黑莓QNX：車規(guī)級(jí)操作系統(tǒng)——域控制器功能安全的基石

汽車電子技術(shù)日新月異，從硬件使能的汽車到軟件使能的汽車，再到“軟件定義汽車”，均基于標(biāo)準(zhǔn)化硬件的大規(guī)模應(yīng)用以及標(biāo)準(zhǔn)化軟件的大規(guī)模應(yīng)用。

2023年12月19日，在長(zhǎng)城汽車2023技術(shù)研討會(huì)上，黑莓QNX大中華區(qū)首席代表董淵文坦言，現(xiàn)在的汽車更像是一堆電腦組成的網(wǎng)絡(luò)系統(tǒng)。其中，車規(guī)級(jí)操作系統(tǒng)不僅是軟件驅(qū)動(dòng)智能汽車的核心技術(shù)，也是域控制器功能安全的基石。

董淵文表示，滿足以下四個(gè)點(diǎn)，基礎(chǔ)軟件層面的整個(gè)系統(tǒng)就可以認(rèn)為符合功能安全的：第一個(gè)是空間隔離，在芯片當(dāng)中，有內(nèi)存資源，外設(shè)資源，存儲(chǔ)資源等各種資源，這些資源需要做一個(gè)隔離。第二個(gè)是時(shí)域隔離，當(dāng)兩個(gè)進(jìn)程要訪問(wèn)同一個(gè)資源時(shí)，不能讓一個(gè)進(jìn)程有機(jī)會(huì)獨(dú)占這個(gè)資源，長(zhǎng)期不能釋放，因此要在時(shí)域的情況下做隔離。第三個(gè)是消息雙向的通信機(jī)制，要滿足在通訊的時(shí)候消息是可監(jiān)控，可預(yù)測(cè)的。最后是在通信的過(guò)程中要滿足各種監(jiān)控特性。

董淵文 | 黑莓QNX大中華區(qū)首席代表

以下為演講內(nèi)容整理：

黑莓QNX提供以操作系統(tǒng)為核心的基礎(chǔ)軟件，發(fā)展至今已有44年的歷史，專注在汽車電子領(lǐng)域中對(duì)功能安全和網(wǎng)絡(luò)信息安全有高要求的領(lǐng)域，廣泛的應(yīng)用在座艙，自動(dòng)駕駛和高性能計(jì)算平臺(tái)等。

軟件驅(qū)動(dòng)的智能汽車的核心技術(shù)——操作系統(tǒng)

近年來(lái)，中國(guó)汽車電子領(lǐng)域發(fā)生了根本性變革。這種變革主要表現(xiàn)在從硬件使能的汽車，向軟件使能汽車的轉(zhuǎn)變，進(jìn)而演變?yōu)椤败浖x汽車”。而這些變化的產(chǎn)生，離不開(kāi)標(biāo)準(zhǔn)化硬件和標(biāo)準(zhǔn)化軟件的大規(guī)模應(yīng)用。許多最初非汽車領(lǐng)域的芯片公司已洞察這一趨勢(shì)，進(jìn)入汽車電子領(lǐng)域進(jìn)行研發(fā)創(chuàng)新，推動(dòng)智能座艙和自動(dòng)駕駛的發(fā)展。

現(xiàn)在的汽車更像是“在車輪上的電腦”，每個(gè)“電腦”都擁有許多關(guān)鍵技術(shù)。從底層往上，這些技術(shù)包括硬件和芯片、操作系統(tǒng)、中間件、算法和應(yīng)用、數(shù)據(jù)和云。

這些關(guān)鍵技術(shù)的80%以上都是由軟件構(gòu)成，而操作系統(tǒng)在軟件中處于核心地位。這個(gè)系統(tǒng)由五大域組成，下車身是底盤域和動(dòng)力域，上車身是座艙域、智能駕駛域和高性能計(jì)算域，這三個(gè)域在過(guò)去八年的時(shí)間里經(jīng)歷了域內(nèi)融合的過(guò)程。

黑莓量產(chǎn)項(xiàng)目案例

目前，汽車電子主流的架構(gòu)是三域控制器架構(gòu)，無(wú)論是座艙還是自動(dòng)駕駛，幾乎所有主機(jī)廠都遵循這一架構(gòu)，而黑莓QNX正是運(yùn)行于這三個(gè)關(guān)鍵領(lǐng)域之中。

