徽州骆驼 · 2023年12月14日

车控操作系统介绍

背景:

本文节选自《车载智能计算基础平台参考架构2.0》,该参考架构主要内容及观点是编写组依据参考架构1.0为基础蓝本,调研当前行业实际现状及结合未来3-5年产品技术发展趋势形成的总结及思考研判。车载智能计算基础平台参考架构将随着智能网联汽车行业发展继续更新。

本白皮书由中国汽车工程学会汽车基础软件分会公众号公布全文,欢迎关注官方微信公众号:CSAE汽车基础软件分会

image.png
图 1 车载智能计算基础平台参考架构

车控操作系统是车载智能计算基础平台的核心和软件栈。

按应用领域划分,车控操作系统包括智能驾驶操作系统和安全车控操作系统。其中,智能驾驶操作系统主要面向智能驾驶领域,支撑感知、定位、规划、决策等功能的实现,对安全性和可靠性要求较高。安全车控操作系统主要面向经典车辆控制领域,如动力系统、底盘系统和车身系统等,对实时性和安全性要求极高。为保证车载智能计算基础平台的安全可靠,车控操作系统一般需要满足 ASIL-B 以上等级功能安全要求(安全车控操作系统需满足ASIL-D),并根据自动驾驶需求进行适度扩展。

按逻辑层次划分,车控操作系统包括系统软件和功能软件。系统软件创建了复杂嵌入式系统的运行环境,包含内核以及与 AUTOSAR 软件架构类似并兼容的中间件层,系统软件运行在通用计算单元与控制单元上。功能软件利用硬件及系统软件接口,针对智能驾驶应用提供实时、安全框架,算法共性组件及重要服务等通用模块,以完整实现应用与硬件和车控操作系统的解耦、并定制高效扩展。

一、系统软件

系统软件是为智能网联汽车应用场景设计的复杂大规模嵌入式系统运行环境。系统软件从底向上包括驱动层、操作系统内核与中间件层。

1.1 跨内核驱动框架层

针对车控操作系统对硬件及应用的广泛覆盖,多种内核架构及方案实现下,通用跨内核驱动框架会进一步完善分层解耦及高效集成。跨内核驱动框架主要包含四个方面。一是架构设计。包括驱动模型、硬件抽象、核心接口等, 支持常见的宏内核、微内核、混合内核架构等。二是硬件抽象。实现对不同硬件的抽象和封装。三是核心接口。定义跨内核的通用驱动接口,例如文件操作接口、中断处理接口、内存管理接口等。四是驱动模型。定义驱动程序的基本模型和框架,例如字符设备驱动、块设备驱动、总线设备驱动等。

车控操作系统中的跨内核驱动框架相比面向单一内核的驱动具有可移植性强、开发效率高、维护成本低、兼容性好且升级方便等优势。跨内核驱动只需要开发一次,就可以工作在不同的操作系统内核上,大大提高了驱动程序的可移植性,降低开发门槛和维护成本,提升升级效率。

1.2 操作系统内核

面向复杂驾驶场景的车控操作系统内核层需要实现多内核设计。操作系统内核主要负责管理汽车的硬件资源,并为上层软件提供进程、线程、内存、网络和安全等基础支持。车载智能计算基础平台异构分布硬件架构中,不同单元加载的内核应具有不同的功能安全等级:支持 AI 计算单元的操作系统内核功能安全等级为QM~ASIL-B;支持通用计算单元的操作系统内核功能安全等级为QM~ASIL-B;支持控制单元的操作系统内核功能安全等级为ASIL-D。这就需要安全等级不同的多内核设计,或者单个内核支持不同功能安全等级应用的设计。

应用在汽车中的实时操作系统选择时需考虑功能安全等级和市场成熟度。由于车载智能计算基础平台的复杂性,操作系统内核必须对系统软件、功能软件以及应用软件的库进行支持并且具备可扩展性和可持续演进能力。国内企业已经推出多款自主研发的操作系统内核,部分已开源并探索商用。

在异构分布硬件架构中,独立的安全处理单元已成为芯片设计的重要方向。独立的安全处理单元可支撑运行可信内核、密码库,提供安全可信的服务功能接口。可信内核增强了对密码访问的服务支持。

虚拟化管理包括 Hypervisor 和虚拟机监视器(VMM)等,利用硬件辅助虚拟化技术有效地实现系统资源的整合和隔离。车控操作系统基于异构分布硬件架构,不同安全和实时性要求下,应用程序可能需要依赖不同的内核环境和驱动,但在物理层面上要共享 CPU 等硬件资源。虚拟化管理起到了至关重要的作用,不仅能支撑实现跨平台应用的运行,而且能显著提高硬件的使用效率。

