零念科技：下一代汽车操作系统应具备哪些特性？

2024年3月13日，在2024第五届软件定义汽车论坛暨AUTOSAR中国日上，上海零念科技有限公司创始人&CEO柯柱良谈到，下一代汽车操作系统应当具备以下特性：

首先，安全性，这是不可或缺的基石。其次，可拓展性至关重要。主机厂期望的平台不仅应局限于单一车型，而应能灵活适应多种车型，甚至跨国界应用，实现快速拓展。

其次，面向服务是未来发展的方向。我们将逐步从现有的面向信号机制转向全面的服务导向架构。虽然这可能需要数年时间，待真正实现高性能计算平台架构后，我们将能迈向完全的软件定义汽车预控架构，即SOA架构。

最后，开放性也是核心要素。这里的开放并非指将所有软件开源，而是在尊重各自商业模式的前提下，主机厂、供应商乃至用户应共同参与构建完整的操作系统。这种开放合作的精神将促进我们共同迈向更加先进的汽车软件时代。

柯柱良 | 上海零念科技有限公司创始人&CEO

以下为演讲内容整理：

EE架构和OS的演变之路

EE架构与操作系统的演进，已为大家所熟知。重点在于，软件如何伴随架构的变迁而不断演变和迭代。2000年前，汽车电子主要依赖嵌入式OS，仅处理简单信号，多用于MCU及嵌入式RM内核。然而，当时的应用层软件在不同芯片上的移植性极差，成为一大痛点。

随后，CP架构即Classic AUTOSAR概念应运而生，统一了API标准，并引入RTE中间件，实现软硬件及垂直层次的解耦。

如今，汽车系统正向第三代演进。由于自动驾驶、智能座舱等复杂功能需大量算力，A核和GPU芯片被引入。我们正处于半SOA架构时代，尽管自适应AUTOSAR概念已推出，但大部分系统仍依赖传统API，形成混合架构。

图源：演讲嘉宾素材

当前，我们面临两大困境：通讯带宽不足，以及芯片厂商提供的OS与中间件间的竞争。主流主机厂如博世USP、小鹏 SEPA、吉利EEA 2.0、沃尔沃SSP等，均处于此时代。

未来，我们期待基于HCP架构的第四代OS，实现应用层完全基于原子服务的编写。这将遵循3A原则，即任何人、任何操作在任何位置都能看到所需服务，标志着真正完整的SOA架构的实现。目前，吉利、NIO等前沿主机厂正致力于研究下一代电子电气架构及软件系统，迈向新阶段。

回溯软件发展的十年，智能化需求成为核心驱动力，引领我们实现智能座舱、自动驾驶等创新功能。从简单泊车警告到如今的AVP代客泊车，智能化日益满足用户增长的需求。

整车EE架构的“下半场”是安全性和降成本

未来十年至二十年，软件架构将聚焦于两大关键维度。首先是安全性，我们必须为用户打造更安全的系统，特别是在自动驾驶和辅助驾驶中，确保安全功能的实现，让用户真正信赖并享受智能化功能。

其次，成本优化亦至关重要。在竞争激烈的市场中，主机厂渴望在架构上实现成本节约。如何在整车架构上助力主机厂节省成本，同时为用户带来经济效益，是下一代软件架构需考虑的重点。

尽管第一代智能化域控技术如博世所提已有所应用，但智能化的实际需求并未达到预期。到2025年，真正能上路的L3+级别自动驾驶车辆预计不超过10%，L2功能市占率也仅在20%左右。

因此，我们应将更多精力聚焦于安全和成本两大需求。以安全为例，用户购车时首要考虑的是主动和被动安全。如某品牌宣传的车辆能在高速下安全驶过铁块，这种安全性正是用户所期望的。为实现这种安全，我们需要从方法论上着手，包括功能安全分析，确保在各种场景下都能实现最小损伤。

关于数据安全，即网络安全方面，近年来随着智能网联汽车智能化程度的提升，其潜在风险也备受关注。美国商务部长雷蒙多提及的中国能瞬间控制数百万车辆的理论，凸显了网络安全的重要性。如何确保这些强大功能不被误用，正是网络安全的核心议题。

至于失效安全，早期曾有项目激进地追求一步到位，但高昂的成本使得这种方案难以被市场接受。如今，我们更注重在软件和硬件异常时，如何为用户提供最低限度的安全保障。例如，在自动驾驶中，当传感器或芯片出现故障时，确保车辆能安全停靠在路边或沿高速平稳行驶。这需要我们应用软件备份和功能安全分析等方法，确保失效情况下的功能安全。

