最終才能為安全提供合理的保障

PowerD—Sch確定性調(diào)度中間件

針對(duì)這種確定性，業(yè)內(nèi)出臺(tái)了很多標(biāo)準(zhǔn)，零度智控科技在此基礎(chǔ)上進(jìn)行了很多嘗試和努力我個(gè)人也研究過(guò)很多標(biāo)準(zhǔn)，希望能建立一個(gè)既安全又不會(huì)破壞開(kāi)放生態(tài)的集成平臺(tái)

在MCU方面，我們引入了PowerD—Sch軟件模塊，類(lèi)似于CP架構(gòu)下的CDD，完全基于CP的方法論實(shí)現(xiàn)軟件移植，嵌入和集成AP側(cè)也有PowerD—Sch軟件模塊，與CDD類(lèi)似，但屬于服務(wù)

結(jié)合AP+CP兩端的軟件模塊和標(biāo)準(zhǔn)的通信中間件，可以實(shí)現(xiàn)跨域時(shí)間的統(tǒng)一調(diào)度，保證任務(wù)執(zhí)行鏈路的確定性和完整性。

那么PowerD—Sch確定性調(diào)度中間件包含了什么我們來(lái)看下圖首先，包含TTS時(shí)間觸發(fā)調(diào)度模塊，用于將整個(gè)任務(wù)分組到計(jì)算鏈路中，并在預(yù)定時(shí)間內(nèi)觸發(fā)它們一旦一些任務(wù)超時(shí)，它們可以在合理的狀態(tài)下響應(yīng)以提供安全性它還包含SES事件觸發(fā)計(jì)劃

我們還考慮了兩個(gè)觸發(fā)時(shí)間表的收斂性，并且兩者的優(yōu)先級(jí)和狀態(tài)都由統(tǒng)一服務(wù)來(lái)監(jiān)控下面就來(lái)詳細(xì)說(shuō)說(shuō)下面的模塊首先，狀態(tài)管理離不開(kāi)AP AUTOSAR的EM和SM實(shí)際上，這個(gè)任務(wù)的狀態(tài)管理是向EM和SM提供我們自己的輸入和輸出，可以集成現(xiàn)有的接口和機(jī)制

配置管理基于AP方法論，希望通過(guò)Jason文件在運(yùn)行過(guò)程中動(dòng)態(tài)加載配置信息，而不是靜態(tài)加載所以這套軟件中間件可以更好的集成AP方法論，會(huì)有配置管理的組件部分來(lái)做這部分工作

資源管理針對(duì)的是一個(gè)普遍的行業(yè)痛點(diǎn):目前在SOC領(lǐng)域，CPU內(nèi)存等資源沒(méi)有統(tǒng)一的管理和預(yù)分配標(biāo)準(zhǔn)，沒(méi)有資源隔離，會(huì)造成一定的安全隱患我們希望基于需要調(diào)度的可執(zhí)行單元，提供資源的預(yù)分配和優(yōu)先級(jí)管理，讓這部分形成一定的安全隔離，最終達(dá)到安全性的提升

在調(diào)度方面，更多的是為了優(yōu)先級(jí)，安全策略是讓更多的調(diào)度符合功能安全的方法論，線程池更多的是解決SOC端的并發(fā)問(wèn)題，日志和時(shí)鐘同步是標(biāo)準(zhǔn)化模塊，左邊有一個(gè)上位機(jī)工具，主要是為了排班的統(tǒng)一安排和管理。

我們還做了很多代碼生成和GUI配置信息生成的組件，一個(gè)靜態(tài)的，可觀察的狀態(tài)進(jìn)度表供評(píng)審，一個(gè)設(shè)計(jì)后驗(yàn)證階段的調(diào)度監(jiān)控和通信監(jiān)控模塊這套東西其實(shí)是確定性調(diào)度中間件的完整解決方案，希望能為整個(gè)系統(tǒng)的安全性提供必要的保障

面向服務(wù)的軟件架構(gòu)

下圖顯示了配置生成工具方法的簡(jiǎn)單界面最左邊是如何配置時(shí)間，時(shí)間點(diǎn)，順序，系統(tǒng)事件的邏輯關(guān)系可以把事件和時(shí)間的一些因素結(jié)合起來(lái)，類(lèi)似于AUTOSAR的建模過(guò)程構(gòu)建完成后，很容易生成一個(gè)arxml文件有了這樣一套工具，軟件的系統(tǒng)迭代可以在1—2小時(shí)內(nèi)完成，然后在嵌入式軟件中修改API，整套東西就運(yùn)行起來(lái)了

下圖左邊是調(diào)度表你可以看到有很多可能的單位一個(gè)系統(tǒng)迭代后，這個(gè)調(diào)度表會(huì)檢查安排過(guò)程中間有沒(méi)有問(wèn)題，甚至可以調(diào)優(yōu)如果你總是用一些默認(rèn)的方法，這個(gè)調(diào)度表可以按照允許的時(shí)間線運(yùn)行，一切都會(huì)盡量錯(cuò)開(kāi)，保證不會(huì)出現(xiàn)無(wú)序和死鎖

可以看到，優(yōu)化后，它有了一個(gè)完全交錯(cuò)且筆直向上的線程，不會(huì)有任何執(zhí)行單元處于交錯(cuò)狀態(tài)右邊是一個(gè)叫Runtime的主機(jī)工具，用來(lái)檢查運(yùn)行結(jié)構(gòu)和排列狀態(tài)是否一致

我們工具的核心優(yōu)勢(shì)首先是確定性執(zhí)行我們做了大量的時(shí)間片優(yōu)化和系統(tǒng)優(yōu)化，第二，更廣泛的多核異構(gòu)不僅在SOC端，在傳統(tǒng)的MCU端，也可以形成不同芯片之間的連接，第三，高安全性的SOA通信，第四，支持仿真和虛擬化，第五，功能安全/信息安全策略

關(guān)于LinearX的Nian技術(shù)

零壹科技成立于2021年，專(zhuān)注于智能駕駛平臺(tái)軟件開(kāi)發(fā)，尤其是安全領(lǐng)域，專(zhuān)注于中間件技術(shù)的自主研發(fā)我們的工具鏈和一整套中間件軟件是團(tuán)隊(duì)技術(shù)的不斷迭代，可靠性，安全性，實(shí)時(shí)性的互操作性是核心價(jià)值

雖然成立時(shí)間不長(zhǎng)，但由于行業(yè)內(nèi)缺乏穩(wěn)定的解決方案，我們獲得了很多OEM和Tier1的定點(diǎn)項(xiàng)目，并能在量產(chǎn)體系中提供自己的解決方案。

零壹科技不僅有自己的產(chǎn)品，還提供中間件和軟件服務(wù)，包括跨域通信，以初創(chuàng)企業(yè)的開(kāi)放姿態(tài)為行業(yè)提供定制化的服務(wù)和工作崗位在應(yīng)用層，特別擅長(zhǎng)調(diào)度和具有安全功能的量產(chǎn)服務(wù)，提供全流程工具鏈零感科技將繼續(xù)提供專(zhuān)業(yè)，可靠，安全的產(chǎn)品和服務(wù)，為整個(gè)行業(yè)貢獻(xiàn)自己的力量

有限公司協(xié)辦的2022年第二屆智能車(chē)輛域控制器創(chuàng)新峰會(huì)主題演講CarOS的進(jìn)化之路——安全性與靈活性的博弈。)