【中國(guó)汽車工業(yè)協(xié)會(huì)】中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0

GnAT·嚴(yán)·SEMO發(fā)展白皮書(shū)3.02022序序言力、加快車用操作系統(tǒng)等關(guān)鍵技術(shù)攻關(guān)和產(chǎn)業(yè)化落地已成為中國(guó)汽車基礎(chǔ)軟件發(fā)展的重中之重。化、網(wǎng)聯(lián)化勝負(fù)的關(guān)鍵。在開(kāi)放前提下要允許多路徑發(fā)布之后，在工業(yè)信息化部裝備一司和裝備中心的指導(dǎo)下第三次發(fā)布中國(guó)汽車基礎(chǔ)軟件白以及AUTOSEMO80余家成員單位，根據(jù)各家在生態(tài)領(lǐng)域積累的經(jīng)驗(yàn)，結(jié)合目前汽車軟件產(chǎn)業(yè)發(fā)展現(xiàn)狀，以智能汽車車用基礎(chǔ)軟件平臺(tái)為主題，圍繞中國(guó)汽車基礎(chǔ)軟件領(lǐng)域中的關(guān)鍵技術(shù)和關(guān)鍵標(biāo)準(zhǔn)研究進(jìn)展進(jìn)行總結(jié)。本書(shū)內(nèi)容涵蓋市場(chǎng)發(fā)展情況，關(guān)鍵汽車軟件技術(shù)趨勢(shì)、關(guān)鍵標(biāo)準(zhǔn)研究情況、汽車軟件產(chǎn)業(yè)生態(tài)發(fā)展建議等方面。旨在鼓勵(lì)行業(yè)內(nèi)的技術(shù)交希望借此書(shū)，能和各行業(yè)內(nèi)單位共同探討基礎(chǔ)軟件技術(shù)發(fā)展、生態(tài)建設(shè)、人才培養(yǎng)等關(guān)鍵問(wèn)題。旨在承擔(dān)中國(guó)汽車產(chǎn)業(yè)變革中的生態(tài)發(fā)展任務(wù)，為將來(lái)具有多要素、多維度、中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0 第第1.1智能汽車車用基礎(chǔ)軟件平臺(tái)的定義與分類1.2智能汽車車用基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的要素1.3智能汽車車用基礎(chǔ)軟件平臺(tái)發(fā)展現(xiàn)狀1.3.2豐田Arene·OS2.1AUTOSARCP2.1.2技術(shù)發(fā)展趨勢(shì)0102.2.2技術(shù)發(fā)展趨勢(shì)0192.3操作系統(tǒng)內(nèi)核2.3.2技術(shù)發(fā)展趨勢(shì)025GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.02.4虛擬化2.4.2技術(shù)發(fā)展趨勢(shì)0413第3第3.1基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)3.2基礎(chǔ)軟件驗(yàn)證平臺(tái)3.2.1驗(yàn)證平臺(tái)概要0623.2.2驗(yàn)證平臺(tái)典型案例0634.1功能安全與基礎(chǔ)軟件4.2信息安全與基礎(chǔ)軟件0864.2.2信息安全軟件架構(gòu) 4.3.2基于邊緣計(jì)算的嵌入式車端數(shù)據(jù)管 4.3.3數(shù)據(jù)驅(qū)動(dòng)能力分級(jí) 4.4.1雙態(tài)敏捷開(kāi)發(fā)模型 4.4.3持續(xù)集成持續(xù)交付 中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0 中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0第1章智能汽車車用基礎(chǔ)軟件平臺(tái)概述基于一個(gè)整車平臺(tái)，車企可以衍生出多款車型，從而全面提升硬件資源的復(fù)用性?？v觀汽車工業(yè)的白皮書(shū)3.0旨在分析汽車基礎(chǔ)軟件平臺(tái)及其關(guān)聯(lián)技術(shù)的發(fā)展趨勢(shì)，除了對(duì)其技術(shù)形態(tài)做一般性定義汽車軟件主要分為應(yīng)用軟件和基礎(chǔ)軟件。應(yīng)用軟件和業(yè)務(wù)形態(tài)高度關(guān)聯(lián)，不同控制器的應(yīng)用軟件之車用基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)和車用基礎(chǔ)軟件驗(yàn)證平臺(tái)在汽車軟件中的位置如圖1.1-1所示?；A(chǔ)軟件平模塊，中間件，功能軟件以及與之相配套的開(kāi)發(fā)工具鏈，用于支撐應(yīng)用軟件的快速迭代開(kāi)發(fā)?；A(chǔ)軟件車用基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)車用基礎(chǔ)軟件驗(yàn)證平臺(tái)2019年10月，汽標(biāo)委發(fā)布了《車用操作系統(tǒng)標(biāo)準(zhǔn)體系》，參考該標(biāo)準(zhǔn)可以類似地將智能汽車車用GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)對(duì)實(shí)時(shí)性和安全性的要求極高。目前，主流的安全車控基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)兼容OSEK/智能駕駛基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)主要面向智能駕駛領(lǐng)域，用于智能駕駛輔助，以及全自動(dòng)駕駛功能的控中國(guó)軟件測(cè)評(píng)中心2019年發(fā)布的《車載智能計(jì)算基礎(chǔ)平臺(tái)參考架構(gòu)1.0》就是智能駕駛基礎(chǔ)軟件開(kāi)車載信息娛樂(lè)基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)主要為車載信息娛樂(lè)服務(wù)以及車內(nèi)人機(jī)交互提供控制平臺(tái)，是汽車隨著車輛由單純的交通工具向智能移動(dòng)終端轉(zhuǎn)變，車載信息娛樂(lè)基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)需要滿足如下l支持多生態(tài)資源，將手機(jī)端龐大的信息娛樂(lè)服務(wù)生態(tài)資源，通過(guò)采用相同或類似的操作系統(tǒng)，快l安全，通過(guò)深度定制達(dá)到車輛信息安全和功能安全的標(biāo)準(zhǔn)一是標(biāo)準(zhǔn)化/可擴(kuò)展的功能實(shí)現(xiàn)。標(biāo)準(zhǔn)化/可擴(kuò)展的功能實(shí)現(xiàn)既要充分滿足整車應(yīng)用對(duì)基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的功能需求，又要充分考慮這些功能需求的標(biāo)準(zhǔn)化/可擴(kuò)展性。總結(jié)和歸納共性的需求，基于共性需求參考和借鑒國(guó)內(nèi)外的優(yōu)秀案例，充分考慮未來(lái)汽車基礎(chǔ)軟件的發(fā)展趨勢(shì)，提出更加成熟的軟件設(shè)二是符合功能安全要求?；A(chǔ)軟件開(kāi)發(fā)平臺(tái)支撐著整車應(yīng)用的實(shí)現(xiàn)，如果不能守護(hù)好安全這道大門，中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0后果不堪設(shè)想。ISO26262（2018）對(duì)基礎(chǔ)軟件開(kāi)發(fā)過(guò)程的各個(gè)階段提出了充分的要求和建議，可以作開(kāi)發(fā)方法論是基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的重要組成部分。清晰的開(kāi)發(fā)方法論可以最大程度發(fā)揮出基礎(chǔ)軟件交互規(guī)則不僅定義了基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)內(nèi)部之間的交互規(guī)則，還定義了基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)與應(yīng)用軟件、其他開(kāi)發(fā)工具之間的交互規(guī)則，以便基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)可以與其他開(kāi)發(fā)環(huán)境更好地兼容與交互。詳CP開(kāi)發(fā)方法論為例，圖1.2-1展示了從系統(tǒng)層級(jí)配置到ECU可執(zhí)行文件生成的過(guò)程以及該過(guò)程中的文圖1.2-1AUTOSARCP方法論概覽配套工具鏈?zhǔn)腔A(chǔ)軟件開(kāi)發(fā)平臺(tái)的必要組成部分。使用工具鏈自動(dòng)生成基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的配置代放完整的要求。詳見(jiàn)圖1.2-2。基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)工具鏈基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)工具鏈GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0開(kāi)放完整是提高開(kāi)發(fā)效率的重要保證。