車用操作系統技術現狀及發展趨勢

汪志鴻 馬天澤 陳炳全

一、車用操作系統架構概述

車用操作系統與芯片、傳感器等物理硬件共同組成車載基礎軟硬件平臺，是實現智能駕駛、智能座艙、安全車控功能的基礎。按上述功能劃分，車載基礎軟件平臺可以分為智能駕駛、智能座艙、安全車控等三個軟件平臺，分別由智能駕駛操作系統、智能座艙操作系統、安全車控操作系統以及相應的配套工具鏈組成。

智能駕駛和智能座艙操作系統按架構自下而上均可分為系統軟件和功能軟件。其中，系統軟件可以分為硬件抽象層、內核和中間件；功能軟件可以分為AI和視覺模塊、傳感器模塊、聯網模塊、云控模塊、自動駕駛通用框架模塊等。安全車控操作系統是指面向傳統車輛控制，基于OSEK OS（汽車電子開放式系統及接口）和AUTOSAR CP（傳統汽車開放架構平臺）構建，實現車身、動力、底盤系統等控制功能。車用操作系統架構如圖1所示。

圖1 車用操作系統架構

車用操作系統中的系統軟件不僅為上層應用以及功能的實現提供了高效、穩定的環境支持，也是各類應用調度底層硬件資源的“橋梁”，在智能汽車整體軟件架構中處于基石位置。本文將重點介紹系統軟件。

二、系統軟件技術發展現狀

系統軟件是針對汽車場景定制的復雜大規模嵌入式系統運行環境，主要包含硬件抽象層、內核、中間件三層。

(一）硬件抽象層

1.概念

硬件抽象層是內核與硬件之間的接口層，目的是為操作系統提供虛擬硬件平臺，使操作系統與硬件解耦，實現多硬件平臺間的移植。虛擬硬件平臺由虛擬機（簡稱VM）和虛擬機監視器（簡稱Hypervisor）構成，操作系統在VM上運行，并通過Hypervisor進行調度。

虛擬機是指通過軟件模擬完整的硬件系統功能，實現操作系統運行在一個完全隔離環境中。在物理硬件中能夠完成的工作都能夠在虛擬機中實現。

Hypervisor是指一種運行在物理硬件和虛擬機之間的中間層軟件，可以允許多個虛擬機和應用共享一套基礎物理硬件，用于協調訪問物理設備和虛擬機，所以又稱為虛擬機監視器。Hypervisor主要有兩種，Type 1（裸機類型）和Type 2（寄居類型），Type 1類型的Hypervisor直接運行在物理硬件之上，可直接訪問物理硬件并管理所有硬件資源，在延時、安全性和效率上更勝一籌，但此類型Hypervisor需要硬件支持，移植難度大，開發成本也較高；Type 2類型的Hypervisor運行在某個操作系統之上，通過操作系統訪問物理硬件，因此在延時方面具有不可避免的劣勢，并且底層操作系統的任何問題都將危及其上的虛擬機，因此安全性方面相對較弱，但是移植難度小，開發成本低。Type 1和Type 2架構如圖2所示。

2.典型虛擬監視器

Hypervisor目前主要應用于智能座艙操作系統，未來將逐步向智能駕駛操作系統擴展。在智能座艙操作系統中，娛樂和智能交互等模塊與儀表顯示等模塊對實時性、安全性、穩定性要求不同，需要在一顆SOC芯片上運行兩種或多種操作系統。因此，目前主流Hypervisor方案選擇Type 1型，保障操作系統之間互不干擾，提升操作系統安全性。典型虛擬監視器包括QNX Hypervisor、ACRN Hypervisor、Mentor Hypervisor等，均為基于Type 1型的虛擬管理程序。各類Hypervisor對比如表1所示。

3.國內外虛擬監視器市場格局

近幾年涌入車載Hypervisor領域的企業非常多，以國外企業為主，主要產品包括加拿大黑莓公司的QNX Hypervisor、英國XenSource公司的Xen Hypervisor、日本松下旗下子公司的OpenSynergy、Linux基金會的ACRN Hypervisor、美國Mentor Graphics公司Mentor Hypervisor等。其中，QNX Hypervisor是目前唯一應用到量產車型且功能安全等級達到ISO 26262 ASIL-D級的虛擬抽象層產品，并支持高通、恩智浦、德州儀器等廠商的芯片。同時，黑莓與博世等多家Tier 1（一級汽車供應商）廠商建立了合作伙伴關系，推廣其Hypervisor產品。此外，高通在Snapdragon Ride自動駕駛軟件堆棧中也選擇了QNX Hypervisor 2.0版本產品。