在座艙領(lǐng)域，我們注意到，傳統(tǒng)的芯片供應(yīng)商已逐漸被高通取代。在國(guó)內(nèi)，黑莓QNX占據(jù)了99.9%的基礎(chǔ)軟件份額，其中80%以上的項(xiàng)目選擇高通作為首選芯片供應(yīng)商。座艙領(lǐng)域有一個(gè)有趣的組合——QQA，即Qualcomm、QNX和Android。而與之對(duì)應(yīng)的則是芯片領(lǐng)域的Wintel組合——Windows和Intel。另外19%的市場(chǎng)份額由國(guó)內(nèi)芯片供應(yīng)商占據(jù)。

在自動(dòng)駕駛領(lǐng)域，許多項(xiàng)目都采用了英偉達(dá)的Orin X以及高通的Snapdragon Ride等平臺(tái)，或與高性能的國(guó)產(chǎn)芯片合作。例如在吉利領(lǐng)克08的自動(dòng)輔助駕駛控制器中，采用了黑莓QNX通過(guò)TUV萊茵ISO26262 ASIL D最高等級(jí)功能安全認(rèn)證的系統(tǒng)，配合黑芝麻A1000雙芯片，構(gòu)建了自動(dòng)駕駛平臺(tái)。國(guó)產(chǎn)芯片在中國(guó)自動(dòng)輔助駕駛座艙領(lǐng)域的影響力日益增強(qiáng)，占據(jù)了更多的市場(chǎng)份額。在車身控制方面，與國(guó)內(nèi)外知名芯片供應(yīng)商保持合作。黑莓QNX為汽車電子的座艙，自動(dòng)駕駛，高性能計(jì)算平臺(tái)提供了一套完整的供暖安全方案，主要關(guān)注公共安全和網(wǎng)絡(luò)信息安全。

汽車電子的ECU架構(gòu)最早起源于座艙領(lǐng)域，并逐步擴(kuò)展至其他領(lǐng)域。2017年，許多主流芯片公司預(yù)測(cè)多屏方案將是未來(lái)的發(fā)展趨勢(shì)。雖然起初有人質(zhì)疑采用多屏方案的開(kāi)銷是否會(huì)比單獨(dú)的儀表、中控和HR屏幕高出許多，但事實(shí)上，大多數(shù)主流主機(jī)廠已經(jīng)采納了這一方案。

自2018年3月黑莓QNX發(fā)布以來(lái)，我們?cè)趪?guó)內(nèi)已定點(diǎn)與超過(guò)70家主機(jī)廠合作，覆蓋了多個(gè)平臺(tái)項(xiàng)目。

過(guò)去幾年中，我們發(fā)現(xiàn)中國(guó)主機(jī)廠在采用新技術(shù)方面比國(guó)外更早。例如，全球首個(gè)基于英偉達(dá)Xavier和黑莓QNX量產(chǎn)的車型是小鵬P7，它在2020年5月就已實(shí)現(xiàn)量產(chǎn)。今年，中國(guó)的一批8295重大項(xiàng)目也已開(kāi)始量產(chǎn)。值得一提的是，我們和高通是緊密的合作伙伴，每個(gè)高通的芯片項(xiàng)目均有黑莓QNX的支持。至今，在中國(guó)我們已經(jīng)量產(chǎn)了多個(gè)基于高通8295的數(shù)字座艙平臺(tái)項(xiàng)目，中國(guó)速度再次領(lǐng)先了全球。

在自動(dòng)輔助駕駛領(lǐng)域，也是一樣的，例如全球最早量產(chǎn)基于英偉達(dá)OrinX的自動(dòng)輔助駕駛項(xiàng)目也是在中國(guó)，是上海某電動(dòng)主機(jī)廠的自動(dòng)輔助駕駛項(xiàng)目，開(kāi)發(fā)周期已經(jīng)縮短到了8個(gè)月。這個(gè)速度讓國(guó)外同行感到驚訝。，這是對(duì)傳統(tǒng)開(kāi)發(fā)周期的徹底顛覆。

此外，中國(guó)市場(chǎng)的迭代速度也比國(guó)外快得多。每個(gè)項(xiàng)目都在進(jìn)行迭代和OTA更新，市場(chǎng)競(jìng)爭(zhēng)激烈。為了在這個(gè)環(huán)境中取得主導(dǎo)地位，我們需要適應(yīng)并引領(lǐng)這種快速變化的節(jié)奏。