POSIX API 提升跨多种操作系统内核的兼容性。POSIX API 有实时扩展,包括定时器和时间管理、优先级调度互斥量和条件变量、消息队列、共享内存、异步I/O和同步I/O等。

1.3 中间件层

内核接口是操作系统内核对上层软件提供的服务接口,支持内存分配、调度管理、I/O 处理、同步互斥等功能。中间件向下获取操作系统内核的系统接口服务支持,向上支撑功能软件层提供系统中间件的服务和接口。

SOA 框架通常包含模块化服务、服务注册发现等,与通信中间件共同完整跨域面向服务开发架构。

AI 模型接口及开发库(SDK),不同芯片厂商提供各自的 AI SDK,用于模型转换和初始化、加载、推理等,通过 AI 模型接口抽象不同芯片 SDK 为统一接口,支撑自动驾驶 AI 大模型模型和应用跨芯片移植和运行。

管理中间件中包括数据加密、身份验证、健康管理、网络与系统安全监测、OTA 升级等安全措施及服务,对功能软件中的安全框架和安全服务等提供支撑,以及保障系统软件的安全可靠及信息安全等,提升整体车控系统的稳定性和安全性。

通信中间件具备服务发现、远程服务调用、读写进程信息等典型功能,实现车内进程内、跨进程、跨内核、跨 CPU 及板间,甚至跨车云统一通信机制。

ARA提供管理中间件和通信中间件等的向上接口。

二、功能软件

功能软件根据自动驾驶共性需求定义和实现通用模块,是支撑智能驾驶应用生态建设的重要层级。功能软件包括功能框架层、功能服务层、应用软件接口及服务。

2.1 功能框架层

功能框架层是功能软件的核心和驱动部分,由数据抽象、数据流框架、车云协同框架、安全框架组成。一方面,针对智能驾驶产生的安全和产品化共性需求,通过设计和实现通用框架模块来满足这些共性需求,是保障智能驾驶系统实时、安全、可扩展和可定制的基础。另一方面,随着高阶智驾应用的逐步实现,以及大模型在智驾的广泛应用,面对更复杂更多样的场景,可以通过车云计算框架对云端(边缘)的强大算力和存储资源进行利用,在实时和安全基础上,实现对大规模计算需求的协同分配和实时处理,云端的算法和模型在车规下也可以进一步提升到更复杂和高级的决策和规划。

数据抽象是针对不同传感器、车辆底盘、外围硬件等的原始数据进行处理和封装,提供统一的数据格式。通过标准格式为上层的智能驾驶通用模型提供各种不同的数据源,进而建立异构硬件数据抽象,达到屏蔽硬件差异、开发平台差异,应用软件与系统软件分层解耦。

数据流框架是依托通信中间件,提供可定制数据接口和实时数据处理框架。数据流框架一是能够屏蔽应用与硬件平台和系统软件,确保算法应用之间的解耦和可靠通信;二是支持对智能驾驶应用和算法的数据流节点的拓扑关系进行编排;三是结合系统性能及功能安全等需求,将不同的节点部署到特定的 AI 加速单元、计算域、安全域等处理单元;四是可以根据任务的优先级、实时性要求和资源可用性等因素,对任务进行合理的调度和分配,确保各功能模块按照其优先级和时序进行合理调度和执行。数据流框架可满足自动驾驶系统能够在实时性要求下运行,以保证在复杂的交通环境中能够安全和稳定的运行。

车云协同框架实现了智能网联车与云计算、边缘计算等关键车路云协同技术的有机融合。车云协同框架需要提供可靠的数据传输和同步机制,以确保车辆与云端之间的数据传输和同步的效率和准确性,以及提供可靠的网络通信和安全机制,同时支持车辆端和云端之间的协同处理,将计算任务在不同的计算资源之间进行分布和协作。

安全框架提供了一系列的功能安全机制和措施,包括对硬件设备、操作系统、应用程序等进行实时监测,在发现相关故障时及时处理,防止故障蔓延,进而影响整个系统的运行。其中,安全监控模块包括设备监控、资源监控、应用程序监控等,在检测到异常状态时,通过安全监控及时上报,由安全监控服务程序根据系统配置进行决策处理。完整的安全框架也包括控制单元的安全保底功能,为系统提供失效降级、失效运行等机制,同时满足控制单元 ASIL-D 的功能安全要求。AI 大模型的不确定性特质也需要安全框架提供对应的安全检测机制及接口,可以增加 AI 大模型的异构冗余算法,与 AI 接口结合,实现 AI 大模型的安全监测,及复用控制单元的安全保底功能。

