CarOS的进化之路：一场安全性与灵活性的博弈

汽车领域的操作系统正在随着电子和电气架构的集成而发展。

2002年以前，操作系统的特点是简单、轻量，应用于低性能的MCU，功能仅限于简单的信号处理。2002-2017年，经典AUTOSAR推出RTE标准中间通信模型和标准BSW，操作系统开始在高性能MCU中应用。在软件定义汽车的浪潮下，CarOS的市场空间会越来越广。

2022年11月15日，在由Gascar主办，上海虹桥国际中央商务区管理委员会、上海市闵行区人民政府指导，上海虹桥投资发展(集团)有限公司协办的2022年第二届智能汽车领域控制器创新峰会上，零度智控技术工程总监程雨欣表示，基于行业痛点，零度智控提供符合SOA架构、自主可控、经过多次量产验证的汽车级智能驾驶操作系统及配套中间件服务

灵念科技工程总监程雨欣

今天的话题是智能汽车操作系统的进化。零度智控是一家提供基于SOA架构的汽车级软件中间件和工具链的公司。说到操作活动和中间件，我们先简单回顾一下操作系统的进化过程。

操作系统的演变

未来十年，汽车领域需要什么样的软件操作系统？这是一个很开放的话题，也是最近很多同事共同探讨和演变的话题。这个题目特别大，但是操作系统所要求的核心特性，如开放性、可扩展性、高安全性、面向服务等，是大家已经达成共识的技术要求。

2002年，OSEK操作系统标准提出，旨在实现实时性和兼容性之间的某种平衡。这个标准出来后，大量Tier1开始把自己的标准引入产品，但仍然没有解决应用层和操作系统，尤其是实时系统的解耦问题。

2011年，针对OEM的应用层开发需求，CP AUTOSAR被广泛使用，为软硬件的解耦带来了革命性的变化。2017年以后提出了面向服务或者更高阶的需求，而面向服务的架构恰恰是CP AUTOSAR的缺陷。在这种情况下，AP诞生了，从而引入了面向服务和更高阶的SOA架构。

在我们看来，AP是CP的补充，而不是完全的替代。在未来HPC和区域控制器集成度更高的架构下，如何整合CP和AP的共同特性，从而更好地保证先进汽车功能的引入，保证信息安全和功能安全，这些都是未来OS发展的重点方向。

软件体系结构的发展方向

接下来详细介绍了软件体系结构的发展方向。高级功能应用正从传统的IT行业/AI行业慢慢引入到汽车行业，直接推动了汽车级芯片的发展，如NVIDIA、Horizon、SOC架构等快速进入市场，带动了域控制架构的发展。

硬件和软件方面，我刚才提到了AP的发展，包括Linux在汽车领域的引入，整体上带来了结构性的变化。从零概念技术来看，我们的重点还是在中间层。我们希望以中间件为方向，为软硬件解耦、操作系统使用、综合使用、跨领域使用提供更好的解决方案。

除了中间件解耦，安全仍然是目前自动驾驶领域最大的挑战，智能驾驶安全的频发是L3或L4落地的最大瓶颈。说到操作系统安全，它的问题有哪些表现和原因？它可能会产生以下影响:首先，它缺乏故障安全逻辑。在传统的汽车领域，功能安全性一直受到重视，并建立了完善的系统分析方法。会出现各种系统逻辑，如故障、……诊断、保护和冗余备份以确保安全。现在进入跨领域和智能驾驶领域后，行业在这方面的思考和布局并不充分。

其次，系统资源的无序抢占甚至导致系统死锁，这也是安全性的根本瓶颈，尤其是在SOA架构带来的一致性挑战中，偶尔的无序抢占和系统死锁会导致系统崩溃。第三，缺乏必要的安全隔离导致系统安全问题。我也是一个有十几年CP经验的工程师。在我的职业生涯中，CP一直在对安全隔离的方法论进行迭代，但在切换到面向服务的SOA架构后，其安全隔离的方法论仍然需要更新。

