操作系統(tǒng) （OS） 是管理基于計算機的系統(tǒng)的所有硬件和軟件所必需的，它是汽車行業(yè)的關鍵軟件平臺。本文重點介紹汽車操作系統(tǒng)策略的教程信息和一些觀點。

每個操作系統(tǒng)在功能、程序大小、復雜性、開發(fā)工作量和硬件要求以及終身維護、支持工作量和成本方面都有很大差異。一個操作系統(tǒng)的范圍可以從幾千行代碼的簡單控制程序到Linux、macOS、iOS和Windows等主要操作系統(tǒng)的幾千萬行代碼。Linux 內核代碼大小因發(fā)行公司而異，GitHub 版本約有 2800 萬行代碼。

Wikipedia 是有關操作系統(tǒng)歷史、技術和產品信息的重要來源。有關于操作系統(tǒng)技術的詳細數據，但大部分內容都集中在傳統(tǒng)計算機系統(tǒng)上，從大型計算機和個人電腦到智能手機和平板電腦。有關于領先的汽車操作系統(tǒng)（如 Linux 和 QNX）的一般信息，但很少有關于汽車操作系統(tǒng)使用的上下文和信息。

操作系統(tǒng)概述

操作系統(tǒng)提供計算機硬件和應用程序之間的接口。這通過遵循編程到操作系統(tǒng)中的規(guī)則和程序來限制應用程序使用硬件。該操作系統(tǒng)還包括簡化應用程序開發(fā)和執(zhí)行的服務。這些服務包括管理應用程序將使用的所有硬件資源——將程序加載到內存中、與傳感器和執(zhí)行器通信、存儲結果以及許多其他功能。

還有許多其他軟件功能被認為是操作系統(tǒng)的一部分，包括所謂的中間件、庫和其他系統(tǒng)軟件。

操作系統(tǒng)功能和生態(tài)系統(tǒng)對于開發(fā)軟件定義車輛所需的應用程序和軟件平臺也很重要。換句話說，最好的操作系統(tǒng)選擇需要一個龐大的生態(tài)系統(tǒng)和基礎設施來支持未來不斷增長的軟件定義車輛。

下表總結了汽車操作系統(tǒng)的要求。

操作系統(tǒng)的許多特性決定了它的功能。單任務操作系統(tǒng)一次只能運行一個程序，而多任務操作系統(tǒng)可以運行多個程序。單用戶操作系統(tǒng)沒有區(qū)分用戶的功能，但可能允許多個程序同時運行。

多用戶操作系統(tǒng)擴展了多任務處理以運行來自多個用戶的程序。這需要跟蹤每個用戶正在使用的硬件和軟件資源。該系統(tǒng)允許多個用戶同時與系統(tǒng)交互。

操作系統(tǒng)內核

操作系統(tǒng)內核包括管理硬件和軟件的所有關鍵功能。組織內核有兩種主要方法：單片內核或微內核操作系統(tǒng)。單片內核架構包括內核空間中的所有核心操作系統(tǒng)功能——所有系統(tǒng)調用和操作系統(tǒng)服務都集中在一個地方。Linux 是領先的單片內核操作系統(tǒng)。

微內核操作系統(tǒng)具有幾乎最少數量的軟件，可以提供實現(xiàn)操作系統(tǒng)所需的機制。額外的操作系統(tǒng)服務被組織為分層服務，可以根據需要由微內核激活。這意味著微內核操作系統(tǒng)具有模塊化架構。

優(yōu)點是微內核具有較小的代碼空間，并且可以比單片內核操作系統(tǒng)更安全。模塊化操作系統(tǒng)結構更適合大多數汽車 ECU。QNX 是領先的微內核操作系統(tǒng)。

管理程序操作系統(tǒng)

管理程序是一個小型軟件平臺，用于管理多個操作系統(tǒng)平臺及其應用程序。它也可以稱為虛擬機 （VM） 監(jiān)視器，它是運行 VM 的軟件。

自 1960 年代以來，虛擬化一直用于計算機行業(yè)，是 IT 數據中心的一項關鍵技術。管理程序對于將信息娛樂和功能安全功能（例如用于備用監(jiān)視器的主機顯示器）結合起來非常重要。

功能安全操作系統(tǒng)

許多 ECU 需要具有功能安全認證的操作系統(tǒng)。這意味著具有各種汽車安全完整性等級 （ASIL） 的 ISO 26262 認證。該標準確定了四種 ASIL：ASIL A、B、C 和 D。ASIL D 具有最高的完整性要求。

