汽车领域的操作系统伴随着电子和电气架构的集成而发展。
在2002年之前,操作系统因其简单轻便而用于低性能的MCU,功能仅限于简单的信号处理2002—2017年,经典AUTOSAR引入RTE标准中间通信模型和标准BSW,操作系统开始在高性能MCU中应用,在软件定义汽车的浪潮下,CarOS的市场空间会越来越广
日前,由盖世汽车主办,上海虹桥国际中央商务区管理委员会,上海市闵行区人民政府指导,海南虹桥投资发展有限公司协办的2022第二届智能车辆域控制器创新峰会上,零念科技工程总监程雨欣表示,基于行业痛点,零念科技提供符合SOA架构,自主可控,全球多款量产车型验证的车辆级智能驾驶操作系统及配套中间件服务,
零壹科技工程总监程雨欣
今天的话题是智能汽车操作系统的进化零度智控是一家提供基于SOA架构的汽车级软件中间件和工具链的公司说到操作活动和中间件,先简单回顾一下操作系统的进化过程
操作系统的演变
未来十年,汽车领域需要什么样的软件操作系统这是一个很开放的话题,最近很多同事都在讨论和演变这个题目特别大,但是比如操作系统所要求的核心特性,比如开放性,可扩展性,高安全性,面向服务的特性,是大家都达到的共同技术要求
2002年,OSEK操作系统标准提出,旨在实现实时性和兼容性之间的某种平衡这个标准出来后,大量Tier1开始将自己的标准引入产品,但仍然没有解决应用层和操作系统,尤其是实时系统的解耦问题
到2011年,CP AUTOSAR已经被广泛应用于满足OEM的应用层开发要求,CP AUTOSAR为软硬件的解耦带来了革命性的变化2017年以后提出了面向服务或者更高阶的需求,但是面向服务的架构是CP AUTOSAR的缺陷在这种情况下,AP诞生了,从而引入了面向服务和更高阶的SOA架构
在我们看来,AP是CP的补充,不是完全的替代在未来HPC和区域控制器更高集成度的框架下,如何整合CP和AP的共同特性,从而更好地保证汽车高级功能的引入,保证信息安全和功能安全,是未来OS发展的重点方向
软件体系结构的发展方向
接下来详细介绍了软件体系结构的发展方向高级功能应用正从传统的IT行业/AI行业慢慢引入到汽车行业,直接推动了汽车级芯片的发展采用NVIDIA,Horizon和SOC架构的高级计算芯片快速进入市场,推动了域控制架构的发展
软的方面,刚才我提到了AP的发展,包括Linux在汽车领域的引入,都带来了结构性的整体变化从零思维技术的角度来看,我们的重点还是在中间层我们希望以中间件为方向,为软硬件解耦,操作系统使用,综合使用,跨领域使用等提供更好的解决方案
除了中间件解耦,安全仍然是目前自动驾驶领域最大的挑战,智能驾驶的频繁安全是L3或L4落地的最大瓶颈说到操作系统安全,它的问题有哪些表现和原因可能会产生以下影响:第一,缺乏失效—安全的逻辑传统汽车领域强调功能安全性,并建立了完善的系统分析方法会有各种系统逻辑,如故障,诊断,保护,冗余备份等以确保安全但进入跨领域,智能驾驶领域后,行业在这方面的思考和布局并不充分
其次,系统资源的无序抢占甚至导致系统死锁,这也是安全性的根本瓶颈,尤其是SOA架构带来的一致性挑战偶尔的无序抢占和系统锁定会导致系统崩溃第三,缺乏必要的安全隔离导致系统安全问题我也是一个有十几年CP经验的工程师在我的实践过程中,CP一直在不断迭代安全隔离的方法论,但其安全隔离的方法论在转移到面向服务的SOA架构后,仍然需要更新
第四,通信缺乏严格的实时性和可靠性保障第五,未知极端情况,比如障碍识别过程中的未知极端情况第六,信息安全的问题大家都很熟悉,尤其是在欧洲,信息安全是很受重视的其实如何保证信息安全,很大程度上取决于中间件层面,而不是算法层面,因为算法本身更注重自己的具体功能
我们面前的话题很多,不可能短时间内为大家展开每一个话题盘点目前智能驾驶的安全缺陷,是为了关注安全,尤其是实时性问题现实中经常会引入高度复杂的任务流程,系统的安全性面临着全链条下众多相互依赖又相互排斥的任务的挑战
与过去相比,在域控制器的发展趋势下,信号的链路长度,跨系统的MCU实时系统和SOC的非实时或面向服务的运行模式构成了多学科,综合性的执行链路结构由于其复杂性,R&D团队在整个安全方法论上面临着巨大的挑战
回到刚才的感知过程,如果将整个任务分组为计算环节,通过高精度的组织和安排,满足这些任务的相互依赖和延时要求,这就是保证系统任务执行必要性的关键因素。
确定性任务计算链可以恰当地管理许多相互依赖又相互排斥的任务,通过时间确定性保证系统的安全性:
按照这样的计算环节流程和系统分析方法论,我希望能在700毫秒内完成40米的冗余制动并且在系统设计过程中,要安排一定的措施来保证700mm的精度只有通过这样精确的安排,才能保证系统的确定性,而的确定性最终才能为安全提供合理的保障
PowerD—Sch确定性调度中间件
针对这种确定性,业内出台了很多标准,零度智控科技在此基础上进行了很多尝试和努力我个人也研究过很多标准,希望能建立一个既安全又不会破坏开放生态的集成平台
在MCU方面,我们引入了PowerD—Sch软件模块,类似于CP架构下的CDD,完全基于CP的方法论实现软件移植,嵌入和集成AP侧也有PowerD—Sch软件模块,与CDD类似,但属于服务
结合AP+CP两端的软件模块和标准的通信中间件,可以实现跨域时间的统一调度,保证任务执行链路的确定性和完整性。
那么PowerD—Sch确定性调度中间件包含了什么我们来看下图首先,包含TTS时间触发调度模块,用于将整个任务分组到计算链路中,并在预定时间内触发它们一旦一些任务超时,它们可以在合理的状态下响应以提供安全性它还包含SES事件触发计划
我们还考虑了两个触发时间表的收敛性,并且两者的优先级和状态都由统一服务来监控下面就来详细说说下面的模块首先,状态管理离不开AP AUTOSAR的EM和SM实际上,这个任务的状态管理是向EM和SM提供我们自己的输入和输出,可以集成现有的接口和机制
配置管理基于AP方法论,希望通过Jason文件在运行过程中动态加载配置信息,而不是静态加载所以这套软件中间件可以更好的集成AP方法论,会有配置管理的组件部分来做这部分工作
资源管理针对的是一个普遍的行业痛点:目前在SOC领域,CPU内存等资源没有统一的管理和预分配标准,没有资源隔离,会造成一定的安全隐患我们希望基于需要调度的可执行单元,提供资源的预分配和优先级管理,让这部分形成一定的安全隔离,最终达到安全性的提升
在调度方面,更多的是为了优先级,安全策略是让更多的调度符合功能安全的方法论,线程池更多的是解决SOC端的并发问题,日志和时钟同步是标准化模块,左边有一个上位机工具,主要是为了排班的统一安排和管理。
我们还做了很多代码生成和GUI配置信息生成的组件,一个静态的,可观察的状态进度表供评审,一个设计后验证阶段的调度监控和通信监控模块这套东西其实是确定性调度中间件的完整解决方案,希望能为整个系统的安全性提供必要的保障
面向服务的软件架构
下图显示了配置生成工具方法的简单界面最左边是如何配置时间,时间点,顺序,系统事件的逻辑关系可以把事件和时间的一些因素结合起来,类似于AUTOSAR的建模过程构建完成后,很容易生成一个arxml文件有了这样一套工具,软件的系统迭代可以在1—2小时内完成,然后在嵌入式软件中修改API,整套东西就运行起来了
下图左边是调度表你可以看到有很多可能的单位一个系统迭代后,这个调度表会检查安排过程中间有没有问题,甚至可以调优如果你总是用一些默认的方法,这个调度表可以按照允许的时间线运行,一切都会尽量错开,保证不会出现无序和死锁
可以看到,优化后,它有了一个完全交错且笔直向上的线程,不会有任何执行单元处于交错状态右边是一个叫Runtime的主机工具,用来检查运行结构和排列状态是否一致
我们工具的核心优势首先是确定性执行我们做了大量的时间片优化和系统优化,第二,更广泛的多核异构不仅在SOC端,在传统的MCU端,也可以形成不同芯片之间的连接,第三,高安全性的SOA通信,第四,支持仿真和虚拟化,第五,功能安全/信息安全策略
关于LinearX的Nian技术
零壹科技成立于2021年,专注于智能驾驶平台软件开发,尤其是安全领域,专注于中间件技术的自主研发我们的工具链和一整套中间件软件是团队技术的不断迭代,可靠性,安全性,实时性的互操作性是核心价值
虽然成立时间不长,但由于行业内缺乏稳定的解决方案,我们获得了很多OEM和Tier1的定点项目,并能在量产体系中提供自己的解决方案。
零壹科技不仅有自己的产品,还提供中间件和软件服务,包括跨域通信,以初创企业的开放姿态为行业提供定制化的服务和工作岗位在应用层,特别擅长调度和具有安全功能的量产服务,提供全流程工具链零感科技将继续提供专业,可靠,安全的产品和服务,为整个行业贡献自己的力量
有限公司协办的2022年第二届智能车辆域控制器创新峰会主题演讲CarOS的进化之路——安全性与灵活性的博弈。)
郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。
