车用操作系统技术现状及发展趋势

汪志鸿 马天泽 陈炳全

一、车用操作系统架构概述

车用操作系统与芯片、传感器等物理硬件共同组成车载基础软硬件平台，是实现智能驾驶、智能座舱、安全车控功能的基础。按上述功能划分，车载基础软件平台可以分为智能驾驶、智能座舱、安全车控等三个软件平台，分别由智能驾驶操作系统、智能座舱操作系统、安全车控操作系统以及相应的配套工具链组成。

智能驾驶和智能座舱操作系统按架构自下而上均可分为系统软件和功能软件。其中，系统软件可以分为硬件抽象层、内核和中间件；功能软件可以分为AI和视觉模块、传感器模块、联网模块、云控模块、自动驾驶通用框架模块等。安全车控操作系统是指面向传统车辆控制，基于OSEK OS（汽车电子开放式系统及接口）和AUTOSAR CP（传统汽车开放架构平台）构建，实现车身、动力、底盘系统等控制功能。车用操作系统架构如图1所示。

图1 车用操作系统架构

车用操作系统中的系统软件不仅为上层应用以及功能的实现提供了高效、稳定的环境支持，也是各类应用调度底层硬件资源的“桥梁”，在智能汽车整体软件架构中处于基石位置。本文将重点介绍系统软件。

二、系统软件技术发展现状

系统软件是针对汽车场景定制的复杂大规模嵌入式系统运行环境，主要包含硬件抽象层、内核、中间件三层。

(一）硬件抽象层

1.概念

硬件抽象层是内核与硬件之间的接口层，目的是为操作系统提供虚拟硬件平台，使操作系统与硬件解耦，实现多硬件平台间的移植。虚拟硬件平台由虚拟机（简称VM）和虚拟机监视器（简称Hypervisor）构成，操作系统在VM上运行，并通过Hypervisor进行调度。

虚拟机是指通过软件模拟完整的硬件系统功能，实现操作系统运行在一个完全隔离环境中。在物理硬件中能够完成的工作都能够在虚拟机中实现。

Hypervisor是指一种运行在物理硬件和虚拟机之间的中间层软件，可以允许多个虚拟机和应用共享一套基础物理硬件，用于协调访问物理设备和虚拟机，所以又称为虚拟机监视器。Hypervisor主要有两种，Type 1（裸机类型）和Type 2（寄居类型），Type 1类型的Hypervisor直接运行在物理硬件之上，可直接访问物理硬件并管理所有硬件资源，在延时、安全性和效率上更胜一筹，但此类型Hypervisor需要硬件支持，移植难度大，开发成本也较高；Type 2类型的Hypervisor运行在某个操作系统之上，通过操作系统访问物理硬件，因此在延时方面具有不可避免的劣势，并且底层操作系统的任何问题都将危及其上的虚拟机，因此安全性方面相对较弱，但是移植难度小，开发成本低。Type 1和Type 2架构如图2所示。

2.典型虚拟监视器

Hypervisor目前主要应用于智能座舱操作系统，未来将逐步向智能驾驶操作系统扩展。在智能座舱操作系统中，娱乐和智能交互等模块与仪表显示等模块对实时性、安全性、稳定性要求不同，需要在一颗SOC芯片上运行两种或多种操作系统。因此，目前主流Hypervisor方案选择Type 1型，保障操作系统之间互不干扰，提升操作系统安全性。典型虚拟监视器包括QNX Hypervisor、ACRN Hypervisor、Mentor Hypervisor等，均为基于Type 1型的虚拟管理程序。各类Hypervisor对比如表1所示。

3.国内外虚拟监视器市场格局

近几年涌入车载Hypervisor领域的企业非常多，以国外企业为主，主要产品包括加拿大黑莓公司的QNX Hypervisor、英国XenSource公司的Xen Hypervisor、日本松下旗下子公司的OpenSynergy、Linux基金会的ACRN Hypervisor、美国Mentor Graphics公司Mentor Hypervisor等。其中，QNX Hypervisor是目前唯一应用到量产车型且功能安全等级达到ISO 26262 ASIL-D级的虚拟抽象层产品，并支持高通、恩智浦、德州仪器等厂商的芯片。同时，黑莓与博世等多家Tier 1（一级汽车供应商）厂商建立了合作伙伴关系，推广其Hypervisor产品。此外，高通在Snapdragon Ride自动驾驶软件堆栈中也选择了QNX Hypervisor 2.0版本产品。

