汽車領(lǐng)域的操作系統(tǒng)正伴隨電子電氣架構(gòu)的集成化而不斷演進(jìn)。

2002年前，操作系統(tǒng)以簡單輕量為主要特點，被應(yīng)用于低性能MCU中，其功能也僅限于簡單信號的處理；2002-2017年間，Classic AUTOSAR引入了RTE標(biāo)準(zhǔn)中間通信模型和標(biāo)準(zhǔn)BSW，操作系統(tǒng)開始在高性能MCU中得到應(yīng)用；軟件定義汽車的浪潮下，CarOS的市場空間將愈發(fā)廣闊。

2022年11月15日，由蓋世汽車主辦，上海虹橋國際中央商務(wù)區(qū)管委會、上海閔行區(qū)人民政府指導(dǎo)，上海南虹橋投資開發(fā)（集團(tuán)）有限公司協(xié)辦的2022第二屆智能汽車域控制器創(chuàng)新峰會上，零念科技工程總監(jiān)程宇昕表示，基于行業(yè)痛點，零念科技提供符合SOA架構(gòu)、自主可控且經(jīng)過全球多款量產(chǎn)車型驗證的車規(guī)級智能駕駛操作系統(tǒng)與配套中間件服務(wù)，為智能汽車和智能駕駛提供自主可控、高度可擴(kuò)展的基礎(chǔ)軟件平臺和定制化解決方案。

零念科技工程總監(jiān) 程宇昕

今天的議題是智能汽車操作系統(tǒng)的演變，零念是基于SOA架構(gòu)提供車規(guī)級軟件中間件和工具鏈的公司，講到操作活動和中間件，先簡單回顧一下操作系統(tǒng)演進(jìn)的過程。

操作系統(tǒng)演進(jìn)歷程

未來十年，我們在汽車領(lǐng)域需要一個什么樣的軟件操作系統(tǒng)？這是一個很開放性的話題，也是最近很多同仁們共同討論和演進(jìn)的話題，這個話題特別大，但是比如操作系統(tǒng)需要的核心特性，比如開放性、可擴(kuò)展性、高安全性、面向服務(wù)的特點則是大家已達(dá)成的共識性技術(shù)要求。

2002年，OSEK操作系統(tǒng)標(biāo)準(zhǔn)提出，旨在向?qū)崟r性和兼容性達(dá)到一定的平衡，這個標(biāo)準(zhǔn)出來之后，大量Tier1開始將自己的標(biāo)準(zhǔn)引入到產(chǎn)品中，但還是沒有解決應(yīng)用層和操作系統(tǒng)，尤其是實時系統(tǒng)解耦的問題。

到了2011年，針對OEM的應(yīng)用層開發(fā)需求，CP AUTOSAR得到廣泛應(yīng)用，CP AUTOSAR為軟硬件解耦帶來革命性的變化。2017之后，面向服務(wù)或者更高階的需求被提出，面向服務(wù)的架構(gòu)偏偏是CP AUTOSAR的缺陷，這一情況下AP誕生了，從而引入了面向服務(wù)和更多高階SOA的架構(gòu)。

我們看來，AP是對CP的補充，而非完整的替代。在未來的HPC和區(qū)域控制器更高融合性的架構(gòu)下，如何融合CP和AP共同的特點，從而更好地保證汽車高級功能的引入，保障信息安全與功能安全，這些都是未來OS發(fā)展的重點方向。

軟件架構(gòu)的發(fā)展方向

接下來具體介紹軟件架構(gòu)的發(fā)展方向，高階功能應(yīng)用正慢慢從傳統(tǒng)的IT行業(yè)/AI行業(yè)向汽車行業(yè)引入，直接推動車規(guī)級芯片的發(fā)展，像英偉達(dá)、地平線，SOC架構(gòu)的高階算力芯片快速走入市場，帶動域控架構(gòu)的發(fā)展。

底軟方面，剛才也提到了AP的發(fā)展，包括Linux在汽車領(lǐng)域的引入，這些都帶來了結(jié)構(gòu)性的整體變化，從零念科技的角度看，我們的專注點還是在中間層，我們希望利用中間件這個方向，能夠為軟硬件解耦、操作系統(tǒng)的使用、綜合使用、跨域使用等提供更好的解決方案。

除了中間件解耦，安全性仍然是目前自動駕駛域最大的挑戰(zhàn)，智駕安全性的頻發(fā)是L3或者L4落地的最大瓶頸。講到操作系統(tǒng)安全性，其問題的表現(xiàn)和原因為何？可能綜合起來有以下幾個方面的影響：第一，缺乏Failed-Safety邏輯。傳統(tǒng)汽車領(lǐng)域強調(diào)功能安全，建立了完善的系統(tǒng)分析方法論，會有失效、診斷、保障、冗余備份等各種各樣的系統(tǒng)邏輯來保證安全，而現(xiàn)在進(jìn)入跨域和智駕領(lǐng)域之后，行業(yè)在這方面的思考和布局都不是很充分。

