2022汽車半導(dǎo)體生態(tài)峰會演講實錄|零念科技周亮：智能汽車操作系統(tǒng)的演變---安全與靈活性的博弈

以“智鏈未來 本立而道生”為主題的“2022張江汽車半導(dǎo)體生態(tài)峰會暨全球汽車電子博覽會”由《中國汽車報》社主辦，張江高科、愛集微、浦東新區(qū)投資促進二中心承辦，11月7日-8日在上海張江科學(xué)會堂隆重舉行。

本屆峰會邀請了以半導(dǎo)體為核心的全球智能網(wǎng)聯(lián)汽車生態(tài)鏈企業(yè)高管、知名分析師與投資機構(gòu)、中外行業(yè)大咖參加，瞄準(zhǔn)新智能汽車與能源汽車技術(shù)前沿，就科創(chuàng)+產(chǎn)業(yè)+金融進行深度交流，為汽車半導(dǎo)體產(chǎn)業(yè)發(fā)展貢獻智慧和力量。同時，通過趨勢分享、前沿技術(shù)碰撞、投資邏輯解讀以及全球汽車電子博覽會，共同探討全球巨變下的汽車半導(dǎo)體產(chǎn)業(yè)鏈發(fā)展，為業(yè)界充分展示汽車電子最新發(fā)展成果與趨勢，打造國際化一流汽車半導(dǎo)體領(lǐng)域展示平臺。

其中，在11月7日舉辦的“軟件定義汽車專場”，上海零念科技有限公司COO 周亮做了題為《智能汽車操作系統(tǒng)的演變---安全與靈活性的博弈》的精彩演講，以下內(nèi)容為現(xiàn)場演講實錄：

周亮：大家下午好，我來自上海零念科技，我們公司和剛剛幾位相比，還是一個很年輕的公司，零念科技成立于2021年的8月，也就是說我們到現(xiàn)在大概運營了一年的時間。

上海零念科技有限公司 COO 周亮

我們今天講這個話題就是智能汽車操作系統(tǒng)的演變，安全與靈活性的博弈。

我們看一個比較有趣的東西，在未來十年，我們汽車領(lǐng)域要什么樣的操作系統(tǒng)？提到操作系統(tǒng)，我們最早可以想象到的是什么？像我們80后這一代，就是在90年代，最早可以摸到的DOS，后來到WIN，再到個人PC領(lǐng)域。

在大型的操作系統(tǒng)領(lǐng)域，早先是Unix以及Linux，還有專用的操作系統(tǒng)，比如安卓。安卓是手機領(lǐng)域的絕對的霸主，安卓又過渡到了鴻蒙，這些都是在娛樂領(lǐng)域，可以和大家有交互的操作系統(tǒng)。

我們說一些大家看不見的，像FreeRTOS，包括RTT，Qimux這些專用的嵌入式的操作系統(tǒng)。操作系統(tǒng)本身是用來干什么的？操作系統(tǒng)解決的就是底層的硬件，我們要把這些硬件組織在一起，為上層的應(yīng)用提供直接的接口。

如果說一些早期特別簡單的東西，我們隨便舉一個例子，像早期的我們在低端的MCU上，可能只需要一個很小的核就可以工作了。我們現(xiàn)在為什么講未來？我們是做自動駕駛的，我關(guān)心中央域控。中央域控的基礎(chǔ)上也有一個操作系統(tǒng)，因為我們底層硬件的復(fù)雜性導(dǎo)致了和上層的外部接口的復(fù)雜性。未來是一個很復(fù)雜的事情，以前人家提操作系統(tǒng)就是簡單的OS，我們現(xiàn)在提操作系統(tǒng)則是一個大的操作系統(tǒng)的概念，有人把很多的東西都放進來。簡言之，我們想到一個詞，也就是中間鍵，它的本質(zhì)就是應(yīng)用的一種，但是這個中間鍵是有操作系統(tǒng)功能屬性的應(yīng)用，會解決一些問題。究竟會解決什么問題呢？我們看一下。