国内Hypervisor发展相对落后，2017年中科创达、诚迈科技入选黑莓VAI计划，作为合作伙伴可以使用黑莓的嵌入式技术，开发集成服务、安全关键型解决方案。阿里斑马智行在自研虚拟机监控技术AliOS Hypervisor。中兴通讯自研Hypervisor产品，并已实现量产装车应用。

(二）车用操作系统内核

内核是操作系统的核心部分，提供内存管理、文件管理、CPU调度管理、输入输出管理等功能，管理系统的各种资源。内核可以按照内核结构、实时性以及对内核改造程度三个维度进行分类，按照内核结构划分，分为微内核和宏内核；按照实时性划分，分为实时操作系统和分时操作系统；按照对内核改造程度划分，分为基础型、定制型和ROM型。

1.概念

(1）微内核与宏内核

微内核的内核服务和用户服务在不同的地址空间中实现，应用程序和硬件的通信通过内核进程和内存管理实现。微内核具备较强的鲁棒性(系统在不确定性的扰动下，具有保持某种性能不变的能力)，可移植性强且易于扩展。由于用户服务独立于内核服务，任何用户服务的崩溃都不会影响到内核服务。此外，每次添加一个功能，只需要建立一个新的服务到用户空间当中，不需对内核空间作任何的修改。但缺点是用户服务和内核服务之间交互流程较长，执行速度相对较慢。目前，微内核架构多用于仪表显示、智能网关、监控其他操作系统等安全等级要求较高的领域。

宏内核中的内核服务和用户服务在同一地址空间中，执行速度比微内核快，缺点在于当内核中的某个服务崩溃时，会影响其他内核服务，进而导致内核崩溃。此外，添加新的功能意味着内核中的各个模块都需要做相应的修改，导致内核扩展性较弱。目前，在车用操作系统中，宏内核架构多用于智能驾驶、人车交互等算力要求较高的领域。微内核与宏内核特点如表2所示。

(2）实时操作系统与分时操作系统

实时操作系统是指外界事件或数据产生时，能及时接受并快速处理，在规定时间内完成对应的功能响应，并控制协调所有实时任务运行的操作系统。实时操作系统具有高实时性和高可靠性的特点，主要应用于汽车电控领域，实现车辆行驶过程中的车身控制，包括动力控制、刹车控制等。

分时操作系统是指同时为多个用户提供服务的操作系统，可以对每个用户快速响应，并提供交互能力。分时操作系统一般采用时间片轮转的方式，轮流为多个终端用户程序使用，具有多路性、独立性、及时性、交互性的特点。分时操作系统具有缩短系统平均响应时间、提高吞吐率、以及处理更多用户请求及服务的优点，主要应用于人车交互、信息娱乐、导航等领域，实现驾驶辅助、碰撞检测、自动泊车等功能。实时操作系统与分时操作系统特点如表3所示。

(3）基础型、定制型和ROM型

基础型仅包括系统内核、底层驱动等，赋予车用操作系统最基本的功能，负责管理系统的内存、进程、驱动和网络系统等，决定整个操作系统的稳定性和性能。

定制型操作系统是对基础操作系统进行深度定制化开发，如修改内核、硬件驱动、运行环境、应用程序框架等。一般由国内外头部车企或者互联网公司开发，内核改动成本高昂，技术水平要求高，需要有相当的研发实力。

ROM型操作系统是基于基础型操作系统进行有限定制化开发，不涉及系统内核修改，一般只修改更新操作系统自带的应用组件程序等。

2.典型系统内核

目前，主流基础型操作系统内核包括QNX、Linux、Vxworks等。但由于QNX代码封闭、Vxworks易用性和易扩展性较低，各软件开发企业大多选择开源Linux操作系统或微内核进行定制化开发的技术路线，实现智能驾驶或智能座舱的功能，如特斯拉基于Linux内核定制开发的Version操作系统、谷歌基于Linux内核定制开发并开放源代码的Android Automotive操作系统、华为基于微内核的鸿蒙操作系统。此外，由于ROM型操作系统开发难度较低，各整车企业往往选择该技术路线，如宝马BMW OS、小鹏Xmart OS、蔚来NIO OS。三类基础型操作系统内核对比如表4所示。

