新闻中心

黑莓QNX:车规级操作系统——域控制器功能安全的基石

时间: 2024-01-26 02:14:05 作者: 半岛官方登录入口

  汽车电子技术日新月异,从硬件使能的汽车到软件使能的汽车,再到“软件定义汽车”,均基于标准化硬件的大规模应用以及标准化软件的大规模应用。

  2023年12月19日,在长城汽车2023技术研讨会上,黑莓QNX大中华区首席代表董渊文坦言,现在的汽车更像是一堆电脑组成的网络系统。其中,车规级操作系统不仅是软件驱动智能汽车的核心技术,也是域控制器功能安全的基石。

  董渊文表示,满足以下四个点,基础软件层面的总系统就可以认为符合功能安全的:第一个是空间隔离,在芯片当中,有内存资源,外设资源,存储资源等各种资源,这些资源需要做一个隔离。第二个是时域隔离,当两个进程要访问同一个资源时,不能让一个进程有机会独占这个资源,长期不能释放,因此要在时域的情况下做隔离。第三个是消息双向的通信机制,要满足在通讯的时候消息是可监控,可预测的。最后是在通信的过程中要满足各种监控特性。

  黑莓QNX提供以操作系统为核心的基础软件,发展至今已有44年的历史,专注在汽车电子领域中对功能安全和网络信息安全有高要求的领域,广泛的应用在座舱,无人驾驶和高性能计算平台等。

  近年来,中国汽车电子领域发生了根本性变革。这种变革主要体现在从硬件使能的汽车,向软件使能汽车的转变,进而演变为“软件定义汽车”。而这些变化的产生,离不开标准化硬件和标准化软件的大规模应用。许多最初非汽车领域的芯片公司已洞察这一趋势,进入汽车电子领域进行研发创新,推动智能座舱和无人驾驶的发展。

  现在的汽车更像是“在车轮上的电脑”,每个“电脑”都拥有许多关键技术。从底层往上,这些技术包括硬件和芯片、操作系统、中间件、算法和应用、数据和云。

  这些关键技术的80%以上都是由软件构成,而操作系统在软件中处于核心地位。这个系统由五大域组成,下车身是底盘域和动力域,上车身是座舱域、智能驾驶域和高性能计算域,这三个域在过去八年的时间里经历了域内融合的过程。

  目前,汽车电子主流的架构是三域控制器架构,无论是座舱还是无人驾驶,几乎所有主机厂都遵循这一架构,而黑莓QNX正是运行于这三个关键领域之中。

  在座舱领域,我们注意到,传统的芯片供应商已逐渐被高通取代。在国内,黑莓QNX占据了99.9%的基础软件份额,其中80%以上的项目选择高通作为首选芯片供应商。座舱领域有一个有趣的组合——QQA,即Qualcomm、QNX和Android。而与之对应的则是芯片领域的Wintel组合——Windows和Intel。另外19%的市场占有率由国内芯片供应商占据。

  在无人驾驶领域,许多项目都采用了英伟达的Orin X以及高通的SnapdragonRide等平台,或与高性能的国产芯片合作。例如在吉利领克08的自动辅助驾驶控制器中,采用了黑莓QNX通过TUV莱茵ISO26262 ASIL D最高等级功能安全认证的系统,配合黑芝麻A1000双芯片,构建了自动驾驶平台。国产芯片在中国自动辅助驾驶座舱领域的影响力日益增强,占据了更多的市场占有率。在车身控制方面,与国内外知名芯片供应商保持合作。黑莓QNX为汽车电子的座舱,无人驾驶,高性能计算平台提供了一套完整的供暖安全方案,主要关注公共安全和网络信息安全。

  汽车电子的ECU架构最早起源于座舱领域,并逐步扩展至其他领域。2017年,许多主流芯片公司预测多屏方案将是未来的发展的新趋势。虽然起初有人质疑采用多屏方案的开销是否会比单独的仪表、中控和HR屏幕高出许多,但事实上,大多数主流主机厂已经采纳了这一方案。

  自2018年3月黑莓QNX发布以来,我们在国内已定点与超过70家主机厂合作,覆盖了多个平台项目。

  过去几年中,我们得知中国主机厂在采用新技术方面比国外更早。例如,全球首个基于英伟达Xavier和黑莓QNX量产的车型是小鹏P7,它在2020年5月就已实现量产。。今年,中国的一批8295重点项目也已开始量产。值得一提的是,我们和高通是紧密的合作伙伴,每个高通的芯片项目均有黑莓QNX的支持。至今,在中国我们已量产了多个基于高通8295的数字座舱平台项目,中国速度再次领先了全球。

  在自动辅助驾驶领域,是相同的,例如全球最早量产基于英伟达OrinX的自动辅助驾驶项目也是在中国,是上海某电动主机厂的自动辅助驾驶项目,开发周期已经缩短到了8个月。这个速度让国外同行感到惊讶。,这是对传统开发周期的彻底颠覆。

  此外,中国市场的迭代速度也比国外快得多。每个项目都在进行迭代和OTA更新,市场之间的竞争激烈。为了在这个环境中取得主导地位,我们应该适应并引领这种快速变化的节奏。