現(xiàn)在的操作系統(tǒng)的復(fù)雜性可能需要什么？可擴展，但不能單純的只用于某一個垂直的應(yīng)用，那橫向的擴展性就會變得很復(fù)雜。舉一個例子，我們現(xiàn)在還是屬于每一個域控都是獨自工作的領(lǐng)域，像智能座艙，這個屏一拖三，一拖四很牛，現(xiàn)在就是價值一體。大家提數(shù)字底盤，裝域控，因為算力夠了。這個對擴展性的要求是非常高的?，F(xiàn)在明確的提出來了SOC，再強大一點就不需要MCU了，而誰都希望這一天的到來，我們供應(yīng)鏈的同事不要怕缺芯的問題了。

還有開放，OS的開放的生態(tài)決定OS可以走向多元，我們看一下開放的生態(tài)，像手機領(lǐng)域，我們拿蘋果的IOS和安卓比較，安卓就是開放的生態(tài)。蘋果的IOS，就是封閉的生態(tài)。兩者之間誰用的更多，大家更傾向于開放的生態(tài)。

如果從目前車的操作系統(tǒng)來看，我們看到什么？最早就是中控的Unix，后來是Kinux帶來了儀表，到現(xiàn)在，我們做自動駕駛的域控，整車的域控，Qinux作為好操作系統(tǒng)一直到SOC這邊。MCU這一塊，傳統(tǒng)的系統(tǒng)也是在用，還有RTOS做簡單的替代的一些東西。

我們再往后看，Unix也是有很多人用，有人覺得我為什么要給版稅呢？不是說Kinux不好，但很多人希望我們用Unix也可以工作。

還有高安全性，這兩個詞其實是矛盾的。我們用一個樸素的觀點來看，什么是開放？我們舉一個例子，我們看計算機的概念，我們提開放就是提開源，開源的東西，不可追溯，你不可能過ISO26262的認證，因為沒有前后的一致性，那么這個事情有一點復(fù)雜了。不開放吧，參與的人少，開放的話，安全過不了。

SOA，現(xiàn)在言必提SOA，但好多人是不是連SOA和SOC都沒有搞清楚？經(jīng)常開玩笑一句話，這個是面向什么的？面向服務(wù)的架構(gòu)，不是應(yīng)用。操作系統(tǒng)如果做到這些特點，是一個很難的事情。我們再往下看，我們剛剛講過演變，這個特別的簡單，最早的操作系統(tǒng)就是處理一個燈，一個門。后來我們在原有的操作系統(tǒng)基礎(chǔ)上引入CP的概念，把一些中間鍵標(biāo)準(zhǔn)的東西用于高性能的MCU，像397，XP這些，包括國內(nèi)芯馳做的一些，再后來就是下一輪的迭代。

接下來就是AP，AP里面引入的概念就更多了，最主要的就是SOA的架構(gòu)，又進入了很多各種各樣的像診斷等等這些東西，這一系列的東西，就是我們現(xiàn)在構(gòu)成的整體。現(xiàn)在國內(nèi)的CP市場，是極度爆發(fā)且很紅火的市場，某國內(nèi)的廠商與前年相比收入翻了20倍，今年和去年相比至少翻5到10倍，幾乎所有人都要提這些，這個就是零念科技去年做了短短一年的東西，大家很看好。當(dāng)前市場大家都很看好，也帶來了大家對AP的遐想，現(xiàn)在AP還沒有爆發(fā)，大家的遐想就碰到了中央域控，這個迭代就是我們操作系統(tǒng)的演變。

我一直沒有講這個是什么操作系統(tǒng)，因為我們是雙操作系統(tǒng)，MCU一個，SOC一個，再到未來呢？又會變成了一個，因為大家會認為可以用AI的計算替代傳統(tǒng)的MCU學(xué)習(xí)的東西，可以把MCU完全替代掉。我們有一個東西就是R核，也就是安全島，也就是當(dāng)你的計算失靈的時候，可以保證踩下去的剎車是被執(zhí)行的。SOC方面大家花了很多的錢，R核不會花很多錢？為什么？500萬人民幣可以買一個成熟的IP，現(xiàn)在有多少人敢在SOC用SOC的R核替代傳統(tǒng)的MCU？這個技術(shù)我們單純的看是很簡單的東西，工作原理又一模一樣，為什么不能替代？我不知道。只是就軟件廠商而言，我們發(fā)現(xiàn)這個過程其實是很難的，我總認為當(dāng)我們在談一個很超前的東西的時候，我們會看到25年后要實現(xiàn)什么，30年后實現(xiàn)什么，這個時間的節(jié)點有沒有那么快？沒有關(guān)系，因為這就是安全的代價。