所有基于 AUTOSAR 的操作系統(tǒng)——例如 Vector 的 Microsar 操作系統(tǒng)、ETAS 的 RTA-OS 和 Elektrobit 的 EB Tresos 安全操作系統(tǒng)——都具有功能安全等級。汽車 ECU 中常用的其他三種產品：Green Hills Integrity RTOS、Wind River VxWorks 和 BlackBerry QNX。您可以在本文中了解有關功能安全信息的更多信息。

功能安全操作系統(tǒng)無法管理具有大型復雜軟件代碼的 ECU，例如信息娛樂系統(tǒng)和新興領域的高級駕駛員輔助系統(tǒng) （ADAS） ECU 和自動駕駛汽車 （AV） ECU。QNX 是個例外，它是信息娛樂領域的領導者，在 ADAS 和 AV 域 ECU 方面處于有利地位。

信息娛樂中對高性能操作系統(tǒng)的需求為 Linux 版本打開了大門，并使其成為過去五年中最受歡迎的信息娛樂操作系統(tǒng)。Linux 的一個缺點是缺乏功能安全認證。當需要功能安全應用程序作為基于 Linux 的 ECU 的一部分時，管理程序操作系統(tǒng)一直是 Linux 的解決方案。

看起來 Linux 在不久的將來至少會有一個功能安全版本。2022 年 5 月，通用汽車宣布將使用獲得功能安全認證的紅帽 Linux 版本。通用汽車計劃在 2023 年推出產品。目前尚不清楚紅帽是否已經獲得功能安全認證，但其他 Linux 供應商很可能會嘗試獲得功能安全認證。谷歌的信息娛樂操作系統(tǒng)正在快速發(fā)展，看起來像是功能安全的候選者。

操作系統(tǒng)生態(tài)系統(tǒng)支持

操作系統(tǒng)成功的關鍵是龐大的支持生態(tài)系統(tǒng)。支持操作系統(tǒng)的軟件平臺越多，它就越成功。操作系統(tǒng)可以在領先的微處理器平臺和特定的 MCU 實現(xiàn)上運行也很重要。但是，由于汽車 ECU 以基于 ARM 的微處理器為主，因此很容易滿足這一要求。

所有 MCU 應用軟件都必須通過操作系統(tǒng)運行，這意味著成功的操作系統(tǒng)應該有良好的軟件開發(fā)支持。

操作系統(tǒng)成本因素

有許多因素決定了使用操作系統(tǒng)的成本。本討論假設操作系統(tǒng)是由汽車 OEM 購買而不是開發(fā)的。

第一個因素是操作系統(tǒng)的許可成本，其中包括操作系統(tǒng)內核、中間件和庫軟件，如數學、浮點、圖形等。Linux 內核操作系統(tǒng)是一個開源代碼，是一個自由軟件平臺。在大多數情況下，Linux 中間件和一些庫需要支付許可費。

操作系統(tǒng)的大小將影響使用其應用程序運行軟件所需的硬件數量。總代碼大小會影響所需的最大永久存儲大小。在磁盤時代，這并不是什么大問題，因為大多數硬盤驅動器都足夠大。如今，永久存儲主要是 NAND 芯片或 eMMC 模塊，這通常會增加操作系統(tǒng)大小的額外成本。

操作系統(tǒng)占用空間是運行操作系統(tǒng)及其應用程序所需的 RAM 量。同樣，操作系統(tǒng)占用空間的大小會影響系統(tǒng)的內存成本。

另一個因素是硬件成本，其中操作系統(tǒng)可能會影響 MCU 成本。大型操作系統(tǒng)可能會增加所需的 MCU 性能，這可能會增加硬件成本。

進行此討論的原因是權衡所有潛在的操作系統(tǒng)成本因素。很容易假設 Linux 操作系統(tǒng)的免費操作系統(tǒng)內核將提供足夠的成本節(jié)約，以超過大型操作系統(tǒng)可能產生的潛在額外成本。

ECU軟件開發(fā)