工具鏈需要：配合基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)對(duì)新技術(shù)新功能不斷開(kāi)用軟件開(kāi)發(fā)；需要通過(guò)工具鏈的開(kāi)放生態(tài)助力基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的生態(tài)化發(fā)展。工具鏈的完整性不僅是單一業(yè)務(wù)場(chǎng)景下的功能完整，更是覆蓋全流程的完整。以自動(dòng)駕駛為例，工具鏈需要覆蓋從算法模型訓(xùn)練到芯片運(yùn)行模型預(yù)測(cè)的完整AI開(kāi)發(fā)過(guò)程，并通過(guò)其開(kāi)放性不斷豐富自動(dòng)駕駛應(yīng)用場(chǎng)景庫(kù)以加快開(kāi)發(fā)速國(guó)內(nèi)外主機(jī)廠、造車新勢(shì)力、零部件供應(yīng)商等都在著力打造其專屬的基礎(chǔ)軟件平臺(tái)，并已形成以O(shè)S為核心向基礎(chǔ)軟件平臺(tái)進(jìn)化的趨勢(shì)。此處挑選兩個(gè)國(guó)外主機(jī)廠基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)的案例進(jìn)行介紹，國(guó)內(nèi)專門從事自主軟件平臺(tái)VW·OS的研發(fā)TOSARAPR19-03標(biāo)準(zhǔn))。目前該平臺(tái)已實(shí)現(xiàn)在大眾ID.3系列車型上的搭載。大眾VW·OS如圖1.3-1中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0為了更好地應(yīng)對(duì)軟件定義汽車的發(fā)展需求，2021年8月豐田宣布將在未來(lái)五年內(nèi)打造整車軟件平豐田Arene·OS軟件平臺(tái)如圖1.3-2所示，其主要包括軟件工具包和AreneAPI車輛應(yīng)用程序編來(lái)實(shí)現(xiàn)數(shù)據(jù)處理和索引）。借助Arene·OS的車輛抽象層,開(kāi)發(fā)者可以將相同的源代碼部署到任何運(yùn)行問(wèn)題。例如在安全車控基礎(chǔ)軟件平臺(tái)方面，本土化問(wèn)題也越來(lái)越突出，不少控制器開(kāi)發(fā)還是基于國(guó)外的解決方案；在智能駕駛基礎(chǔ)軟件平臺(tái)方面，還存在多處“卡脖子”技術(shù)短板，尚未出現(xiàn)足夠成熟的解決GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0第3章智能汽車車用基礎(chǔ)軟件平臺(tái)分別介紹了基于功能軟件的自動(dòng)駕駛平臺(tái)和基于ASF(AU-第4章智能汽車車用基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)關(guān)聯(lián)技術(shù)以六個(gè)技術(shù)領(lǐng)域?yàn)榍腥朦c(diǎn)，分別研究了基礎(chǔ)軟件平臺(tái)對(duì)支撐功能安全所起的作用；研究了基礎(chǔ)軟件開(kāi)發(fā)平臺(tái)對(duì)支撐信息安全所起的作用；研究了邊緣計(jì)算如何更好地駕馭數(shù)據(jù)以支撐車企數(shù)字化轉(zhuǎn)型；研究了雙態(tài)開(kāi)發(fā)模型和持續(xù)集成持續(xù)發(fā)布CI/CD如何支撐中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0第2章智能汽車車用基礎(chǔ)軟件的內(nèi)核和中間件SARCP規(guī)范不僅提出了軟件分層架構(gòu)，而且定義了基于該規(guī)范的標(biāo)準(zhǔn)開(kāi)發(fā)流程AUTOSARCP為基于該規(guī)范的系統(tǒng)開(kāi)發(fā)提供了一個(gè)通用的技術(shù)方法。它定義了從系統(tǒng)開(kāi)發(fā)到單個(gè)ECU開(kāi)發(fā)的各個(gè)階段，以及在各個(gè)階段需要完成的工作內(nèi)容、需要提供的成果物。開(kāi)發(fā)一個(gè)系統(tǒng)可分解一、開(kāi)發(fā)抽象系統(tǒng)描述和基于VFB(虛擬功能總線，它描述了ECU個(gè)數(shù)和網(wǎng)絡(luò)拓?fù)錈o(wú)關(guān)）的系統(tǒng)描述，如圖2.1-1所示。該階段首先基于功能提出對(duì)整個(gè)系統(tǒng)的技術(shù)要求和約束條件，并且從功能視角設(shè)計(jì)合理高效的系統(tǒng)架構(gòu)。其次，工程師在車輛電子電氣架構(gòu)尚未確硬件資源情況將VFB視角的SWC分配到各個(gè)EGnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0四、ECU軟件集成。當(dāng)ECUExtract、基礎(chǔ)軟件、原子級(jí)SWC都開(kāi)發(fā)完成后即可進(jìn)行ECU軟件集進(jìn)行整車級(jí)別的軟件架構(gòu)設(shè)計(jì)以及相關(guān)功能模塊的定義。ECU級(jí)開(kāi)發(fā)則著重開(kāi)發(fā)單片機(jī)底層軟件。SWC級(jí)開(kāi)發(fā)則主要開(kāi)發(fā)具體控制算法。各級(jí)開(kāi)發(fā)可以并行，不同的開(kāi)發(fā)之間通過(guò)標(biāo)準(zhǔn)化的ARXML文件進(jìn)行在AUTOSARCP分層架構(gòu)中，自上而下分別為應(yīng)用軟件層（ApplicationLayer）、運(yùn)行時(shí)環(huán)境應(yīng)用軟件層包含若干個(gè)軟件組件，軟件組件間通過(guò)端口進(jìn)行交互。每個(gè)軟件組件可以包含一個(gè)或者RTE可以實(shí)現(xiàn)軟件組件間、基礎(chǔ)軟件間以及應(yīng)用軟件組件與基礎(chǔ)軟件之間的通信。RTE封裝了基礎(chǔ)軟件層的服務(wù)、提供了標(biāo)準(zhǔn)化接口，使得應(yīng)用軟件層可以通過(guò)RTE接口調(diào)用基礎(chǔ)軟件服務(wù)。此外RTE抽象了ECU之間的通信，即RTE使用標(biāo)準(zhǔn)化接口將ECU之間的通中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0圖2.1-3AUTOSARCP軟件分層架構(gòu)還提供包括網(wǎng)絡(luò)管理、存儲(chǔ)管理、模式管理和實(shí)時(shí)操作系統(tǒng)等服務(wù)。EC微控制器無(wú)關(guān)，包括板級(jí)硬件抽象、存儲(chǔ)硬件抽象、通信硬件抽象和I/O硬件抽象。該層將ECU結(jié)構(gòu)進(jìn)行了抽象，負(fù)責(zé)提供統(tǒng)一的訪問(wèn)接口，實(shí)現(xiàn)對(duì)通信、存儲(chǔ)器或者I/O的訪問(wèn)，從而不需要考慮這些資源是由微控制器片內(nèi)還是片外提供的。微控制器抽象層是實(shí)現(xiàn)不同硬件接口統(tǒng)一化的特殊層，包括微控制對(duì)微控制器的寄存器進(jìn)行操作。最后，由于對(duì)復(fù)雜傳感器和執(zhí)行器進(jìn)行操作的模塊涉及嚴(yán)格的時(shí)序問(wèn)題，V模型是目前汽車電子軟件開(kāi)發(fā)過(guò)程中采用的主流開(kāi)發(fā)模式，V模型左側(cè)統(tǒng)稱為設(shè)計(jì)階段，主要涵GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0圖2.1-4AUTOSARCP工具鏈三、MCAL/BSW配置及RTE代碼生成工具。MCAL配置工具主要用于底層驅(qū)動(dòng)的配置與配置代碼生成、BSW配置工具主要用于基礎(chǔ)軟件協(xié)議棧的配置與配置代碼生成，生成后的配置代碼需要與工具供應(yīng)商提供的靜態(tài)代碼一同進(jìn)行ECU軟件集成。RTE代碼生成工具以軟件組件ARXML或基礎(chǔ)軟件配置此外，目前市面上的AUTOSAR工具鏈都是桌面應(yīng)用程序，這使工具鏈的維護(hù)和升級(jí)都不方便，并且由于應(yīng)用程序在各個(gè)電腦上都是獨(dú)立的，所以其資源是不可共享的，使開(kāi)發(fā)效率降低。而隨著5G和千兆網(wǎng)絡(luò)的普及，在未來(lái)，AUTOSAR工具鏈由桌面應(yīng)用程序發(fā)展為Web應(yīng)用程序AUTOSARCP發(fā)展歷史悠久，從誕生到現(xiàn)在已經(jīng)有近20年的歷史。本章節(jié)將從當(dāng)前痛點(diǎn)分析角度中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0AUTOSARCP帶來(lái)的優(yōu)勢(shì)和便利前文已經(jīng)敘述了很多，但是它也不是完美的，在實(shí)際應(yīng)用過(guò)程中也概念，比如標(biāo)定量通過(guò)描述文件進(jìn)行描述；應(yīng)用接口不通過(guò)傳統(tǒng)全局變量的方式與底層軟件交互，而是對(duì)接口進(jìn)行描述定義通過(guò)RTE統(tǒng)一接口進(jìn)行匹配等。