汽車電子技術(shù)日新月異,從硬件使能的汽車到軟件使能的汽車,再到“軟件定義汽車”,均基于標(biāo)準(zhǔn)化硬件的大規(guī)模應(yīng)用以及標(biāo)準(zhǔn)化軟件的大規(guī)模應(yīng)用。
2023年12月19日,在長城汽車2023技術(shù)研討會上,黑莓QNX大中華區(qū)首席代表董淵文坦言,現(xiàn)在的汽車更像是一堆電腦組成的網(wǎng)絡(luò)系統(tǒng)。其中,車規(guī)級操作系統(tǒng)不僅是軟件驅(qū)動智能汽車的核心技術(shù),也是域控制器功能安全的基石。
董淵文表示,滿足以下四個點,基礎(chǔ)軟件層面的整個系統(tǒng)就可以認(rèn)為符合功能安全的:第一個是空間隔離,在芯片當(dāng)中,有內(nèi)存資源,外設(shè)資源,存儲資源等各種資源,這些資源需要做一個隔離。第二個是時域隔離,當(dāng)兩個進(jìn)程要訪問同一個資源時,不能讓一個進(jìn)程有機會獨占這個資源,長期不能釋放,因此要在時域的情況下做隔離。第三個是消息雙向的通信機制,要滿足在通訊的時候消息是可監(jiān)控,可預(yù)測的。最后是在通信的過程中要滿足各種監(jiān)控特性。
董淵文 | 黑莓QNX大中華區(qū)首席代表
以下為演講內(nèi)容整理:
黑莓QNX提供以操作系統(tǒng)為核心的基礎(chǔ)軟件,發(fā)展至今已有44年的歷史,專注在汽車電子領(lǐng)域中對功能安全和網(wǎng)絡(luò)信息安全有高要求的領(lǐng)域,廣泛的應(yīng)用在座艙,自動駕駛和高性能計算平臺等。
軟件驅(qū)動的智能汽車的核心技術(shù)——操作系統(tǒng)
近年來,中國汽車電子領(lǐng)域發(fā)生了根本性變革。這種變革主要表現(xiàn)在從硬件使能的汽車,向軟件使能汽車的轉(zhuǎn)變,進(jìn)而演變?yōu)椤败浖x汽車”。而這些變化的產(chǎn)生,離不開標(biāo)準(zhǔn)化硬件和標(biāo)準(zhǔn)化軟件的大規(guī)模應(yīng)用。許多最初非汽車領(lǐng)域的芯片公司已洞察這一趨勢,進(jìn)入汽車電子領(lǐng)域進(jìn)行研發(fā)創(chuàng)新,推動智能座艙和自動駕駛的發(fā)展。
現(xiàn)在的汽車更像是“在車輪上的電腦”,每個“電腦”都擁有許多關(guān)鍵技術(shù)。從底層往上,這些技術(shù)包括硬件和芯片、操作系統(tǒng)、中間件、算法和應(yīng)用、數(shù)據(jù)和云。
這些關(guān)鍵技術(shù)的80%以上都是由軟件構(gòu)成,而操作系統(tǒng)在軟件中處于核心地位。這個系統(tǒng)由五大域組成,下車身是底盤域和動力域,上車身是座艙域、智能駕駛域和高性能計算域,這三個域在過去八年的時間里經(jīng)歷了域內(nèi)融合的過程。
黑莓量產(chǎn)項目案例
目前,汽車電子主流的架構(gòu)是三域控制器架構(gòu),無論是座艙還是自動駕駛,幾乎所有主機廠都遵循這一架構(gòu),而黑莓QNX正是運行于這三個關(guān)鍵領(lǐng)域之中。
在座艙領(lǐng)域,我們注意到,傳統(tǒng)的芯片供應(yīng)商已逐漸被高通取代。在國內(nèi),黑莓QNX占據(jù)了99.9%的基礎(chǔ)軟件份額,其中80%以上的項目選擇高通作為首選芯片供應(yīng)商。座艙領(lǐng)域有一個有趣的組合——QQA,即Qualcomm、QNX和Android。而與之對應(yīng)的則是芯片領(lǐng)域的Wintel組合——Windows和Intel。另外19%的市場份額由國內(nèi)芯片供應(yīng)商占據(jù)。
在自動駕駛領(lǐng)域,許多項目都采用了英偉達(dá)的Orin X以及高通的Snapdragon Ride等平臺,或與高性能的國產(chǎn)芯片合作。例如在吉利領(lǐng)克08的自動輔助駕駛控制器中,采用了黑莓QNX通過TUV萊茵ISO26262 ASIL D最高等級功能安全認(rèn)證的系統(tǒng),配合黑芝麻A1000雙芯片,構(gòu)建了自動駕駛平臺。國產(chǎn)芯片在中國自動輔助駕駛座艙領(lǐng)域的影響力日益增強,占據(jù)了更多的市場份額。在車身控制方面,與國內(nèi)外知名芯片供應(yīng)商保持合作。黑莓QNX為汽車電子的座艙,自動駕駛,高性能計算平臺提供了一套完整的供暖安全方案,主要關(guān)注公共安全和網(wǎng)絡(luò)信息安全。
