2.4.3  關(guān)鍵技術(shù)解讀

1.  CPU 虛擬化和節(jié)能降耗技術(shù)

車載高性能處理器一般采用多核 CPU 架構(gòu)。在 SMP（Symmetric Multi-Processing 對(duì)稱多處理） 架構(gòu)下，Hypervisor 調(diào)度器會(huì)根據(jù) CPU 的親和性配置讓客戶機(jī)操作系統(tǒng)在指定的 CPU 上運(yùn)行，虛擬機(jī)的操作系統(tǒng)可按照自己的調(diào)度方式，比如 : ：優(yōu)先級(jí)方式在 CPU 上進(jìn)行任務(wù)調(diào)度。為了最大化地利用系統(tǒng)資源，Hypervisor 也支持多個(gè)虛擬機(jī)對(duì)某個(gè) CPU 的共享使用。在共享核上，Hypervisor 可通過(guò)優(yōu)先級(jí)或時(shí)間分區(qū)方式對(duì)虛擬機(jī)進(jìn)行調(diào)度，確保虛擬機(jī)運(yùn)行時(shí)間和調(diào)度策略是確定的。Hypervisor 的調(diào)度算法需要確保不能夠出現(xiàn)分區(qū)內(nèi)某個(gè)虛擬機(jī)出現(xiàn)死循環(huán)或故障而長(zhǎng)期占用處理器資源，導(dǎo)致其他虛擬機(jī)的業(yè) 務(wù)無(wú)法得到合理時(shí)間配額的問(wèn)題。

虛擬機(jī)調(diào)度還需要考慮節(jié)能降耗問(wèn)題，在工作負(fù)載較高的情況下系統(tǒng)提升主頻提升用戶體驗(yàn)，在工 作負(fù)載較低的情況下系統(tǒng)自動(dòng)節(jié)能降頻提升續(xù)航。車載高性能處理器本身為了節(jié)能降耗需求設(shè)計(jì)為大小 核架構(gòu)，CPU 以及之上運(yùn)行的復(fù)雜操作系統(tǒng)需要支持大小核調(diào)度，動(dòng)態(tài)調(diào)頻，低功耗設(shè)置，關(guān)閉 CPU 核， 休眠（Suspend to RAM/Suspend to Disk）等節(jié)能降耗功能。系統(tǒng)虛擬化后，CPU 等物理資源都需要Hypervisor 才能直接訪問(wèn)，Hypervisor 調(diào)度算法也需要完成對(duì)虛擬機(jī)節(jié)能降耗的支持。

2.  IO 設(shè)備虛擬化

出于性能考慮，一般嵌入式領(lǐng)域多使用半虛擬化技術(shù)。半虛擬化技術(shù)需要 Guest OS 中的前端驅(qū)動(dòng)與Hypervisor 中的后端驅(qū)動(dòng)配合實(shí)現(xiàn)。前端驅(qū)動(dòng)將 Guest OS 的請(qǐng)求通過(guò) Hypervisor 提供的通信機(jī)制發(fā)送給后端驅(qū)動(dòng)，后端驅(qū)動(dòng)通過(guò)調(diào)用物理驅(qū)動(dòng)實(shí)現(xiàn)對(duì)設(shè)備的訪問(wèn)。這就涉及到不同廠商的 Guest OS 與不同廠商的 Hypervisor 生態(tài)對(duì)接問(wèn)題。

Virtio 是目前最流行的一種 I/O 半虛擬化解決方案。Virtio 是 OASIS 標(biāo)準(zhǔn)組管理的開放協(xié)議和接口，以使得虛擬機(jī)能夠標(biāo)準(zhǔn)化方式訪問(wèn) IO 設(shè)備。Virtio 于 2016 年 3 月正式標(biāo)準(zhǔn)化，2020 發(fā)布 V1.1 版本。Virtio 標(biāo)準(zhǔn)采用通用和標(biāo)準(zhǔn)化的抽象模型，支持設(shè)備類型不斷增加，性能高效，在云計(jì)算領(lǐng)域廣泛應(yīng)用， 開源活躍度高，Linux 等操作系統(tǒng)已有穩(wěn)定的前端驅(qū)動(dòng)代碼。大部分商業(yè)和開源 Hypervisor 都已經(jīng)支持Virtio 標(biāo)準(zhǔn)。