AUTOSARCP的軟件開(kāi)發(fā)理念和傳統(tǒng)嵌入式工程完全兼容，導(dǎo)致OEM集成各家供應(yīng)商開(kāi)發(fā)的軟件模塊需要花費(fèi)大量的精力和時(shí)間。原本希望借助AU-TOSARCP標(biāo)準(zhǔn)統(tǒng)一的優(yōu)勢(shì)合作開(kāi)發(fā)，但是因?yàn)楣ぞ哝湹募嫒菪詥?wèn)題而不得不統(tǒng)一工具鏈的使用，嚴(yán)重作，不僅操作上低效出錯(cuò)率高，而且在錯(cuò)誤檢查方面也不如傳統(tǒng)軟件集成方便。對(duì)于某些錯(cuò)誤提示往往不能快速定位錯(cuò)誤原因，對(duì)于某些需求追加或變更往往不能快速對(duì)應(yīng)。針對(duì)這一痛點(diǎn)，國(guó)內(nèi)大部分OEM具箱生成的代碼一樣，一些AUTOSAR工具鏈的RTE代碼生成工具生成調(diào)試帶來(lái)了不少麻煩。例如在調(diào)試基于SOMEIP的服務(wù)通信時(shí)需要根據(jù)服務(wù)請(qǐng)求信號(hào)、提供信號(hào)的數(shù)據(jù)多核分配，就算應(yīng)用軟件做了多核分配，多核系統(tǒng)的優(yōu)勢(shì)將受到核間通信效率的制約，甚至系統(tǒng)整體性方式，即衛(wèi)星給其所在核的其他模塊提供服務(wù)接口并將收到的服務(wù)請(qǐng)求通過(guò)主衛(wèi)星通信傳遞給主星，主衛(wèi)星僅為同核其他模塊提供服務(wù)接口并將服務(wù)請(qǐng)求轉(zhuǎn)發(fā)到主星上處理；另一種極端情況是衛(wèi)星和主星一GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0由于衛(wèi)星提供的接口可以被該核的其他模塊直接調(diào)用并通過(guò)高效的主衛(wèi)星通信與主星交互，從而避免了低效的Client/Server通信，大大提高了多核系統(tǒng)中基礎(chǔ)軟件的服務(wù)效率。另外由于主衛(wèi)星可并行處要配合自旋鎖）這樣的數(shù)據(jù)結(jié)構(gòu)對(duì)跨核PDU進(jìn)行路由，可將不同類型的將CAN協(xié)議棧和以太網(wǎng)協(xié)議棧分配到不同的核。通過(guò)這樣的協(xié)議棧分割可達(dá)到CPU負(fù)載均衡及提升多中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0如圖2.1-6軟件集群技術(shù)示例所示，通過(guò)軟件集群技術(shù)AUTOSARCP軟件架構(gòu)被分割成了兩個(gè)獨(dú)單獨(dú)編譯，其除了可以搭載SWC之外在多個(gè)高度解耦的應(yīng)用軟件集群，但是只能且必須存在一個(gè)主軟件集群，分別將應(yīng)用軟件集群和主軟件如圖2.1-6軟件集群技術(shù)示例中的藍(lán)框所示，各個(gè)軟件集群就像是控制器上的一塊塊拼圖，而這些連接在一起形成完整的可執(zhí)行文件。圖2.1-7軟件集群的連接展示了二進(jìn)制清單連接兩個(gè)軟件簇的例子，其中軟件集群A運(yùn)行時(shí)需要一個(gè)資源（RequireResource，指軟件集群運(yùn)行時(shí)所需要的一切，或是S/R一覽表被默認(rèn)值填寫且是可修改的，如圖2.1-7黃色框所示。對(duì)于軟件集群B來(lái)說(shuō)，因?yàn)槠渚邆涔潭ǖ娜绻跓龑憰r(shí)進(jìn)行軟件集群連接，那么目標(biāo)板內(nèi)的軟件集群連接器軟件（On-boardSoftwareClusterConnector）負(fù)責(zé)在燒寫的同時(shí)，將軟件集群B中資源的句柄拷貝至軟件集群A中資源的句柄，從而完GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0模塊（LowProxyModules）兩部分，其中高代理模塊位于應(yīng)用軟件集群代替原先的基礎(chǔ)軟件模塊提供符合AUTOSAR標(biāo)準(zhǔn)的接口，低代理模塊位于主軟件集群負(fù)責(zé)實(shí)現(xiàn)真正的基礎(chǔ)軟件模塊功能，二者之間SPONSE。其中REQUEST為期待響應(yīng)的請(qǐng)求，客戶端有需求時(shí)才會(huì)向服務(wù)端發(fā)送請(qǐng)求，且客戶端會(huì)等待服務(wù)端反饋的結(jié)果。例如，客戶端如果需要向服務(wù)端請(qǐng)求VIN碼，則可發(fā)送REQUEST類型的消息。RESPONSE則為響應(yīng)消息，即服務(wù)端的用于響應(yīng)客戶端REQUEST類型的報(bào)文。例如：客戶端向服務(wù)端請(qǐng)求VIN碼，服務(wù)端則通過(guò)RESPONSE類型的消息給客戶端回復(fù)VIN碼。REQUE不期待響應(yīng)的請(qǐng)求，客戶端有需求時(shí)才會(huì)向服務(wù)端發(fā)送請(qǐng)求，但客戶端不關(guān)注結(jié)果。例如，客戶端如果件通知，客戶端先向服務(wù)端訂閱消息，服務(wù)端當(dāng)發(fā)現(xiàn)被訂閱的消息發(fā)生變化時(shí)則主動(dòng)通知客戶端。例如，中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0Center）將以太網(wǎng)數(shù)據(jù)轉(zhuǎn)換為SOC應(yīng)用模塊所需要的數(shù)據(jù)。在SOME/IP通信中，SOC側(cè)的SDC作為客戶端，啟動(dòng)后即開(kāi)始訂閱MCU側(cè)的所有已知服務(wù)，MC發(fā)送訂閱的報(bào)文，為保證實(shí)時(shí)性，SOME/IP的數(shù)據(jù)傳輸周期與CASOME/IP序列化方式采用大端一字節(jié)對(duì)齊。因?yàn)橐蛔止?jié)對(duì)齊是最簡(jiǎn)單的對(duì)齊方式，大多編譯器很容易實(shí)現(xiàn)；并且采用一字節(jié)對(duì)齊，序列化后沒(méi)有冗余數(shù)據(jù)，報(bào)文的有效負(fù)載段都是有意義的數(shù)據(jù)，所以總析等工作。SOME/IP報(bào)文結(jié)構(gòu)如圖2.本案例中的SOME/IP協(xié)議均基于UDP協(xié)議開(kāi)發(fā)，它在用戶有需求的時(shí)候才發(fā)送報(bào)文，這種方法有一、傳輸效率高。與CAN等周期性的網(wǎng)絡(luò)相比，總線上不會(huì)出現(xiàn)過(guò)多不必要的數(shù)據(jù)，從而減少了資三、數(shù)據(jù)長(zhǎng)度長(zhǎng)。CAN-FD報(bào)文數(shù)據(jù)長(zhǎng)度最大64字節(jié)，LIN報(bào)文數(shù)據(jù)長(zhǎng)度最大8字節(jié)，單幀F(xiàn)lex-在智能駕駛中，時(shí)間是一個(gè)非常重要的參數(shù)，各個(gè)系統(tǒng)中需要保證時(shí)間一致，其中包括車云系統(tǒng)之GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0如圖2.1-10多傳感器融合系統(tǒng)中，CameraECU通過(guò)高精度攝像頭采集車道線、障礙物、標(biāo)識(shí)等信息；RadarECU通過(guò)毫米波雷達(dá)進(jìn)行障礙物、障礙物速度等信息的采集；Camera/RadarECU通過(guò)該系統(tǒng)對(duì)數(shù)據(jù)實(shí)時(shí)性、真實(shí)性要求比較高，所以需要保證Camera/RadarEC了達(dá)到該目的，如圖2.1-11時(shí)間同步步驟所示，本案例采用了AUTOSARCP時(shí)間同步解決方案，即注：本章有關(guān)AUTOSAR的內(nèi)容是AUTOSEMO會(huì)員單位的經(jīng)驗(yàn)解讀，僅供行業(yè)參考。中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0新四化（電動(dòng)化，網(wǎng)聯(lián)化，智能化，共享化）的變革驅(qū)使汽車軟件系統(tǒng)變得更加靈活。汽車軟件既要安全又要可持續(xù)更新以反映新的功能特性或法規(guī)要求，為此需要新架構(gòu)支持軟件組件的動(dòng)態(tài)部署以及商業(yè)化的通用操作系統(tǒng)，車身控制則使用標(biāo)準(zhǔn)的AUTOSARCP。隨著未來(lái)新技術(shù)及深度嵌入式系統(tǒng)對(duì)計(jì)在未來(lái)，隨著汽車電子及軟件功能的大幅增長(zhǎng)，E/E架構(gòu)最終可能向基于中央計(jì)算平臺(tái)的整車集中原子服務(wù)層是實(shí)現(xiàn)數(shù)據(jù)融合和控制邏輯的功能模塊，作為服務(wù)的最小單位與單一執(zhí)為應(yīng)用提供可按需編排的基礎(chǔ)服務(wù)，實(shí)現(xiàn)一次開(kāi)發(fā)多次復(fù)用，最大化提升開(kāi)發(fā)效率。該層的設(shè)計(jì)目標(biāo)是GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0圖2.2-2AUTOSARAP在軟件架構(gòu)中的位置端口及框架設(shè)計(jì),最終導(dǎo)出AP平臺(tái)的ARXML文件。