3月20-21日,由佐思产研、佐智汽车主办,地平线、TTTech、魔智、海信网络科技、晶众股份、芯仑光电、PLK、中科慧眼等单位支持的2018第三届ADAS与自动驾驶国际论坛在上海银星皇冠假日酒店举办。超过400多位嘉宾参加了本次论坛,兴民智通COO张人杰发表了《自动驾驶与智能网联的操作系统和功能安全》的主题演讲。
兴民智通集团COO 张人杰
张人杰:首先非常感谢佐思产研、佐智汽车搭建平台与各位来宾进行技术交流,提到汽车、提到自动驾驶,离不开的话题就是操作系统。我在操作系统行业干了十几年,而从事操作系统相关研究与业务超过二十年,对操作系统有一些个人心得,在这里与大家分享。
什么是真正意义上的操作系统?我们经常听到很多企业说,做了某某自主的操作系统,可以用于某个行业领域。如果把既有的操作系统加上某些中间件,再加上一些应用生态,就将其定义为一个全新的操作系统,实际上是一种偷换概念的做法。
操作系统的核心是什么?内核、调度和资源管理。我们通常见到的很多“自主操作系统”,实质上只修改了中间层和应用层,底层的系统内核还是Linux,因此系统本质的调度和资源管理与Linux没有什么不同,更合理的名称应该是应用型操作系统。
通常操作系统的架构分为几种呢?第一种非常清晰,所有的访问都聚集在内核空间,也就是说不存在用户态和内核态的分割。在系统访问的时候就不存在虚拟地址,所有操作都是直接物理地址访问,不需要做内存映射。这样的操作系统,访问速度特别快,劣势也非常明显,任务之间是没有保护的,一旦一个任务的执行侵占到另一个任务的内存空间,系统就会崩溃且几乎无法恢复。
第二种架构,目前最常见的,像Linux或者基于Linux内核的Android等等。用户态的进程之间相互隔离,有一定的保护。而很多关键的模块都处在内核态,一旦某个内核态模块出现崩溃,会影响整个系统的稳定。大家可以想象自动驾驶的场景中,如果底层系统里有一个内核模块,在某个瞬间出现崩溃,上面的算法、应用程序无论多么完美,整个系统都逃不出崩溃的后果。
第三种架构,是微内核架构,比较典型的两个操作系统,一个是汽车里用得比较多的QNX,第二个是Apple IOS的Mach。严格意义上,Apple IOS是微内核加上宏内核的混合式操作系统,对于微内核操作系统来讲,由于它所有进程相互隔离,系统安全性更高,且单一的进程出现崩溃,不会影响到其它进程。
微内核架构实际上是最简单的操作系统架构,如何理解?正如我们做一件事总是从最小的部分开始,微内核架构恰恰就是从最小的形态开始,先构建一个非常小的内核,他只负责资源分配和进程管理这些最基本的功能,别的部分都工作在用户态,就把操作系统变成了一种基于通信的进程集群。
最明显的特征是什么?它可以做成分布式的。怎么去理解?在单一微内核操作系统的进程之间进行通信,实际上跟在多个微内核操作系统中的进程之间的通信没有本质上的区别,这些部署的系统节点就可以组成一个庞大的分布式操作系统集群。因为我们目前的大部分系统都是基于Linux,它不具备这样的分布式功能。而微内核架构如果能够广为被业内接受,其产生的分布式协同计算效应将会十分显著。
在这里,我们可以考察另一个例子,比如区块链,就是从链表这样简单的结构衍生出来,如果大家学过数据结构会非常容易理解。而就是这么简单的技术,最后可能会最终改变我们的应用架构。
谈操作系统离不开虚拟化的话题,Hypervisor已经成为进入人们视野的热门技术,早在2006年就已经在通信行业得到应用,但情况不瘟不火。近几年在汽车行业里,Hypervisor逐渐开始成为行业里被认可的,未来汽车软件架构的基础技术。
Hypervisor从guest OS的宿主不同分为两类,一类是Type1的Hypervisor,一类是Type2的Hypervisor。Type1的Hypervisor不需要依赖于Host的OS,几个Guest操作系统之间的关系对等。Type2的Hypervisor首先要有一个Host的OS,比如说Windows,在上面架构Hypervisor,然后再安装guest OS,VMW are就是一个典型的Type2 Hypervisor。直观一点理解,Type2的架构适合于我们现在搭建各种服务器、云等,Type1更适合嵌入式的应用环境。