國內Hypervisor發展相對落后，2017年中科創達、誠邁科技入選黑莓VAI計劃，作為合作伙伴可以使用黑莓的嵌入式技術，開發集成服務、安全關鍵型解決方案。阿里斑馬智行在自研虛擬機監控技術AliOS Hypervisor。中興通訊自研Hypervisor產品，并已實現量產裝車應用。

(二）車用操作系統內核

內核是操作系統的核心部分，提供內存管理、文件管理、CPU調度管理、輸入輸出管理等功能，管理系統的各種資源。內核可以按照內核結構、實時性以及對內核改造程度三個維度進行分類，按照內核結構劃分，分為微內核和宏內核；按照實時性劃分，分為實時操作系統和分時操作系統；按照對內核改造程度劃分，分為基礎型、定制型和ROM型。

1.概念

(1）微內核與宏內核

微內核的內核服務和用戶服務在不同的地址空間中實現，應用程序和硬件的通信通過內核進程和內存管理實現。微內核具備較強的魯棒性(系統在不確定性的擾動下，具有保持某種性能不變的能力)，可移植性強且易于擴展。由于用戶服務獨立于內核服務，任何用戶服務的崩潰都不會影響到內核服務。此外，每次添加一個功能，只需要建立一個新的服務到用戶空間當中，不需對內核空間作任何的修改。但缺點是用戶服務和內核服務之間交互流程較長，執行速度相對較慢。目前，微內核架構多用于儀表顯示、智能網關、監控其他操作系統等安全等級要求較高的領域。

宏內核中的內核服務和用戶服務在同一地址空間中，執行速度比微內核快，缺點在于當內核中的某個服務崩潰時，會影響其他內核服務，進而導致內核崩潰。此外，添加新的功能意味著內核中的各個模塊都需要做相應的修改，導致內核擴展性較弱。目前，在車用操作系統中，宏內核架構多用于智能駕駛、人車交互等算力要求較高的領域。微內核與宏內核特點如表2所示。

(2）實時操作系統與分時操作系統

實時操作系統是指外界事件或數據產生時，能及時接受并快速處理，在規定時間內完成對應的功能響應，并控制協調所有實時任務運行的操作系統。實時操作系統具有高實時性和高可靠性的特點，主要應用于汽車電控領域，實現車輛行駛過程中的車身控制，包括動力控制、剎車控制等。

分時操作系統是指同時為多個用戶提供服務的操作系統，可以對每個用戶快速響應，并提供交互能力。分時操作系統一般采用時間片輪轉的方式，輪流為多個終端用戶程序使用，具有多路性、獨立性、及時性、交互性的特點。分時操作系統具有縮短系統平均響應時間、提高吞吐率、以及處理更多用戶請求及服務的優點，主要應用于人車交互、信息娛樂、導航等領域，實現駕駛輔助、碰撞檢測、自動泊車等功能。實時操作系統與分時操作系統特點如表3所示。

(3）基礎型、定制型和ROM型

基礎型僅包括系統內核、底層驅動等，賦予車用操作系統最基本的功能，負責管理系統的內存、進程、驅動和網絡系統等，決定整個操作系統的穩定性和性能。

定制型操作系統是對基礎操作系統進行深度定制化開發，如修改內核、硬件驅動、運行環境、應用程序框架等。一般由國內外頭部車企或者互聯網公司開發，內核改動成本高昂，技術水平要求高，需要有相當的研發實力。

ROM型操作系統是基于基礎型操作系統進行有限定制化開發，不涉及系統內核修改，一般只修改更新操作系統自帶的應用組件程序等。

2.典型系統內核

目前，主流基礎型操作系統內核包括QNX、Linux、Vxworks等。但由于QNX代碼封閉、Vxworks易用性和易擴展性較低，各軟件開發企業大多選擇開源Linux操作系統或微內核進行定制化開發的技術路線，實現智能駕駛或智能座艙的功能，如特斯拉基于Linux內核定制開發的Version操作系統、谷歌基于Linux內核定制開發并開放源代碼的Android Automotive操作系統、華為基于微內核的鴻蒙操作系統。此外，由于ROM型操作系統開發難度較低，各整車企業往往選擇該技術路線，如寶馬BMW OS、小鵬Xmart OS、蔚來NIO OS。三類基礎型操作系統內核對比如表4所示。

