2022汽车半导体生态峰会演讲实录|零念科技周亮:智能汽车操作系统的演变---安全与灵活性的博弈
以“智链未来 本立而道生”为主题的“2022张江汽车半导体生态峰会暨全球汽车电子博览会”由《中国汽车报》社主办,张江高科、爱集微、浦东新区投资促进二中心承办,11月7日-8日在上海张江科学会堂隆重举行。
本届峰会邀请了以半导体为核心的全球智能网联汽车生态链企业高管、知名分析师与投资机构、中外行业大咖参加,瞄准新智能汽车与能源汽车技术前沿,就科创+产业+金融进行深度交流,为汽车半导体产业发展贡献智慧和力量。同时,通过趋势分享、前沿技术碰撞、投资逻辑解读以及全球汽车电子博览会,共同探讨全球巨变下的汽车半导体产业链发展,为业界充分展示汽车电子最新发展成果与趋势,打造国际化一流汽车半导体领域展示平台。
其中,在11月7日举办的“软件定义汽车专场”,上海零念科技有限公司COO 周亮做了题为《智能汽车操作系统的演变---安全与灵活性的博弈》的精彩演讲,以下内容为现场演讲实录:
周亮:大家下午好,我来自上海零念科技,我们公司和刚刚几位相比,还是一个很年轻的公司,零念科技成立于2021年的8月,也就是说我们到现在大概运营了一年的时间。
上海零念科技有限公司 COO 周亮
我们今天讲这个话题就是智能汽车操作系统的演变,安全与灵活性的博弈。
我们看一个比较有趣的东西,在未来十年,我们汽车领域要什么样的操作系统?提到操作系统,我们最早可以想象到的是什么?像我们80后这一代,就是在90年代,最早可以摸到的DOS,后来到WIN,再到个人PC领域。
在大型的操作系统领域,早先是Unix以及Linux,还有专用的操作系统,比如安卓。安卓是手机领域的绝对的霸主,安卓又过渡到了鸿蒙,这些都是在娱乐领域,可以和大家有交互的操作系统。
我们说一些大家看不见的,像FreeRTOS,包括RTT,Qimux这些专用的嵌入式的操作系统。操作系统本身是用来干什么的?操作系统解决的就是底层的硬件,我们要把这些硬件组织在一起,为上层的应用提供直接的接口。
如果说一些早期特别简单的东西,我们随便举一个例子,像早期的我们在低端的MCU上,可能只需要一个很小的核就可以工作了。我们现在为什么讲未来?我们是做自动驾驶的,我关心中央域控。中央域控的基础上也有一个操作系统,因为我们底层硬件的复杂性导致了和上层的外部接口的复杂性。未来是一个很复杂的事情,以前人家提操作系统就是简单的OS,我们现在提操作系统则是一个大的操作系统的概念,有人把很多的东西都放进来。简言之,我们想到一个词,也就是中间键,它的本质就是应用的一种,但是这个中间键是有操作系统功能属性的应用,会解决一些问题。究竟会解决什么问题呢?我们看一下。
现在的操作系统的复杂性可能需要什么?可扩展,但不能单纯的只用于某一个垂直的应用,那横向的扩展性就会变得很复杂。举一个例子,我们现在还是属于每一个域控都是独自工作的领域,像智能座舱,这个屏一拖三,一拖四很牛,现在就是价值一体。大家提数字底盘,装域控,因为算力够了。这个对扩展性的要求是非常高的。现在明确的提出来了SOC,再强大一点就不需要MCU了,而谁都希望这一天的到来,我们供应链的同事不要怕缺芯的问题了。
还有开放,OS的开放的生态决定OS可以走向多元,我们看一下开放的生态,像手机领域,我们拿苹果的IOS和安卓比较,安卓就是开放的生态。苹果的IOS,就是封闭的生态。两者之间谁用的更多,大家更倾向于开放的生态。
如果从目前车的操作系统来看,我们看到什么?最早就是中控的Unix,后来是Kinux带来了仪表,到现在,我们做自动驾驶的域控,整车的域控,Qinux作为好操作系统一直到SOC这边。MCU这一块,传统的系统也是在用,还有RTOS做简单的替代的一些东西。