這是一個架構(gòu)，因為這個架構(gòu)如果不講清楚大家可能沒有辦法去聽我后面講的東西。這個架構(gòu)不復(fù)雜，我們理解為一個傳統(tǒng)的操作系統(tǒng)PC的概念。傳統(tǒng)的操作系統(tǒng)里面，大家會見到底層有什么？芯片和外設(shè)，域控，硬件，各種傳感器，往上是操作系統(tǒng)。

中間鍵，實現(xiàn)上下的分離，中間鍵的作用就是做上下的分離。上面就是應(yīng)用層，我們做的就是中間鍵這一層。在操作系統(tǒng)公司，中間鍵就是做操作系統(tǒng)服務(wù)，我們也做整個大操作系統(tǒng)概念。零念科技作為一個只有百人的小公司，目前專注于做的汽車的中間鍵這一塊的東西，我們一會可以看一下具體有什么。

安全性，仍然是目前OS最大的挑戰(zhàn)?，F(xiàn)在各種各樣的事故的頻發(fā)，所以目前為止還沒有人敢把自己的方向盤完全交給車的自動駕駛的系統(tǒng)。為什么大家一直在講安全的問題？我和大家講一個安全盲目的事情。前幾年，你們發(fā)現(xiàn)不管是哪家車企的車撞人了，我們會發(fā)現(xiàn)新聞鋪天蓋地寫某某家的自動駕駛撞人了。前幾天，某某家的車撞人了，只有在某幾個專業(yè)的群里面有人發(fā)了幾個圖片說撞人，新聞也沒有了，為什么？已經(jīng)習(xí)慣了，自動駕駛也會犯錯。為什么會犯錯？人犯錯，我們認為這個是倫理允許事情，自動駕駛犯錯我們認為這個是在殺人，因為機器是不能主動判定人的生死。這個里面會誕生一些東西，這一頁的話就是一個法規(guī)的東西，我們今年可以看到有幾個法規(guī)，一個就是深圳法規(guī)，一個是上海法規(guī)。深圳法規(guī)是7月發(fā)布的，上海法規(guī)是8月發(fā)布的。這些法規(guī)里面的內(nèi)容令自動駕駛?cè)Φ娜撕芘d奮，那就是L3到來，規(guī)定明確了一些實務(wù)的點，把之前復(fù)雜的東西簡單化了。第一個就是當(dāng)車上有人的時候，責(zé)任是誰的？當(dāng)駕駛座沒有坐人的時候，責(zé)任是車的運營主體，這個切出來以后，最好一點是什么？沒有說當(dāng)車出了車禍以后我們看一下日志，是不是哪家底層軟件出BUG，不是這樣的。像我們這個小公司，如果我們開始做了，馬上就可以上車量產(chǎn)了，沒有人敢說這樣的話。這個是一個進步，也只是一個簡單的進步。

如果這個能落地，意味著什么？場景具備了。場景具備了意味著什么？生態(tài)鏈開始繁榮了，也就意味著所有人都有飯吃了。

我們往下看，國內(nèi)的起步比較晚，缺乏對系統(tǒng)軟件的安全性的認證、認知。我們經(jīng)常可以看到一個詞就是ISO26262的SOB的認證，大家看一下地平線和黑芝麻這國內(nèi)最大的兩個SOC的巨頭，他們的PR里面會提到ISO26262 SOB的認證，請各位看一下國內(nèi)的眾多的軟件公司有誰拿到這個認證的嗎？有嗎？軟件也需要通過的，我們公司目前在過，過了認證，成本一下子就上來了。我們都希望快速迭代，如果想要通過26262，就要做微模型，每一個地方都要配人，文檔要寫，可追溯才可以，可追溯的過程就是很費時費力。