3.國內外系統內核市場格局

目前主流基礎型操作系統均為國外企業或社區開發，國內雖然有華為、中興、阿里斑馬智行等自研微內核架構的基礎型操作系統，但普及率不高。根據CSDN數據，QNX市場占有率最高，目前全球有超過230種車型使用QNX操作系統，覆蓋全球主要汽車品牌。Linux市場占有率位居第二，2014年Linux基金會推出汽車級Linux，AGL（Automotive Grade Linux，開源車載系統），豐田、戴姆勒、福特、本田等知名車企均參與AGL項目開發。美國風河公司Vxworks主要應用于發動機控制領域，合作的品牌包括博世、寶馬、福特、大眾等。微軟曾與許多整車企業合作，但隨著微軟在智能手機領域的節節敗退，車載等細分市場的營收無法支撐起龐大的研發投入，因此WinCE已基本退出了車用領域。全球車載操作系統內核市場競爭格局如圖3所示。

對于車企而言，自研操作系統內核成本高，更多是在現有內核的基礎上開發。當前，無論是百度、特斯拉，還是一些自動駕駛初創公司和整車企業，所謂的自研操作系統，都是指在QNX、Linux等基礎型內核之上進行開發，并自研中間件和應用軟件。車企在選擇操作系統內核時，主要考慮安全性、可靠性、開放性、可擴展性、易用性及成本等因素，再結合自身需求及能力體系來做權衡。例如，實時性、安全性好的實時操作系統QNX、RT Linux 等，車企會優先考慮運用到對實時性、功能安全要求更高的駕駛域。而對應用生態豐富度要求高的座艙域，車企可以在Linux、Android等開放性好的內核基礎上打造座艙域操作系統。

目前較為成熟的操作系統為特斯拉Version操作系統和谷歌Android Automotive操作系統。其中，Version OS包含智能座艙、智能駕駛和安全車控三類操作系統，可以不再依賴于軟件供應商，而是自己掌握堆棧開發，一旦發現問題即可通過OTA（空中下載技術）進行快速修正與升級，提升用戶體驗。而Android Automotive操作系統憑借著應用生態豐富、開源靈活、可移植性強的特點，有利于互聯網廠商切入車用智能座艙操作系統領域，快速建立起車載軟件生態。

國內企業中，華為鴻蒙、百度Apollo、阿里斑馬智行AliOS等操作系統發展較為迅速，均已實現量產，其中鴻蒙操作系統在比亞迪漢、問界M5、北汽極狐阿爾法等車型應用。Apollo操作系統在奇瑞EXEED星途TX實現應用，并搭載在第五代L4級自動駕駛車型Apollo Moon上。AliOS在上汽智己L7實現量產。上汽、長安、東風、比亞迪等整車企業也相繼開展了深度定制智能駕駛操作系統或智能座艙操作系統的自研工作。中興通訊、中汽創智等在智能駕駛操作系統、智能座艙操作系統、安全車控操作系統均有布局，其中，中興通訊推出基于自研微內核操作系統和Safety Linux的雙內核智能駕駛操作系統解決方案，兼顧智能駕駛場景下功能安全要求和豐富生態支持要求；中汽創智自研基于微內核架構的實時操作系統。國內芯片企業地平線等基于自產芯片架構也開展了智能駕駛操作系統的自主研發。

(三）中間件

1.概念

中間件作為存在于操作系統和功能軟件之間的一些中間層軟件，將操作系統提供的接口重新封裝，并添加一些實用功能，以給功能軟件提供更好的服務。隨著電子電氣架構逐漸趨于集中化，汽車軟件系統出現了多種操作系統并存的局面，這也導致系統的復雜性和開發成本的劇增。為了提高軟件的管理性、移植性、裁剪性和質量，需要重新定義一套架構，統一與內外部開發環境交互的規則，解決分布式環境下的數據傳輸、數據訪問、應用調度、系統構建和系統集成、流程管理等問題，建立分布式環境下支撐應用開發、運行和集成的平臺，實現操作系統之間的互聯互通。