我们再往后看,Unix也是有很多人用,有人觉得我为什么要给版税呢?不是说Kinux不好,但很多人希望我们用Unix也可以工作。
还有高安全性,这两个词其实是矛盾的。我们用一个朴素的观点来看,什么是开放?我们举一个例子,我们看计算机的概念,我们提开放就是提开源,开源的东西,不可追溯,你不可能过ISO26262的认证,因为没有前后的一致性,那么这个事情有一点复杂了。不开放吧,参与的人少,开放的话,安全过不了。
SOA,现在言必提SOA,但好多人是不是连SOA和SOC都没有搞清楚?经常开玩笑一句话,这个是面向什么的?面向服务的架构,不是应用。操作系统如果做到这些特点,是一个很难的事情。我们再往下看,我们刚刚讲过演变,这个特别的简单,最早的操作系统就是处理一个灯,一个门。后来我们在原有的操作系统基础上引入CP的概念,把一些中间键标准的东西用于高性能的MCU,像397,XP这些,包括国内芯驰做的一些,再后来就是下一轮的迭代。
接下来就是AP,AP里面引入的概念就更多了,最主要的就是SOA的架构,又进入了很多各种各样的像诊断等等这些东西,这一系列的东西,就是我们现在构成的整体。现在国内的CP市场,是极度爆发且很红火的市场,某国内的厂商与前年相比收入翻了20倍,今年和去年相比至少翻5到10倍,几乎所有人都要提这些,这个就是零念科技去年做了短短一年的东西,大家很看好。当前市场大家都很看好,也带来了大家对AP的遐想,现在AP还没有爆发,大家的遐想就碰到了中央域控,这个迭代就是我们操作系统的演变。
我一直没有讲这个是什么操作系统,因为我们是双操作系统,MCU一个,SOC一个,再到未来呢?又会变成了一个,因为大家会认为可以用AI的计算替代传统的MCU学习的东西,可以把MCU完全替代掉。我们有一个东西就是R核,也就是安全岛,也就是当你的计算失灵的时候,可以保证踩下去的刹车是被执行的。SOC方面大家花了很多的钱,R核不会花很多钱?为什么?500万人民币可以买一个成熟的IP,现在有多少人敢在SOC用SOC的R核替代传统的MCU?这个技术我们单纯的看是很简单的东西,工作原理又一模一样,为什么不能替代?我不知道。只是就软件厂商而言,我们发现这个过程其实是很难的,我总认为当我们在谈一个很超前的东西的时候,我们会看到25年后要实现什么,30年后实现什么,这个时间的节点有没有那么快?没有关系,因为这就是安全的代价。
这是一个架构,因为这个架构如果不讲清楚大家可能没有办法去听我后面讲的东西。这个架构不复杂,我们理解为一个传统的操作系统PC的概念。传统的操作系统里面,大家会见到底层有什么?芯片和外设,域控,硬件,各种传感器,往上是操作系统。
中间键,实现上下的分离,中间键的作用就是做上下的分离。上面就是应用层,我们做的就是中间键这一层。在操作系统公司,中间键就是做操作系统服务,我们也做整个大操作系统概念。零念科技作为一个只有百人的小公司,目前专注于做的汽车的中间键这一块的东西,我们一会可以看一下具体有什么。
安全性,仍然是目前OS最大的挑战。现在各种各样的事故的频发,所以目前为止还没有人敢把自己的方向盘完全交给车的自动驾驶的系统。为什么大家一直在讲安全的问题?我和大家讲一个安全盲目的事情。前几年,你们发现不管是哪家车企的车撞人了,我们会发现新闻铺天盖地写某某家的自动驾驶撞人了。前几天,某某家的车撞人了,只有在某几个专业的群里面有人发了几个图片说撞人,新闻也没有了,为什么?已经习惯了,自动驾驶也会犯错。为什么会犯错?人犯错,我们认为这个是伦理允许事情,自动驾驶犯错我们认为这个是在杀人,因为机器是不能主动判定人的生死。这个里面会诞生一些东西,这一页的话就是一个法规的东西,我们今年可以看到有几个法规,一个就是深圳法规,一个是上海法规。