汽车领域的操作系统正伴随电子电气架构的集成化而不断演进。
2002 年前,操作系统以简单轻量为主要特点,被应用于低性能 MCU 中,其功能也仅限于简单信号的处理;2002-2017 年间,Classic AUTOSAR 引入了 RTE 标准中间通信模型和标准 BSW,操作系统开始在高性能 MCU 中得到应用;软件定义汽车的浪潮下,CarOS 的市场空间将愈发广阔。
2022 年 11 月 15 日,由盖世汽车主办,上海虹桥国际中央商务区管委会、上海闵行区人民政府指导,上海南虹桥投资开发(集团)有限公司协办的 2022 第二届智能汽车域控制器创新峰会上,零念科技工程总监程宇昕表示,基于行业痛点,零念科技提供符合 SOA 架构、自主可控且经过全球多款量产车型验证的车规级智能驾驶操作系统与配套中间件服务,为智能汽车和智能驾驶提供自主可控、高度可扩展的基础软件平台和定制化解决方案。
零念科技工程总监 程宇昕
今天的议题是智能汽车操作系统的演变,零念是基于 SOA 架构提供车规级软件中间件和工具链的公司,讲到操作活动和中间件,先简单回顾一下操作系统演进的过程。
操作系统演进历程
未来十年,我们在汽车领域需要一个什么样的软件操作系统?这是一个很开放性的话题,也是最近很多同仁们共同讨论和演进的话题,这个话题特别大,但是比如操作系统需要的核心特性,比如开放性、可扩展性、高安全性、面向服务的特点则是大家已达成的共识性技术要求。
2002 年,OSEK 操作系统标准提出,旨在向实时性和兼容性达到一定的平衡,这个标准出来之后,大量 Tier1 开始将自己的标准引入到产品中,但还是没有解决应用层和操作系统,尤其是实时系统解耦的问题。
到了 2011 年,针对 OEM 的应用层开发需求,CP AUTOSAR 得到广泛应用,CP AUTOSAR 为软硬件解耦带来革命性的变化。2017 之后,面向服务或者更高阶的需求被提出,面向服务的架构偏偏是 CP AUTOSAR 的缺陷,这一情况下 AP 诞生了,从而引入了面向服务和更多高阶 SOA 的架构。
我们看来,AP 是对 CP 的补充,而非完整的替代。在未来的 HPC 和区域控制器更高融合性的架构下,如何融合 CP 和 AP 共同的特点,从而更好地保证汽车高级功能的引入,保障信息安全与功能安全,这些都是未来 OS 发展的重点方向。
软件架构的发展方向
接下来具体介绍软件架构的发展方向,高阶功能应用正慢慢从传统的 IT 行业 /AI 行业向汽车行业引入,直接推动车规级芯片的发展,像英伟达、地平线,SOC 架构的高阶算力芯片快速走入市场,带动域控架构的发展。
底软方面,刚才也提到了 AP 的发展,包括 Linux 在汽车领域的引入,这些都带来了结构性的整体变化,从零念科技的角度看,我们的专注点还是在中间层,我们希望利用中间件这个方向,能够为软硬件解耦、操作系统的使用、综合使用、跨域使用等提供更好的解决方案。
除了中间件解耦,安全性仍然是目前自动驾驶域最大的挑战,智驾安全性的频发是 L3 或者 L4 落地的最大瓶颈。讲到操作系统安全性,其问题的表现和原因为何?可能综合起来有以下几个方面的影响:第一,缺乏 Failed-Safety 逻辑。传统汽车领域强调功能安全,建立了完善的系统分析方法论,会有失效、诊断、保障、冗余备份等各种各样的系统逻辑来保证安全,而现在进入跨域和智驾领域之后,行业在这方面的思考和布局都不是很充分。
第二,系统资源的无序抢占甚至造成系统死锁,这也是安全的根本瓶颈,尤其在 SOA 架构所带来一致性的挑战,偶发的无序抢占和系统锁死都会导致系统崩溃。第三,缺乏必要的安全隔离,单体的漏洞导致系统安全问题,我也是有十几年 CP 经验的工程师,在从业过程中,CP 一直在不断地迭代安全隔离的方法论,而转入面向服务的 SOA 架构后,其安全隔离的方法论仍待更新。
第四,通信缺乏严格实时性和可靠性保证。第五,未知的极端案例,类似像障碍物识别过程中的未知极端情况等问题。第六,信息安全的问题,这一点已经耳熟能详,尤其在欧洲对于信息安全方面是非常重视的,如何保障信息安全,其实很大程度上要从中间件层面切入,而不是在算法的层面,因为算法本身更关注于自己的具体功能。
前面的话题特别多,不可能每个话题都用很短的时间为大家展开,细数目前智能驾驶在安全性上的缺陷,是为了将话题专注在安全性、特别是实时性问题上。现实情况往往会引入高度复杂的任务流程,系统的安全在全链条下的面临着许多相互依存、相互排斥的任务的挑战。
相比过去,在域控制器的发展大势下,信号的链路长度,跨系统 MCU 实时系统,SOC 非实时的、或面向服务的操作方式,这三者构成了一个多学科、需综合性考量的执行链路结构。因为其复杂性导致了研发团队在整个安全方法论上面临着巨大的挑战。
再回到刚才的感知过程,如果将整个任务分组到计算链路当中,通过高精度的组织和安排满足这些任务的相互依存性和延迟要求,这是确保系统的任务执行的必要性关键因素。
而确定性任务计算链可以妥善管理许多相互依存、相互排斥的任务,通过时间确定性确保系统的安全:
如果按照这样一个计算链路过程和系统分析方法论,我希望可以在 700 毫秒完成 40 米的冗余刹车。并且要在系统设计的过程中安排一定的措施,保障 700 毫米的精确性,只有通过这样精确的编排才能够保证系统的可确定性,确定性才能最后安全的合理保证条件。