ECU 軟件開發(fā)對汽車行業(yè)至關重要，而且復雜性和工作量不斷增加。傳統(tǒng)的 ECU 軟件開發(fā)最初是通過來自多個供應商的軟件開發(fā)套件 （SDK） 完成的。SDK 已被集成開發(fā)環(huán)境 （IDE） 所取代，這些環(huán)境具有更好的功能并已擴展到基于 Web 的 IDE 系統(tǒng)。Eclipse IDE 已成為汽車和許多其他行業(yè)最流行的軟件開發(fā)系統(tǒng)。Eclipse 由 Eclipse 基金會管理，該基金會是 IBM 于 2001 年創(chuàng)立的非營利性公司。

以 Web 為中心的軟件開發(fā)正在迅速發(fā)展，亞馬遜 AWS 尤其活躍。AWS 正在建立合作伙伴關系，以滿足對包含 SaaS 功能的更好軟件開發(fā)的需求。Microsoft Azure 和其他公司也在經歷類似的增長。

還有一種趨勢是提供專注于功能安全應用的軟件開發(fā)系統(tǒng)。Apex.AI就是這種趨勢的一個典型例子。

新興的ECU需求

操作系統(tǒng)還需要整合對新興技術需求的支持。網絡安全最為重要，所有操作系統(tǒng)都將安全作為核心功能。額外的硬件、軟件和基于云的網絡安全正在成為軟件定義車輛的標準，并且需要盡可能多的支持，包括來自操作系統(tǒng)的支持。

OTA 軟件更新也越來越重要，并且可以使用操作系統(tǒng)服務的額外支持。OTA 平臺的嵌入式軟件和云功能的功能正在增加。

ECU 數據提取是第三類，它是擴展聯(lián)網汽車功能的一部分。它還可以從操作系統(tǒng)服務和新功能中受益。

操作系統(tǒng)戰(zhàn)略觀點

所有汽車 ECU 都需要一個控制程序或操作系統(tǒng)來管理各種控制硬件組件和每個 ECU 旨在完成的應用程序的程序。隨著 ECU 復雜性的增加，操作系統(tǒng)的復雜性也在增加。原始設備制造商將需要多個操作系統(tǒng)來涵蓋廣泛的 ECU 能力和功能。

對于簡單的 ECU，OEM 似乎更喜歡基于 AUTOSAR 的操作系統(tǒng)。AUTOSAR 功能有所增加，但無法處理高端 ECU 復雜性，例如信息娛樂和大多數領域 ECU。Green Hills 和 Wind River 都擁有出色的操作系統(tǒng)，具有很強的安全性和安全性評級，是不錯的選擇。

高端 ECU 主要使用 QNX 或 Linux 版本作為操作系統(tǒng)，在需要功能安全時優(yōu)先使用 QNX。Linux 已超越 QNX 成為最受歡迎的信息娛樂操作系統(tǒng)。QNX 正在成為域 ECU 的最愛，至少對于 ADAS 和 AV 域 ECU 而言。

有大量新聞報道稱，包括大眾和梅賽德斯-奔馳在內的多家 OEM 正在討論開發(fā)自己的汽車操作系統(tǒng)。這是否意味著他們正在考慮制造而不是購買決定？這種策略并非沒有風險。

開發(fā)操作系統(tǒng)是一項艱巨的任務，并且操作系統(tǒng)的生命周期可能為 30 到 40 年，并定期更新和不斷的技術改進。Linux 大約有 30 年的發(fā)展，而 QNX 有近 40 年的發(fā)展。

開發(fā)汽車操作系統(tǒng)需要大量的技術專長，但供應有限，而且需要多年的開發(fā)。

GM 使用具有功能安全認證的 Red Hat Linux 的策略是為復雜的 ECU 獲得自己的操作系統(tǒng)的更好方法。

最佳的長期操作系統(tǒng)策略是什么？最佳實踐是從兩個 ECU 類別可能最安全的操作系統(tǒng)開始 - 低復雜性和高復雜性。為什么？因為網絡安全問題將是汽車行業(yè)數十年來面臨的最嚴峻問題，而操作系統(tǒng)將發(fā)揮作用。

對于低復雜度的 ECU，Green Hills 擁有最高的安全和安全認證，包括 FAA 飛機使用認證。

對于高端 ECU，QNX 擁有比 Linux 版本更高的安全性和安全認證，并且很可能保持這一排名——即使某些 Linux 版本獲得了 ISO 26262 認證。QNX 的微內核架構使操作系統(tǒng)更加安全。自動駕駛汽車的新標準——ISO 21448、UL 4600 和 IEEE P2851——可以在操作系統(tǒng)中使用一些有用的功能，而 QNX 很可能會首先開發(fā)這些功能。