深圳法规是7月发布的,上海法规是8月发布的。这些法规里面的内容令自动驾驶圈的人很兴奋,那就是L3到来,规定明确了一些实务的点,把之前复杂的东西简单化了。第一个就是当车上有人的时候,责任是谁的?当驾驶座没有坐人的时候,责任是车的运营主体,这个切出来以后,最好一点是什么?没有说当车出了车祸以后我们看一下日志,是不是哪家底层软件出BUG,不是这样的。像我们这个小公司,如果我们开始做了,马上就可以上车量产了,没有人敢说这样的话。这个是一个进步,也只是一个简单的进步。
如果这个能落地,意味着什么?场景具备了。场景具备了意味着什么?生态链开始繁荣了,也就意味着所有人都有饭吃了。
我们往下看,国内的起步比较晚,缺乏对系统软件的安全性的认证、认知。我们经常可以看到一个词就是ISO26262的SOB的认证,大家看一下地平线和黑芝麻这国内最大的两个SOC的巨头,他们的PR里面会提到ISO26262 SOB的认证,请各位看一下国内的众多的软件公司有谁拿到这个认证的吗?有吗?软件也需要通过的,我们公司目前在过,过了认证,成本一下子就上来了。我们都希望快速迭代,如果想要通过26262,就要做微模型,每一个地方都要配人,文档要写,可追溯才可以,可追溯的过程就是很费时费力。
新的AI技术和SOA的引入,也带来了一些灵活性降低的问题,为什么会这样?这个对我们这样的底层软件的公司来讲谈这个东西没有意义,我们也不做这个。我们设想一下,所有的东西,如果都交给AI控制,安全性和功能性怎么样?这个是一个简单的逻辑的话题,我们不制造焦虑,因为这个事情总会解决。
我们看一个例子,这个是传统的代码架构,我们可以看一下F22战斗机的代码行数200万,我们车载软件1亿行。我们看一下接口的复杂度,随着时间的推移,整个接口的复杂度是呈指数倍增长,包括开发的成本也是疯狂的增长,这说明什么?我们现在已经把一个东西做的越来越复杂了,为什么?因为我们对它的要求高了。以前你踩刹车,车就停了,其实就是一个线拉着刹车盘,这个里面是没有电子的东西,这个是可控的。我们再举一个例子,最简单的例子,某一个软件重启了,会带来什么?带来这个功能不能用,这个功能你觉得不能用,怎么办?要有一个备份的机制来处理这个逻辑。软件不能用,操作系统不能用呢?是不是要有备份的操作系统?操作系统再往上是硬件,硬件失效了,又要备份的硬件。成本为王啊,这个迭代起来,软件其实还稍微好一点,为什么?软件顶多就是多写一点代码,硬件这个成本就是翻倍增加,域控失效就是要备份的域控,这些都要去处理,逻辑要写清楚,我们用的可以说是AI,但其实就是车上都是一些规则性的东西,车里面其实没有强化学习的东西,都是规则性的制订带来的一些复制的东西。
我们再往下看,无序的抢占和系统思索。用电脑,用手机的人可以感受到这个东西,这个东西在中控就比较明显了,中控黑屏,没人会担心,而且最近可能造成黑屏的事也越来越少了。然后呢?如果自动驾驶黑屏了,你们无从了解,因为没有地方提示,也不会你的驾驶前面仪表盘谈一个东西说自动驾驶失效了,大家可以发现拨一下不灵,但是还好,是辅助驾驶,不灵,我自己打一下。通常大家做的都是什么测试,前面有人了,我会不会要撞?这个就是一整个链条的问题,现在没有把这些东西解决,无序的抢占这些东西,操作系统肯定存在这个问题,不可能没有。
缺乏严格的实时性和可靠性的保障,举一个例子,一辆车开过来,坐满了人,人后面有什么?一堆的红绿灯,还有工地,开始计算,但是还没有算完,车都已经开过去了,它还在算,还需要算吗?不需要了,因为已经没有意义了。我们再看未知的极端案例,我们最怕是未知,确定性越高,我们会越安心。举一个例子,我们刚刚讲到法规里很多封闭的场景大家都可以做的很好,因为没有未知的极端情况,在园区里面路线是固定,现在老讲AVP?是确定性的场景,人不害怕,信息安全的保护,这个就是另外一个话题,这不是讲我们个人隐私的信息安全,而是整车的信息安全。
