工業安全操作系統思考與實踐.pdf

《工業安全操作系統思考與實踐.pdf》由會員分享，可在線閱讀，更多相關《工業安全操作系統思考與實踐.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、工業安全操作系統思考與實踐中興通訊 操作系統產品部 李映剛2025.03目 錄CONTENTS工業安全操作系統的思考一工業安全操作系統的一些實踐三工業安全操作系統的場景通信場景汽車場景軌道交通場景航空場景實時性：高頻無線、有線的信令控制高吞吐：大帶寬、海量數據處理穩定性：7*24小時電信級穩定性要求場景多樣性：場景覆蓋云、管、端、邊等多種設備安全性：自動駕駛、車輛控制、功能安全、網絡安全豐富的軟硬件生態：支持各種車規級SOC、傳感器、AI生態、座艙生態可靠性：10-8的可靠性要求實時性：軌道車輛控制、信息處理安全性：信令控制、車輛管理、功能安全、網絡安全實時性：飛行控制、信息處理安全性：功能安

2、全、網絡安全，可靠性：嚴苛的工作環境，10-9的失效率要求1.嵌入式OS2.服務器OS3.RTOS4.虛擬化平臺5.智能終端OS1.車載OS2.智能駕駛OS3.安全車控OS4.嵌入式虛擬化1.RTOS2.車載OS1.RTOS2.分時分區OS3.機載娛樂OS工業OS相對于通用OS的差異IEC 61508、DO-178C、ISO 26262、EN 5012X、IEC 61021、ISO 21434硬件適配通信級、車規級、AEQ100、工業級、航空級硬件設備安全性要求其它非功能屬性實時性(硬實時、軟實時)、吞吐性(萬M以太網)、可靠性(失效率 10-8)功能軟件通信軟件：有線、無線、協議棧汽車軟件：

3、感知、規劃、控制、座艙HMI航空軟件：飛行儀表、飛行控制、航路規劃高鐵軟件：車輛控制、信號處理軟件中間件ARINC 653、工業/航空總線、通信框架、AUTOSAR CP/AP、V2X、ROS、組態軟件、行業中間件典型工業操作系統介紹公司產品適用場景風河WindRiverVxworksVxworks653Helix Hypervisor嵌入式、通信、航空、航天黑莓BlackBerry QNXQNX Hypervisor汽車、軌道交通、工業機自動化、醫療、航空綠山Green HillsINTEGRITY RTOSINTEGRITY-178 RTOSINTEGRITY Multivisor嵌入式、

4、工業控制、汽車、航空、航天、醫療VectorMicroSARDaVinci安全車控、智能駕駛SYSGOPikeOS ROTSPikeOS Hypervisor嵌入式、工業控制、汽車、航空、航天、醫療、能源翼輝SyslixOSMatrix653 QuickVisor 航空、航天、軌道交通、汽車、工業控制、物聯網、電力工業OS長期以來受國外企業壟斷，且部分OS對國內禁運，伴隨國家工業領域的發展以及國產OS的持續研發，目前正處于國產OS逐步替換的過程，與國際標桿仍有差距。工業安全操作系統場景的核心：混合關鍵場景混合關鍵（Mixed Criticality）場景：在一個系統里具備關鍵與非關鍵應用，或不

5、同關鍵等級的應用混合部署、混合計算的場景。機器人場景汽車場景混合關鍵系統高性能異構計算平臺NPUCPURAMGPU關鍵業務域高關鍵性業務低關鍵性業務非關鍵業務域Hypervisor基于硬件隔離的解決方案SoCCore0Core1Core2Core3Domain0Safety OS高安全應用通訊中間件Domain1Normal OS普通應用通訊中間件方案特點：硬件資源靜態隔離；OS與軟件獨立部署、運行；由高安全的OS滿足高安全業務的需求方案劣勢：成本較高，難以靈活部署案例：基于同/異構核（大小核、A/R核），單SOC多系統、芯片分區方案特性：在集中化的硬件設備上，細粒度的硬件資源依據實現不同在一

6、定程度上實現了物理隔離，如同構或異構的多核處理器、多個內存控制器、獨立的IO、獨立的電源控制等在隔離的硬件外設上運行多個具備不同關鍵特性的OS，提供不同的安全性、可靠性支撐具備不同特性的應用獨立的部署、運行，并通過通信中間件進行交互基于軟件隔離的解決方案方案特點：硬件資源彈性共享，計算資源的抽象隔離，高安全業務軟件由運行時提供時間、資源確定性方案優勢：降低硬件成本，易靈活部署案例：基于Trust Zone、Hypervisor、Unikernel、Xenomai、Container、沙箱、進程的分區SOCCore0Core1Core2Core3Hypervisor/Partition Engi

7、neDomain0高安全應用中間件Safety RuntimeDomain1普通應用中間件Normal Runtime方案特征在高性能處理器上，基于對硬件抽象的隔離，提供多個相對獨立的運行環境在多個相對獨立的運行時上通過OS的機制支撐不同關鍵等級業務的混合運行，并由OS提供免于干擾的機制不同層級的運行時提供滿足不同等級業務應用的關鍵技術特性中興車用OS分域解決方案微內核OS（ASIL-D級）SafetyLinuxHypervisor（ASIL-D級）AUTOSAR AP其他中間件AUTOSAR AP其他中間件融合規劃控制感知數據處理業務安全域性能域車規芯片分區演進方案的特點 兼顧功能安全與生態