  黑莓QNX是一个服务驱动的IP公司,其发展是由大客户的需求和资金推动的。以虚拟化为例,尽管黑莓在座舱领域占据了90%的市场占有率,但其实这一个项目是由一家德国主机厂在2015年提出的。他们盼望咱们提供高价值的工程服务,并愿意支付费用。随后,我们与高通合作,完成了这一个项目。同样地,日本的一家主机厂也找到我们,希望与英特尔合作。这些项目都经过了多家大主机厂的检验,最终我们将这些服务整合成标准产品。

  随着汽车电子系统的复杂度增加和软件比重的提升,功能安全和数据安全慢慢的变重要。关于功能安全以及长期稳定性。与国外项目相比,国内许多项目的开发周期更短,采用的新技术更早,迭代速度更快。这导致国内项目主要在功能和性能上努力,而往往忽视了功能安全。以戴姆勒的自动辅助驾驶平台项目为例,这是英伟达全球首个定点项目,开发周期长达3年半到4年。他们有精力去关注每一个细节,从而确保功能安全。

  2021年,我曾在德国同事那里了解到,宝马的自动辅助驾驶平台从2019年开始开发,最初使用Linux开发了两年时间。2021年又回到使用黑莓QNX功能安全的系统。当时,我很奇怪为什么宝马在已经开发了两年的情况下,突然从Linux切换到了QNX系统。经过询问德国同事,我得知了原因。

  首先,宝马在进行基于Linux的自动辅助项目时,由于Linux作为一个宏内核的操作系统,需要对内核进行裁剪以满足功能安全要求。然而,无论他们怎么裁剪,都无法彻底清除干净,最后导致系统崩溃。

  其次,即使宝马是Linux的创始成员之一,他们愿意花钱对Linux进行公共安全相关认证。但考虑到如果他们为Linux做了认证,其他会员单位、甚至竞争对象都可以免费使用这个经过认证的系统,这显然不是宝马想要的结果。

  基于以上两点原因,宝马决定从Linux再次切换到QNX系统。目前,这一个项目已经量产。目前宝马的下一代自动辅助驾驶项目也正在开发中,基于高通的三代自动辅助驾驶平台8650平台。

  此外,我注意到一些合作伙伴发布的新闻稿和证书。出于职业敏感度,我喜欢仔细查看这些证书。我发现有些芯片公司声称通过了产品认证,但实际上只是AI芯片中的一小部分通过了相关认证。然而,在新闻稿中他们却声称整个芯片都通过了ASIL D相关认证。因此,对这些过认证的情况还要仔细甄别的。

  我印象深刻的是在2018年,一家主机厂与某家德国公司合作,采用了QNX的功能安全操作系统。当时我们向主机厂介绍时,强调QNX的安全版本的系统的API和QM版本API是完全一样的。主机厂的领导听后特别高兴,认为先用QM的版本开发,开发完成后可以直接用功能安全的版本替换到QM版本的库,那么总系统就能够达到ASIL D功能等级了。。然而,旁边的奥地利和德国有经验的人指出,开发一开始就要使用功能安全的版本,并且参考safety manual等文档开发。他们强调,这个理念可能与国内有些不同,因此就需要特别注意。

  以下是我们在开发基础软件时所要满足的四个点。对汽车电子领域的座舱、无人驾驶、高性能计算这三个领域而言,这些特点必不可少。满足这四个点,从基础软件层面,总系统就是符合功能安全的。

  第一个是空间隔离,在芯片当中,有内存资源,外设资源EMC存储资源等各种资源,这些资源需要做一个隔离。第二个是时域隔离,当两个进程要访问同一个资源时,不能让一个进程有机会独占这个资源,长期不能释放,因此要在时域的情况下做隔离。第三个是消息通行机制,要满足在通讯的时候消息是可监控,可预测的。最后是在通信的过程中要满足各种特性。

  在过去的几年中,我们见证了汽车电子五大域内每个域的融合。例如在无人驾驶项目中,高性能处理器的发展使得自动辅助驾驶功能得以集成在一个大芯片上。自去年10月起,随着英伟达发布Thor平台和高通发布Snapdraonride flex平台,汽车电子架构开始步入跨域融合的趋势。然而,我们之前过于乐观。尽管去年很多场合中,主机厂和供应商都表现出乐观态度,认为2023年将开启跨域融合项目,但实际上这一趋势并未如我们所预期的那样快速地发展。我个人觉得,这一趋势在大多数情况下要4到5年的时间才能真正实现。

  在架构实现之前,我们应该确保和芯片密切配合到位。国内有许多合作伙伴已经在行动,例如黑芝麻的武当系列C1200以及地平线系列。

  值得一提的是,QNX SDP 8.0近期已经发布。QNX并不经常发布新版本,最近一次发布是在4年前。这次的新版本带来了性能的质的飞跃,尤其是在舱驾一体和跨域融合的芯片方案中,性能随核数增长呈现线性增长。为实现这一突破,团队花了4年时间重写了QNX操作系统的内核。他们精心制作了一个名为Toybox的工具,其中适配了几千个开源的软件,使得用户都能够轻松地在课程系统上进行部署,很适合构建跨域一体化的平台。

  (以上内容来自黑莓QNX大中华区首席代表董渊文于2023年12月19日在长城汽车2023技术研讨会发表的《车规级操作系统——域控制器功能安全的基石》主题演讲。)

上一篇:智能汽车“软肋”:被忽视的电控安全

下一篇:新三板立异层公司智科股份新增软件著作权信息:“多水箱承压体系控制器软件”