第四，通信缺乏严格的实时性和可靠性保障。第五，未知极端情况，类似于障碍物识别过程中的未知极端情况。第六，信息安全问题众所周知，尤其是在欧洲。如何保证信息安全，其实是从中间件层面切入，而不是从算法层面切入，因为算法本身更注重它的具体功能。

前面的题目太多了，不可能短时间内每个题目都给大家开发出来。盘点目前智能驾驶的安全缺陷，目的在于关注安全性，尤其是实时性问题。现实中往往引入高度复杂的任务流，系统的安全面临着整个链条下许多相互依赖又相互排斥的任务。

与过去相比，在域控制器的发展趋势下，信号的链路长度、跨系统的MCU实时系统、SOC的非实时或面向服务的运行模式构成了需要综合考虑的多学科执行链路结构。由于其复杂性，R&D团队在整个安全方法论上面临着巨大的挑战。

回到刚才的感知过程，如果将整个任务分组为计算环节，通过高精度的组织安排，满足这些任务的相互依赖和延时要求，这是保证系统中任务执行必要性的关键因素。

确定性任务计算链可以恰当地管理许多相互依赖又相互排斥的任务，通过时间确定性保证系统的安全性:

按照这样的计算环节流程和系统分析方法论，我希望在700毫秒内完成40米的冗余制动。另外，在系统设计的过程中要安排一定的措施来保证700 mm的精度，只有通过这样的精确安排才能保证系统的确定性，而确定性最终才能保证安全合理的条件。

PowerD-Sch确定性调度中间件

鉴于这种确定性，业内出台了很多标准，零读科技也在此基础上进行了很多尝试和努力。我个人研究了很多标准，希望建立一个既安全又不会破坏开放生态的融合平台。

在MCU端，我们引入了PowerD-Sch软件模块，类似于CP架构下的CDD软件模块，完全基于CP的方法论实现软件移植、嵌入和集成；AP侧也有一个PowerD-Sch软件模块，类似于CDD，但属于服务。

通过结合AP+CP两端的软件模块和标准的通信中间件，实现跨域时间的统一安排，保证任务执行环节的确定性和完整性。

图片来源:零度阅读科技

那么PowerD-Sch确定性调度中间件包含了什么呢？我们来看下图。首先，包含TTS时间触发调度模块，用于将整个任务分组到计算链路中，并在一定的调度时间内触发它们。有些任务一旦超时，可以在可感知的状态下处理，提供保障。它还包括SES事件触发的调度。

我们还考虑了两个触发时间表的集成，它们的优先级和状态都在统一服务的监管下。下面我们就拿几个模块来详细说一下。首先是国家管理。当然，状态管理离不开AP AUTOSAR的EM和SM。实际上，这个任务的状态管理是向EM和SM提供我们自己的输入和输出，并集成现有的接口和机制。

配置管理基于AP的方法论，希望在运行Jason文件的过程中动态加载配置信息，而不是静态加载，所以这个软件中间件可以更好的集成AP的方法论，会有配置管理的组件部分来做这部分工作。

资源管理针对的是一个普遍的行业痛点:目前在SOC领域，CPU内存等资源没有统一的管理和预分配标准，没有资源隔离，会造成一定的安全隐患。我们希望基于需要调度的可执行单元，提供资源的预分配和优先级管理，让这部分形成一定的安全隔离，最终实现安全提升。

在调度策略上，更多的是为了优先级；安全策略是让更多的调度符合功能安全方法论，线程池更多的是解决SOC端的并发问题；日志和时钟同步是标准化模块；最左边有一个上位机工具，主要是为了排班的统一安排和管理。

我们还做了很多代码生成和GUI配置信息生成的组件，一个静态可观察状态调度表供审核，一个调度监控和通信监控模块供设计后验证。这套东西其实是一套完整的确定性调度中间件解决方案，希望能为整个系统的安全性提供必要的保障。

图片来源:零度阅读科技

面向服务的软件架构

下图显示了配置生成工具的简单界面。最左边是如何配置时间，系统事件的时间点，顺序，逻辑关系。有些事件和时间因素可以组合(和/或)，类似于AUTOSAR的建模过程。构建之后，很容易生成一个arxml文件。有了这样一套工具，软件的系统迭代可以在1-2小时内完成，然后在嵌入式软件中修改API。