2.2 功能服务层

功能服务层为智能驾驶功能提供支持,主要包含算法组件/ 模型库和基础服务。算法/模型库提供智能驾驶应用的可拆解重组的算法模块和原子组件库,随着深度学习和神经网络、多模态感知、强化学习等技术发展,算法组件/模型库提供的算法模块需要不断丰富扩展,借助新技术,以适应更复杂、更广泛的智驾应用场景。基础服务为智能驾驶系统提供必要的功能和支持,随着智能驾驶技术的发展,AI 大模型、数据安全和网络安全将成为更加关键的问题,全面要求(信息)安全服务和数据闭环服务等,基础服务同时需要具备可扩展性,不断演进和创新,以应对智能驾驶技术的挑战和需求。

1)算法组件/模型库

算法组件/模型库是多个独立的算法组件模块及模型组成,用户可通过对这些模块的直接或组合使用,形成智能驾驶系统中不同的功能。智能驾驶算法组件和模型库主要为支撑智能驾驶算法进行高效开发,提供智能驾驶应用的可拆解重组的算法模块和原子组件库,支持组件式开发,并可自由扩展和引入第三方单元可插扩算法模块,快速实现环境感知、融合定位、决策规划、运动控制、以及”数据驱动”的大模型等算法开发。

环境感知是对车辆周围的环境和道路条件进行感知和理解,帮助智能驾驶系统决策规划。感知算法模型库提供预置的可拆解重组的感知算法原子组件,包含基于 Transformer+BEV 技术下的多模态多种传感器(如摄像头、毫米波雷达、激光雷达等)下的端到端感知模型组件化和配置化开发。

融合定位是指利用多种传感器技术对车辆位置和环境信息进行综合处理,以实现精确的定位和导航功能。融合定位模型库提供预置的可拆解重组的融合定位算法原子组件。

决策规划是基于感知和预测结果进行路线与轨迹的决策规划。决策规划模型库提供预置的可拆解重组的规划算法原子组件,包括通用AI和基于规则的决策规划算法组件化和配置化开发,实现对道路环境进行全面、精细的建模和理解,对交通参与者的行为和意图进行准确的预测和分析,制定出最优的行动策略。

运动控制是根据决策规划的输出结果,对车辆的横纵向进行控制。运动控制模型库提供预置的可拆解重组的控制算法原子组件。

大模型库是指随大模型的迅猛发展,不仅自动驾驶感知,融 合、决策规划甚至控制也采用了 AI 及大模型,“数据驱动”成为自动驾驶算法的主要技术路线。应用在自动驾驶上的大模型框架以及共性模型也将是新型的算法组件及模型库。端到端、轻量化优化、多模态整合、通用 AI 等多种 AI 大模型前端技术需要在功能软件中建立相应的共性支撑和实时计算框架。使用大模型可以显著提升智能驾驶系统的感知、决策能力,使得车辆能够更加准确地识别和适应各种复杂的交通环境。

2)基础服务

基础服务支持智能驾驶系统的安全、可靠和高效运行,包括数据服务、配置服务、地图服务、网联服务、安全服务等。这些基础服务在智能驾驶操作系统中起着关键的作用,支持智能驾驶系统的安全、可靠和高效运行。它们相互协作,为智能驾驶系统提供必要的功能和支持。

数据服务为智能驾驶车辆提供数据采集和处理的服务。需要支持数据的采集、触发、预处理、存储、回传等能力,特别是大模型下的数据闭环支撑。采集服务负责采集任务的生命周期管理,包括任务建立,收集数据、放入缓存。采集对象为结构化数据和非结构化数据,数据服务需要提供用户可配、场景及不同负载下可调的采集和预处理配置,对采集的数据、频率、策略以及存储策略等进行定制化管理和限制。

配置服务对外提供统一的配置接口,支持进行外部链接,获取用户配置设定,以及返回配置后的结果。可以依据需求通过动态库和配置来进行加载和使用。在与各种用户界面(UI)进行交互时,配置服务应提供统一的数据获取与数据发送的方式,便于各种 UI 进行相关的适配。配置服务还应负责处理和缓存所有的数据,保证数据的一致性,并统筹处理命令冲突的决策。