3.国内外系统内核市场格局

目前主流基础型操作系统均为国外企业或社区开发，国内虽然有华为、中兴、阿里斑马智行等自研微内核架构的基础型操作系统，但普及率不高。根据CSDN数据，QNX市场占有率最高，目前全球有超过230种车型使用QNX操作系统，覆盖全球主要汽车品牌。Linux市场占有率位居第二，2014年Linux基金会推出汽车级Linux，AGL（Automotive Grade Linux，开源车载系统），丰田、戴姆勒、福特、本田等知名车企均参与AGL项目开发。美国风河公司Vxworks主要应用于发动机控制领域，合作的品牌包括博世、宝马、福特、大众等。微软曾与许多整车企业合作，但随着微软在智能手机领域的节节败退，车载等细分市场的营收无法支撑起庞大的研发投入，因此WinCE已基本退出了车用领域。全球车载操作系统内核市场竞争格局如图3所示。

对于车企而言，自研操作系统内核成本高，更多是在现有内核的基础上开发。当前，无论是百度、特斯拉，还是一些自动驾驶初创公司和整车企业，所谓的自研操作系统，都是指在QNX、Linux等基础型内核之上进行开发，并自研中间件和应用软件。车企在选择操作系统内核时，主要考虑安全性、可靠性、开放性、可扩展性、易用性及成本等因素，再结合自身需求及能力体系来做权衡。例如，实时性、安全性好的实时操作系统QNX、RT Linux 等，车企会优先考虑运用到对实时性、功能安全要求更高的驾驶域。而对应用生态丰富度要求高的座舱域，车企可以在Linux、Android等开放性好的内核基础上打造座舱域操作系统。

目前较为成熟的操作系统为特斯拉Version操作系统和谷歌Android Automotive操作系统。其中，Version OS包含智能座舱、智能驾驶和安全车控三类操作系统，可以不再依赖于软件供应商，而是自己掌握堆栈开发，一旦发现问题即可通过OTA（空中下载技术）进行快速修正与升级，提升用户体验。而Android Automotive操作系统凭借着应用生态丰富、开源灵活、可移植性强的特点，有利于互联网厂商切入车用智能座舱操作系统领域，快速建立起车载软件生态。

国内企业中，华为鸿蒙、百度Apollo、阿里斑马智行AliOS等操作系统发展较为迅速，均已实现量产，其中鸿蒙操作系统在比亚迪汉、问界M5、北汽极狐阿尔法等车型应用。Apollo操作系统在奇瑞EXEED星途TX实现应用，并搭载在第五代L4级自动驾驶车型Apollo Moon上。AliOS在上汽智己L7实现量产。上汽、长安、东风、比亚迪等整车企业也相继开展了深度定制智能驾驶操作系统或智能座舱操作系统的自研工作。中兴通讯、中汽创智等在智能驾驶操作系统、智能座舱操作系统、安全车控操作系统均有布局，其中，中兴通讯推出基于自研微内核操作系统和Safety Linux的双内核智能驾驶操作系统解决方案，兼顾智能驾驶场景下功能安全要求和丰富生态支持要求；中汽创智自研基于微内核架构的实时操作系统。国内芯片企业地平线等基于自产芯片架构也开展了智能驾驶操作系统的自主研发。

(三）中间件

1.概念

中间件作为存在于操作系统和功能软件之间的一些中间层软件，将操作系统提供的接口重新封装，并添加一些实用功能，以给功能软件提供更好的服务。随着电子电气架构逐渐趋于集中化，汽车软件系统出现了多种操作系统并存的局面，这也导致系统的复杂性和开发成本的剧增。为了提高软件的管理性、移植性、裁剪性和质量，需要重新定义一套架构，统一与内外部开发环境交互的规则，解决分布式环境下的数据传输、数据访问、应用调度、系统构建和系统集成、流程管理等问题，建立分布式环境下支撑应用开发、运行和集成的平台，实现操作系统之间的互联互通。