图片来源:零度阅读科技

下图左边是调度表。你可以看到有很多可能的单位。一次系统迭代后，这个调度表会检查调度过程中间有没有问题，甚至可以调优。如果总是用一些默认的方法，这个调度表就可以按照允许的时间线运行，一切都会尽量错开，保证不会乱。

可以看到，优化后，它有一个完全交错的直线线程，不会有执行单元处于交错状态。最右边是一个叫Runtime的上位机工具，用来检测运行结构和排列状态是否一致。

图片来源:零度阅读科技

我们工具集的核心优势是:第一，确定性执行。我们做了大量的时间片优化和系统优化工作；第二，更大范围的多核异构。不仅在SOC端，在传统的MCU端，也可以形成不同芯片之间的连接；第三，高安全性的SOA通信；第四，支持仿真和虚拟化；第五，功能安全/信息安全策略。

凌念科技关于LinearX

零念科技成立于2021年，专注于智能驾驶平台软件的开发，尤其在安防领域，专注于自主研发的中间件技术。我们的工具链和整套中间件软件都是从团队技术迭代而来，这种可靠性、安全性、实时性的互操作性才是核心价值。

虽然成立时间不长，但是因为专注于行业内缺乏稳定解决方案的方向，我们获得了很多OEM和Tier1的定点项目，在量产体系中可以提供自己的解决方案。

零读科技不仅有自己的产品，还提供中间件和软服务，包括跨域通信，以初创企业的开放姿态为行业提供定制化的服务和工作。在应用层，尤其擅长调度和安全功能的量产服务，提供全流程工具链。零度阅读科技将继续提供专业、可靠、安全的产品和服务，为整个行业做出贡献。

(以上内容来自于2022年11月15日，由加斯帕主办，上海虹桥国际中央商务区管理委员会、上海市闵行区人民政府指导，上海虹桥投资发展(集团)有限公司协办的《CarOS的进化之路——安全与弹性的博弈》主题演讲..)汽车领域的操作系统正在随着电子和电气架构的集成而发展。

2002年以前，操作系统的特点是简单、轻量，应用于低性能的MCU，功能仅限于简单的信号处理。2002-2017年，经典AUTOSAR推出RTE标准中间通信模型和标准BSW，操作系统开始在高性能MCU中应用。在软件定义汽车的浪潮下，CarOS的市场空间会越来越广。

2022年11月15日，在由Gascar主办，上海虹桥国际中央商务区管理委员会、上海市闵行区人民政府指导，上海虹桥投资发展(集团)有限公司协办的2022年第二届智能汽车领域控制器创新峰会上，零度智控技术工程总监程雨欣表示，基于行业痛点，零度智控提供符合SOA架构、自主可控、经过多次量产验证的汽车级智能驾驶操作系统及配套中间件服务

灵念科技工程总监程雨欣

今天的话题是智能汽车操作系统的进化。零度智控是一家提供基于SOA架构的汽车级软件中间件和工具链的公司。说到操作活动和中间件，我们先简单回顾一下操作系统的进化过程。

操作系统的演变

未来十年，汽车领域需要什么样的软件操作系统？这是一个很开放的话题，也是最近很多同事共同探讨和演变的话题。这个题目特别大，但是操作系统所要求的核心特性，如开放性、可扩展性、高安全性、面向服务等，是大家已经达成共识的技术要求。

2002年，OSEK操作系统标准提出，旨在实现实时性和兼容性之间的某种平衡。这个标准出来后，大量Tier1开始把自己的标准引入产品，但仍然没有解决应用层和操作系统，尤其是实时系统的解耦问题。

2011年，针对OEM的应用层开发需求，CP AUTOSAR被广泛使用，为软硬件的解耦带来了革命性的变化。2017年以后提出了面向服务或者更高阶的需求，而面向服务的架构恰恰是CP AUTOSAR的缺陷。在这种情况下，AP诞生了，从而引入了面向服务和更高阶的SOA架构。