对于虚拟化技术来讲,可以充分利用CPU等硬件资源,降低系统成本。根据应用场景优化资源配置方案,用软件定义汽车。汽车只是虚拟化应用的一个场景,利用软件定义汽车的虚拟化架构,可提供一个功能划分更清晰的框架。虚拟机之间的隔离可以增强系统的安全性,由于基于虚拟资源,Guest OS的移植性、再配置和升级能力均大大增强。
举个例子,假如车机(中控娱乐信息系统)基于安卓系统,现在它的版本比较新,但过一两年之后这个版本已经落后了,由于现有车机硬件很难升级,新安卓系统的升级几乎不可能。但如果当时的安卓系统本身就是去适配虚拟硬件,在虚拟硬件的基础上升级安卓系统就简单的多。
虚拟化这些年已经在很多行业得到应用,20年前,VMware出现,Virtual Box出现, 10年前虚拟运营商出现,6年前云服务器租用出现等,到现在开始应用到汽车行业,技术也在不断升级中。
汽车里面,虚拟化大有用武之地,基于虚拟化可以真正地实现软件定义汽车,在每个虚拟机上实现过去真正的硬件功能实体。
接来下我们要讨论功能安全,通常我们把问题分为三个等级,第一个等级是缺陷,设计的时候本来就有缺陷;第二个等级是错误,缺陷不一定百分之百会产生错误,但是缺陷有可能会引发错误;第三个等级是失败,错误就有可能导致某个功能组件的失败,而最终导致系统的崩溃。拿汽车来举例子,大家都知道最近传的沸沸扬扬的奔驰自动巡航事件,有可能就是用户自己刷写了ECU,错误的ECU代码可能就有缺陷,缺陷引发错误,错误最后导致系统崩溃。
对于智能网联设备来讲,形式上是一种高度集成化的硬件SOC方案加显示一体化,而实质是多个域的协同工作。虚拟化使得异构操作系统的架构成为可能,这样就可以用安全的操作系统去控制对系统安全要求比较高的组件,用安卓之类的应用生态更好的系统去适配中控娱乐信息系统。
我们该如何去打造这样的架构?系统最底层是硬件SOC方案,之上是安全虚拟化,这意味着虚拟化方案要通过相应的功能安全认证,至少要达到ISO 26262 ASIL B的要求。
功能安全起源于工业,IEC 61508,延伸到汽车领域里的乘用车功能安全就是ISO26262,延伸到轨道交通领域是EN 50128、EN 50129。回到ISO26262,它也不是万能的,它只是包含了对功能安全的要求。
除了功能安全之外还有数据安全。数据安全没做好更可怕。直观一点理解,一辆车的某个部件在高速上行驶出了问题,这属于功能安全的范畴。如果有人远程接管了对车的控制,这就是数据安全的范畴。
谈到数据安全,无论是操作环境还是实现方式越来越复杂。比如以前在车里布置车联网的安全加密机制,通常使用PKI/CA证书体系,而未来我们有可能会采用去中心化的区块链技术来代替。
区块链技术,将与车联网、智能网联与自动驾驶结合在一起。首先让开发流程具有不可篡改性,用去中心交易化可以打通车联网各种付费环节。区块链还能实现无人驾驶下车车通信之间的安全授信,以及汽车共享和分时租赁的安全授信等等。
对于功能安全来讲,常见的规范就是ISO 26262,分四个等级,简单点可以这张表格,根据严重度、暴露率、可控性这三个参数来确定当前的部件功能安全等级是多少。
对于自动驾驶来说,ASIL D为最高安全等级,即使达到了ASIL D,也不能保证自动驾驶系统功能安全就OK了,更不用说还要考虑数据安全。
想实现自动驾驶计算和决策系统的功能安全,其中最大的难点在于自动驾驶算法基于的神经网络。我们都知道神经网络算法是黑盒子,对于黑盒子怎么证明它是不是功能安全?怎么去设计失败模型?在当下几乎不可能。对于传统的函数来说,要做功能安全,其输入和输出,验证的数据模型都较容易计算分析。但对于神经网络,它的Hidden层对于我们来说是不可见的,更不要说如何去做失败模型的分析计算。
那么如果我们想设计一个相对安全的自动驾驶系统,我们应该怎么做? 首先最底层要有安全的自动驾驶硬件平台,这一点能够达到要求的厂家已经很少。
其次必须有通过功能安全认证的安全虚拟化,以及安全的实时操作系统。在此基础上,加入对传统的如AutoSar环境的适配, V2X智能网联的适配,以及自动驾驶硬件相关的SDK、算法、处理器加速、传感器融合框架等。
从上图中,大家可以看到下面的三层目前都有办法做到功能安全。而对于上面的部分,无论是硬件、软件、算法,实现功能安全认证都有很大的挑战。
最后介绍一下我们集团,兴民智通是目前中国最大的车轮上市企业集团,同时我们在整个智能网联的布局也是在行业内领先的,下属多家全资、控股和参股子公司,如武汉的英泰斯特、北京的九五智驾、深圳的广联赛讯等,都是行业的龙头企业,期待有机会跟大家合作。谢谢大家!