新的AI技術(shù)和SOA的引入，也帶來了一些靈活性降低的問題，為什么會這樣？這個對我們這樣的底層軟件的公司來講談這個東西沒有意義，我們也不做這個。我們設(shè)想一下，所有的東西，如果都交給AI控制，安全性和功能性怎么樣？這個是一個簡單的邏輯的話題，我們不制造焦慮，因為這個事情總會解決。

我們看一個例子，這個是傳統(tǒng)的代碼架構(gòu)，我們可以看一下F22戰(zhàn)斗機的代碼行數(shù)200萬，我們車載軟件1億行。我們看一下接口的復(fù)雜度，隨著時間的推移，整個接口的復(fù)雜度是呈指數(shù)倍增長，包括開發(fā)的成本也是瘋狂的增長，這說明什么？我們現(xiàn)在已經(jīng)把一個東西做的越來越復(fù)雜了，為什么？因為我們對它的要求高了。以前你踩剎車，車就停了，其實就是一個線拉著剎車盤，這個里面是沒有電子的東西，這個是可控的。我們再舉一個例子，最簡單的例子，某一個軟件重啟了，會帶來什么？帶來這個功能不能用，這個功能你覺得不能用，怎么辦？要有一個備份的機制來處理這個邏輯。軟件不能用，操作系統(tǒng)不能用呢？是不是要有備份的操作系統(tǒng)？操作系統(tǒng)再往上是硬件，硬件失效了，又要備份的硬件。成本為王啊，這個迭代起來，軟件其實還稍微好一點，為什么？軟件頂多就是多寫一點代碼，硬件這個成本就是翻倍增加，域控失效就是要備份的域控，這些都要去處理，邏輯要寫清楚，我們用的可以說是AI，但其實就是車上都是一些規(guī)則性的東西，車里面其實沒有強化學(xué)習(xí)的東西，都是規(guī)則性的制訂帶來的一些復(fù)制的東西。

我們再往下看，無序的搶占和系統(tǒng)思索。用電腦，用手機的人可以感受到這個東西，這個東西在中控就比較明顯了，中控黑屏，沒人會擔(dān)心，而且最近可能造成黑屏的事也越來越少了。然后呢？如果自動駕駛黑屏了，你們無從了解，因為沒有地方提示，也不會你的駕駛前面儀表盤談一個東西說自動駕駛失效了，大家可以發(fā)現(xiàn)撥一下不靈，但是還好，是輔助駕駛，不靈，我自己打一下。通常大家做的都是什么測試，前面有人了，我會不會要撞？這個就是一整個鏈條的問題，現(xiàn)在沒有把這些東西解決，無序的搶占這些東西，操作系統(tǒng)肯定存在這個問題，不可能沒有。

缺乏嚴格的實時性和可靠性的保障，舉一個例子，一輛車開過來，坐滿了人，人后面有什么？一堆的紅綠燈，還有工地，開始計算，但是還沒有算完，車都已經(jīng)開過去了，它還在算，還需要算嗎？不需要了，因為已經(jīng)沒有意義了。我們再看未知的極端案例，我們最怕是未知，確定性越高，我們會越安心。舉一個例子，我們剛剛講到法規(guī)里很多封閉的場景大家都可以做的很好，因為沒有未知的極端情況，在園區(qū)里面路線是固定，現(xiàn)在老講AVP？是確定性的場景，人不害怕，信息安全的保護，這個就是另外一個話題，這不是講我們個人隱私的信息安全，而是整車的信息安全。

這個就是我們畫的一個簡單的模型，從外部汽車傳感器收到一個信號，信號到MCU處理，交給SOC做任務(wù)處理，SOC處理完，MCU再處理，任何一步出錯，就會導(dǎo)致我剛剛說的那個問題。有可能失效，有可能搶占，可能實時性不保，這些問題怎么解決？我們推出第三代的OS通信，可以做確定性通行，做高安全的SOA通信。確定性執(zhí)行的意思，是我們把所有的情況提前的預(yù)知，我們用時間的確定性標(biāo)注，還有事件的確定性標(biāo)注，我們解決了當(dāng)它失效的時候，當(dāng)它處理問題的時候沒反應(yīng)的問題。

