漫谈车载操作系统发展趋势

操作系统（Operating system，OS）管理着计算机系统的所有软硬件，是汽车行业的关键软件平台。小到几千行代码的简单控制程序，大到Linux、macOS、iOS和Windows等千万级代码的桌面级操作系统，每个操作系统在功能、程序大小、复杂性、开发工作、硬件需求、维保成本等方面都存在较大差异。

维基百科上虽然有Linux和QNX等主流操作系统的基本介绍，但涉及车载操作系统的信息则少之又少。本文将在介绍操作系统基本概念的同时，着重讲述车载操作系统的发展情形与趋势。

一、操作系统概述

操作系统提供计算机硬件和应用程序之间的接口，通过遵循编程到操作系统中的规则和程序，限制应用程序使用硬件；提供简化应用程序开发和执行的服务，包括将程序加载到内存、与传感器和执行器通信、存储结果等各种硬件资源管理的功能，还包括如中间件、库及其他系统软件功能。

操作系统的性能和生态系统对于开发“软件定义汽车”所需的应用程序和软件平台是至关重要的，一个好的车载操作系统需要大型生态系统和可靠的架构支撑。

车载操作系统要求如下表所示：

*ISO 26262认证：道路车辆功能安全国际标准；

*ASIL等级：Automotive Safety Integrity Level，汽车安全完整性等级；

*ADAS：Advanced Driver Assistance System，高级驾驶辅助系统；

*AV：Autonomous Vehicles，自动驾驶汽车；

*ECU：Electronic Control Unit，电子控制单元；

*OTA：Over-the-Air Technology，空中下载技术；

*RAM：Random Access Memory，随机存取存储器；

*MCU：Microcontroller Unit，微控制单元。

操作系统的特性决定了其能力。例如，单任务操作系统一次只能运行一个程序，而多任务操作系统可以同时运行多个程序。单用户操作系统无法区分用户，但可允许多个程序同时运行；多用户操作系统允许多个用户同时与系统交互，扩展了多任务处理以运行来自多个用户的程序，需要跟踪每个用户正在使用的软硬件资源。

二、操作系统内核（OS kernel）

内核，是一个操作系统的核心，是基于硬件的第一层软件扩充，提供操作系统最基本的功能，也是操作系统工作的基础。内核负责管理系统的进程、内存、设备驱动程序、文件和网络系统，决定着系统的性能和稳定性，是连接应用程序和硬件的桥梁。目前主流的操作系统内核架构有两种：宏内核和微内核。

宏内核将所有系统调用和操作系统服务都整合在一起，优点为性能良好，而缺点在于耦合度高：一旦其中一个模块出现问题，其他所有模块都可能受到影响。Linux就是一种主流且经典的宏内核操作系统。

微内核的内核功能模块通常是尽可能少的，只提供操作系统最核心的功能。对比宏内核，微内核架构多了系统调用的过程，因此性能相对较差，但其耦合度相对较低，具备更好的伸缩性和扩展性，从而使系统更加稳定；其模块化的操作系统结构，更适合于大多数汽车的ECU系统，QNX实时操作系统就是其中的佼佼者。

三、虚拟机管理程序操作系统（Hypervisor OS）

虚拟机管理程序是用于管理多个操作系统及其应用的小型软件平台，也被称为虚拟机（VM，Virtual Machine）监视器，可运行各类VM软件。就汽车领域而言，如何将车载信息娱乐与功能安全（例如备用监视器的音响主机显示器）结合起来，是虚拟机管理程序至关重要的内容。

四、功能安全操作系统（Functional–safety OS）

在汽车的性能中，安全无疑是人们最关心的内容，许多ECU都需要具备功能安全认证的操作系统。ISO 26262定义了汽车安全完整性等级ASIL，通过对潜在危险进行风险分析，确定危害事件，并判断危害事件的严重性、暴露性和可控性，将安全等级由低到高划分为QM/A/B/C/D，其中ASIL D级最为严苛。

所有基于AUTOSAR（Automotive Open System Architecture，汽车开放系统架构）的操作系统，如Microsar操作系统、RTA操作系统和EB Tresos安全操作系统都具备功能安全等级认证。汽车ECU中常用的其他三款操作系统为：Integrity RTOS、VxWorks和QNX。

然而功能安全操作系统无法管理具有大型复杂软件代码的ECU，例如车载信息娱乐系统的复杂ECU、ADASECU和AVECU。唯一例外的是QNX操作系统，其在ADAS和AV域ECU方面具有明显优势。

车载信息娱乐系统ECU对操作系统的性能有着较高需求，使得性能相对较高的Linux在过去五年中备受青睐。但Linux有一个致命缺点：缺乏功能安全等级认证。当功能安全应用程序需要作为基于Linux的ECU系统的一部分时，虚拟机管理程序操作系统成为了Linux的解决方案。

2022年5月，Red Hat公司和通用汽车宣布，双方将联手合作，从边缘推进软件定义汽车的发展。两家公司希望围绕红帽车载操作系统扩展创新的生态系统，该操作系统将为通用汽车Ultifi（将于2023年推出）软件平台的持续演进提供经过功能安全等级认证的Linux操作系统基础。同时，其他Linux供应商（比如谷歌）也将尝试获得功能安全等级认证。