2.典型中间件

目前，主流中间件是由全球汽车制造商、零部件供应商以及各种研究、服务机构共同参与制定的AUTOSAR汽车开放架构，拥有CP（Classic Platform）和AP（Adaptive Platform）两大平台。CP架构是针对传统车辆控制OSEK标准的嵌入式系统的解决方案，主要应用在算力要求较低的场景中，如引擎控制、制动等传统ECU（电子控制单元）。AP架构是由CP架构演化而来，时延在毫秒级，主要应用在算力要求更高的场景中，如高级辅助驾驶系统、自动驾驶，以及在动态部署方面追求较高自由度的信息娱乐场景。AUTOSAR作为一套标准，在实际应用中，Tier 1厂商会基于安全车控ECU模块中的MCU芯片，将OSEK OS作为AUTOSAR CP平台的底层组件，构建安全车控操作系统，实现车身、动力、底盘系统等控制功能。AUTOSAR CP与AP情况如表5所示。

随着智能驾驶技术的不断发展，ROS 2（机器人操作系统）作为能够支持Linux、Windows、Mac、RTOS等操作系统的实时系统，已逐渐应用于自动驾驶中间件中。AUTOSAR AP与ROS 2对比如表6所示。

表6 AUTOSAR AP和ROS 2对比

3.国内外中间件市场格局

目前中间件开发的参与者众多，多个标准并行。从竞争格局看，整车企业、传统Tier1厂商、平台供应商、汽车电子厂商及第三方软件供应商在中间件领域均有所布局。其中AUTOSAR是目前最常见和最常用的中间件方案，如果想完全实现AUTOSAR，需要购买德国维克多、易特驰和芬兰伊莱比特等Tier1的AUTOSAR工具链，其中易特驰产品可兼容 AUTOSAR与ROS 2架构。

国内有多家企业从事AUTOSAR中间件的开发，包括东软睿驰、经纬恒润、普华基础软件、华为、阿里斑马智行等。此外，百度Apollo、东风汽车等分别基于自研的生态进行开发。

三、车用操作系统发展趋势

从整车电子电气架构技术发展看，由博世公司提出的分阶段、分步骤从分布式向集中式发展的趋势已经形成，相应框架已经得到业界广泛认可。当前汽车电子电气架构正逐步迈入跨域集中式阶段，显著特点是“域融合、区集中”，即车端功能逐步向几个主要功能域融合，传感器执行器等逐步通过区域控制器做区域集中化接入。未来，随着电子电气架构向中央计算平台的进一步演进，硬件架构会越来越集中到一个或几个有限的、算力更加强大的计算单元上，智能驾驶、座舱、车身功能域将出现计算平台融合的发展趋势，因此基于Hypervisor的宏内核和微内核融合架构的复杂车用操作系统应用会越来越广泛。

在安全车控操作系统领域，由于功能安全等级要求较高，仍大量使用基于MCU的高实时性高确定性的操作系统（如OSEK/VDX OS），这些系统通常和AUTOSAR CP平台绑定在一起，因MCU硬件能力的限制，该内核系统技术本身发展空间非常有限。目前，基于微内核的RTOS实时系统已经有支持 ASIL-D级功能安全等级的产品出现，未来将会在安全车控领域起到越来越重要的作用。

在智能驾驶操作系统领域，能够满足高功能安全等级和高性能要求的微内核实时操作系统将被广泛应用。与此同时，为满足机器学习和视觉AI算法的操作系统层接口要求，基于宏内核的安全操作系统也将被逐渐引入，与RTOS一起构筑软件功能安全岛，在支撑AI算法丰富接口要求的同时，满足智能驾驶要求的功能安全等级。此外，宏内核系统将不断进行内核的裁剪优化，采用ISO 26262形式化或半形式化方法完成正向设计和验证，以满足高功能安全等级和高可靠性的智能驾驶场景要求。

在智能座舱操作系统领域，除了自身要实现复杂的人车交互和多媒体娱乐等服务外，还需要支持和外部功能域之间的大量交互（如车云一体服务需求），但大部分属于软实时系统，对功能安全等级要求相比安全车控和智能驾驶应用要低。从技术能力上看，宏内核系统和微内核系统都可以胜任此类应用，业界主要根据相应产品的应用服务框架支持能力和生态环境的成熟度进行选择。在中控和仪表分离的智能座舱解决方案当中，功能安全等级要求较高的虚拟仪表主要选择QNX系统，也有少数采用Linux宏内核的方案，而中控娱乐系统则选择Android较多。

课题组成员：汪志鸿 于德营 马天泽

陈炳全 李宗阳 李红燕