產(chǎn)品工具應(yīng)具備支持導(dǎo)入導(dǎo)出、解析、l軟件開(kāi)發(fā)階段：使用AP產(chǎn)品生成工具，用于實(shí)現(xiàn)組件API代碼及ManAUTOSARAP開(kāi)發(fā)方法論涉及工作產(chǎn)品的標(biāo)準(zhǔn)化，用于描述工作產(chǎn)品（如服務(wù)、應(yīng)用程序、機(jī)器及其配圖2.2-3簡(jiǎn)要展示了AP平臺(tái)的開(kāi)發(fā)工作流，總體來(lái)說(shuō)需要經(jīng)歷三個(gè)階段七個(gè)步驟，最終將開(kāi)發(fā)的中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0①服務(wù)接口設(shè)計(jì)（DefineServices）：主要是定義服務(wù)接口及數(shù)據(jù)類型，包括定義服務(wù)所包含的圖2.2-3AUTOSARAP開(kāi)發(fā)方法論標(biāo)準(zhǔn)。目前最新版本為R21-11。GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0在汽車行業(yè)，智能網(wǎng)聯(lián)、自動(dòng)駕駛、V2X、OTA等功能逐漸成為標(biāo)配，AdaptiveAUTOSAR面向POSIX標(biāo)準(zhǔn)的操作系統(tǒng)，可以更好支持這些功能。在最新的標(biāo)準(zhǔn)中為了更好的支持開(kāi)發(fā)，在可用性及穩(wěn)活支持日志內(nèi)容定義等。同時(shí)，針對(duì)域控制器的異構(gòu)平臺(tái)，新版本論上進(jìn)行統(tǒng)一，定義了自動(dòng)駕駛的傳感器接口、整車級(jí)健康管理的架構(gòu)與接口、針對(duì)整車OTA升b.穩(wěn)定性：增加針對(duì)系統(tǒng)穩(wěn)定的特性。如在EM細(xì)節(jié)中增加了配置進(jìn)程錯(cuò)誤碼、功能組增加un同時(shí)在這些功能場(chǎng)景下，信息安全與功能安全成為不可或缺的關(guān)鍵機(jī)制。AdaptiveAUTOSAR針對(duì)l根據(jù)健康指標(biāo)進(jìn)行的機(jī)器恢復(fù)（例如降級(jí)l增加了確定性同步的內(nèi)容，描述了同步行為和周期性激活的要求，包括時(shí)間同步和數(shù)據(jù)同步。b.面向信息安全：增加了入侵檢測(cè)系統(tǒng)管理，由標(biāo)準(zhǔn)化的接口來(lái)報(bào)告安全事件。通過(guò)標(biāo)準(zhǔn)化的過(guò)濾l軟件和硬件解耦；l支持分離式非耦合開(kāi)發(fā)；l應(yīng)用程序獨(dú)立于加密解決方案。隨著各種域控制器方案陸續(xù)問(wèn)世，各細(xì)分賽道由分散到集中，由獨(dú)立到整合。目前整車域控制器，例如智駕域控，中央域控，智能座艙域控等均需得到高性能MPU芯片的支撐，因此POSIX標(biāo)準(zhǔn)系統(tǒng)的受域控制器行業(yè)的蓬勃發(fā)展以及各項(xiàng)政策利好，越來(lái)越多的參與者以各種新的身份加入進(jìn)來(lái)，整體的行業(yè)角色將不再是E/E時(shí)代的OEM、Tier1及Tier2三種。隨著產(chǎn)業(yè)鏈結(jié)構(gòu)的變化，位于下游負(fù)責(zé)整車生產(chǎn)和組裝的主機(jī)廠（即行業(yè)所說(shuō)的OEM將不再通過(guò)系統(tǒng)與設(shè)備集成來(lái)獲取價(jià)值增量，而會(huì)轉(zhuǎn)向中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0環(huán)境狀態(tài)成為下一個(gè)工具的輸入或啟動(dòng)環(huán)境。因此，工具鏈的效率決定了整個(gè)系統(tǒng)的開(kāi)發(fā)效率。所以隨著行業(yè)的發(fā)展成熟，工具鏈的發(fā)展將由現(xiàn)在分散的多工具相互切換配合形態(tài)，逐步升級(jí)到成熟開(kāi)放的中拼的是對(duì)AP服務(wù)模塊的實(shí)現(xiàn)及理解。往出現(xiàn)多種開(kāi)發(fā)工具同時(shí)使用的問(wèn)題，因此亟需一套集成開(kāi)發(fā)環(huán)境來(lái)簡(jiǎn)化用戶桌面當(dāng)前整車電子電氣架構(gòu)，功能不集中，分散到不同ECU，使得功能和信號(hào)交互異常復(fù)雜，代碼和邏面向服務(wù)的體系結(jié)構(gòu)，是一個(gè)組件模型，它將應(yīng)用程序的不同功能單元（稱為服務(wù)）通過(guò)這些服務(wù)之間定義良好的接口和契約聯(lián)系起來(lái)。接口是采用中立的方式進(jìn)行定義的，獨(dú)立于實(shí)現(xiàn)服務(wù)的硬件平臺(tái)、操作系統(tǒng)和編程語(yǔ)言，使得構(gòu)建在各種這類系統(tǒng)中的服務(wù)可以以一種統(tǒng)一和通用的方式進(jìn)行交互。通過(guò)信息安全能和云端環(huán)境產(chǎn)生很好的協(xié)同，實(shí)現(xiàn)一整套車云生態(tài)環(huán)境，因此車端采用基于服務(wù)的通信SOA當(dāng)前高算力芯片層出不窮，通過(guò)虛擬化技術(shù)，將芯片上所跑的各類業(yè)務(wù)分類進(jìn)行隔離已經(jīng)是目前很多車企的選擇。同時(shí)，在軟硬分離的背景下，在x86架構(gòu)PC機(jī)上或云端通過(guò)虛擬化技術(shù)運(yùn)行虛擬控制日志作為行為或狀態(tài)詳細(xì)描述的載體，提供可用于分析系統(tǒng)的活動(dòng)和診斷問(wèn)題的跟蹤記錄。在安全GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0Daemon表示DLT守護(hù)進(jìn)程，它接收并處理來(lái)自AP上文介紹了從日志產(chǎn)生到日志數(shù)據(jù)流轉(zhuǎn)的整個(gè)過(guò)程，基于已有的日志信息，Dlt-Viewer可以提取出我們所關(guān)注的數(shù)據(jù)，如圖2.2-5所示。中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0通過(guò)解析各功能模塊產(chǎn)生的DLT日志，可以分析出整個(gè)系統(tǒng)上電啟動(dòng)過(guò)程，用戶可以直觀地觀測(cè)各本節(jié)主要介紹基于AP的智能域控制器（后續(xù)簡(jiǎn)稱IDC）OTA升級(jí)場(chǎng)景及其實(shí)現(xiàn)方案。IDC的OTA其他ECU以UDS的形式發(fā)送升級(jí)指令及升級(jí)數(shù)據(jù)，IDC接收升級(jí)指令與數(shù)據(jù)后，在確保安全的情況下OTA服務(wù)器4/5G/WiFiECU1GWECU1GW①OTA采用雙分區(qū)機(jī)制，通過(guò)活躍分區(qū)去升級(jí)備份分區(qū)，升級(jí)成功后重啟GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0注：本章有關(guān)AUTOSAR的內(nèi)容是AUTOSEMO會(huì)員單位的經(jīng)驗(yàn)解讀，僅供行業(yè)參考。在車輛動(dòng)力電子，底盤電子和車身電子等實(shí)時(shí)控制功能實(shí)現(xiàn)當(dāng)中，經(jīng)常會(huì)使用到一些功能相對(duì)簡(jiǎn)單的微控制單元（MCU）芯片（如單片機(jī)這類芯片資源配置較低，硬件上沒(méi)有為操作系統(tǒng)內(nèi)核提供復(fù)雜的內(nèi)存管理和特權(quán)級(jí)別的隔離功能，因此會(huì)采用一種簡(jiǎn)要的操作系統(tǒng)內(nèi)核結(jié)構(gòu)設(shè)計(jì)。在簡(jiǎn)要結(jié)構(gòu)設(shè)計(jì)當(dāng)中，內(nèi)核服務(wù)與應(yīng)用程序會(huì)被放置在同一地址空間，應(yīng)用程序無(wú)需切換地址空間和權(quán)限層級(jí)就能夠直接調(diào)用內(nèi)核服務(wù)，具有高效的優(yōu)勢(shì)，有利于實(shí)時(shí)業(yè)務(wù)的實(shí)現(xiàn)。但相對(duì)于后面提到的宏內(nèi)核和微內(nèi)核架構(gòu)設(shè)計(jì)，簡(jiǎn)要架構(gòu)系統(tǒng)缺乏內(nèi)核隔離保護(hù)能力，任何一個(gè)模塊（無(wú)論是應(yīng)用還是內(nèi)核服務(wù)）出現(xiàn)問(wèn)題都可駕駛和智能座艙領(lǐng)域也有大量應(yīng)用。宏內(nèi)核的特點(diǎn)是將所有傳統(tǒng)的操作系統(tǒng)服務(wù)（例如進(jìn)程調(diào)度，內(nèi)存在硬件能力的支撐下，宏內(nèi)核可以實(shí)現(xiàn)用戶程序和內(nèi)核的安全隔離保護(hù)，采用合適的進(jìn)程調(diào)度機(jī)制（優(yōu)先級(jí)搶占式）時(shí)也能夠滿足車用領(lǐng)域的硬實(shí)時(shí)性任務(wù)要求，并能支持虛擬化等新技術(shù)來(lái)滿足汽車E/E架但是應(yīng)該看到，由于面向通用業(yè)務(wù)而設(shè)計(jì)，隨著宏內(nèi)核功能的豐富，其代碼量也會(huì)變得越來(lái)越龐大，以Linux內(nèi)核為例，2021年底其內(nèi)核已經(jīng)達(dá)到了3220萬(wàn)代碼行的規(guī)模，且可能會(huì)持續(xù)增長(zhǎng)，在域這不僅意味著軟件復(fù)雜度和硬件成本的增加，也意味著更高的信息安全和功能安全挑戰(zhàn)。