8、兼容需求功能安全等級高的規控類業務由微內核OS承載感知數據處理業務的生態依賴復雜，涉及軟硬件合作伙伴的核心生態，由Safety Linux承載由高性能的分區引擎提供高等級的功能安全隔離特性 兼顧項目交付與長期演進需求短期內能夠較好地適配自駕需要的軟硬件生態，整合成可交付上車的方案隨著微內核OS的生態適配工作的持續深入推進，本方案將平滑演進至由微內核RTOS獨立承載全線智駕業務，簡潔高效地實現系統功能安全 當前面臨的問題：座艙域Android或者Linux無法滿足自駕域對安全與可靠性的要求，微內核OS對應用生態支撐有限 未來的演進趨勢：OS與應用場景深度融合，與芯片聯合設計，滿足不同場景下功能、

9、性能、成本、安全等需求 解決方案：基于分區架構的OS方案由上層的Guest OS以及底層嵌入式虛擬化平臺構成，通過分域解決艙駕融合場景下安全、性能與生態的矛盾，也能在未來中央計算時代單芯片支撐多個功能域的需求。對實時性的思考：PREEMPT_RT當前主要與Linux kernel 5.10/5.15集成主要技術細節高精度定時器：可實現精確的定時調度實時互斥鎖：實現了優先級繼承，避免優先級反轉線程化中斷處理程序：中斷處理程序都在線程化的上下文環境中運行睡眠自旋鎖：自旋鎖被映射到rt_mutex_base，變成睡眠自旋鎖，搶占功能不會被禁止最小化內核中不可搶占部分的代碼，降低實時任務的延遲對實時性

10、的思考：PREEMPT_RTUbuntu 22.04，Intel i7 7700四個CPU通過stress-ng使得CPU使用率接近100%ROS兩個進程節點，發布訂閱模式，固定頻率，端到端延遲原生Linux系統測試耗時大概242秒實時Linux系統經過了長達25.7小時的觀察測試對實時性的思考：Xenomai降低實時任務的延遲雙內核架構分時多任務調度實時應用程序接口實踐思考：Xenomai部署EtherCAT主站卸載實時控制任務到Xenomai1.如何構建工業安全操作系統2.需提供低成本生態適配能力3.需提供不同關鍵等級業務的空間確定性4.需提供不同關鍵等級業務的時間確定性5.需提供故障檢測

11、與恢復機制，確保安全關鍵系統系統穩定性6.需提供高效靈活的系統部署7.需要為域間提供高效的通信協作機制工業安全操作系統的挑戰目 錄CONTENTS工業安全操作系統的思考一工業安全操作系統的一些實踐三如何構建工業安全操作系統基于yocto構建機器人、車用操作系統BuildSystemROS Layersmeta-ros2meta-ros-commonmeta-ros2-humbleAGL Layersmeta-app-frameworkmeta-agl-ivimeta-agl-corePoky/openembedded Layersmeta-selinuxmeta-virtualizationm

12、eta-securitymeta-openembeddedBSP Layersmeta-m1meta-tegra基于yocto 5.0 Scarthgap在線構建離線構建容器化構建BuildSystem解決工程化的問題：怎么配置產品、組織編譯過程等低成本生態適配能力：驅動代理驅動代理是快速適配不同芯片、大量復雜設備的關鍵驅動代理與芯片SDK Linux解耦前端驅動廣泛適配各類業務域OS復用芯片SDK Linux驅動生態高效請求轉發驅動代理與虛擬機生命周期管理解耦ServerVMHypervisor原生驅動UserVM驅動代理請求轉發業務程序前端驅動業務生態驅動生態GPUNPUUFSISPAUD

13、IO時間確定性SOCCore0Core1Core2Core3Guest 0Guest 1Guest 2Hypervisor實時調度優先級調度VCPU隔離實時調度：常見的FIFO/RR調度策略的支持；增強的RMS調度算法；優先級調度：讓某些域整體具有更高的優先級VCPU隔離：某些VCPU獨占物理CPU空間確定性HardwareIO-deviceRAMCPU CacheGuest 0Guest 1Guest 2HypervisorIOMMUMMUCache Coloring隔離：基于MMU的內存空間隔離；基于IOMMU的外設空間隔離固定映射：GPA到PA采用固定映射，降低系統復雜度，提升整體可靠性

14、緩存著色：不同的VM使用不同的緩存著色區，減少緩存沖突干擾故障檢測與恢復機制：健康監控安全監控模塊用戶態內核態軟件故障硬件故障安全監控服務外部系統安全關鍵應用失效場景硬件失效內核軟件失效關鍵應用失效外部系統Hypervisor異構核（M或R核）MCU安全機制故障事件映射表故障分級處理故障分類處理系統是由硬件和軟件組成的，隨著時間的推移，硬件可能老化，軟件可能有潛在的故障局部的故障可能層層擴散，進而導致系統層面的失效高效靈活的系統部署：自動化部署工具HardwareGuest0Guest 1Guest 2Hypervisor全共享模式HardwareGuest 0Guest 1Hypervisor全分片模式HardwareGuest 0Guest 1Guest 2Hypervisor混合模式configoutput高速、高確定性的域間通信技術Transport LayerRPMsgMac LayerVirtQueuePhysical LayerShare MemoryInterrupt高性能核(A Core)基于共享內存與Mailbox機制的高速域間通信框架自動駕駛任務座艙任務安全核RTOS安全車控任務嵌入式虛擬化/邊緣云平臺SafetyLinuxAndroid通信形式實現方式VM間通信基于VirtIO共享內存的高速通信異構核間通信基于MailBox的核間中間+共享內存感謝