PowerD-Sch确定性调度中间件
针对这种确定性,现在已经有很多标准在行业内推出,零念科技在这个基础上也做了很多尝试和努力,我个人也研究了很多标准,希望可以打造一个既有安全性又不会破坏开放生态的融合性平台。
在 MCU 端,我们推出了一个 PowerD-Sch 软件模块,这是 CP 结构下类似 CDD 的软件模块,是充分基于 CP 的方法论实现软件的移植嵌入和融合;AP 侧也设置了一个 PowerD-Sch 的软件模块,也是类似 CDD,但属于 service 的软件模块。
结合 AP+CP 两端的软件模块,和标准通信中间件,我们就可以实现跨域的时间统一编排,保障任务执行链路的确定性和完整性。
图片来源:零念科技
那么 PowerD-Sch 确定性调度中间件包含了什么呢?我们看下图,首先包含了 TTS 时间触发调度模组,用以将整个任务分组到计算链路中,而且在经过确定编排的时间内进行触发,一旦有一些任务超时,就可以在可感知的状态下进行应对,提供安全性保障。还包含 SES 事件触发调度。
我们还考虑到两种触发调度的融合性,两者的优先级和状态都在统一 service 的监控下。下面挑几个模块具体说一下,首先是状态管理,状态管理当然离不开 AP AUTOSAR 的 EM 和 SM,实际这个任务的状态管理就是为了向 EM 和 SM 提供我们自己的输入和输出,能够把目前有的接口和机制融合进来。
配置管理基于 AP 的方法论,希望通过 Jason 文件的方式,在运行过程中或者动态加载的配置信息,而不是静态的,所以这套软件中间件能够更好的融合 AP 的方法论,这里会有一个配置管理的组件部分去做这部分工作。
资源管理针对的是一个普遍的行业痛点:目前在 SOC 领域,大家对于 CPU 内存等资源没有一个统一管理、预分配的标准,没有资源隔离,会造成一定的潜在安全问题。我们希望基于需要调度的可执行单元,提供资源的预分配和优先级管理,让这部分形成一定的安全隔离,最终达到安全性的提升。
调度策略这方面,更多是为了优先级;安全策略是为了让更多的调度符合功能安全的方法论,线程池更多是为了解决 SOC 侧的并发性问题;而日志记录和时钟同步就是标准化的模块了;最左侧有一个上位机工具,这个主要是为了调度的统一编排管理。
我们自己也做了很多代码生成和 GUI 配置信息生成的组件,还有一个静态可观察、用于 review 的状态调度表,还设置了调度监控和通信监控模块,以用于设计之后的验证阶段。这一套东西其实是完整的确定性调度中间件的解决方案,希望能够为整个系统的安全提供必要的保障。
面向服务的软件架构
下图是一个简单的配置生成工具方法界面展示,最左侧是如何配置时间、系统事件的时间点、前后顺序、逻辑关系,可以组合一些事件和时间的因素(与 / 或),类似 AUTOSAR 的模型搭建过程,搭建完了以后就会很容易生成一个 arxml 文件,利用这样一套工具,就可以在 1-2 个小时内完成软件的系统迭代,然后在嵌入式软件里进行 API 的修改,整套东西就跑起来了。
下图左是调度表,可以看到有很多的可能性单元,在一个系统迭代完之后,这个调度表会检查在编排过程中间是否有问题,甚至可以调优,如果你一直用一些 Default 的方式,这个调度表就可以按照可容许的时间线,所有的东西都尽量错开去运行,保障不会发生无序锁死的状态。
能够看到经过优化之后,它有一条完全错开、直线上升的线程,不会有任何的执行单位处在相互交错的状态。最右侧是一个上位机工具,叫 Runtime,用以检测运行结构和编排的状态是否一致。
我们这套工具的核心优势在于,第一,确定性执行。我们做过很多时间片的优化和系统优化的工作;第二,更广泛的多核异构。不仅在 SOC 侧,在传统的 MCU 侧也有布置,能够在不同芯片之间形成联系;第三,高安全的 SOA 通信;第四,支持仿真和虚拟化;第五,功能安全 / 信息安全策略。
零念科技 About LinearX
零念科技成立于 2021 年,专注于智能驾驶平台软件,尤其是安全领域的开发,聚焦于自主研发的中间件技术,我们的工具链和整套中间件软件,都是团队技术不断迭代而来的,这种可靠性、安全性、实时性的互通是最核心的价值。
虽然成立时间不长,但是因为专注于行业内缺少稳定解决方案的方向,我们已经获得 OEM 和 Tier1 的诸多定点项目,能够在量产系统中提供自己的这套方案。
零念科技不仅有自己的产品,也会提供中间件和底软服务,包括跨域通信,本着初创公司的开放态度为行业提供定制化的服务与工作。应用层方面,尤其擅长调度和量产功能安全的服务,提供全流程化的工具链,零念科技将持续提供专业、可靠、安全的产品和服务,为整个行业贡献自己的力量。
(以上内容来自零念科技工程总监程宇昕于 2022 年 11 月 15 日由盖世汽车主办,上海虹桥国际中央商务区管委会、上海闵行区人民政府指导,上海南虹桥投资开发(集团)有限公司协办的 2022 第二届智能汽车域控制器创新峰会发表的《CarOS 的进化之路 -- 一场安全性与灵活性的博弈》主题演讲。)
还没有评论,来说两句吧...