目前，業(yè)界中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0還未看到基于宏內(nèi)核的操作系統(tǒng)產(chǎn)品通過(guò)功能安全ASIL為了應(yīng)對(duì)這些問(wèn)題，宏內(nèi)核架構(gòu)的操作系統(tǒng)也采用了模塊化，抽象，分層，層級(jí)等方法來(lái)控制其不l模塊化：內(nèi)核通過(guò)模塊化的策略來(lái)組織功能，提供可加載內(nèi)核模塊（LKM）機(jī)制。例如將大部分l層級(jí)：對(duì)于內(nèi)核的資源管理引入層級(jí)的概念，如進(jìn)程調(diào)度優(yōu)先級(jí)的分類等。從功能服務(wù)的角度看，微內(nèi)核（Microkernel）操作系統(tǒng)和宏內(nèi)核系統(tǒng)并無(wú)本質(zhì)差異，只是采用了不同的內(nèi)核架構(gòu)設(shè)計(jì)思路。由于宏內(nèi)核架構(gòu)系統(tǒng)將所有的服務(wù)都運(yùn)行在內(nèi)核態(tài)，任何一個(gè)模塊出現(xiàn)錯(cuò)誤或者被攻擊就有可能引發(fā)內(nèi)核的崩潰，從而影響到整個(gè)系統(tǒng)的穩(wěn)定性。而且隨著內(nèi)核代碼量越來(lái)越大，這種概率還會(huì)提高。為了保證內(nèi)核的穩(wěn)定性，微內(nèi)核架構(gòu)主張將宏內(nèi)核的功能進(jìn)行解耦，將某些功能從內(nèi)態(tài)的服務(wù)提供各種通信機(jī)制，以保證這些服務(wù)能夠相互協(xié)作，這樣即使單個(gè)服務(wù)出錯(cuò)或者被攻破也不會(huì)實(shí)現(xiàn)機(jī)制保留在內(nèi)核態(tài)運(yùn)行，這樣可以根據(jù)應(yīng)用場(chǎng)景適配不同的內(nèi)核服務(wù)實(shí)現(xiàn)機(jī)制。微內(nèi)核的這兩個(gè)設(shè)計(jì)理念不僅提高了安全性，而且由于內(nèi)核功能相對(duì)簡(jiǎn)單，其內(nèi)核服務(wù)的時(shí)延相對(duì)比較容易控制和估算，不過(guò)由于第一代微內(nèi)核系統(tǒng)代表Mach采用了一種過(guò)于通用的進(jìn)程間通信IPC（Inter-Process系結(jié)構(gòu)相關(guān)的，過(guò)度抽象將極大影響IPC的性能，而利用體系結(jié)構(gòu)相關(guān)的狀態(tài)進(jìn)行優(yōu)化則可將IPC性能提升到極致”。經(jīng)過(guò)改進(jìn)和優(yōu)化，第二代微內(nèi)核系統(tǒng)代表SeL4在采用了最小化設(shè)計(jì)原則的到了與同時(shí)期宏內(nèi)核系統(tǒng)同樣的效率水平。及相應(yīng)框架已經(jīng)得到業(yè)界廣泛認(rèn)可。當(dāng)前汽車E/E架構(gòu)正逐步邁入跨域集中式階段。新階段E/E架構(gòu)的GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0從功能安全的角度看，不同功能域?qū)τ诓僮飨到y(tǒng)內(nèi)核的要求也不相同。例如在功能相對(duì)簡(jiǎn)單的安全簡(jiǎn)要架構(gòu)內(nèi)核系統(tǒng)技術(shù)本身發(fā)展空間非常有限。考慮到基于微內(nèi)核的RTOS實(shí)時(shí)系統(tǒng)已經(jīng)有支持ASIL-D在智能駕駛領(lǐng)域，能夠滿足高功能安全（ASIL-D）和高性能要求的微內(nèi)核實(shí)時(shí)操作系統(tǒng)將被廣泛應(yīng)用。與此同時(shí)，為滿足機(jī)器學(xué)習(xí)和視覺(jué)AI算法的操作系統(tǒng)層接口要求，基于宏內(nèi)核的安全操作系統(tǒng)（如滿足智能駕駛要求的功能安全等級(jí)。此外，宏內(nèi)核系統(tǒng)也在一直不斷進(jìn)行內(nèi)核的裁剪優(yōu)化，對(duì)安全關(guān)鍵功能采用ISO26262形式化或半形式化方法完成正向設(shè)計(jì)和驗(yàn)證，以滿足高功能安全等級(jí)和高可靠性的在簡(jiǎn)要架構(gòu)操作系統(tǒng)產(chǎn)品領(lǐng)域，有國(guó)外大量的OSEK/VDXOS系統(tǒng)可供選擇，國(guó)內(nèi)部分廠家開(kāi)發(fā)的化落地，國(guó)內(nèi)也有不少基礎(chǔ)軟件供應(yīng)商在大力投入車用領(lǐng)域操作系統(tǒng)的開(kāi)發(fā)，具備相當(dāng)?shù)母?jìng)爭(zhēng)力。在開(kāi)場(chǎng)上建立的強(qiáng)大生態(tài)占據(jù)了主導(dǎo)地位，但是國(guó)內(nèi)部分頭部廠商都在積極發(fā)展自己的系統(tǒng)生態(tài)。與此同時(shí)，不少國(guó)內(nèi)廠家還積極參加了Linux基金會(huì)的ELISA項(xiàng)目，旨在構(gòu)建和認(rèn)證基于Linux的安全關(guān)鍵應(yīng)用程都可能對(duì)應(yīng)著一個(gè)或多個(gè)進(jìn)程，用戶應(yīng)用進(jìn)程之間由于可靠性和信息安全的需要采用了各種嚴(yán)格的時(shí)空隔離手段（技術(shù)原理參見(jiàn)2.3.3.2節(jié)）進(jìn)行隔離，不能直接進(jìn)行通信。但是用戶進(jìn)程間的協(xié)作又必須要進(jìn)在實(shí)現(xiàn)進(jìn)程間的數(shù)據(jù)傳遞功能的同時(shí)，還需要內(nèi)核通過(guò)對(duì)進(jìn)程的運(yùn)行狀態(tài)和運(yùn)行時(shí)間的控制來(lái)實(shí)現(xiàn)控制中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0發(fā)送者進(jìn)程Write()接收者進(jìn)程Read()Pipe(0) Pipe(1)消息隊(duì)列消息發(fā)送者進(jìn)程Write()接收者進(jìn)程Read()Pipe(0) Pipe(1)消息隊(duì)列消息類型數(shù)據(jù)進(jìn)程2進(jìn)程n進(jìn)程1信號(hào)量接收者進(jìn)程發(fā)送者進(jìn)程具有父子兩個(gè)親緣FIFO（命可以在兩進(jìn)程通信并進(jìn)行讀寫操作；通過(guò)消息進(jìn)程間傳PVVP用于進(jìn)程共享內(nèi)存兩個(gè)或多數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0SIGKILL接收送者進(jìn)程1發(fā)送者進(jìn)程SIGCHILD信號(hào)編號(hào)接收送者進(jìn)程nSIGKILL接收送者進(jìn)程1發(fā)送者進(jìn)程SIGCHILD信號(hào)編號(hào)接收送者進(jìn)程n接收送者進(jìn)程2接收者接收者進(jìn)程發(fā)送者進(jìn)程TCP/UDP/IP/…基于TCP/IP協(xié)議出于最小內(nèi)核服務(wù)設(shè)計(jì)的考慮，在微內(nèi)核架構(gòu)系統(tǒng)中，類似于驅(qū)動(dòng)，文件系統(tǒng)等傳統(tǒng)的內(nèi)核服務(wù)被移到了用戶態(tài)，許多原本可以通過(guò)簡(jiǎn)單系統(tǒng)調(diào)用就可實(shí)現(xiàn)的內(nèi)核功能也必須使用IPC機(jī)制來(lái)提供服務(wù)，在系統(tǒng)負(fù)荷較高的情況下可能會(huì)面臨著比宏內(nèi)核更加嚴(yán)重的效率問(wèn)題。因此對(duì)微內(nèi)核系統(tǒng)的研究一般都傳統(tǒng)的微內(nèi)核IPC機(jī)制設(shè)計(jì)是通過(guò)端口（port）和消息（message）來(lái)實(shí)現(xiàn)進(jìn)程間接通信。通信的雙方不需要顯式指定另一方，而是通過(guò)端口進(jìn)行通信，這樣可以將用戶進(jìn)程本身和IPC通信隔離開(kāi)，只要一個(gè)進(jìn)程在內(nèi)核擁有某個(gè)端口，就能通過(guò)這個(gè)端口和另一端的進(jìn)程通信。進(jìn)程之間通過(guò)端口流通的數(shù)移線程技術(shù)就是把其他進(jìn)程的代碼拉進(jìn)當(dāng)前進(jìn)程中運(yùn)行，這樣就會(huì)大量減少內(nèi)核進(jìn)程切換的代價(jià)，同時(shí)也能通過(guò)共享參數(shù)棧和寄存器來(lái)簡(jiǎn)化數(shù)據(jù)傳輸，減在一些學(xué)術(shù)文獻(xiàn)中，遷移線程模型被用在了LRPC（輕量級(jí)遠(yuǎn)程過(guò)程調(diào)進(jìn)程1操作系統(tǒng)內(nèi)核進(jìn)程1操作系統(tǒng)內(nèi)核進(jìn)程1進(jìn)程2操作系統(tǒng)內(nèi)核進(jìn)程2中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0用戶態(tài)進(jìn)程1操作系統(tǒng)內(nèi)核進(jìn)程2操作系統(tǒng)內(nèi)核進(jìn)程2進(jìn)程1進(jìn)程2操作系統(tǒng)內(nèi)核進(jìn)程2上面兩張圖(圖2.3-1和圖2.3-2)是主流IPC和遷移線程IPC設(shè)計(jì)的對(duì)比?！