我們早先看一些航空航天的例子，這些是很常見，像飛機，就是實現(xiàn)了自動駕駛了。高安全呢？SOA的通信，這個是我們剛剛提的，我們把DDS和RTE結(jié)合，這一套和我們的傳統(tǒng)的RTE的通信結(jié)合，我們解決了什么問題？DDS解決SOA的問題，RTE解決高實時通信的問題。DDS這個東西，過功能安全認證的很少。但RTE可以過，這個時候保證域內(nèi)的通信是SLD，然后整個過SLB，這樣就可以保證功能實時化安全。

虛擬化的仿真支持，加上多核異構(gòu)，A核，R核這些東西。

以下是我們的產(chǎn)品，包括中間鍵和底軟，就是剛剛講到的用來做解耦、調(diào)度、通信等等這些東西。應(yīng)用層的服務(wù)，從通信過渡到調(diào)度，開發(fā)、量產(chǎn)，功能安全，我們用全流程的工具鏈。

為什么提工具鏈？因為這個很重要。我們把我們開發(fā)的符合SLD的軟件給你，如果不改寫代碼，通過工具鏈配置，配置出來的東西就可以認為是符合SLD的東西。有一些從互聯(lián)網(wǎng)轉(zhuǎn)過來的車廠不理解，傳統(tǒng)車企就能理解，我們和互聯(lián)網(wǎng)的車場說我們代碼可以給你，但是你一改，就又不符合SLD的標(biāo)準(zhǔn)。因為你改了，這個背后的邏輯變了，我們花了大量的錢過的這個東西就白做了。汽車行業(yè)要有汽車行業(yè)的規(guī)則，我們是做量產(chǎn)的。

這是整個SOA的靈活性，我們剛剛講到安全實時的需求，包括條度，任務(wù)超時間監(jiān)控，失效冗余，錯誤處理，包括中國目前像DDS AUTOS和異構(gòu)、國產(chǎn)的芯片有融合的概念，加上AP，像診斷、日志，狀況管理等等，這些模塊每一個都很大，我們需要完成一個又一個架構(gòu)。

又回到這個圖，這個就是我們零念科技的軟件的架構(gòu)圖，前面的就是把很多的東西簡單化了。我們目前支持的硬件都是通用的，MCU有英飛凌，SOC就比較多了，英偉達等等，這個是我們目前做的幾款。我們之所以寫這么多的目的，我們希望我們的中間鍵可以實現(xiàn)軟硬件的解耦，這個不是說真的解耦，有人替你把解耦的工作做掉了，你才可以實現(xiàn)解耦，否則不可能。如果僅僅是封閉的廠商，不需要解耦。但我們作為通用性的產(chǎn)品，需要解耦。

傳統(tǒng)有AUTOS加Qinux的架構(gòu)，我們現(xiàn)在做了AUTOS加Linux的方案，這個用封閉的產(chǎn)品，這兩個都是過了SLD的功能安全，這些可以用在一些封閉的場景，包括干線物流。

我們以前做封閉場景的時候，客戶和我們說，你們可以把誰誰替了，沒有想到你們沒有替，后來他們說沒有辦法買，因為你們的東西太貴。這一套是我們作為量產(chǎn)的，一旦是乘用車的量產(chǎn)，那就是和人命有關(guān)的東西，建議大家用標(biāo)準(zhǔn)的，高功能安全的東西，這樣相對比較好。

我們現(xiàn)在可以做到把傳統(tǒng)的三年方案縮短到六個月，并且早一年可以完成整個的開發(fā)和迭代。

我們公司目前就是總部在中國的上海，在杭州和蘇州也有分公司。此外，我們在德國有一個研發(fā)的團隊。

最后的話，我們希望能夠通過我們的能力，說賦能有一點大，我們和大家共創(chuàng)，完成整個生態(tài)的工作，激發(fā)我們上下游，我們有芯片的廠商，有算法的廠商，有主機廠和新勢力，有Tier 1，我們作為專業(yè)的軟件供應(yīng)商，這些都是我們的客戶，也是我們的合作伙伴。

謝謝大家！

（注：以上速記內(nèi)容未經(jīng)本人確認）