在我们看来，AP是CP的补充，而不是完全的替代。在高性能计算和区域控制器高度集成的未来架构下，如何……o整合CP和AP的共同特点，从而更好地保证先进汽车功能的引入，保证信息安全和功能安全，这些都是未来OS发展的重点方向。

软件体系结构的发展方向

接下来详细介绍了软件体系结构的发展方向。高级功能应用正从传统的IT行业/AI行业慢慢引入到汽车行业，直接推动了汽车级芯片的发展，如NVIDIA、Horizon、SOC架构等快速进入市场，带动了域控制架构的发展。

硬件和软件方面，我刚才提到了AP的发展，包括Linux在汽车领域的引入，整体上带来了结构性的变化。从零概念技术来看，我们的重点还是在中间层。我们希望以中间件为方向，为软硬件解耦、操作系统使用、综合使用、跨领域使用提供更好的解决方案。

除了中间件解耦，安全仍然是目前自动驾驶领域最大的挑战，智能驾驶安全的频发是L3或L4落地的最大瓶颈。说到操作系统安全，它的问题有哪些表现和原因？它可能会产生以下影响:首先，它缺乏故障安全逻辑。在传统的汽车领域，功能安全性一直受到重视，并建立了完善的系统分析方法。会有故障、诊断、保障、冗余备份等各种系统逻辑来保证安全。现在进入跨领域和智能驾驶领域后，行业在这方面的思考和布局并不充分。

其次，系统资源的无序抢占甚至导致系统死锁，这也是安全性的根本瓶颈，尤其是在SOA架构带来的一致性挑战中，偶尔的无序抢占和系统死锁会导致系统崩溃。第三，缺乏必要的安全隔离导致系统安全问题。我也是一个有十几年CP经验的工程师。在我的职业生涯中，CP一直在对安全隔离的方法论进行迭代，但在切换到面向服务的SOA架构后，其安全隔离的方法论仍然需要更新。

第四，通信缺乏严格的实时性和可靠性保障。第五，未知极端情况，类似于障碍物识别过程中的未知极端情况。第六，信息安全问题众所周知，尤其是在欧洲。如何保证信息安全，其实是从中间件层面切入，而不是从算法层面切入，因为算法本身更注重它的具体功能。

前面的题目太多了，不可能短时间内每个题目都给大家开发出来。盘点目前智能驾驶的安全缺陷，目的在于关注安全性，尤其是实时性问题。现实中往往引入高度复杂的任务流，系统的安全面临着整个链条下许多相互依赖又相互排斥的任务。

与过去相比，在域控制器的发展趋势下，信号的链路长度、跨系统的MCU实时系统、SOC的非实时或面向服务的运行模式构成了需要综合考虑的多学科执行链路结构。由于其复杂性，R&D团队在整个安全方法论上面临着巨大的挑战。

回到刚才的感知过程，如果将整个任务分组为计算环节，通过高精度的组织安排，满足这些任务的相互依赖和延时要求，这是保证系统中任务执行必要性的关键因素。

确定性任务计算链可以恰当地管理许多相互依赖又相互排斥的任务，通过时间确定性保证系统的安全性:

按照这样的计算环节流程和系统分析方法论，我希望在700毫秒内完成40米的冗余制动。另外，在系统设计的过程中要安排一定的措施来保证700 mm的精度，只有通过这样的精确安排才能保证系统的确定性，而确定性最终才能保证安全合理的条件。

PowerD-Sch确定性调度中间件

鉴于这种确定性，在……中引入了许多标准stry，而零读科技也在这个基础上做了很多尝试和努力。我个人研究了很多标准，希望建立一个既安全又不会破坏开放生态的融合平台。

在MCU端，我们引入了PowerD-Sch软件模块，类似于CP架构下的CDD软件模块，完全基于CP的方法论实现软件移植、嵌入和集成；AP侧也有一个PowerD-Sch软件模块，类似于CDD，但属于服务。

