《肖堃-车用底层操作系统的分析与演进方向思考20230326.pdf》由会员分享,可在线阅读,更多相关《肖堃-车用底层操作系统的分析与演进方向思考20230326.pdf(20页珍藏版)》请在三个皮匠报告上搜索。
1、车用底层操作系统的分析与演进方向思考融合功能安全与网络安全、虚拟化、多种操作系统融合、面向SOA车控智能空间车控操作系统智能驾驶系统智能驾驶车载操作系统Classic AUTOSAR 功能安全多核操作系统应用复杂驱动(针对智能执行器)虚拟化、多操作系统+AIAdaptive AUTOSAR 时间敏感网络功能安全 信息安全OTA迭代开发虚拟化技术快速安全启动定制化中间件开发云服务类型应用领域典型操作系统典型技术特征车控操作系统传统车辆控制领域(动力系统、底盘系统、车身系统等)Classic AUTOSAR高实时、高安全车载操作系统信息娱乐系统领域(车机、中控、液晶仪表)Linux、Android
2、、QNX、AliOS车机:实时性中低仪表:实时性中高智能驾驶操作系统智能驾驶领域(智能驾驶控制器)QNX、Version、Drive OS高实时、高安全操作系统类型特性主要代表底层操作系统狭义操作系统,侧重于底层组件,如内核、Hypervisor、底层驱动、系统服务、基础库、应用程序框架等QNX,Linux,Android定制型操作系统在基础型型操作系统之上,根据应用目的进行定制化开发,如修改内核、硬件驱动、运行环境、应用程序框架VW.OS,MB.OS,AAOS,VersionROM型操作系统基于基础型操作系统进行有限的定制化开发,不涉及系统内核更改,一般只修改更新UI、系统自带的应用程序等M
3、BUX,MMI,iDrive,VolvoCars,SYNC,Honda Connect2020年全球汽车底层操作系统市场份额 当前QNX、Linux、Android仍是底层操作系统的核心玩家,主流车企的智能驾驶OS或智能座舱OS大多采用QNX+Linux或者是QNX+Android的组合方式 底层操作系统研发是一个系统工程,开发难度大、开发周期较长,需要投入大量的人力、财力。当前国外的底层操作系统在市场占据优势地位。1、高可靠:微内核将应用程序、驱动程序、协议栈和文件系统等隔离在内核外自己的地址空间中。组件之间隔离,不互相干扰,单一组件出现故障不会导致系统崩溃。2、高安全:具有分层、全面的安全
4、设计,包括加密文件系统、内存加密、堆和栈内存保护、支持TPM和TrustZone的安全启动等。3、高实时:支持POSIX实时调度器和零星任务调度,针对多核平台支持SMP和BMP模式(锁定特定任务到特定处理器核),支持自适应分区。4、标准化:应用程序编程接口完全符合POSIX标准,Linux用户可以快速上手QNX。5、统一微内核:QNX Hypervisor是基于微内核架构的Hypervisor,基于成熟的QNX Neutrino微内核,在保证系统可靠性、安全性与实时性的同时带来了架构的灵活性操作系统特性Linux/AGLQNXAndroid实时性非实时实时功能安全功能安全认证ASIL-D应用领
5、域中控仪表T-BOX智能驾驶网络安全网络安全认证CC EAL 4+内核代码尺寸千万行级别十万行级别千万行级别Hypervisor实现方式Linux内核+KVMQNX内核+虚拟化扩展开放性代码开源缺乏开源、开放,并且满足虚拟化、高等级功能安全认证和网络安全认证需求的底层操作系统VFS,System CallApplicationIPC,File SystmScheduler,Virtual MemoryDevice Driver,Dispathers.HardwareApplicationBasic IPC,Virtual Memory,SchedulingHardwareApplication
6、IPCApplicationBasic IPC,Virtual Memory,SchedulingHardwareDevice DriverUnixServerFileServerApplicationIPCDevice DriverFile ServerUnixServerMonolithic KernelMicrokernelHybrid KernelKernelModeUserMode线控系统的任务响应时间必须严格满足所设定的截止期,否则可能会导致车辆对外部事件(如驾驶员的转向、刹车或加速指令)的响应不及时而进一步导致严重事故自动驾驶场景中,缺乏人类驾驶员的控制,从传感器的感知到计算系统
7、的决策再到执行器执行的端到端延迟必须严格满足截止期需要对系统的实时性进行完整的分析,才能确保运行的正确性,最终才能保证车辆的安全性可调度性分析对操作系统能够调度的任务集进行分析,保证所有实时任务满足截止时间要求WCET分析WCET指任务在特定的硬件平台上执行所需要的时间的最大值,可调度性分析需要知道任务的WCET 动态度量:在真实环境实中运行任务,通过多次测量任务的执行时间配合统计方法来估算任务的最大执行时间。因多次执行任务也无法保证覆盖最坏执行情况,故测量得到的执行时间通常小于客观上的WCET。真实运行环境的构建依赖于测试集,对于测试集设计的科学性要求较高。静态分析:根据任务的程序流信息针对特定的处理器模型并结合计算方法计算出任务的最大执行时间。静态分析复杂度较高,因为需要对任务的行为或处理器行为进行一定程度的抽象来提高分析效率,但是抽象会损失信息进而导致过度估计,故分析得到的最大执行时间大于客观上的WCET。静态分析依赖于工具,对于工具设计的科学性要求较高。52008RhealstoneDhrystone For RTOSRT-TestThread-Metric