耙龅健畬⒋a拉到本地’，遷移線程首先需要對(duì)線程結(jié)構(gòu)進(jìn)行解耦，明確線程中哪些部分是對(duì)通信請(qǐng)求處理起關(guān)鍵作用的。然后，這部分允許被調(diào)用者（負(fù)責(zé)處理請(qǐng)求的邏輯）運(yùn)行在調(diào)用者的上下文中，將跨進(jìn)程調(diào)用變成更接服務(wù)端進(jìn)程線程池Binder驅(qū)動(dòng)果?？蛻舳耸紫葟膬?nèi)核和ContextManager處獲取服務(wù)端信息，然后通過(guò)內(nèi)核對(duì)內(nèi)核會(huì)從對(duì)應(yīng)的服務(wù)端線程池里找到空閑的線程來(lái)響應(yīng)處理（通過(guò)內(nèi)存映射方式僅用一次拷貝完成數(shù)據(jù)內(nèi)核Binder驅(qū)動(dòng)也允許用戶為服務(wù)端配置一個(gè)最大上限線程數(shù)，這樣動(dòng)態(tài)分配結(jié)合最大上限配置能夠防服務(wù)端進(jìn)程線程池Binder驅(qū)動(dòng)客戶端進(jìn)程用戶態(tài)open/ioctl注冊(cè)服務(wù)獲取服務(wù)信息注冊(cè)服務(wù)ContextContextmanageropen/ioctlopen/ioctlVV內(nèi)核態(tài)<內(nèi)核態(tài)<>GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0在車用環(huán)境中，無(wú)論是基于宏內(nèi)核還是基于微內(nèi)核架構(gòu)搭建的操作系統(tǒng)，使用什么樣的IPC通信機(jī)制并不是固定的，需要根據(jù)不同的應(yīng)用和需求目標(biāo)進(jìn)行靈活選擇，必要時(shí)甚至?xí)髢?nèi)核改進(jìn)IPC通信要程度的任務(wù)同時(shí)在一個(gè)計(jì)算單元中運(yùn)行的情況。如果不采用一定的隔離措施，就會(huì)出現(xiàn)低功能安全等級(jí)或者非關(guān)鍵任務(wù)進(jìn)程有意無(wú)意地干擾高功能安全要求或者重要任務(wù)進(jìn)程的運(yùn)行的情況（因自身缺陷或應(yīng)用BOS內(nèi)核第一個(gè)層次是處理器級(jí)別的物理空間隔離(圖2.3-4)，例如可以將A和B兩個(gè)應(yīng)用分別獨(dú)立運(yùn)行在同一計(jì)算單元的不同處理器中，每個(gè)處理器都是一個(gè)獨(dú)立的運(yùn)行系統(tǒng)。即使A應(yīng)用所在處理器發(fā)生系統(tǒng)應(yīng)用BOS內(nèi)核處理器2應(yīng)用A處理器2應(yīng)用AOS內(nèi)核處理器1處理器1應(yīng)用BGuestOS第二個(gè)層次是虛擬機(jī)/容器級(jí)別的時(shí)空隔離(圖2.3-5)，例如可以在同一個(gè)計(jì)算單元（可能有1到多個(gè)處理器）上虛擬出多個(gè)資源獨(dú)立的虛擬機(jī)空間，每個(gè)虛擬機(jī)/容器分配有獨(dú)立的物理地址空間和處理器資源。將A和B兩個(gè)應(yīng)用分別運(yùn)行在不同的虛擬機(jī)/容器空間中，即使A所在虛擬機(jī)空間發(fā)生了系應(yīng)用BGuestOS應(yīng)用AGuestOS虛擬化處理器硬件第三個(gè)層次是內(nèi)核和應(yīng)用間的隔離(圖2.3-6)。因?yàn)樗袘?yīng)用都不可避免地要調(diào)用內(nèi)核服務(wù)，一旦內(nèi)核出現(xiàn)問(wèn)題，很容易導(dǎo)致系統(tǒng)故障，從而影響到所有運(yùn)行在該內(nèi)核之上的應(yīng)用，所以需要將內(nèi)核空間與用戶空間隔離開(kāi)來(lái)。用戶應(yīng)用程序只能運(yùn)行在被內(nèi)核映射分配好的地址空間，并限制用戶態(tài)進(jìn)程訪問(wèn)內(nèi)核地址空間，系統(tǒng)同時(shí)會(huì)禁止用戶進(jìn)程執(zhí)行某些可能破壞內(nèi)核服務(wù)的機(jī)器指令，運(yùn)行這些指令只能通中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0應(yīng)用應(yīng)用OS內(nèi)核處理器分區(qū)2應(yīng)用BOS服務(wù)層第四個(gè)層次是應(yīng)用間的分區(qū)時(shí)空隔離機(jī)制分區(qū)2應(yīng)用BOS服務(wù)層OS服務(wù)層分區(qū)1OS服務(wù)層應(yīng)用AOSOS微內(nèi)核處理器硬件行隔離外，還需在負(fù)責(zé)時(shí)空隔離的操作系統(tǒng)內(nèi)核和分區(qū)內(nèi)進(jìn)行實(shí)時(shí)調(diào)度（見(jiàn)2.3.3.3章節(jié)）。在分區(qū)隔離機(jī)制中，操作系統(tǒng)內(nèi)核實(shí)施管理和安全驗(yàn)證所有核心資源的配額和訪問(wèn)，以保證系統(tǒng)的可靠性。操作系統(tǒng)內(nèi)核為每個(gè)分區(qū)配置獨(dú)立的CPU時(shí)間和內(nèi)存空間，并在分區(qū)內(nèi)提供分區(qū)操作系統(tǒng)服務(wù)，實(shí)現(xiàn)分區(qū)內(nèi)資區(qū)發(fā)送虛擬中斷，相應(yīng)的分區(qū)操作系統(tǒng)在分配到的時(shí)間片中截獲信號(hào)，完成中斷處理，保證分區(qū)時(shí)間窗口的確定性，防止中斷處理過(guò)長(zhǎng)導(dǎo)致分區(qū)調(diào)度時(shí)鐘窗口的不確定性。操作系統(tǒng)內(nèi)核的空間域可以定義出一個(gè)空間保護(hù)模型，每個(gè)空間域（分區(qū)）有自己的內(nèi)存地址空間，每個(gè)空間域類似于傳統(tǒng)的操作系統(tǒng)的進(jìn)程，空間域內(nèi)的任務(wù)類似于傳統(tǒng)的操作系統(tǒng)的線程。分區(qū)內(nèi)調(diào)度的是任務(wù)，應(yīng)用層和分區(qū)操作系統(tǒng)服第五個(gè)層次是應(yīng)用任務(wù)進(jìn)程或線程之間的時(shí)空隔離(圖2.3-8)。即操作系統(tǒng)內(nèi)核/或者分區(qū)操作系統(tǒng)負(fù)責(zé)為每個(gè)任務(wù)進(jìn)程分配獨(dú)立的地址空間和處理器服務(wù)時(shí)隙，并禁止進(jìn)程之間的直接訪問(wèn)。進(jìn)程之間的信息交換必須通過(guò)調(diào)用內(nèi)核提供的IPC（見(jiàn)2.3.3.1章節(jié)）進(jìn)程通信服務(wù)來(lái)完成。這一層次的隔離可以GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0應(yīng)用B應(yīng)用B應(yīng)用AOS內(nèi)核/服務(wù)層處理器硬件上無(wú)法直接提供地址空間的隔離機(jī)制，需要通過(guò)軟件技術(shù)來(lái)實(shí)現(xiàn)隔離保護(hù)?；谲浖母綦x保護(hù)技術(shù)包括段保護(hù)、段匹配和地址沙箱技術(shù)。其具體的實(shí)現(xiàn)原理和特點(diǎn)見(jiàn)下表2.3-2。但無(wú)論是哪種基于軟件在目標(biāo)代碼中的內(nèi)存訪問(wèn)指令前插入優(yōu)化過(guò)的運(yùn)行時(shí)檢測(cè)代碼，如果發(fā)現(xiàn)要訪問(wèn)的段地址與當(dāng)前段寄存器沖突，則拋出異常，并在系統(tǒng)失依賴于處理器硬件結(jié)構(gòu)和機(jī)器把指令分為安全指令和不安全指令。針對(duì)不安全指令（跳轉(zhuǎn)指令、訪存指令）進(jìn)行檢查。不安全指令可分為：可靜態(tài)驗(yàn)證的指令（不通過(guò)運(yùn)行就可確定其訪問(wèn)地址的指令）和不可靜態(tài)驗(yàn)證的指令（其訪問(wèn)地址在程序運(yùn)行時(shí)可能變且與處理器依賴關(guān)系強(qiáng)，移植在段匹配技術(shù)中，把每一個(gè)不安全指令的插入代碼中的地址高位填充為預(yù)定的段標(biāo)識(shí)符，地址填充并不捕捉非法地址，它僅僅阻止影響的地址填充需要在每一個(gè)不安全的存儲(chǔ)或跳轉(zhuǎn)指種是分段機(jī)制，一種是分頁(yè)機(jī)制。分段機(jī)制只是在早期的X86架構(gòu)處理器上引入（在X86-64架構(gòu)之后引入了多級(jí)頁(yè)表機(jī)制。虛擬地址的哪個(gè)頁(yè)面映射到物理內(nèi)存的哪個(gè)頁(yè)幀是通過(guò)頁(yè)表（PageTable）來(lái)描中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0MMU配合操作系統(tǒng)內(nèi)核完成了諸多空間隔離功能，比如通過(guò)特權(quán)模式劃分了內(nèi)核空間和用戶空間，用戶空間無(wú)法直接訪問(wèn)內(nèi)核空間，必須通過(guò)某些手段（系統(tǒng)調(diào)用，異常，中斷等）切換到特權(quán)模式才能間接訪問(wèn)內(nèi)核。此外，每個(gè)進(jìn)程都擁有自己獨(dú)立的地址空間，進(jìn)程切換時(shí)地址空間也會(huì)切換。不同進(jìn)程都擁有自己的一套頁(yè)表，因而即使兩個(gè)進(jìn)程虛擬地址相同，映射的物理地址也是不同的。