通过结合AP+CP两端的软件模块和标准的通信中间件，实现跨域时间的统一安排，保证任务执行环节的确定性和完整性。

图片来源:零度阅读科技

那么PowerD-Sch确定性调度中间件包含了什么呢？我们来看下图。首先，包含TTS时间触发调度模块，用于将整个任务分组到计算链路中，并在一定的调度时间内触发它们。有些任务一旦超时，可以在可感知的状态下处理，提供保障。它还包括SES事件触发的调度。

我们还考虑了两个触发时间表的集成，它们的优先级和状态都在统一服务的监管下。下面我们就拿几个模块来详细说一下。首先是国家管理。当然，状态管理离不开AP AUTOSAR的EM和SM。实际上，这个任务的状态管理是向EM和SM提供我们自己的输入和输出，并集成现有的接口和机制。

配置管理基于AP的方法论，希望在运行Jason文件的过程中动态加载配置信息，而不是静态加载，所以这个软件中间件可以更好的集成AP的方法论，会有配置管理的组件部分来做这部分工作。

资源管理针对的是一个普遍的行业痛点:目前在SOC领域，CPU内存等资源没有统一的管理和预分配标准，没有资源隔离，会造成一定的安全隐患。我们希望基于需要调度的可执行单元，提供资源的预分配和优先级管理，让这部分形成一定的安全隔离，最终实现安全提升。

在调度策略上，更多的是为了优先级；安全策略是让更多的调度符合功能安全方法论，线程池更多的是解决SOC端的并发问题；日志和时钟同步是标准化模块；最左边有一个上位机工具，主要是为了排班的统一安排和管理。

我们还做了很多代码生成和GUI配置信息生成的组件，一个静态可观察状态调度表供审核，一个调度监控和通信监控模块供设计后验证。这套东西其实是一套完整的确定性调度中间件解决方案，希望能为整个系统的安全性提供必要的保障。

图片来源:零度阅读科技

面向服务的软件架构

下图显示了配置生成工具的简单界面。最左边是如何配置时间，系统事件的时间点，顺序，逻辑关系。有些事件和时间因素可以组合(和/或)，类似于AUTOSAR的建模过程。构建之后，很容易生成一个arxml文件。有了这样一套工具，软件的系统迭代可以在1-2小时内完成，然后在嵌入式软件中修改API。

图片来源:零度阅读科技

下图左边是调度表。你可以看到有很多可能的单位。一次系统迭代后，这个调度表会检查调度过程中间有没有问题，甚至可以调优。如果总是用一些默认的方法，这个调度表就可以按照允许的时间线运行，一切都会尽量错开，保证不会乱。

可以看到，优化后，它有一个完全交错的直线线程，不会有执行单元处于交错状态。最右边是一个叫Runtime的上位机工具，用来检测运行结构和排列状态是否一致。

图片来源:零度阅读科技

我们工具集的核心优势是:第一，确定性执行。我们做了大量的时间片优化和系统优化工作；第二，更大范围的多核异构。不仅在SOC端，在传统的MCU端，也可以形成不同芯片之间的连接；第三，高安全性的SOA通信；第四，支持仿真和虚拟化；第五，功能安全/信息安全策略。

凌念科技关于LinearX

零念科技成立于2021年，专注于智能驾驶平台软件的开发，尤其在安防领域，专注于自主研发的中间件技术。我们的工具链和整套中间件软件都是从团队技术迭代而来，这种可靠性、安全性、实时性的互操作性才是核心价值。

虽然成立时间不长，但是因为专注于行业内缺乏稳定解决方案的方向，我们获得了很多OEM和Tier1的定点项目，在量产体系中可以提供自己的解决方案。

零读科技不仅有自己的产品，还提供中间件和软服务，包括跨域通信，以初创企业的开放姿态为行业提供定制化的服务和工作。在应用层，尤其擅长调度和安全功能的量产服务，提供全流程工具链。零度阅读科技将继续提供专业、可靠、安全的产品和服务，为整个行业做出贡献。

(以上内容来自于2022年11月15日，由加斯帕主办，上海虹桥国际中央商务区管理委员会、上海市闵行区人民政府指导，上海虹桥投资发展(集团)有限公司协办的《CarOS的进化之路——安全与弹性的博弈》主题演讲..)

标签：

汽车资讯热门资讯