操作系統(tǒng) （OS） 是管理基于計(jì)算機(jī)的系統(tǒng)的所有硬件和軟件所必需的，它是汽車行業(yè)的關(guān)鍵軟件平臺(tái)。本文重點(diǎn)介紹汽車操作系統(tǒng)策略的教程信息和一些觀點(diǎn)。

每個(gè)操作系統(tǒng)在功能、程序大小、復(fù)雜性、開發(fā)工作量和硬件要求以及終身維護(hù)、支持工作量和成本方面都有很大差異。一個(gè)操作系統(tǒng)的范圍可以從幾千行代碼的簡(jiǎn)單控制程序到Linux、macOS、iOS和Windows等主要操作系統(tǒng)的幾千萬(wàn)行代碼。Linux 內(nèi)核代碼大小因發(fā)行公司而異，GitHub 版本約有 2800 萬(wàn)行代碼。

Wikipedia 是有關(guān)操作系統(tǒng)歷史、技術(shù)和產(chǎn)品信息的重要來(lái)源。有關(guān)于操作系統(tǒng)技術(shù)的詳細(xì)數(shù)據(jù)，但大部分內(nèi)容都集中在傳統(tǒng)計(jì)算機(jī)系統(tǒng)上，從大型計(jì)算機(jī)和個(gè)人電腦到智能手機(jī)和平板電腦。有關(guān)于領(lǐng)先的汽車操作系統(tǒng)（如 Linux 和 QNX）的一般信息，但很少有關(guān)于汽車操作系統(tǒng)使用的上下文和信息。

操作系統(tǒng)概述

操作系統(tǒng)提供計(jì)算機(jī)硬件和應(yīng)用程序之間的接口。這通過(guò)遵循編程到操作系統(tǒng)中的規(guī)則和程序來(lái)限制應(yīng)用程序使用硬件。該操作系統(tǒng)還包括簡(jiǎn)化應(yīng)用程序開發(fā)和執(zhí)行的服務(wù)。這些服務(wù)包括管理應(yīng)用程序?qū)⑹褂玫乃杏布Y源——將程序加載到內(nèi)存中、與傳感器和執(zhí)行器通信、存儲(chǔ)結(jié)果以及許多其他功能。

還有許多其他軟件功能被認(rèn)為是操作系統(tǒng)的一部分，包括所謂的中間件、庫(kù)和其他系統(tǒng)軟件。

操作系統(tǒng)功能和生態(tài)系統(tǒng)對(duì)于開發(fā)軟件定義車輛所需的應(yīng)用程序和軟件平臺(tái)也很重要。換句話說(shuō)，最好的操作系統(tǒng)選擇需要一個(gè)龐大的生態(tài)系統(tǒng)和基礎(chǔ)設(shè)施來(lái)支持未來(lái)不斷增長(zhǎng)的軟件定義車輛。

下表總結(jié)了汽車操作系統(tǒng)的要求。

操作系統(tǒng)的許多特性決定了它的功能。單任務(wù)操作系統(tǒng)一次只能運(yùn)行一個(gè)程序，而多任務(wù)操作系統(tǒng)可以運(yùn)行多個(gè)程序。單用戶操作系統(tǒng)沒有區(qū)分用戶的功能，但可能允許多個(gè)程序同時(shí)運(yùn)行。

多用戶操作系統(tǒng)擴(kuò)展了多任務(wù)處理以運(yùn)行來(lái)自多個(gè)用戶的程序。這需要跟蹤每個(gè)用戶正在使用的硬件和軟件資源。該系統(tǒng)允許多個(gè)用戶同時(shí)與系統(tǒng)交互。

操作系統(tǒng)內(nèi)核

操作系統(tǒng)內(nèi)核包括管理硬件和軟件的所有關(guān)鍵功能。組織內(nèi)核有兩種主要方法：?jiǎn)纹瑑?nèi)核或微內(nèi)核操作系統(tǒng)。單片內(nèi)核架構(gòu)包括內(nèi)核空間中的所有核心操作系統(tǒng)功能——所有系統(tǒng)調(diào)用和操作系統(tǒng)服務(wù)都集中在一個(gè)地方。Linux 是領(lǐng)先的單片內(nèi)核操作系統(tǒng)。