第二，系統(tǒng)資源的無序搶占甚至造成系統(tǒng)死鎖，這也是安全的根本瓶頸，尤其在SOA架構(gòu)所帶來一致性的挑戰(zhàn)，偶發(fā)的無序搶占和系統(tǒng)鎖死都會導(dǎo)致系統(tǒng)崩潰。第三，缺乏必要的安全隔離，單體的漏洞導(dǎo)致系統(tǒng)安全問題，我也是有十幾年CP經(jīng)驗的工程師，在從業(yè)過程中，CP一直在不斷地迭代安全隔離的方法論，而轉(zhuǎn)入面向服務(wù)的SOA架構(gòu)后，其安全隔離的方法論仍待更新。

第四，通信缺乏嚴(yán)格實時性和可靠性保證。第五，未知的極端案例，類似像障礙物識別過程中的未知極端情況等問題。第六，信息安全的問題，這一點已經(jīng)耳熟能詳，尤其在歐洲對于信息安全方面是非常重視的，如何保障信息安全，其實很大程度上要從中間件層面切入，而不是在算法的層面，因為算法本身更關(guān)注于自己的具體功能。

前面的話題特別多，不可能每個話題都用很短的時間為大家展開，細(xì)數(shù)目前智能駕駛在安全性上的缺陷，是為了將話題專注在安全性、特別是實時性問題上。現(xiàn)實情況往往會引入高度復(fù)雜的任務(wù)流程，系統(tǒng)的安全在全鏈條下的面臨著許多相互依存、相互排斥的任務(wù)的挑戰(zhàn)。

相比過去，在域控制器的發(fā)展大勢下，信號的鏈路長度，跨系統(tǒng)MCU實時系統(tǒng)，SOC非實時的、或面向服務(wù)的操作方式，這三者構(gòu)成了一個多學(xué)科、需綜合性考量的執(zhí)行鏈路結(jié)構(gòu)。因為其復(fù)雜性導(dǎo)致了研發(fā)團(tuán)隊在整個安全方法論上面臨著巨大的挑戰(zhàn)。

再回到剛才的感知過程，如果將整個任務(wù)分組到計算鏈路當(dāng)中，通過高精度的組織和安排滿足這些任務(wù)的相互依存性和延遲要求，這是確保系統(tǒng)的任務(wù)執(zhí)行的必要性關(guān)鍵因素。

而確定性任務(wù)計算鏈可以妥善管理許多相互依存、相互排斥的任務(wù)，通過時間確定性確保系統(tǒng)的安全：

如果按照這樣一個計算鏈路過程和系統(tǒng)分析方法論，我希望可以在700毫秒完成40米的冗余剎車。并且要在系統(tǒng)設(shè)計的過程中安排一定的措施，保障700毫米的精確性，只有通過這樣精確的編排才能夠保證系統(tǒng)的可確定性，確定性才能最后安全的合理保證條件。

PowerD-Sch確定性調(diào)度中間件

針對這種確定性，現(xiàn)在已經(jīng)有很多標(biāo)準(zhǔn)在行業(yè)內(nèi)推出，零念科技在這個基礎(chǔ)上也做了很多嘗試和努力，我個人也研究了很多標(biāo)準(zhǔn)，希望可以打造一個既有安全性又不會破壞開放生態(tài)的融合性平臺。

在MCU端，我們推出了一個PowerD-Sch軟件模塊，這是CP結(jié)構(gòu)下類似CDD的軟件模塊，是充分基于CP的方法論實現(xiàn)軟件的移植嵌入和融合；AP側(cè)也設(shè)置了一個PowerD-Sch的軟件模塊，也是類似CDD，但屬于service的軟件模塊。

結(jié)合AP+CP兩端的軟件模塊，和標(biāo)準(zhǔn)通信中間件，我們就可以實現(xiàn)跨域的時間統(tǒng)一編排，保障任務(wù)執(zhí)行鏈路的確定性和完整性。

圖片來源：零念科技

那么PowerD-Sch確定性調(diào)度中間件包含了什么呢？我們看下圖，首先包含了TTS時間觸發(fā)調(diào)度模組，用以將整個任務(wù)分組到計算鏈路中，而且在經(jīng)過確定編排的時間內(nèi)進(jìn)行觸發(fā)，一旦有一些任務(wù)超時，就可以在可感知的狀態(tài)下進(jìn)行應(yīng)對，提供安全性保障。還包含SES事件觸發(fā)調(diào)度。

我們還考慮到兩種觸發(fā)調(diào)度的融合性，兩者的優(yōu)先級和狀態(tài)都在統(tǒng)一service的監(jiān)控下。下面挑幾個模塊具體說一下，首先是狀態(tài)管理，狀態(tài)管理當(dāng)然離不開AP AUTOSAR的EM和SM，實際這個任務(wù)的狀態(tài)管理就是為了向EM和SM提供我們自己的輸入和輸出，能夠把目前有的接口和機制融合進(jìn)來。

配置管理基于AP的方法論，希望通過Jason文件的方式，在運行過程中或者動態(tài)加載的配置信息，而不是靜態(tài)的，所以這套軟件中間件能夠更好的融合AP的方法論，這里會有一個配置管理的組件部分去做這部分工作。