五、操作系统生态系统支持

操作系统成功的关键在于是否拥有庞大的生态系统支持——支持运行的软件越多，操作系统就越成功。具备在世界领先的微处理器平台和特定的MCU上运行的能力也同样重要，如汽车ECU主要基于ARM的微处理器。此外，一个成功的操作系统的软件开发环境也必须优良：车规级MCU上，几乎所有应用软件都必须通过操作系统运行。

六、操作系统成本因素

操作系统通常是由汽车OEM（Original Equipment Manufacturer，原始设备制造商，一般指整车厂）直接采购而非自行开发，影响其成本的构成因素主要为：

1、操作系统的许可成本，包括操作系统内核、中间件和库软件（如数学、浮点、图形等）。Linux内核操作系统是一个开源的免费软件平台，但在大多数情况下，Linux中间件、一些库和商业发行版需要付费。

2、操作系统的大小直接影响运行软件及其应用程序所需的硬件数量，总代码大小会影响所需的最大永久存储容量。磁盘时代大多数硬盘驱动器都足够大，但在通过NAND芯片或eMMC（Embedded Multi Media Card，嵌入式多媒体存储卡）模块进行非易失性存储的今天，操作系统变大通常会增加额外的成本。

3、操作系统的占用空间是运行该操作系统及其应用程序所需的内存总量，因此操作系统运行时占用空间的大小也会影响系统的内存成本。

4、操作系统可能会影响MCU的硬件成本。大型操作系统需要MCU具备更高的性能和更丰富的硬件资源，同样会造成硬件成本的增加。

七、ECU软件开发

ECU软件开发对汽车行业是至关重要的，其软件复杂性和与之对应的工作量也在不断增长。传统的ECU软件开发通常通过多个供应商提供的软件开发工具包（Software Development Kit，SDK）完成。

如今，SDK已被集成开发环境（Integrated Development Environment，IDE）所取代。集成开发环境一般包括代码编辑器、编译器、调试器和图形用户界面等工具，汇集了代码编写功能、分析功能、编译功能、调试功能等一体化功能的开发软件服务套，已扩展至基于Web的IDE系统。

当下，Eclipse IDE已成为汽车及其他众多行业最受欢迎的软件开发系统。Eclipse是一个开放源代码、基于Java的可扩展开发平台，于2001年11月由IBM公司贡献给开源社区，现由非营利软件供应商联盟Eclipse基金会管理。

除此之外，以Web为中心的软件开发也正在迅速发展，Amazon AWS（Amazon Web Services，亚马逊云平台）尤其活跃。AWS正在建立合作伙伴关系以满足包含SaaS（SoftwareasaService，软件即服务）功能的软件开发需求。Microsoft Azure（微软基于云计算的操作系统）和其他操作系统也正在经历类似的成长过程。

提供专注于功能安全应用程序的操作系统也是一种趋势，Apex.AI（自动驾驶操作系统开发商）就是一个典型例子。

八、新兴的ECU需求

车载操作系统还需要满足新兴技术ECU的需求。

1、所有操作系统都应将安全作为核心功能，支持尽可能多的硬件、软件和基于云的网络安全。

2、操作系统应增强系统服务，以满足OTA软件在嵌入式软件和云功能方面能力增强的需求。

3、应拓展新功能，满足车联网功能拓展所需的ECU数据提取需求。

九、操作系统战略前景

随着ECU复杂性的增加，操作系统的复杂性也随之增加，整车厂需要多个操作系统来覆盖广泛的ECU应用场景。

对于简单的ECU而言，整车厂一般更喜欢基于AUTOSAR的操作系统，但其无法适应车载信息娱乐等高端ECU的复杂性。高端ECU主要使用QNX或Linux作为操作系统，Linux是最受欢迎的车载信息娱乐操作系统，但在考虑功能安全时，ADAS和AVECU领域明显更偏爱QNX。

据媒体报道称，包括大众和梅赛德斯·奔驰在内的几家整车厂正在讨论自主研发汽车操作系统，然而汽车操作系统的开发是一项艰巨的任务。操作系统的研发人员成本较高，而其生命周期可能长达30至40年，并且要保持定期更新和相对持续的技术改进。截至2022年，Linux已经发展了大约30年，QNX发展了近40年。

整体来看，针对此类生命周期较长的操作系统，最好的发展策略就是从最棘手的网络安全角度入手。对于低复杂性的ECU，Green Hills拥有最高的安全性和安全性认证，包括FAA（FederalAviationAdministration，美国联邦航空管理局）飞机使用认证；对于高端ECU，QNX拥有比Linux更高的安全性认证，并且很可能继续保持这一排名——即使一些Linux发行版已经获得了ISO 26262认证。QNX的微内核架构使操作系统更加安全；QNX可能会首先开发自动驾驶汽车的新标准——ISO 21448（预期功能安全），提供UL 4600（自动驾驶产品安全评估标准）和IEEE P2851（芯片的安全验证数据格式）等相关的功能。

参考文献

https://www.embedded.com/trends-in-automotive-operating-systems/

https://zhuanlan.zhihu.com/p/394560786

原文链接

https://mp.weixin.qq.com/s/pyfU9nbep9af2ShBDZV9mQ