这个就是我们画的一个简单的模型,从外部汽车传感器收到一个信号,信号到MCU处理,交给SOC做任务处理,SOC处理完,MCU再处理,任何一步出错,就会导致我刚刚说的那个问题。有可能失效,有可能抢占,可能实时性不保,这些问题怎么解决?我们推出第三代的OS通信,可以做确定性通行,做高安全的SOA通信。确定性执行的意思,是我们把所有的情况提前的预知,我们用时间的确定性标注,还有事件的确定性标注,我们解决了当它失效的时候,当它处理问题的时候没反应的问题。
我们早先看一些航空航天的例子,这些是很常见,像飞机,就是实现了自动驾驶了。高安全呢?SOA的通信,这个是我们刚刚提的,我们把DDS和RTE结合,这一套和我们的传统的RTE的通信结合,我们解决了什么问题?DDS解决SOA的问题,RTE解决高实时通信的问题。DDS这个东西,过功能安全认证的很少。但RTE可以过,这个时候保证域内的通信是SLD,然后整个过SLB,这样就可以保证功能实时化安全。
虚拟化的仿真支持,加上多核异构,A核,R核这些东西。
以下是我们的产品,包括中间键和底软,就是刚刚讲到的用来做解耦、调度、通信等等这些东西。应用层的服务,从通信过渡到调度,开发、量产,功能安全,我们用全流程的工具链。
为什么提工具链?因为这个很重要。我们把我们开发的符合SLD的软件给你,如果不改写代码,通过工具链配置,配置出来的东西就可以认为是符合SLD的东西。有一些从互联网转过来的车厂不理解,传统车企就能理解,我们和互联网的车场说我们代码可以给你,但是你一改,就又不符合SLD的标准。因为你改了,这个背后的逻辑变了,我们花了大量的钱过的这个东西就白做了。汽车行业要有汽车行业的规则,我们是做量产的。
这是整个SOA的灵活性,我们刚刚讲到安全实时的需求,包括条度,任务超时间监控,失效冗余,错误处理,包括中国目前像DDS AUTOS和异构、国产的芯片有融合的概念,加上AP,像诊断、日志,状况管理等等,这些模块每一个都很大,我们需要完成一个又一个架构。
又回到这个图,这个就是我们零念科技的软件的架构图,前面的就是把很多的东西简单化了。我们目前支持的硬件都是通用的,MCU有英飞凌,SOC就比较多了,英伟达等等,这个是我们目前做的几款。我们之所以写这么多的目的,我们希望我们的中间键可以实现软硬件的解耦,这个不是说真的解耦,有人替你把解耦的工作做掉了,你才可以实现解耦,否则不可能。如果仅仅是封闭的厂商,不需要解耦。但我们作为通用性的产品,需要解耦。
传统有AUTOS加Qinux的架构,我们现在做了AUTOS加Linux的方案,这个用封闭的产品,这两个都是过了SLD的功能安全,这些可以用在一些封闭的场景,包括干线物流。
我们以前做封闭场景的时候,客户和我们说,你们可以把谁谁替了,没有想到你们没有替,后来他们说没有办法买,因为你们的东西太贵。这一套是我们作为量产的,一旦是乘用车的量产,那就是和人命有关的东西,建议大家用标准的,高功能安全的东西,这样相对比较好。
我们现在可以做到把传统的三年方案缩短到六个月,并且早一年可以完成整个的开发和迭代。
我们公司目前就是总部在中国的上海,在杭州和苏州也有分公司。此外,我们在德国有一个研发的团队。
最后的话,我们希望能够通过我们的能力,说赋能有一点大,我们和大家共创,完成整个生态的工作,激发我们上下游,我们有芯片的厂商,有算法的厂商,有主机厂和新势力,有Tier 1,我们作为专业的软件供应商,这些都是我们的客户,也是我们的合作伙伴。
谢谢大家!
(注:以上速记内容未经本人确认)