成本考虑同样重要。近年来，特斯拉在中国市场的价格大幅下降，而国内主机厂的利润率与之相比存在明显差距。面对国内外竞争和行业内卷，主机厂必须思考如何在架构上降低成本。

图源：演讲嘉宾素材

从架构角度看，我们可以从多方面着手降低成本。例如，整车以太网化是一个热门话题。以戴姆勒S为例，其线速成本占整车成本很大比重。新架构如大众和宝马正积极探索以太网化，以通过两条线连接整车架构，从而大幅节省CAN、LIN总线及接插件的成本。

此外，节点算力再平衡也是关键。当前，整车中MCU数量众多，其单位算力成本远高于SOC。考虑到MCU供应链的风险，应降低MCU算力要求，充分发挥SOC的算力，以节省芯片成本。

在回顾下一代OS的特性时，我们不难发现，除了强调安全性这一核心要素外，还有几大关键方面值得关注。

图源：演讲嘉宾素材

首先是可拓展性。主机厂期待的是一个能够跨车型、跨国家服务的平台，能够快速适应不同的需求，实现灵活拓展。

其次，面向服务架构是我们转型的重要方向。我们正逐步从传统的面向信号机制向完整的SOA架构迈进。未来，当HCP架构得以实现，我们将拥有一个软件定义汽车的完整域控架构，实现更加智能化、服务化的汽车生态。

此外，开放性也是不可或缺的一环。我们所说的开放，并非简单的软件开源，而是指在软件开发过程中，主机厂、供应商乃至用户应共同参与，共同构建完善的OS系统，实现更广泛的合作与创新。

在安全性方面，我们已经在通讯和调度等关键领域进行了深入布局。如何确保MCU和SOC之间复杂任务的精准调度，是SOA架构中的重中之重。同时，我们也在加强全局与安全相关的OS服务，为嵌入式系统、芯片驱动以及时间同步等提供坚实支撑。

确定性调度

调度和通讯的概念或许并不新鲜，但其在生活中的重要性却不容忽视。以交通系统为例，地铁的精准可靠与公路系统的无序堵塞形成鲜明对比。同样，在汽车软件系统中，我们也追求每一步的精准执行，确保如AEB等紧急功能能够稳定可靠地发挥作用。通过精确分解每一个步骤，从信号输入到任务处理，我们确保计算链条的顺畅与高效，为汽车的智能化与安全行驶提供有力保障。

图源：演讲嘉宾素材

调度主要分为三种类型：基于时间的调度确保任务按时执行；基于数据的调度则根据如激光雷达数据的到来进行处理；而基于事件的调度则确保感知、规划、控制等计算链条的连续性和一致性。

在当前的通信架构中，MED的架构是由多种网络交织而成的，其中不乏像CAN、LIN等复杂的总线系统。这些总线是否有可能在未来被统一整合到整车的以太网中呢？许多人对此仍持保留态度,认为CAN网络作为一种数据传输方式，其可靠性是无可替代的。那么，如何在追求统一化的同时，确保通信的安全性呢？

这就需要我们提及时间的传输这一概念。对于学习过通信的朋友来说，它并不陌生。本质上，它类似于TDMA，即时分复用的概念。我们将其应用于车载通信，通过精准的时间片复用，实现了各种信号的混合编排与高效传输。在TDMA的早期应用中，人声信号以4.1千赫兹作为一个时间片进行传输。而现在，我们将其应用于车载以太网，确保车辆数据的可靠传输。

在实验室中对此通信产品进行实测,实验数据集中在一个非常稳定且狭窄的范围内，这充分证明了其确定性和可靠性。事实上，这种技术不仅应用于汽车领域，还在航空航天以及其他非民用行业中得到了广泛应用。

那么，这些产品究竟能为我们带来什么呢？首先，它们是实现高阶智能驾驶、确保行驶安全的关键所在。其次，通过技术的应用，我们能够在中央网关系统中实现更低的延时。再者，通过将这些应用放到SOC，我们能够提高负载能力，降低对MCU算力的依赖，从而节省成本。最后，实现整车以太网的普及，将极大地减少线束的使用，提升整车的制造效率。

在此，我想简单介绍一下我们的公司。零念科技成立于2021年，专注于智能驾驶平台软件，具有完全自主知识产权的底层和中间件软件技术，构建底层数据与应用平台之间高可靠性、高安全性、高实时性的互联互通，为智能汽车和智能驾驶提供完全自主可控的操作系统，高度可扩展的安全基础软件平台和定制化解决方案。

（以上内容来自上海零念科技有限公司创始人&CEO柯柱良于2024年3月13日在2024第五届软件定义汽车论坛暨AUTOSAR中国日发表的《构建高安全可靠的操作系统》主题演讲。）