首页 观点评论

黑莓QNX:构建汽车电子软件的安全基石

2023-10-26 19:19 来源: 盖世汽车 作者: 陈琳铃

摘要:汽车更像是一堆电脑组成的系统。其中,车规级操作系统不仅是软件驱动智能汽车的核心技术,也是域控制器功能安全的基石。

2023年9月21日,在2023第三届智能汽车域控制器与中央计算平台创新峰会上,黑莓QNX大中华区首席代表董渊文认为,汽车更像是一堆电脑组成的系统。其中,车规级操作系统不仅是软件驱动智能汽车的核心技术,也是域控制器功能安全的基石。针对每个三域控制器平台,黑莓QNX都提供以操作系统为核心的基础软件方案。目前,黑莓的基础软件已在空间隔离、时域隔离、消息通行机制、网络信息安全四个层面满足功能安全要求。

在未来域融合的趋势下,QNX仍将是底层软件的重要玩家。例如在最新的舱驾一体方案中,黑莓QNX将继续从基础软件角度提供支持。今年12月,黑莓将发布QNX SDP 8.0版本,董渊文表示该版本将带来质的飞跃,其编译器、调试器以及内核都将具有性能和质量的阶跃变化。 

董渊文|黑莓QNX大中华区首席代表

以下为演讲内容整理:

从硬件使能汽车到软件定义汽车

当前汽车电子的变化日新月异,已经实现了从硬件使能汽车到软件使能汽车,再到软件定义汽车的演进。随着汽车电子里标准化硬件和标准化软件的大规模使用,一台车的内部越来越像一堆电脑,而每台电脑从下往上依次有五大关键技术,分别是芯片、操作系统、中间件、算法应用、云数据。除芯片外,其他四大关键技术都是软件,一台车里的电脑关键技术80%以上都是由软件组成,因此称之为软件定义汽车。

汽车越来越像车轮上的电脑,其电子内部系统像是由一堆电脑组成的网络系统。而这个系统由五大域组成,下车身是底盘域和动力域,上车身是座舱域、智能驾驶域和高性能计算域,这三个域在过去八年的时间里经历了域内融合的过程。

图源:嘉宾演讲素材

融合首先从座舱开始,当前一颗芯片已经可以承载多个域。而自动辅助驾驶已经实现由一颗芯片承载过去需要由多颗芯片承载的功能。目前在座舱域控制器中,高通占据80%以上的份额。基于近两年“缺芯少核”的问题,国产芯片十分重视研发,芯驰、瑞芯微、紫光展锐等在国内的车型中慢慢崭露头角。

针对每个三域控制器平台,我们都提供以操作系统为核心的基础软件方案。尽管在设计上几乎所有的主机厂都是我们直接或间接的技术,但这仅仅是汽车电子当中十分微小的部分,因此还是以操作系统为核心的基础软件为主。

从融合座舱到自动驾驶的探索

回到域控制器融合的原点,即2016年,我们随着国内外的主机厂进入融合式座舱领域。我们在座舱领域的技术软件架构,不论是与哪种芯片合作,都是使用同一套技术软件。数字座舱领域有个组合是QQA,就像IT领域的一台一台电脑,在硬件以及基础软件、平台软件定好以后,上面可以装载各种应用程序。

目前在数字座舱领域,我们在国内的份额中基础软件占据99.9%。从2017年第一个一芯多屏的座舱项目迄今约有70多个主机厂平台项目。近段时间发布的吉越001以及后续会陆续发布的极氪、领跑等,都是基于高通8295平台和我们的一芯多屏重大项目进行研发。

另外,我们的自动辅助驾驶项目也十分丰富。比如当前的主流平台英伟达,其操作系统底层是以我们的操作系统为基础的计算软件,国内外基于英伟达的项目都很多。

今年在总部开会时,各地负责人表示,欧洲当前也是主机厂做得越来越厚,芯片公司做得越来越厚。可见汽车电子风控模式变化不仅是发生在中国,在全球都在发生改变。而我国已经不再仅仅是一个跟随者的角色,而是成为了领先者。

我们的CEO在国内拜访了众多主机厂后表示印象深刻。一是国内项目的开发周期相比国外短很多,二是国内新技术发展较快,如第一个8295项目就是首先出现在我们国家。正是以上特点促使许多国外主机厂纷纷来到中国与一些企业成立合资公司,进行学习。

另外,高通平台上8650都预先集成了我们安全等级的基础软件,定点项目众多。目前已经量产的有长城、毫末等,即将量产的如高通8650宝马等。我们车身控制器的项目也十分丰富,如与高合岚图等有着诸多项目。