微內(nèi)核操作系統(tǒng)具有幾乎最少數(shù)量的軟件，可以提供實(shí)現(xiàn)操作系統(tǒng)所需的機(jī)制。額外的操作系統(tǒng)服務(wù)被組織為分層服務(wù)，可以根據(jù)需要由微內(nèi)核激活。這意味著微內(nèi)核操作系統(tǒng)具有模塊化架構(gòu)。

優(yōu)點(diǎn)是微內(nèi)核具有較小的代碼空間，并且可以比單片內(nèi)核操作系統(tǒng)更安全。模塊化操作系統(tǒng)結(jié)構(gòu)更適合大多數(shù)汽車 ECU。QNX 是領(lǐng)先的微內(nèi)核操作系統(tǒng)。

管理程序操作系統(tǒng)

管理程序是一個(gè)小型軟件平臺(tái)，用于管理多個(gè)操作系統(tǒng)平臺(tái)及其應(yīng)用程序。它也可以稱為虛擬機(jī) （VM） 監(jiān)視器，它是運(yùn)行 VM 的軟件。

自 1960 年代以來(lái)，虛擬化一直用于計(jì)算機(jī)行業(yè)，是 IT 數(shù)據(jù)中心的一項(xiàng)關(guān)鍵技術(shù)。管理程序?qū)τ趯⑿畔蕵?lè)和功能安全功能（例如用于備用監(jiān)視器的主機(jī)顯示器）結(jié)合起來(lái)非常重要。

功能安全操作系統(tǒng)

許多 ECU 需要具有功能安全認(rèn)證的操作系統(tǒng)。這意味著具有各種汽車安全完整性等級(jí) （ASIL） 的 ISO 26262 認(rèn)證。該標(biāo)準(zhǔn)確定了四種 ASIL：ASIL A、B、C 和 D。ASIL D 具有最高的完整性要求。

所有基于 AUTOSAR 的操作系統(tǒng)——例如 Vector 的 Microsar 操作系統(tǒng)、ETAS 的 RTA-OS 和 Elektrobit 的 EB Tresos 安全操作系統(tǒng)——都具有功能安全等級(jí)。汽車 ECU 中常用的其他三種產(chǎn)品：Green Hills Integrity RTOS、Wind River VxWorks 和 BlackBerry QNX。您可以在本文中了解有關(guān)功能安全信息的更多信息。

功能安全操作系統(tǒng)無(wú)法管理具有大型復(fù)雜軟件代碼的 ECU，例如信息娛樂(lè)系統(tǒng)和新興領(lǐng)域的高級(jí)駕駛員輔助系統(tǒng) （ADAS） ECU 和自動(dòng)駕駛汽車 （AV） ECU。QNX 是個(gè)例外，它是信息娛樂(lè)領(lǐng)域的領(lǐng)導(dǎo)者，在 ADAS 和 AV 域 ECU 方面處于有利地位。

信息娛樂(lè)中對(duì)高性能操作系統(tǒng)的需求為 Linux 版本打開了大門，并使其成為過(guò)去五年中最受歡迎的信息娛樂(lè)操作系統(tǒng)。Linux 的一個(gè)缺點(diǎn)是缺乏功能安全認(rèn)證。當(dāng)需要功能安全應(yīng)用程序作為基于 Linux 的 ECU 的一部分時(shí)，管理程序操作系統(tǒng)一直是 Linux 的解決方案。

看起來(lái) Linux 在不久的將來(lái)至少會(huì)有一個(gè)功能安全版本。2022 年 5 月，通用汽車宣布將使用獲得功能安全認(rèn)證的紅帽 Linux 版本。通用汽車計(jì)劃在 2023 年推出產(chǎn)品。目前尚不清楚紅帽是否已經(jīng)獲得功能安全認(rèn)證，但其他 Linux 供應(yīng)商很可能會(huì)嘗試獲得功能安全認(rèn)證。谷歌的信息娛樂(lè)操作系統(tǒng)正在快速發(fā)展，看起來(lái)像是功能安全的候選者。