Virtio 是車載行業(yè)比較常用的半虛擬化技術(shù)的實(shí)現(xiàn)，如圖 2.4-6 所示，在 Guest OS 內(nèi)部虛擬一條設(shè)備總線 Virtio-bus，通過(guò) Virtio Ring 雙向通信機(jī)制，前端驅(qū)動(dòng)與掛載在 Virtio-bus 上遵循 Virtio 標(biāo)準(zhǔn)的后端虛擬設(shè)備，進(jìn)行訪問(wèn)與通信。Virtio 提供了全面的 Virtio 總線和設(shè)備控制接口，包括 virtio-net，vir- tio-blk，virtio-console，virtio-input 等。

圖 2.4-6Virtio虛擬化實(shí)現(xiàn)模型

·  利用 virtio-blk 技術(shù)實(shí)現(xiàn)塊設(shè)備共享

塊設(shè)備是使用緩存機(jī)制讀寫的存儲(chǔ)設(shè)備，分配給 Hypervisor 所在的操作系統(tǒng)進(jìn)行管理。virtio-blk driver 是符合 virtio 標(biāo)準(zhǔn)的塊設(shè)備驅(qū)動(dòng)，vdev virtio block 是后端的虛擬塊設(shè)備，virtio  blk  driver 通過(guò)該vdev 設(shè)備完成對(duì)物理塊設(shè)備的讀寫，并獲取執(zhí)行結(jié)果。

·  利用 virtio-net 技術(shù)實(shí)現(xiàn)跨系統(tǒng)通信

Virtio-net 實(shí)現(xiàn)了多系統(tǒng)間點(diǎn)對(duì)點(diǎn)的通信，Guest 系統(tǒng)內(nèi)部的 virtio-net driver 通過(guò) virtqueue 與Hypervisor 所在系統(tǒng)的 virtio-net 設(shè)備進(jìn)行全雙工通信，實(shí)現(xiàn)多系統(tǒng)之間的控制類、配置類的指令、數(shù)據(jù)的交互。適合音視頻流以外的數(shù)據(jù)傳輸，穩(wěn)定性較好，因 virtqueue 的控制邏輯復(fù)雜，對(duì)實(shí)時(shí)性有一定影響。

·  利用 virtio 技術(shù)實(shí)現(xiàn)觸摸共享

觸摸設(shè)備是字符型設(shè)備，通過(guò) virtio-input driver、vdev-input 實(shí)現(xiàn)前端驅(qū)動(dòng)和后端設(shè)備。設(shè)備端通過(guò) virtqueue 向驅(qū)動(dòng)上報(bào)觸摸坐標(biāo)數(shù)據(jù)。

3.  實(shí)時(shí)性技術(shù)

實(shí)時(shí)性是嵌入式實(shí)時(shí)操作系統(tǒng)的關(guān)鍵性能指標(biāo)。Hypervisor 的實(shí)時(shí)性是整個(gè)系統(tǒng)實(shí)時(shí)性的基礎(chǔ)，如果 Hypervisor 無(wú)法及時(shí)調(diào)度到客戶機(jī)操作系統(tǒng)運(yùn)行，客戶機(jī)操作系統(tǒng)也不能取得較好的實(shí)時(shí)性指標(biāo)。衡量 Hypervisor 實(shí)時(shí)性主要指標(biāo)包括中斷延遲和調(diào)度延遲。中斷延遲以硬件發(fā)生中斷時(shí)刻為起始時(shí)間，以虛擬機(jī)收到 Hypervisor 注入的中斷時(shí)刻為截止時(shí)間，在各種壓力情況下最長(zhǎng)延時(shí)時(shí)間即為中斷延時(shí)。調(diào)度延遲是指以高優(yōu)先級(jí)的虛擬機(jī)進(jìn)程就緒為起始時(shí)刻，以該高優(yōu)先的虛擬機(jī)進(jìn)程得到調(diào)度運(yùn)行為截止時(shí)刻，在系統(tǒng)各種壓力情況下最長(zhǎng)的延時(shí)時(shí)間即為調(diào)度延遲。