2.典型中間件

目前，主流中間件是由全球汽車制造商、零部件供應商以及各種研究、服務機構共同參與制定的AUTOSAR汽車開放架構，擁有CP（Classic Platform）和AP（Adaptive Platform）兩大平臺。CP架構是針對傳統車輛控制OSEK標準的嵌入式系統的解決方案，主要應用在算力要求較低的場景中，如引擎控制、制動等傳統ECU（電子控制單元）。AP架構是由CP架構演化而來，時延在毫秒級，主要應用在算力要求更高的場景中，如高級輔助駕駛系統、自動駕駛，以及在動態部署方面追求較高自由度的信息娛樂場景。AUTOSAR作為一套標準，在實際應用中，Tier 1廠商會基于安全車控ECU模塊中的MCU芯片，將OSEK OS作為AUTOSAR CP平臺的底層組件，構建安全車控操作系統，實現車身、動力、底盤系統等控制功能。AUTOSAR CP與AP情況如表5所示。

隨著智能駕駛技術的不斷發展，ROS 2（機器人操作系統）作為能夠支持Linux、Windows、Mac、RTOS等操作系統的實時系統，已逐漸應用于自動駕駛中間件中。AUTOSAR AP與ROS 2對比如表6所示。

表6 AUTOSAR AP和ROS 2對比

3.國內外中間件市場格局

目前中間件開發的參與者眾多，多個標準并行。從競爭格局看，整車企業、傳統Tier1廠商、平臺供應商、汽車電子廠商及第三方軟件供應商在中間件領域均有所布局。其中AUTOSAR是目前最常見和最常用的中間件方案，如果想完全實現AUTOSAR，需要購買德國維克多、易特馳和芬蘭伊萊比特等Tier1的AUTOSAR工具鏈，其中易特馳產品可兼容 AUTOSAR與ROS 2架構。

國內有多家企業從事AUTOSAR中間件的開發，包括東軟睿馳、經緯恒潤、普華基礎軟件、華為、阿里斑馬智行等。此外，百度Apollo、東風汽車等分別基于自研的生態進行開發。

三、車用操作系統發展趨勢

從整車電子電氣架構技術發展看，由博世公司提出的分階段、分步驟從分布式向集中式發展的趨勢已經形成，相應框架已經得到業界廣泛認可。當前汽車電子電氣架構正逐步邁入跨域集中式階段，顯著特點是“域融合、區集中”，即車端功能逐步向幾個主要功能域融合，傳感器執行器等逐步通過區域控制器做區域集中化接入。未來，隨著電子電氣架構向中央計算平臺的進一步演進，硬件架構會越來越集中到一個或幾個有限的、算力更加強大的計算單元上，智能駕駛、座艙、車身功能域將出現計算平臺融合的發展趨勢，因此基于Hypervisor的宏內核和微內核融合架構的復雜車用操作系統應用會越來越廣泛。

在安全車控操作系統領域，由于功能安全等級要求較高，仍大量使用基于MCU的高實時性高確定性的操作系統（如OSEK/VDX OS），這些系統通常和AUTOSAR CP平臺綁定在一起，因MCU硬件能力的限制，該內核系統技術本身發展空間非常有限。目前，基于微內核的RTOS實時系統已經有支持 ASIL-D級功能安全等級的產品出現，未來將會在安全車控領域起到越來越重要的作用。

在智能駕駛操作系統領域，能夠滿足高功能安全等級和高性能要求的微內核實時操作系統將被廣泛應用。與此同時，為滿足機器學習和視覺AI算法的操作系統層接口要求，基于宏內核的安全操作系統也將被逐漸引入，與RTOS一起構筑軟件功能安全島，在支撐AI算法豐富接口要求的同時，滿足智能駕駛要求的功能安全等級。此外，宏內核系統將不斷進行內核的裁剪優化，采用ISO 26262形式化或半形式化方法完成正向設計和驗證，以滿足高功能安全等級和高可靠性的智能駕駛場景要求。

在智能座艙操作系統領域，除了自身要實現復雜的人車交互和多媒體娛樂等服務外，還需要支持和外部功能域之間的大量交互（如車云一體服務需求），但大部分屬于軟實時系統，對功能安全等級要求相比安全車控和智能駕駛應用要低。從技術能力上看，宏內核系統和微內核系統都可以勝任此類應用，業界主要根據相應產品的應用服務框架支持能力和生態環境的成熟度進行選擇。在中控和儀表分離的智能座艙解決方案當中，功能安全等級要求較高的虛擬儀表主要選擇QNX系統，也有少數采用Linux宏內核的方案，而中控娛樂系統則選擇Android較多。

課題組成員：汪志鴻 于德營 馬天澤

陳炳全 李宗陽 李紅燕