操作系統(tǒng)生態(tài)系統(tǒng)支持

操作系統(tǒng)成功的關(guān)鍵是龐大的支持生態(tài)系統(tǒng)。支持操作系統(tǒng)的軟件平臺(tái)越多，它就越成功。操作系統(tǒng)可以在領(lǐng)先的微處理器平臺(tái)和特定的 MCU 實(shí)現(xiàn)上運(yùn)行也很重要。但是，由于汽車 ECU 以基于 ARM 的微處理器為主，因此很容易滿足這一要求。

所有 MCU 應(yīng)用軟件都必須通過(guò)操作系統(tǒng)運(yùn)行，這意味著成功的操作系統(tǒng)應(yīng)該有良好的軟件開發(fā)支持。

操作系統(tǒng)成本因素

有許多因素決定了使用操作系統(tǒng)的成本。本討論假設(shè)操作系統(tǒng)是由汽車 OEM 購(gòu)買而不是開發(fā)的。

第一個(gè)因素是操作系統(tǒng)的許可成本，其中包括操作系統(tǒng)內(nèi)核、中間件和庫(kù)軟件，如數(shù)學(xué)、浮點(diǎn)、圖形等。Linux 內(nèi)核操作系統(tǒng)是一個(gè)開源代碼，是一個(gè)自由軟件平臺(tái)。在大多數(shù)情況下，Linux 中間件和一些庫(kù)需要支付許可費(fèi)。

操作系統(tǒng)的大小將影響使用其應(yīng)用程序運(yùn)行軟件所需的硬件數(shù)量。總代碼大小會(huì)影響所需的最大永久存儲(chǔ)大小。在磁盤時(shí)代，這并不是什么大問(wèn)題，因?yàn)榇蠖鄶?shù)硬盤驅(qū)動(dòng)器都足夠大。如今，永久存儲(chǔ)主要是 NAND 芯片或 eMMC 模塊，這通常會(huì)增加操作系統(tǒng)大小的額外成本。

操作系統(tǒng)占用空間是運(yùn)行操作系統(tǒng)及其應(yīng)用程序所需的 RAM 量。同樣，操作系統(tǒng)占用空間的大小會(huì)影響系統(tǒng)的內(nèi)存成本。

另一個(gè)因素是硬件成本，其中操作系統(tǒng)可能會(huì)影響 MCU 成本。大型操作系統(tǒng)可能會(huì)增加所需的 MCU 性能，這可能會(huì)增加硬件成本。

進(jìn)行此討論的原因是權(quán)衡所有潛在的操作系統(tǒng)成本因素。很容易假設(shè) Linux 操作系統(tǒng)的免費(fèi)操作系統(tǒng)內(nèi)核將提供足夠的成本節(jié)約，以超過(guò)大型操作系統(tǒng)可能產(chǎn)生的潛在額外成本。

ECU軟件開發(fā)

ECU 軟件開發(fā)對(duì)汽車行業(yè)至關(guān)重要，而且復(fù)雜性和工作量不斷增加。傳統(tǒng)的 ECU 軟件開發(fā)最初是通過(guò)來(lái)自多個(gè)供應(yīng)商的軟件開發(fā)套件 （SDK） 完成的。SDK 已被集成開發(fā)環(huán)境 （IDE） 所取代，這些環(huán)境具有更好的功能并已擴(kuò)展到基于 Web 的 IDE 系統(tǒng)。Eclipse IDE 已成為汽車和許多其他行業(yè)最流行的軟件開發(fā)系統(tǒng)。Eclipse 由 Eclipse 基金會(huì)管理，該基金會(huì)是 IBM 于 2001 年創(chuàng)立的非營(yíng)利性公司。

以 Web 為中心的軟件開發(fā)正在迅速發(fā)展，亞馬遜 AWS 尤其活躍。AWS 正在建立合作伙伴關(guān)系，以滿足對(duì)包含 SaaS 功能的更好軟件開發(fā)的需求。Microsoft Azure 和其他公司也在經(jīng)歷類似的增長(zhǎng)。

還有一種趨勢(shì)是提供專注于功能安全應(yīng)用的軟件開發(fā)系統(tǒng)。Apex.AI就是這種趨勢(shì)的一個(gè)典型例子。

新興的ECU需求

操作系統(tǒng)還需要整合對(duì)新興技術(shù)需求的支持。網(wǎng)絡(luò)安全最為重要，所有操作系統(tǒng)都將安全作為核心功能。額外的硬件、軟件和基于云的網(wǎng)絡(luò)安全正在成為軟件定義車輛的標(biāo)準(zhǔn)，并且需要盡可能多的支持，包括來(lái)自操作系統(tǒng)的支持。