汽車電子的ECU架構(gòu)最早起源于座艙領(lǐng)域,并逐步擴展至其他領(lǐng)域。2017年,許多主流芯片公司預(yù)測多屏方案將是未來的發(fā)展趨勢。雖然起初有人質(zhì)疑采用多屏方案的開銷是否會比單獨的儀表、中控和HR屏幕高出許多,但事實上,大多數(shù)主流主機廠已經(jīng)采納了這一方案。
自2018年3月黑莓QNX發(fā)布以來,我們在國內(nèi)已定點與超過70家主機廠合作,覆蓋了多個平臺項目。
過去幾年中,我們發(fā)現(xiàn)中國主機廠在采用新技術(shù)方面比國外更早。例如,全球首個基于英偉達(dá)Xavier和黑莓QNX量產(chǎn)的車型是小鵬P7,它在2020年5月就已實現(xiàn)量產(chǎn)。今年,中國的一批8295重大項目也已開始量產(chǎn)。值得一提的是,我們和高通是緊密的合作伙伴,每個高通的芯片項目均有黑莓QNX的支持。至今,在中國我們已經(jīng)量產(chǎn)了多個基于高通8295的數(shù)字座艙平臺項目,中國速度再次領(lǐng)先了全球。
在自動輔助駕駛領(lǐng)域,也是一樣的,例如全球最早量產(chǎn)基于英偉達(dá)OrinX的自動輔助駕駛項目也是在中國,是上海某電動主機廠的自動輔助駕駛項目,開發(fā)周期已經(jīng)縮短到了8個月。這個速度讓國外同行感到驚訝。,這是對傳統(tǒng)開發(fā)周期的徹底顛覆。
此外,中國市場的迭代速度也比國外快得多。每個項目都在進(jìn)行迭代和OTA更新,市場競爭激烈。為了在這個環(huán)境中取得主導(dǎo)地位,我們需要適應(yīng)并引領(lǐng)這種快速變化的節(jié)奏。
黑莓QNX是一個服務(wù)驅(qū)動的IP公司,其發(fā)展是由大客戶的需求和資金推動的。以虛擬化為例,盡管黑莓在座艙領(lǐng)域占據(jù)了90%的市場份額,但其實這個項目是由一家德國主機廠在2015年提出的。他們希望我們提供高價值的工程服務(wù),并愿意支付費用。隨后,我們與高通合作,完成了這個項目。同樣地,日本的一家主機廠也找到我們,希望與英特爾合作。這些項目都經(jīng)過了多家大主機廠的檢驗,最終我們將這些服務(wù)整合成標(biāo)準(zhǔn)產(chǎn)品。
隨著汽車電子系統(tǒng)的復(fù)雜度增加和軟件比重的提升,功能安全和數(shù)據(jù)安全變得越來越重要。關(guān)于功能安全以及長期穩(wěn)定性。與國外項目相比,國內(nèi)許多項目的開發(fā)周期更短,采用的新技術(shù)更早,迭代速度更快。這導(dǎo)致國內(nèi)項目主要在功能和性能上努力,而往往忽視了功能安全。以戴姆勒的自動輔助駕駛平臺項目為例,這是英偉達(dá)全球首個定點項目,開發(fā)周期長達(dá)3年半到4年。他們有精力去關(guān)注每個細(xì)節(jié),從而確保功能安全。
2021年,我曾在德國同事那里了解到,寶馬的自動輔助駕駛平臺從2019年開始開發(fā),最初使用Linux開發(fā)了兩年時間。2021年又回到使用黑莓QNX功能安全的系統(tǒng)。當(dāng)時,我很奇怪為什么寶馬在已經(jīng)開發(fā)了兩年的情況下,突然從Linux切換到了QNX系統(tǒng)。經(jīng)過詢問德國同事,我得知了原因。
首先,寶馬在進(jìn)行基于Linux的自動輔助項目時,由于Linux作為一個宏內(nèi)核的操作系統(tǒng),需要對內(nèi)核進(jìn)行裁剪以滿足功能安全要求。然而,無論他們怎么裁剪,都無法徹底清除干凈,最終導(dǎo)致系統(tǒng)崩潰。
其次,即使寶馬是Linux的創(chuàng)始成員之一,他們愿意花錢對Linux進(jìn)行公共安全相關(guān)認(rèn)證。但考慮到如果他們?yōu)長inux做了認(rèn)證,其他會員單位、甚至競爭對手都可以免費使用這個經(jīng)過認(rèn)證的系統(tǒng),這顯然不是寶馬想要的結(jié)果。