黑莓QNX是一個(gè)服務(wù)驅(qū)動(dòng)的IP公司，其發(fā)展是由大客戶的需求和資金推動(dòng)的。以虛擬化為例，盡管黑莓在座艙領(lǐng)域占據(jù)了90%的市場(chǎng)份額，但其實(shí)這個(gè)項(xiàng)目是由一家德國(guó)主機(jī)廠在2015年提出的。他們希望我們提供高價(jià)值的工程服務(wù)，并愿意支付費(fèi)用。隨后，我們與高通合作，完成了這個(gè)項(xiàng)目。同樣地，日本的一家主機(jī)廠也找到我們，希望與英特爾合作。這些項(xiàng)目都經(jīng)過(guò)了多家大主機(jī)廠的檢驗(yàn)，最終我們將這些服務(wù)整合成標(biāo)準(zhǔn)產(chǎn)品。

隨著汽車電子系統(tǒng)的復(fù)雜度增加和軟件比重的提升，功能安全和數(shù)據(jù)安全變得越來(lái)越重要。關(guān)于功能安全以及長(zhǎng)期穩(wěn)定性。與國(guó)外項(xiàng)目相比，國(guó)內(nèi)許多項(xiàng)目的開(kāi)發(fā)周期更短，采用的新技術(shù)更早，迭代速度更快。這導(dǎo)致國(guó)內(nèi)項(xiàng)目主要在功能和性能上努力，而往往忽視了功能安全。以戴姆勒的自動(dòng)輔助駕駛平臺(tái)項(xiàng)目為例，這是英偉達(dá)全球首個(gè)定點(diǎn)項(xiàng)目，開(kāi)發(fā)周期長(zhǎng)達(dá)3年半到4年。他們有精力去關(guān)注每個(gè)細(xì)節(jié)，從而確保功能安全。

2021年，我曾在德國(guó)同事那里了解到，寶馬的自動(dòng)輔助駕駛平臺(tái)從2019年開(kāi)始開(kāi)發(fā)，最初使用Linux開(kāi)發(fā)了兩年時(shí)間。2021年又回到使用黑莓QNX功能安全的系統(tǒng)。當(dāng)時(shí)，我很奇怪為什么寶馬在已經(jīng)開(kāi)發(fā)了兩年的情況下，突然從Linux切換到了QNX系統(tǒng)。經(jīng)過(guò)詢問(wèn)德國(guó)同事，我得知了原因。

首先，寶馬在進(jìn)行基于Linux的自動(dòng)輔助項(xiàng)目時(shí)，由于Linux作為一個(gè)宏內(nèi)核的操作系統(tǒng)，需要對(duì)內(nèi)核進(jìn)行裁剪以滿足功能安全要求。然而，無(wú)論他們?cè)趺床眉簦紵o(wú)法徹底清除干凈，最終導(dǎo)致系統(tǒng)崩潰。

其次，即使寶馬是Linux的創(chuàng)始成員之一，他們?cè)敢饣ㄥX對(duì)Linux進(jìn)行公共安全相關(guān)認(rèn)證。但考慮到如果他們?yōu)長(zhǎng)inux做了認(rèn)證，其他會(huì)員單位、甚至競(jìng)爭(zhēng)對(duì)手都可以免費(fèi)使用這個(gè)經(jīng)過(guò)認(rèn)證的系統(tǒng)，這顯然不是寶馬想要的結(jié)果。

基于以上兩點(diǎn)原因，寶馬決定從Linux再次切換到QNX系統(tǒng)。目前，這個(gè)項(xiàng)目已經(jīng)量產(chǎn)。目前寶馬的下一代自動(dòng)輔助駕駛項(xiàng)目也正在開(kāi)發(fā)中，基于高通的三代自動(dòng)輔助駕駛平臺(tái)8650平臺(tái)。

此外，我注意到一些合作伙伴發(fā)布的新聞稿和證書。出于職業(yè)敏感度，我喜歡仔細(xì)查看這些證書。我發(fā)現(xiàn)有些芯片公司聲稱通過(guò)了產(chǎn)品認(rèn)證，但實(shí)際上只是AI芯片中的一小部分通過(guò)了相關(guān)認(rèn)證。然而，在新聞稿中他們卻聲稱整個(gè)芯片都通過(guò)了ASIL D相關(guān)認(rèn)證。因此，對(duì)于這些過(guò)認(rèn)證的情況還是需要仔細(xì)甄別的。