OTA 軟件更新也越來(lái)越重要，并且可以使用操作系統(tǒng)服務(wù)的額外支持。OTA 平臺(tái)的嵌入式軟件和云功能的功能正在增加。

ECU 數(shù)據(jù)提取是第三類，它是擴(kuò)展聯(lián)網(wǎng)汽車功能的一部分。它還可以從操作系統(tǒng)服務(wù)和新功能中受益。

操作系統(tǒng)戰(zhàn)略觀點(diǎn)

所有汽車 ECU 都需要一個(gè)控制程序或操作系統(tǒng)來(lái)管理各種控制硬件組件和每個(gè) ECU 旨在完成的應(yīng)用程序的程序。隨著 ECU 復(fù)雜性的增加，操作系統(tǒng)的復(fù)雜性也在增加。原始設(shè)備制造商將需要多個(gè)操作系統(tǒng)來(lái)涵蓋廣泛的 ECU 能力和功能。

對(duì)于簡(jiǎn)單的 ECU，OEM 似乎更喜歡基于 AUTOSAR 的操作系統(tǒng)。AUTOSAR 功能有所增加，但無(wú)法處理高端 ECU 復(fù)雜性，例如信息娛樂(lè)和大多數(shù)領(lǐng)域 ECU。Green Hills 和 Wind River 都擁有出色的操作系統(tǒng)，具有很強(qiáng)的安全性和安全性評(píng)級(jí)，是不錯(cuò)的選擇。

高端 ECU 主要使用 QNX 或 Linux 版本作為操作系統(tǒng)，在需要功能安全時(shí)優(yōu)先使用 QNX。Linux 已超越 QNX 成為最受歡迎的信息娛樂(lè)操作系統(tǒng)。QNX 正在成為域 ECU 的最愛，至少對(duì)于 ADAS 和 AV 域 ECU 而言。

有大量新聞報(bào)道稱，包括大眾和梅賽德斯-奔馳在內(nèi)的多家 OEM 正在討論開發(fā)自己的汽車操作系統(tǒng)。這是否意味著他們正在考慮制造而不是購(gòu)買決定？這種策略并非沒有風(fēng)險(xiǎn)。

開發(fā)操作系統(tǒng)是一項(xiàng)艱巨的任務(wù)，并且操作系統(tǒng)的生命周期可能為 30 到 40 年，并定期更新和不斷的技術(shù)改進(jìn)。Linux 大約有 30 年的發(fā)展，而 QNX 有近 40 年的發(fā)展。

開發(fā)汽車操作系統(tǒng)需要大量的技術(shù)專長(zhǎng)，但供應(yīng)有限，而且需要多年的開發(fā)。

GM 使用具有功能安全認(rèn)證的 Red Hat Linux 的策略是為復(fù)雜的 ECU 獲得自己的操作系統(tǒng)的更好方法。

最佳的長(zhǎng)期操作系統(tǒng)策略是什么？最佳實(shí)踐是從兩個(gè) ECU 類別可能最安全的操作系統(tǒng)開始 - 低復(fù)雜性和高復(fù)雜性。為什么？因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題將是汽車行業(yè)數(shù)十年來(lái)面臨的最嚴(yán)峻問(wèn)題，而操作系統(tǒng)將發(fā)揮作用。

對(duì)于低復(fù)雜度的 ECU，Green Hills 擁有最高的安全和安全認(rèn)證，包括 FAA 飛機(jī)使用認(rèn)證。

對(duì)于高端 ECU，QNX 擁有比 Linux 版本更高的安全性和安全認(rèn)證，并且很可能保持這一排名——即使某些 Linux 版本獲得了 ISO 26262 認(rèn)證。QNX 的微內(nèi)核架構(gòu)使操作系統(tǒng)更加安全。自動(dòng)駕駛汽車的新標(biāo)準(zhǔn)——ISO 21448、UL 4600 和 IEEE P2851——可以在操作系統(tǒng)中使用一些有用的功能，而 QNX 很可能會(huì)首先開發(fā)這些功能。