黑莓QNX：車規(guī)級(jí)操作系統(tǒng)-汽車電子軟件的基石

2023年9月21日，在2023第三屆智能汽車域控制器與中央計(jì)算平臺(tái)創(chuàng)新峰會(huì)上，黑莓QNX大中華區(qū)首席代表董淵文認(rèn)為，汽車更像是一堆電腦組成的系統(tǒng)。其中，車規(guī)級(jí)操作系統(tǒng)不僅是軟件驅(qū)動(dòng)智能汽車的核心技術(shù)，也是域控制器功能安全的基石。針對(duì)每個(gè)三域控制器平臺(tái)，黑莓QNX都提供以操作系統(tǒng)為核心的基礎(chǔ)軟件方案。目前，黑莓的基礎(chǔ)軟件已在空間隔離、時(shí)域隔離、消息通行機(jī)制、網(wǎng)絡(luò)信息安全四個(gè)層面滿足功能安全要求。

在未來域融合的趨勢(shì)下，QNX仍將是底層軟件的重要玩家。例如在最新的艙駕一體方案中，黑莓QNX將繼續(xù)從基礎(chǔ)軟件角度提供支持。今年12月，黑莓將發(fā)布QNX SDP 8.0版本，董淵文表示該版本將帶來質(zhì)的飛躍，其編譯器、調(diào)試器以及內(nèi)核都將具有性能和質(zhì)量的階躍變化。

以下為演講內(nèi)容整理：

從硬件使能汽車到軟件定義汽車

當(dāng)前汽車電子的變化日新月異，已經(jīng)實(shí)現(xiàn)了從硬件使能汽車到軟件使能汽車，再到軟件定義汽車的演進(jìn)。隨著汽車電子里標(biāo)準(zhǔn)化硬件和標(biāo)準(zhǔn)化軟件的大規(guī)模使用，一臺(tái)車的內(nèi)部越來越像一堆電腦，而每臺(tái)電腦從下往上依次有五大關(guān)鍵技術(shù)，分別是芯片、操作系統(tǒng)、中間件、算法應(yīng)用、云數(shù)據(jù)。除芯片外，其他四大關(guān)鍵技術(shù)都是軟件，一臺(tái)車?yán)锏碾娔X關(guān)鍵技術(shù)80%以上都是由軟件組成，因此稱之為軟件定義汽車。

汽車越來越像車輪上的電腦，其電子內(nèi)部系統(tǒng)像是由一堆電腦組成的網(wǎng)絡(luò)系統(tǒng)。而這個(gè)系統(tǒng)由五大域組成，下車身是底盤域和動(dòng)力域，上車身是座艙域、智能駕駛域和高性能計(jì)算域，這三個(gè)域在過去八年的時(shí)間里經(jīng)歷了域內(nèi)融合的過程。

融合首先從座艙開始，當(dāng)前一顆芯片已經(jīng)可以承載多個(gè)域。而自動(dòng)輔助駕駛已經(jīng)實(shí)現(xiàn)由一顆芯片承載過去需要由多顆芯片承載的功能。目前在座艙域控制器中，高通占據(jù)80%以上的份額?；诮鼉赡辍叭毙旧俸恕钡膯栴}，國產(chǎn)芯片十分重視研發(fā)，芯馳、瑞芯微、紫光展銳等在國內(nèi)的車型中慢慢嶄露頭角。

針對(duì)每個(gè)三域控制器平臺(tái)，我們都提供以操作系統(tǒng)為核心的基礎(chǔ)軟件方案。盡管在設(shè)計(jì)上幾乎所有的主機(jī)廠都是我們直接或間接的技術(shù)，但這僅僅是汽車電子當(dāng)中十分微小的部分，因此還是以操作系統(tǒng)為核心的基礎(chǔ)軟件為主。

從融合座艙到自動(dòng)駕駛的探索

回到域控制器融合的原點(diǎn)，即2016年，我們隨著國內(nèi)外的主機(jī)廠進(jìn)入融合式座艙領(lǐng)域。我們?cè)谧擃I(lǐng)域的技術(shù)軟件架構(gòu)，不論是與哪種芯片合作，都是使用同一套技術(shù)軟件。數(shù)字座艙領(lǐng)域有個(gè)組合是QQA，就像IT領(lǐng)域的一臺(tái)一臺(tái)電腦，在硬件以及基礎(chǔ)軟件、平臺(tái)軟件定好以后，上面可以裝載各種應(yīng)用程序。