我印象深刻的是在2018年，一家主機(jī)廠與某家德國(guó)公司合作，采用了QNX的功能安全操作系統(tǒng)。當(dāng)時(shí)我們向主機(jī)廠介紹時(shí)，強(qiáng)調(diào)QNX的安全版本的系統(tǒng)的API和QM版本API是完全一樣的。主機(jī)廠的領(lǐng)導(dǎo)聽(tīng)后非常高興，認(rèn)為先用QM的版本開(kāi)發(fā)，開(kāi)發(fā)完成后可以直接使用功能安全的版本替換到QM版本的庫(kù)，那么整個(gè)系統(tǒng)就可以達(dá)到ASIL D功能等級(jí)了。。然而，旁邊的奧地利和德國(guó)專家指出，開(kāi)發(fā)一開(kāi)始就要使用功能安全的版本，并且參考safety manual等文檔開(kāi)發(fā)。他們強(qiáng)調(diào)，這個(gè)理念可能與國(guó)內(nèi)有些不同，因此需要特別注意。

功能安全四大要點(diǎn)

以下是我們?cè)陂_(kāi)發(fā)基礎(chǔ)軟件時(shí)所要滿足的四個(gè)點(diǎn)。對(duì)汽車電子領(lǐng)域的座艙、自動(dòng)駕駛、高性能計(jì)算這三個(gè)領(lǐng)域而言，這些特點(diǎn)必不可少。滿足這四個(gè)點(diǎn)，從基礎(chǔ)軟件層面，整個(gè)系統(tǒng)就是符合功能安全的。

圖源：演講嘉賓素材

第一個(gè)是空間隔離，在芯片當(dāng)中，有內(nèi)存資源，外設(shè)資源EMC存儲(chǔ)資源等各種資源，這些資源需要做一個(gè)隔離。第二個(gè)是時(shí)域隔離，當(dāng)兩個(gè)進(jìn)程要訪問(wèn)同一個(gè)資源時(shí)，不能讓一個(gè)進(jìn)程有機(jī)會(huì)獨(dú)占這個(gè)資源，長(zhǎng)期不能釋放，因此要在時(shí)域的情況下做隔離。第三個(gè)是消息通行機(jī)制，要滿足在通訊的時(shí)候消息是可監(jiān)控，可預(yù)測(cè)的。最后是在通信的過(guò)程中要滿足各種特性。

在過(guò)去的幾年中，我們見(jiàn)證了汽車電子五大域內(nèi)每個(gè)域的融合。例如在自動(dòng)駕駛項(xiàng)目中，高性能處理器的發(fā)展使得自動(dòng)輔助駕駛功能得以集成在一個(gè)大芯片上。自去年10月起，隨著英偉達(dá)發(fā)布Thor平臺(tái)和高通發(fā)布Snapdraon ride flex平臺(tái)，汽車電子架構(gòu)開(kāi)始步入跨域融合的趨勢(shì)。然而，我們之前過(guò)于樂(lè)觀。盡管去年很多場(chǎng)合中，主機(jī)廠和供應(yīng)商都表現(xiàn)出樂(lè)觀態(tài)度，認(rèn)為2023年將開(kāi)啟跨域融合項(xiàng)目，但實(shí)際上這一趨勢(shì)并未如我們所預(yù)期的那樣迅速發(fā)展。我個(gè)人認(rèn)為，這一趨勢(shì)可能需要4到5年的時(shí)間才能真正實(shí)現(xiàn)。

在架構(gòu)實(shí)現(xiàn)之前，我們需要確保和芯片密切配合到位。國(guó)內(nèi)有許多合作伙伴已經(jīng)在行動(dòng)，例如黑芝麻的武當(dāng)系列C1200以及地平線的征程J6系列。

值得一提的是，QNX SDP 8.0近期已經(jīng)發(fā)布。QNX并不經(jīng)常發(fā)布新版本，最近一次發(fā)布是在4年前。這次的新版本帶來(lái)了性能的質(zhì)的飛躍，特別是在艙駕一體和跨域融合的芯片方案中，性能隨核數(shù)增長(zhǎng)呈現(xiàn)線性增長(zhǎng)。為了實(shí)現(xiàn)這一突破，團(tuán)隊(duì)花了4年時(shí)間重寫了QNX操作系統(tǒng)的內(nèi)核。他們精心制作了一個(gè)名為Toybox的工具，其中適配了幾千個(gè)開(kāi)源的軟件，使得用戶可以輕松地在課程系統(tǒng)上進(jìn)行部署，非常適合構(gòu)建跨域一體化的平臺(tái)。

（以上內(nèi)容來(lái)自黑莓QNX大中華區(qū)首席代表董淵文于2023年12月19日在長(zhǎng)城汽車2023技術(shù)研討會(huì)發(fā)表的《車規(guī)級(jí)操作系統(tǒng)——域控制器功能安全的基石》主題演講。）