資源管理針對的是一個普遍的行業(yè)痛點：目前在SOC領(lǐng)域，大家對于CPU內(nèi)存等資源沒有一個統(tǒng)一管理、預(yù)分配的標(biāo)準(zhǔn)，沒有資源隔離，會造成一定的潛在安全問題。我們希望基于需要調(diào)度的可執(zhí)行單元，提供資源的預(yù)分配和優(yōu)先級管理，讓這部分形成一定的安全隔離，最終達(dá)到安全性的提升。

調(diào)度策略這方面，更多是為了優(yōu)先級；安全策略是為了讓更多的調(diào)度符合功能安全的方法論，線程池更多是為了解決SOC側(cè)的并發(fā)性問題；而日志記錄和時鐘同步就是標(biāo)準(zhǔn)化的模塊了；最左側(cè)有一個上位機工具，這個主要是為了調(diào)度的統(tǒng)一編排管理。

我們自己也做了很多代碼生成和GUI配置信息生成的組件，還有一個靜態(tài)可觀察、用于review的狀態(tài)調(diào)度表，還設(shè)置了調(diào)度監(jiān)控和通信監(jiān)控模塊，以用于設(shè)計之后的驗證階段。這一套東西其實是完整的確定性調(diào)度中間件的解決方案，希望能夠為整個系統(tǒng)的安全提供必要的保障。

圖片來源：零念科技

面向服務(wù)的軟件架構(gòu)

下圖是一個簡單的配置生成工具方法界面展示，最左側(cè)是如何配置時間、系統(tǒng)事件的時間點、前后順序、邏輯關(guān)系，可以組合一些事件和時間的因素（與/ 或），類似AUTOSAR的模型搭建過程，搭建完了以后就會很容易生成一個arxml文件，利用這樣一套工具，就可以在1-2個小時內(nèi)完成軟件的系統(tǒng)迭代，然后在嵌入式軟件里進(jìn)行API的修改，整套東西就跑起來了。

圖片來源：零念科技

下圖左是調(diào)度表，可以看到有很多的可能性單元，在一個系統(tǒng)迭代完之后，這個調(diào)度表會檢查在編排過程中間是否有問題，甚至可以調(diào)優(yōu)，如果你一直用一些Default的方式，這個調(diào)度表就可以按照可容許的時間線，所有的東西都盡量錯開去運行，保障不會發(fā)生無序鎖死的狀態(tài)。

能夠看到經(jīng)過優(yōu)化之后，它有一條完全錯開、直線上升的線程，不會有任何的執(zhí)行單位處在相互交錯的狀態(tài)。最右側(cè)是一個上位機工具，叫Runtime，用以檢測運行結(jié)構(gòu)和編排的狀態(tài)是否一致。

圖片來源：零念科技

我們這套工具的核心優(yōu)勢在于，第一，確定性執(zhí)行。我們做過很多時間片的優(yōu)化和系統(tǒng)優(yōu)化的工作；第二，更廣泛的多核異構(gòu)。不僅在SOC側(cè)，在傳統(tǒng)的MCU側(cè)也有布置，能夠在不同芯片之間形成聯(lián)系；第三，高安全的SOA通信；第四，支持仿真和虛擬化；第五，功能安全/信息安全策略。

零念科技About LinearX

零念科技成立于2021年，專注于智能駕駛平臺軟件，尤其是安全領(lǐng)域的開發(fā)，聚焦于自主研發(fā)的中間件技術(shù)，我們的工具鏈和整套中間件軟件，都是團(tuán)隊技術(shù)不斷迭代而來的，這種可靠性、安全性、實時性的互通是最核心的價值。

雖然成立時間不長，但是因為專注于行業(yè)內(nèi)缺少穩(wěn)定解決方案的方向，我們已經(jīng)獲得OEM和Tier1的諸多定點項目，能夠在量產(chǎn)系統(tǒng)中提供自己的這套方案。

零念科技不僅有自己的產(chǎn)品，也會提供中間件和底軟服務(wù)，包括跨域通信，本著初創(chuàng)公司的開放態(tài)度為行業(yè)提供定制化的服務(wù)與工作。應(yīng)用層方面，尤其擅長調(diào)度和量產(chǎn)功能安全的服務(wù)，提供全流程化的工具鏈，零念科技將持續(xù)提供專業(yè)、可靠、安全的產(chǎn)品和服務(wù)，為整個行業(yè)貢獻(xiàn)自己的力量。

（以上內(nèi)容來自零念科技工程總監(jiān)程宇昕于2022年11月15日由蓋世汽車主辦，上海虹橋國際中央商務(wù)區(qū)管委會、上海閔行區(qū)人民政府指導(dǎo)，上海南虹橋投資開發(fā)（集團(tuán)）有限公司協(xié)辦的2022第二屆智能汽車域控制器創(chuàng)新峰會發(fā)表的《CarOS的進(jìn)化之路--一場安全性與靈活性的博弈》主題演講。）

返回第一電動網(wǎng)首頁 >