目前在數(shù)字座艙領(lǐng)域，我們?cè)趪鴥?nèi)的份額中基礎(chǔ)軟件占據(jù)99.9%。從2017年第一個(gè)一芯多屏的座艙項(xiàng)目迄今約有70多個(gè)主機(jī)廠平臺(tái)項(xiàng)目。近段時(shí)間發(fā)布的吉越001以及后續(xù)會(huì)陸續(xù)發(fā)布的極氪、領(lǐng)跑等，都是基于高通8295平臺(tái)和我們的一芯多屏重大項(xiàng)目進(jìn)行研發(fā)。

另外，我們的自動(dòng)輔助駕駛項(xiàng)目也十分豐富。比如當(dāng)前的主流平臺(tái)英偉達(dá)，其操作系統(tǒng)底層是以我們的操作系統(tǒng)為基礎(chǔ)的計(jì)算軟件，國內(nèi)外基于英偉達(dá)的項(xiàng)目都很多。

今年在總部開會(huì)時(shí)，各地負(fù)責(zé)人表示，歐洲當(dāng)前也是主機(jī)廠做得越來越厚，芯片公司做得越來越厚?？梢娖囯娮语L(fēng)控模式變化不僅是發(fā)生在中國，在全球都在發(fā)生改變。而我國已經(jīng)不再僅僅是一個(gè)跟隨者的角色，而是成為了領(lǐng)先者。

我們的CEO在國內(nèi)拜訪了眾多主機(jī)廠后表示印象深刻。一是國內(nèi)項(xiàng)目的開發(fā)周期相比國外短很多，二是國內(nèi)新技術(shù)發(fā)展較快，如第一個(gè)8295項(xiàng)目就是首先出現(xiàn)在我們國家。正是以上特點(diǎn)促使許多國外主機(jī)廠紛紛來到中國與一些企業(yè)成立合資公司，進(jìn)行學(xué)習(xí)。

另外，高通平臺(tái)上8650都預(yù)先集成了我們安全等級(jí)的基礎(chǔ)軟件，定點(diǎn)項(xiàng)目眾多。目前已經(jīng)量產(chǎn)的有長城、毫末等，即將量產(chǎn)的如高通8650寶馬等。我們車身控制器的項(xiàng)目也十分豐富，如與高合、嵐圖等有著諸多項(xiàng)目。

從我們的域控制器基礎(chǔ)軟件來看，仍舊是以操作系統(tǒng)為核的基礎(chǔ)軟件為主。我們希望帶著合作伙伴一起支持最終客戶，而不是搶占客戶的市場(chǎng)，因此我們始終聚焦在很小的操作系統(tǒng)和基礎(chǔ)軟件之中。

圖源：嘉賓演講素材

我們的每一個(gè)標(biāo)準(zhǔn)的產(chǎn)品都是以服務(wù)為主做出來的。2015年歐洲主機(jī)廠希望我們和高通合作做基礎(chǔ)軟件，于是我們便進(jìn)行了合作。同年日本一個(gè)主機(jī)廠希望我們能和英特爾合作進(jìn)行生產(chǎn)，我們也答應(yīng)了其要求。直到2018年3月我們的虛擬化才正式發(fā)布，在這之前都主要是以服務(wù)為驅(qū)動(dòng)進(jìn)行生產(chǎn)。自從我們的虛擬化發(fā)布后，在細(xì)分領(lǐng)域幾乎所有的一芯多屏都是我們的。

隨著軟件比重的增加、復(fù)雜度的增加，對(duì)車的功能安全、網(wǎng)絡(luò)信息安全要求也在提升。開發(fā)一個(gè)項(xiàng)目有四個(gè)層級(jí)。第一層滿足功能，解決有沒有的問題；第二層滿足性能，解決好不好的問題；第三層滿足長期穩(wěn)定性，安全性，最后是功能安全和網(wǎng)絡(luò)信息安全。從外國人的角度來看，要滿足這四個(gè)層級(jí)，這個(gè)項(xiàng)目才是完美的。

而國內(nèi)一個(gè)項(xiàng)目的開發(fā)周期很短，開發(fā)人員沒有足夠的時(shí)間解決功能安全和網(wǎng)絡(luò)信息安全問題，因此我們選擇先量產(chǎn)再迭代——先把功能完成，之后通過OTA的方式對(duì)性能進(jìn)行迭代。

這是國內(nèi)項(xiàng)目和國外項(xiàng)目的顯著區(qū)別。因此國內(nèi)可能用一些開源的組件快速量產(chǎn)，滿足功能。而國外項(xiàng)目特別是自動(dòng)輔助駕駛項(xiàng)目和車身控制，基本上都是用實(shí)時(shí)操作系統(tǒng)，功能操作系統(tǒng)。

功能安全認(rèn)證和艙駕一體控制器架構(gòu)