基于以上兩點原因,寶馬決定從Linux再次切換到QNX系統(tǒng)。目前,這個項目已經(jīng)量產(chǎn)。目前寶馬的下一代自動輔助駕駛項目也正在開發(fā)中,基于高通的三代自動輔助駕駛平臺8650平臺。
此外,我注意到一些合作伙伴發(fā)布的新聞稿和證書。出于職業(yè)敏感度,我喜歡仔細(xì)查看這些證書。我發(fā)現(xiàn)有些芯片公司聲稱通過了產(chǎn)品認(rèn)證,但實際上只是AI芯片中的一小部分通過了相關(guān)認(rèn)證。然而,在新聞稿中他們卻聲稱整個芯片都通過了ASIL D相關(guān)認(rèn)證。因此,對于這些過認(rèn)證的情況還是需要仔細(xì)甄別的。
我印象深刻的是在2018年,一家主機廠與某家德國公司合作,采用了QNX的功能安全操作系統(tǒng)。當(dāng)時我們向主機廠介紹時,強調(diào)QNX的安全版本的系統(tǒng)的API和QM版本API是完全一樣的。主機廠的領(lǐng)導(dǎo)聽后非常高興,認(rèn)為先用QM的版本開發(fā),開發(fā)完成后可以直接使用功能安全的版本替換到QM版本的庫,那么整個系統(tǒng)就可以達(dá)到ASIL D功能等級了。。然而,旁邊的奧地利和德國專家指出,開發(fā)一開始就要使用功能安全的版本,并且參考safety manual等文檔開發(fā)。他們強調(diào),這個理念可能與國內(nèi)有些不同,因此需要特別注意。
功能安全四大要點
以下是我們在開發(fā)基礎(chǔ)軟件時所要滿足的四個點。對汽車電子領(lǐng)域的座艙、自動駕駛、高性能計算這三個領(lǐng)域而言,這些特點必不可少。滿足這四個點,從基礎(chǔ)軟件層面,整個系統(tǒng)就是符合功能安全的。
圖源:演講嘉賓素材
第一個是空間隔離,在芯片當(dāng)中,有內(nèi)存資源,外設(shè)資源EMC存儲資源等各種資源,這些資源需要做一個隔離。第二個是時域隔離,當(dāng)兩個進(jìn)程要訪問同一個資源時,不能讓一個進(jìn)程有機會獨占這個資源,長期不能釋放,因此要在時域的情況下做隔離。第三個是消息通行機制,要滿足在通訊的時候消息是可監(jiān)控,可預(yù)測的。最后是在通信的過程中要滿足各種特性。
在過去的幾年中,我們見證了汽車電子五大域內(nèi)每個域的融合。例如在自動駕駛項目中,高性能處理器的發(fā)展使得自動輔助駕駛功能得以集成在一個大芯片上。自去年10月起,隨著英偉達(dá)發(fā)布Thor平臺和高通發(fā)布Snapdraon ride flex平臺,汽車電子架構(gòu)開始步入跨域融合的趨勢。然而,我們之前過于樂觀。盡管去年很多場合中,主機廠和供應(yīng)商都表現(xiàn)出樂觀態(tài)度,認(rèn)為2023年將開啟跨域融合項目,但實際上這一趨勢并未如我們所預(yù)期的那樣迅速發(fā)展。我個人認(rèn)為,這一趨勢可能需要4到5年的時間才能真正實現(xiàn)。
在架構(gòu)實現(xiàn)之前,我們需要確保和芯片密切配合到位。國內(nèi)有許多合作伙伴已經(jīng)在行動,例如黑芝麻的武當(dāng)系列C1200以及地平線的征程J6系列。
值得一提的是,QNX SDP 8.0近期已經(jīng)發(fā)布。QNX并不經(jīng)常發(fā)布新版本,最近一次發(fā)布是在4年前。這次的新版本帶來了性能的質(zhì)的飛躍,特別是在艙駕一體和跨域融合的芯片方案中,性能隨核數(shù)增長呈現(xiàn)線性增長。為了實現(xiàn)這一突破,團(tuán)隊花了4年時間重寫了QNX操作系統(tǒng)的內(nèi)核。他們精心制作了一個名為Toybox的工具,其中適配了幾千個開源的軟件,使得用戶可以輕松地在課程系統(tǒng)上進(jìn)行部署,非常適合構(gòu)建跨域一體化的平臺。
(以上內(nèi)容來自黑莓QNX大中華區(qū)首席代表董淵文于2023年12月19日在長城汽車2023技術(shù)研討會發(fā)表的《車規(guī)級操作系統(tǒng)——域控制器功能安全的基石》主題演講。)