切換地址空間此外，操作系統(tǒng)內(nèi)核還可以對(duì)每個(gè)頁(yè)表的訪問(wèn)權(quán)限進(jìn)行設(shè)置，當(dāng)進(jìn)程要訪問(wèn)不可訪問(wèn)權(quán)限的內(nèi)存地址時(shí)，會(huì)產(chǎn)生一個(gè)異常通知處理器，操作系統(tǒng)內(nèi)核可以通過(guò)捕獲這種異常和對(duì)這種異常的合理處理來(lái)實(shí)隨著計(jì)算單元硬件和虛擬化技術(shù)不斷地進(jìn)步，配合操作系統(tǒng)內(nèi)核所能提供的軟件隔離保護(hù)手段，基本上能夠滿足未來(lái)整車E/E架構(gòu)智能集中化趨勢(shì)下的時(shí)空隔離要求。具體使用哪種隔離機(jī)制或者幾種隔在汽車應(yīng)用領(lǐng)域，不可避免地要應(yīng)對(duì)兩類實(shí)時(shí)任務(wù)。一類被稱為硬實(shí)時(shí)任務(wù)，這類任務(wù)無(wú)論在什么樣的情況下都必須在規(guī)定的截止時(shí)間內(nèi)執(zhí)行完畢，否則會(huì)造成不可接受的后果（如因碰撞傳感器引發(fā)的無(wú)論是哪種車用操作系統(tǒng)，都面臨著多個(gè)軟硬實(shí)時(shí)任務(wù)（進(jìn)程/線程）同時(shí)爭(zhēng)奪有限資源的問(wèn)題，需要操作系統(tǒng)內(nèi)核提供合適的調(diào)度機(jī)制來(lái)滿足硬實(shí)時(shí)任務(wù)截止時(shí)間要求，在此基礎(chǔ)上，還需要滿足其他l非搶占調(diào)度方式是指當(dāng)一個(gè)低優(yōu)先級(jí)任務(wù)獲得了處理器執(zhí)行資源后，即使內(nèi)核知道有更高優(yōu)先級(jí)的任務(wù)在等待處理器資源，仍然會(huì)讓這個(gè)低優(yōu)先級(jí)任務(wù)繼續(xù)執(zhí)行，直到當(dāng)前任務(wù)完成或發(fā)生某種事件而進(jìn)入阻塞態(tài)時(shí)，才會(huì)把處理器資源分配給當(dāng)前最高優(yōu)先級(jí)的任務(wù)。雖然這種調(diào)度方式比較l搶占式調(diào)度方式是指當(dāng)一個(gè)低優(yōu)先級(jí)任務(wù)正在處理器上執(zhí)行時(shí)，如果有更高優(yōu)先級(jí)的任務(wù)出現(xiàn)需這種方式對(duì)提高系統(tǒng)的實(shí)時(shí)性和響應(yīng)效率有明顯的好處，但也要遵循一定原則，否則可能因?yàn)轭l很顯然，車用領(lǐng)域的操作系統(tǒng)內(nèi)核都必須支持基于任務(wù)優(yōu)先級(jí)的搶占式調(diào)度方式。內(nèi)核任務(wù)調(diào)度系統(tǒng)設(shè)計(jì)的核心是如何為每個(gè)任務(wù)定義合適的優(yōu)先級(jí)，以保證包括任務(wù)截止時(shí)間在內(nèi)的各項(xiàng)系統(tǒng)性能指標(biāo)GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0阻塞隊(duì)列CPU隊(duì)列n阻塞隊(duì)列CPU隊(duì)列n時(shí)間片耗盡▲隊(duì)列1為空當(dāng)隊(duì)列1▲隊(duì)列1為空當(dāng)隊(duì)列1隊(duì)列0隊(duì)列0當(dāng)隊(duì)列0為空隊(duì)列2隊(duì)列2當(dāng)隊(duì)列2為空為了簡(jiǎn)化系統(tǒng)設(shè)計(jì)，有的簡(jiǎn)要架構(gòu)系統(tǒng)（如uC/OS-II）甚至規(guī)定所有任務(wù)的優(yōu)先級(jí)都不同，任務(wù)的優(yōu)先級(jí)也同時(shí)唯一標(biāo)識(shí)了該任務(wù)本身，但在復(fù)雜系統(tǒng)下這個(gè)方法不太適用。通常我們會(huì)將系統(tǒng)中所有的低優(yōu)先級(jí)隊(duì)列才能得到服務(wù)。此外，還需為每個(gè)任務(wù)隊(duì)列采用合適的任務(wù)調(diào)度策略來(lái)決定哪個(gè)任務(wù)該優(yōu)理定義。常用的任務(wù)調(diào)度策略和對(duì)應(yīng)的任務(wù)優(yōu)先級(jí)定義如下表2.3-非搶占式，當(dāng)長(zhǎng)短任務(wù)混合時(shí)對(duì)短SJF非搶占式，必須預(yù)測(cè)任務(wù)的運(yùn)行時(shí)間，而且性能嚴(yán)重依賴于任務(wù)到達(dá)STCF搶占式，傾向于完成較短任務(wù)，導(dǎo)在任務(wù)運(yùn)行時(shí)間相似的情況下平均針對(duì)MLQ調(diào)度策略可能帶來(lái)的低優(yōu)先級(jí)任務(wù)饑餓（長(zhǎng)時(shí)間得不到服務(wù)）和中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0同時(shí)還會(huì)對(duì)任務(wù)的運(yùn)行時(shí)間做評(píng)估，即統(tǒng)計(jì)每個(gè)任務(wù)已經(jīng)執(zhí)行了多長(zhǎng)時(shí)間，并據(jù)此判斷此任務(wù)是長(zhǎng)任務(wù)還是短任務(wù)，然后調(diào)整對(duì)應(yīng)任務(wù)的優(yōu)先級(jí)，被判斷為長(zhǎng)任務(wù)的優(yōu)先級(jí)會(huì)被逐次調(diào)低。為避免低優(yōu)先級(jí)任務(wù)長(zhǎng)期得不到服務(wù)，還可以定時(shí)/不定時(shí)將所有任務(wù)優(yōu)先級(jí)提到最高，再根據(jù)任務(wù)實(shí)際運(yùn)行長(zhǎng)短動(dòng)態(tài)逐這種策略是要預(yù)先知道任務(wù)的周期，并根據(jù)周期靜態(tài)地為每個(gè)任務(wù)分配一個(gè)優(yōu)先級(jí)：任務(wù)的周期越短，意味著截止時(shí)間要求越迫切，優(yōu)先級(jí)越高。RM優(yōu)先級(jí)的任務(wù)。此外，RM也可以引入動(dòng)另外，還有一種分區(qū)調(diào)度機(jī)制，該機(jī)制將處理器算力按一定比例然后把不同線程分到這些分區(qū)里按上述調(diào)度策略進(jìn)行調(diào)度。當(dāng)分區(qū)里的處理器資源預(yù)算被用完以后，該同樣可以采取“自適應(yīng)分區(qū)調(diào)度”機(jī)制來(lái)改進(jìn)調(diào)度性能，即定時(shí)計(jì)算各分區(qū)的算力閑置情況，在分區(qū)算需要指出的是，內(nèi)核硬實(shí)時(shí)調(diào)度機(jī)制只是支撐硬實(shí)時(shí)任務(wù)的一部分，整個(gè)任務(wù)的實(shí)時(shí)性還需要依賴于應(yīng)用本身的設(shè)計(jì)，例如在AUTOSARCP中還提出了通過(guò)將應(yīng)用和CPU核（多核情況下）綁定，禁止總之，從技術(shù)發(fā)展趨勢(shì)看，上述的這些基于優(yōu)先級(jí)的搶占式進(jìn)程調(diào)度機(jī)制通過(guò)一定程度的“動(dòng)態(tài)”優(yōu)化，都能很好地在滿足硬實(shí)時(shí)任務(wù)的截止時(shí)間要求的基礎(chǔ)上，照顧到軟實(shí)時(shí)業(yè)務(wù)和其他非實(shí)時(shí)業(yè)務(wù)的在汽車安全車控和智能駕駛應(yīng)用領(lǐng)域，操作系統(tǒng)內(nèi)核除了要滿足應(yīng)用的實(shí)時(shí)性和確定性要求外，功能安全的保證也同等重要的。由于操作系統(tǒng)內(nèi)核是由軟件代碼組成，從軟件工程的角度來(lái)看，缺陷幾乎是不可避免的，而這些缺陷在某些特定條件下有可能會(huì)引發(fā)功能安全故障。因此，為了及時(shí)在系統(tǒng)運(yùn)行過(guò)程中發(fā)現(xiàn)這些故障，并及時(shí)處理以防止故障的擴(kuò)散，避免引發(fā)功能安全事故，采取健康監(jiān)控是一種必極高的飛行器航空電子領(lǐng)域中，健康監(jiān)控功能已經(jīng)成為飛行器安全的重要保障機(jī)制。國(guó)際航空電子標(biāo)準(zhǔn)中定義的系統(tǒng)層次的健康監(jiān)控中，將單一CPU內(nèi)的健康監(jiān)控體系分為三層故障處理級(jí)別。與之類似，汽車電子系統(tǒng)雖然沒(méi)有統(tǒng)一的故障處理級(jí)別標(biāo)準(zhǔn)，但也可以參考航空電子標(biāo)準(zhǔn)中的健康監(jiān)控機(jī)制，例如可將故障級(jí)別劃分為分區(qū)級(jí)、管理級(jí)和核心級(jí)三個(gè)等級(jí)，并可對(duì)不同級(jí)別的故障設(shè)置不同的處理策略(圖2.3-10)。GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0故障產(chǎn)生故障產(chǎn)生檢測(cè)故障產(chǎn)生時(shí)的系統(tǒng)狀態(tài)，注入故障事件檢測(cè)故障產(chǎn)生時(shí)的系統(tǒng)狀態(tài)，注入故障事件查詢系統(tǒng)健康監(jiān)控表查詢系統(tǒng)健康監(jiān)控表<>將異常分區(qū)掛到異常分區(qū)隊(duì)列啟動(dòng)管理級(jí)健康監(jiān)控模塊，查詢管理健康監(jiān)控表，進(jìn)行管理級(jí)故障處理啟動(dòng)分區(qū)級(jí)健康監(jiān)控模塊，查詢分區(qū)健康監(jiān)控表，進(jìn)行分區(qū)級(jí)故障處理 判定故障級(jí)別<>將異常分區(qū)掛到異常分區(qū)隊(duì)列啟動(dòng)管理級(jí)健康監(jiān)控模塊，查詢管理健康監(jiān)控表，進(jìn)行管理級(jí)故障處理啟動(dòng)分區(qū)級(jí)健康監(jiān)控模塊，查詢分區(qū)健康監(jiān)控表，進(jìn)行分區(qū)級(jí)故障處理啟動(dòng)核心級(jí)健康監(jiān)控模啟動(dòng)核心級(jí)健康監(jiān)控模塊，查詢核心健康監(jiān)控表，進(jìn)行核心級(jí)故障處理底層硬件抽象層的異常處理程序首先會(huì)根據(jù)異常產(chǎn)生的位置來(lái)判定異常處理級(jí)別，然后健康監(jiān)控系統(tǒng)根l如果CPU異常產(chǎn)生的位置是在操作系統(tǒng)內(nèi)核態(tài)，則該異常屬于核心級(jí)異l如果CPU異常產(chǎn)生的位置是用戶態(tài)，則進(jìn)行以下如果用戶分區(qū)產(chǎn)生的異常不是二次異常（用戶分區(qū)觸發(fā)異常的處理過(guò)程中再次觸發(fā)的異常被認(rèn)定l分區(qū)級(jí)中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0l管理級(jí)每個(gè)用戶分區(qū)可以配置一個(gè)管理分區(qū)，用來(lái)幫助被管理用戶分區(qū)處理自身無(wú)法處理的異常。被升級(jí)l核心級(jí)主要處理內(nèi)核態(tài)程序運(yùn)行過(guò)程中產(chǎn)生的一些異常和管理分區(qū)無(wú)法處理的被管理用戶分區(qū)產(chǎn)生的異常，內(nèi)核態(tài)程序運(yùn)行過(guò)程中產(chǎn)生的異常需要執(zhí)行健康監(jiān)控中的內(nèi)核默認(rèn)異常處理，如記錄異常上下文信分區(qū)內(nèi)應(yīng)用應(yīng)用分區(qū)分區(qū)內(nèi)應(yīng)用分區(qū)級(jí)健康監(jiān)控分區(qū)級(jí)健康監(jiān)控應(yīng)用故障產(chǎn)生管理分區(qū)管理級(jí)健康監(jiān)控管理級(jí)健康監(jiān)控故障注入操作系統(tǒng)內(nèi)核故障注入分區(qū)級(jí)管理級(jí)系統(tǒng)健康監(jiān)控表核心級(jí)核心級(jí)健康監(jiān)控整個(gè)健康監(jiān)控系統(tǒng)的故障分派及處理的架構(gòu)如圖2.3-11所示，其核心是由操作系統(tǒng)內(nèi)核所維護(hù)的系統(tǒng)健康監(jiān)控表，該表由系統(tǒng)集成者進(jìn)行靜態(tài)配置，作為系統(tǒng)邏輯配置的一部分。當(dāng)處理器或操作系統(tǒng)內(nèi)核檢測(cè)到一個(gè)故障時(shí)，在系統(tǒng)健康監(jiān)控表中通過(guò)系統(tǒng)狀態(tài)和故障類型，獲取事先定義的故障處理級(jí)別。統(tǒng)健康監(jiān)控表是作為健康監(jiān)控總體故障處理派發(fā)的一級(jí)表，當(dāng)故障處理進(jìn)入對(duì)應(yīng)故障級(jí)別的處理流程后，從2017年開(kāi)始，一些國(guó)內(nèi)供應(yīng)商本土化研發(fā)的車用操作系統(tǒng)已經(jīng)陸續(xù)在上汽、一汽、長(zhǎng)安等OEM廠商的驗(yàn)證交付項(xiàng)目和研發(fā)量產(chǎn)項(xiàng)目中得到應(yīng)用?，F(xiàn)階段，一些有代表性的基礎(chǔ)軟件供應(yīng)商正在與國(guó)內(nèi)GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0大產(chǎn)品，其中，Hypervisor提供半虛擬化功能并提供隔離保障，微內(nèi)核RTOS運(yùn)行緊急儀表，Safetyl提供快速啟動(dòng)方案，支持啟動(dòng)動(dòng)畫(huà)；l提供中控投屏視頻與儀表畫(huà)面的融合方案；l提供儀表畫(huà)質(zhì)監(jiān)控功能；l提供業(yè)務(wù)穩(wěn)定性監(jiān)控功能，異常情況下及時(shí)切換到緊急儀表。但獲得所需功能安全等級(jí)認(rèn)證較難?？紤]到這些問(wèn)題，某廠家基于自研車用操作系統(tǒng)產(chǎn)品系列，推出基智駕應(yīng)用軟件智駕應(yīng)用軟件智駕服務(wù)框架及功能軟件AUTOSARAPAILIBAUTOSARCPMicrokernelAUTOSARCPHypervisor異構(gòu)異構(gòu)SoC智能芯片中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0AI融合感知處理及算法類業(yè)務(wù)需要使用圖形圖像處理以及深度學(xué)習(xí)算法模型框架，對(duì)底層算力芯片的驅(qū)動(dòng)適配要求也較高，這部分服務(wù)由SafetyLinux承載，可充分利用其既有成熟的軟硬件生態(tài)快速完成開(kāi)發(fā)。SafteyLinux支持POSIX標(biāo)準(zhǔn)中的大部分實(shí)時(shí)信號(hào)處理機(jī)制和功能，同時(shí)通過(guò)開(kāi)源實(shí)時(shí)性RT同時(shí)，依托于某廠家微內(nèi)核RTOS的ASIL-D級(jí)功能安全能力，通過(guò)在SafetyLinux中部署健康監(jiān)控代理，實(shí)時(shí)對(duì)SafetyLinux眾所周知，自動(dòng)駕駛系統(tǒng)中有著大量的算法任務(wù)調(diào)度，海量的傳感器數(shù)據(jù)交互，加上自動(dòng)駕駛特有的應(yīng)用場(chǎng)景，因此對(duì)操作系統(tǒng)有著非常嚴(yán)格的要求。對(duì)于操作系統(tǒng)而言，不但對(duì)實(shí)時(shí)性有著非常嚴(yán)格的微內(nèi)核架構(gòu)不僅保證了操作系統(tǒng)服務(wù)的硬實(shí)時(shí)性，并且在軟件架構(gòu)上也契合了SOA的軟件開(kāi)發(fā)思路，使得小魔盒在軟件架構(gòu)的設(shè)計(jì)上更簡(jiǎn)潔。QNX功能安全更是其優(yōu)勢(shì)所在26262ASIL-D認(rèn)證，得益于此，小魔盒的安全認(rèn)證變得更為簡(jiǎn)單。隨著ICT技術(shù)的發(fā)展，單SOC算力可以承擔(dān)更多業(yè)務(wù)，網(wǎng)絡(luò)帶寬拓展及低時(shí)延、區(qū)分服務(wù)等特性使合、可軟件定義。電子電氣架構(gòu)從分布式架構(gòu)到域集中式架構(gòu)，再到中央集中式架構(gòu)轉(zhuǎn)變，分散的ECU汽車電子底層硬件不再是由單一芯片提供簡(jiǎn)單的邏輯計(jì)算，而是需要復(fù)雜的多核SoC芯片提供更為復(fù)雜控制邏輯以及強(qiáng)大的算力支持。但是多域業(yè)務(wù)具有不同的技術(shù)需求，比統(tǒng)傾向于RTLinux、RTOS；智駕域GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0件隔離的隔離性最好，單隔離域的性能、安全可靠性最好，但靈活性、可配置性差，不能實(shí)現(xiàn)硬件共享，彈性靈活的優(yōu)選方案，是軟件定義汽車的重要支撐技術(shù)。典型應(yīng)用場(chǎng)景如圖2.4-按需分配給每個(gè)虛擬機(jī)，允許它們獨(dú)立地訪問(wèn)已授權(quán)的虛擬資源。Hypervisor實(shí)現(xiàn)了硬件資源的整合和隔離，使應(yīng)用程序既能共享CPU等物理硬件，也能依托不同的內(nèi)核環(huán)境和驅(qū)動(dòng)運(yùn)行，從而滿足汽車領(lǐng)域中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0l虛擬機(jī)設(shè)備模擬：根據(jù)需求創(chuàng)建虛擬機(jī)可以訪問(wèn)的虛擬硬件組件；l虛擬機(jī)通信：為虛擬機(jī)提供IPC，共享內(nèi)存等通信機(jī)制。l虛擬機(jī)調(diào)度：為虛擬機(jī)提供優(yōu)先級(jí)和時(shí)間片等調(diào)度算法；l虛擬機(jī)生命周期管理：創(chuàng)建，啟動(dòng)和停止虛擬機(jī)；l虛擬機(jī)調(diào)測(cè)服務(wù)：提供控制臺(tái)，日志等調(diào)試功能；l輕量高效。Hypervisor在帶來(lái)軟件定義的靈活性的同時(shí)，也導(dǎo)致了軟件棧層次增加，不可避免會(huì)有性能損耗。汽車領(lǐng)域的成本敏感特性，注定了降低CPU、存儲(chǔ)、網(wǎng)絡(luò)、GPU等外設(shè)性能損耗的l安全可靠。相較于互聯(lián)網(wǎng)領(lǐng)域看重的資源動(dòng)態(tài)分配和閑置利用，汽車領(lǐng)域更看重Hypervisor的實(shí)l便捷適配。在汽車領(lǐng)域，芯片類型和操作系統(tǒng)豐富多樣，嵌入式虛擬化的一大特點(diǎn)就是異構(gòu)，Hy-GnAUT5SMO中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書(shū)3.0其特點(diǎn)是硬件平臺(tái)基本同構(gòu)，大量節(jié)點(diǎn)構(gòu)成集群，