地图服务提供高精度、实时的地图数据,以支持智能驾驶系统的定位、路径规划和决策制定。实现系统与不同厂商的高精地图数据接入,支持高级驾驶辅助系统(ADAS)功能获取地图相关的感知数据,支持基于高精地图的定位服务。地图服务提供了包含 EHP(电子地平线提供者)、EHR(电子地平线解析者) 在内的一系列模块,并对外提供统一的接口获取数据。

网联服务是指智能驾驶技术和网络 V2X 技术相结合,使车辆通过网联实现数据交换和通信、车辆间交通信息共享和云端控制等,如信号灯和其他车实时感知或决策信息,可以通过网联服务及数据流框架与感知和决策规划相融合。网联服务为智能驾驶系统提供远程监控、数据上传和指令下发等功能, 云端获取实时交通信息、车辆状态、位置、传感器数据等信息,通过数据分析下发指令给车辆,实现远程控制和协同操作、全局管理等。

安全服务包括数据安全、网络安全、AI 安全等,为智驾系统提供应用信息安全服务,为车辆数据和个人隐私提供了全生命周期的安全防护机制,并保护智能驾驶系统免受未经授权的访问、篡改和破坏。采用不同的防护手段,以数据安全分级为基础,按照一定的规则和策略实现对数据进行全生命周期的管控,包括对数据建立分类分级处理机制、对敏感个人信息进行加密、提供安全的数据传输通道、对车外个人信息进行脱敏等。对车载计算平台的系统完整性保护、机密性保护、身份和访问权限控制;对智能驾驶应用及通信的安全管理和安全隔离、边界和通信安全、应用层安全等,如智能驾驶域与车内网其他节点以及 V2X 节点和云端的传输安全,车载智能计算基础平台内部多域之间以及与执行器之间的访问控制、加密保护和监控等;提供 AI 模型加密、模型完整性验证等方式确保模型的安全性,避免遭受对抗性样本攻击,模型篡改等问题;建立基于 AI 及大模型的攻击检测引擎以及对应的检测签名库,并实时安全应用到 AI 接口或大模型库中。

2.3 应用软件接口及服务

应用软件接口及服务是车控操作系统为应用软件开发所提供的跨平台统一接口,降低技术门槛,提升开发效率。应用软件接口主要包括配置接口、开发接口和数据交换接口。配置接口主要为传感器和执行器的适配和标定提供相应接口;开发接口主要为数据流框架的应用模板定义、定制化扩展、节点定义、节点的编排、部署和调度等,也包括基于算法组件和模型库开发所需要的接口算法;数据交换接口实现应用软件与功能软件之间、功能软件内部之间的数据交换格式定义和自定义扩展,包括传感器接口、执行器接口、自车状态接口、地图接口、感知融合接口、定位接口等,用户可基于接口开发和集成应用软件。同时,可通过服务配置接口,进行基础服务的差异化配置和扩展性开发,支撑软件灵活迭代,实现软件定义和 SOA 开发,为用户提供千人千面的用户体验。这些接口和服务共同为智能网联汽车系统的开发和应用提供了支持和便利。

关于《车载智能计算基础平台参考架构 2.0》

参考架构2.0由中国工程院院士、国家智能网联汽车创新中心首席科学家李克强担任编写委员会主任,国家智能网联汽车创新中心副主任张文杰担任主编,国家智能网联汽车创新中心、中国软件评测中心、工信部装备工业发展中心、清华大学、电子科技大学、复旦大学、紫金山实验室、中国一汽、东风商用车、上汽集团、吉利、比亚迪、广汽丰田、合众、蔚来、赛力斯、宇通、国汽智控、黑芝麻智能、地平线、华为、普华基础软件、中兴通讯、斑马网络、中汽创智、东软睿驰、中瓴智行、经纬恒润等40家单位100余名专家分工协作,历经7个月深度研讨共同撰写而成。下一步将持续开展技术解读和迭代更新,帮助企业降低产品开发成本,打造架构统一、分层解耦,具有技术竞争力的车载智能计算基础平台产品,建立差异化竞争优势。

作者:汽车基础软件分会
文章来源:汽车电子与软件

推荐阅读

更多汽车电子干货请关注汽车电子与软件专栏。欢迎添加极术小姐姐微信(id:aijishu20)加入技术交流群,请备注研究方向。
推荐阅读
关注数
5726
内容数
470
汽车电子与软件行业的相关技术报道及解读。
目录
极术微信服务号
关注极术微信号
实时接收点赞提醒和评论通知
安谋科技学堂公众号
关注安谋科技学堂
实时获取安谋科技及 Arm 教学资源
安谋科技招聘公众号
关注安谋科技招聘
实时获取安谋科技中国职位信息