國內(nèi)已經(jīng)有很多企業(yè)官宣通過了多項(xiàng)功能安全認(rèn)證，但有些芯片公司官宣說整個(gè)芯片都過了SLD的認(rèn)證，仔細(xì)看證書就會(huì)發(fā)現(xiàn)只是大芯片當(dāng)中1%的小模塊認(rèn)證。我們則是把證書發(fā)在各個(gè)產(chǎn)品之中，標(biāo)識(shí)哪些部門過了功能安全認(rèn)證。

但即便是用我們整個(gè)功能安全包去開發(fā)也無法完全符合功能安全認(rèn)證。因?yàn)楣δ馨踩男酒荒鼙ＷC編出來的東西帶有部分功能安全的特性，不能保證大家用全局變量。功能安全的產(chǎn)品軟件、硬件有一個(gè)很重要的幾千上萬頁的文檔，在開發(fā)之前需要認(rèn)真閱讀，也正是該文檔使得國內(nèi)主機(jī)廠在做功能安全項(xiàng)目時(shí)十分痛苦，導(dǎo)致在開發(fā)項(xiàng)目過程中容易放飛自我。

以下是我們?cè)陂_發(fā)基礎(chǔ)軟件時(shí)所要滿足的四個(gè)點(diǎn)，這四個(gè)點(diǎn)對(duì)國產(chǎn)操作系統(tǒng)、國產(chǎn)基礎(chǔ)軟件也是適用的。滿足這四個(gè)點(diǎn)，從基礎(chǔ)軟件層面，整個(gè)系統(tǒng)就是符合功能安全的。

圖源：嘉賓演講素材

第一個(gè)是空間隔離，在芯片當(dāng)中，有內(nèi)存資源，外設(shè)資源EMC存儲(chǔ)資源等各種資源，這些資源需要做一個(gè)隔離。

第二個(gè)是時(shí)域隔離，當(dāng)兩個(gè)進(jìn)程要訪問同一個(gè)資源時(shí)，不能讓一個(gè)進(jìn)程有機(jī)會(huì)獨(dú)占這個(gè)資源，長期不能釋放，因此要在時(shí)域的情況下做隔離。

第三個(gè)是消息通行機(jī)制，要滿足在通訊的時(shí)候消息是可監(jiān)控，可預(yù)測(cè)的。

最后是在通信的過程中要滿足各種特性。這四點(diǎn)是在設(shè)計(jì)功能安全的系統(tǒng)當(dāng)中所必須的。

我們有很多符合ISO21434汽車網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的特性，比如加密性、完整性、可用性、不可復(fù)制性、最小權(quán)限等等。我們的軟件安全特性在有要求的領(lǐng)域用的非常多。

過去幾年我們已經(jīng)經(jīng)歷了域內(nèi)融合的事實(shí)。比如座艙域，儀表、中控、抬頭顯示HUD、副駕屏等融合在一塊芯片上。從2022年10月開始，開始出現(xiàn)跨域融合的趨勢(shì)。國外已經(jīng)有很多項(xiàng)目進(jìn)行了定點(diǎn)，國內(nèi)進(jìn)度稍慢于國外。

我們目前與英偉達(dá)、AMD等多家國內(nèi)外芯片公司進(jìn)行合作，并制作了以下艙駕一體控制器的架構(gòu)方案，針對(duì)不同芯片使用的都是同一套方案。這是我們的虛擬化整體方案，將在兩年年進(jìn)行量產(chǎn)，這將是全球最早量產(chǎn)的。

圖源：嘉賓演講素材

今年12月黑莓QNX將發(fā)布8.0版本。過去4年，我們重寫了QNX內(nèi)核，針對(duì)其中出現(xiàn)的一些問題都進(jìn)行了優(yōu)化。其中一個(gè)顯著特點(diǎn)是可以隨著核數(shù)的增長，實(shí)現(xiàn)性能線性增長，尤其是針對(duì)8核、16核以上的情況。目前很多核心客戶已經(jīng)拿到了我們的EA版本。該版本和高性能計(jì)算平臺(tái)以及國內(nèi)大算力的芯片都進(jìn)行了深入合作。

另外一個(gè)重要特點(diǎn)在于采用了機(jī)制預(yù)先將幾千個(gè)開源的組件放在T-box中，直接適配到系統(tǒng)上，完全是原代碼方式提供的。這一特性從性能和開源適配角度極大地便利了用戶。

（以上內(nèi)容來自黑莓QNX大中華區(qū)首席代表董淵文于2023年9月21日-22日在2023第三屆智能汽車域控制器與中央計(jì)算平臺(tái)創(chuàng)新峰會(huì)發(fā)表的《車規(guī)級(jí)操作系統(tǒng)-汽車電子軟件的基石》主題演講。）