从我们的域控制器基础软件来看,仍旧是以操作系统为核的基础软件为主。我们希望带着合作伙伴一起支持最终客户,而不是抢占客户的市场,因此我们始终聚焦在很小的操作系统和基础软件之中。

图源:嘉宾演讲素材

我们的每一个标准的产品都是以服务为主做出来的。2015年欧洲主机厂希望我们和高通合作做基础软件,于是我们便进行了合作。同年日本一个主机厂希望我们能和英特尔合作进行生产,我们也答应了其要求。直到2018年3月我们的虚拟化才正式发布,在这之前都主要是以服务为驱动进行生产。自从我们的虚拟化发布后,在细分领域几乎所有的一芯多屏都是我们的。

随着软件比重的增加、复杂度的增加,对车的功能安全、网络信息安全要求也在提升。开发一个项目有四个层级。第一层满足功能,解决有没有的问题;第二层满足性能,解决好不好的问题;第三层满足长期稳定性,安全性,最后是功能安全和网络信息安全。从外国人的角度来看,要满足这四个层级,这个项目才是完美的。

而国内一个项目的开发周期很短,开发人员没有足够的时间解决功能安全和网络信息安全问题,因此我们选择先量产再迭代——先把功能完成,之后通过OTA的方式对性能进行迭代。

这是国内项目和国外项目的显著区别。因此国内可能用一些开源的组件快速量产,满足功能。而国外项目特别是自动辅助驾驶项目和车身控制,基本上都是用实时操作系统,功能操作系统。

功能安全认证和舱驾一体控制器架构

国内已经有很多企业官宣通过了多项功能安全认证,但有些芯片公司官宣说整个芯片都过了SLD的认证,仔细看证书就会发现只是大芯片当中1%的小模块认证。我们则是把证书发在各个产品之中,标识哪些部门过了功能安全认证。

但即便是用我们整个功能安全包去开发也无法完全符合功能安全认证。因为功能安全的芯片只能保证编出来的东西带有部分功能安全的特性,不能保证大家用全局变量。功能安全的产品软件、硬件有一个很重要的几千上万页的文档,在开发之前需要认真阅读,也正是该文档使得国内主机厂在做功能安全项目时十分痛苦,导致在开发项目过程中容易放飞自我。

以下是我们在开发基础软件时所要满足的四个点,这四个点对国产操作系统、国产基础软件也是适用的。满足这四个点,从基础软件层面,整个系统就是符合功能安全的。

图源:嘉宾演讲素材

第一个是空间隔离,在芯片当中,有内存资源,外设资源EMC存储资源等各种资源,这些资源需要做一个隔离。

第二个是时域隔离,当两个进程要访问同一个资源时,不能让一个进程有机会独占这个资源,长期不能释放,因此要在时域的情况下做隔离。

最后是在通信的过程中要满足各种特性。这四点是在设计功能安全的系统当中所必须的。

我们有很多符合ISO21434汽车网络安全标准的特性,比如加密性、完整性、可用性、不可复制性、最小权限等等。我们的软件安全特性在有要求的领域用的非常多。

过去几年我们已经经历了域内融合的事实。比如座舱域,仪表、中控、抬头显示HUD、副驾屏等融合在一块芯片上。从2022年10月开始,开始出现跨域融合的趋势。国外已经有很多项目进行了定点,国内进度稍慢于国外。

我们目前与英伟达、AMD等多家国内外芯片公司进行合作,并制作了以下舱驾一体控制器的架构方案,针对不同芯片使用的都是同一套方案。这是我们的虚拟化整体方案,将在两年年进行量产,这将是全球最早量产的。

图源:嘉宾演讲素材

今年12月黑莓QNX将发布8.0版本。过去4年,我们重写了QNX内核,针对其中出现的一些问题都进行了优化。其中一个显著特点是可以随着核数的增长,实现性能线性增长,尤其是针对8核、16核以上的情况。目前很多核心客户已经拿到了我们的EA版本。该版本和高性能计算平台以及国内大算力的芯片都进行了深入合作。

另外一个重要特点在于采用了机制预先将几千个开源的组件放在T-box中,直接适配到系统上,完全是原代码方式提供的。这一特性从性能和开源适配角度极大地便利了用户。

(以上内容来自黑莓QNX大中华区首席代表董渊文于2023年9月21日-22日在2023第三届智能汽车域控制器与中央计算平台创新峰会发表的《车规级操作系统-汽车电子软件的基石》主题演讲。)

责任编辑:苏城

返回首页
相关新闻
返回顶部