中斷虛擬化后，當(dāng)外界中斷產(chǎn)生時(shí)，Hypervisor 收到并以最快的速度注入到虛擬機(jī)，使得 Hypervi- sor 對(duì)虛擬機(jī)中斷處理時(shí)間足夠少。Hypervisor 優(yōu)化虛擬機(jī)的切換時(shí)間，盡量減少 Hypervisor 上關(guān)中斷和關(guān)搶占的時(shí)間，盡量少使用內(nèi)核鎖，當(dāng)高優(yōu)先級(jí)的虛擬機(jī)需要切換運(yùn)行時(shí)，能最快速度切換至高優(yōu)先級(jí)虛擬機(jī)上運(yùn)行。

4.  安全和可靠性技術(shù)

功能安全、信息安全和可靠性是車控操作系統(tǒng)產(chǎn)品可靠安全運(yùn)行的必要組成部分。Hypervisor 為智能汽車域控制器提供基礎(chǔ)運(yùn)行環(huán)境，其安全性和可靠性是保證整個(gè)系統(tǒng)功能安全和可靠的基礎(chǔ)和核心。Hy- pervisor 需按照汽車功能安全 ISO26262  ASIL-D 最高標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)，開發(fā)和測(cè)試，其功能安全需求由域控制器產(chǎn)品的安全需求分解產(chǎn)生。

Hypervisor 上運(yùn)行了多個(gè)虛擬機(jī)，一個(gè)虛擬機(jī)的異常不能傳遞至其他虛擬機(jī)。Hypervisor 能獲取到當(dāng)前系統(tǒng)整體健康狀態(tài)，當(dāng)虛擬機(jī)發(fā)生異常時(shí)，Hypervisor 應(yīng)實(shí)時(shí)監(jiān)控系統(tǒng)健康狀態(tài)，有效地隔離故障， 并在最小波及范圍內(nèi)修復(fù)異常，保障系統(tǒng)持續(xù)可用。

Hypervisor 加入汽車軟件棧，會(huì)導(dǎo)致縱向上軟件棧層次增加，橫向上業(yè)務(wù)軟件復(fù)雜度增加，而汽車的安全可靠要求強(qiáng)于既有的云側(cè)虛擬化、邊緣虛擬化，因此虛擬化安全性正日益得到行業(yè)的關(guān)注。這些安全性包括：

·  虛擬機(jī)管理器和虛擬機(jī)之間的信任鏈問(wèn)題。利用虛擬化技術(shù)在一個(gè)可信物理平臺(tái)上創(chuàng)建出多個(gè)虛擬機(jī)，并將從硬件可信根開始構(gòu)建的信任鏈傳遞到每一個(gè)虛擬機(jī)，從而在一個(gè)可信物理平臺(tái)上構(gòu)建多個(gè)虛擬的可信計(jì)算平臺(tái)，有些解決方案缺乏虛擬機(jī)管理器到虛擬機(jī)之間的信任鏈驗(yàn)證；

·  虛擬機(jī)間的攻擊：惡意入侵者可以通過(guò)利用虛擬機(jī)管理程序中的漏洞，通過(guò)同一物理主機(jī)上存在的另一個(gè)虛擬機(jī)來(lái)獲得對(duì)虛擬機(jī)的控制，從而破壞目標(biāo)虛擬機(jī)；

·  虛擬機(jī)逃逸：利用虛擬機(jī)軟件或者虛擬機(jī)中運(yùn)行的軟件的漏洞進(jìn)行攻擊，以達(dá)到攻擊或控制虛擬機(jī)宿主操作系統(tǒng)的目的。

為了提高 Hypervisor 的安全性，建立相應(yīng)的安全性目標(biāo)很重要，表 2.4-1 簡(jiǎn)要列出相關(guān)要求：

表2.4-1 安全性目標(biāo)

Hypervisor 的安全性能力可以從三個(gè)維度進(jìn)行提升。

(1) 需要建立安全邊界

如圖 2.4-7 所示，這個(gè)邊界由 Hypervisor 嚴(yán)格定義并且實(shí)施。Hypervisor 安全邊界的保密性、完整性和可用性需要得到保證。邊界能防御一系列攻擊，包括側(cè)向通道信息泄漏、拒絕服務(wù)和特權(quán)提升。虛擬機(jī)監(jiān)控程序安全邊界還提供網(wǎng)絡(luò)流量、虛擬設(shè)備、存儲(chǔ)、計(jì)算資源和所有其他虛擬機(jī)資源的隔離能力。

圖2.4-7 安全邊界

整體虛擬化安全架構(gòu)如圖 2.4-8 所示。安全邊界的保密性可以通過(guò)傳統(tǒng)的密碼學(xué)方法來(lái)實(shí)施。完整性通過(guò)可信度量機(jī)制來(lái)保障，可信報(bào)告機(jī)制實(shí)現(xiàn)不同虛擬環(huán)境的可信互通，監(jiān)控機(jī)制動(dòng)態(tài)度量實(shí)體的行為， 發(fā)現(xiàn)和排除非預(yù)期的互相干擾。虛擬技術(shù)提供的隔離機(jī)制將實(shí)體運(yùn)行空間分開。

圖2.4-8 整體虛擬化安全架構(gòu)

安全邊界的隔離通過(guò)Hypervisor 的vCPU 調(diào)度隔離安全、內(nèi)存隔離、網(wǎng)絡(luò)隔離和存儲(chǔ)隔離技術(shù)來(lái)支持， 實(shí)現(xiàn)了同一物理機(jī)上 Hypervisor 和虛擬機(jī)、虛擬機(jī)之間的隔離。

(2) 需要建立深度防御漏洞的緩解機(jī)制

對(duì)于安全邊界存在的潛在漏洞，Hypervisor 需要有一定的技術(shù)手段進(jìn)行主動(dòng)防御，這些技術(shù)手段包括地址空間布局隨機(jī)化（ASLR）、數(shù)據(jù)執(zhí)行保護(hù)（DEP）、任意代碼保護(hù)、控制流保護(hù)和數(shù)據(jù)損壞保護(hù)等。

(3) 建立強(qiáng)大的安全保障流程

與 Hypervisor 相關(guān)的攻擊面包括虛擬網(wǎng)絡(luò)、虛擬設(shè)備和所有跨虛擬機(jī)表面，所有虛擬機(jī)攻擊面都建議實(shí)施威脅建模、代碼審核、模糊（fuzzed）測(cè)試，通過(guò)建立自動(dòng)化構(gòu)建及環(huán)境，觸發(fā)定期安全檢查。

虛擬化技術(shù)作為云計(jì)算場(chǎng)景的重要技術(shù)，在 10 多年的生產(chǎn)實(shí)踐中已經(jīng)積累了很多安全范式，這些經(jīng)驗(yàn)也可被汽車場(chǎng)景借鑒。但是與云場(chǎng)景相比，汽車場(chǎng)景的虛擬化技術(shù)也有其特殊性，如虛擬機(jī)不需要?jiǎng)討B(tài)遷移 / 創(chuàng)建，Hypervisor 有功能安全等級(jí)的要求等等，其安全性手段需要在實(shí)踐中不斷豐富和完善。

2.4.4  典型應(yīng)用案例

在汽車智能化發(fā)展歷程中，虛擬化主要應(yīng)用于智能座艙、智能駕駛、智能網(wǎng)關(guān)等融合場(chǎng)景。智能駕駛受技術(shù)成熟度、政策法規(guī)所限，基本處于預(yù)研、方案原型階段。智能網(wǎng)關(guān)業(yè)務(wù)功能相對(duì)同構(gòu)，并且有可能進(jìn)一步融合到其他場(chǎng)景方案中。因此，目前主要的應(yīng)用案例集中在智能座艙中。

智能座艙域融合也是在近幾年啟動(dòng)，正在不斷迭代演進(jìn)中。受芯片算力、虛擬化技術(shù)成熟度、生態(tài)鏈對(duì)于虛擬化解決方案的掌控能力等因素影響，有些廠商同時(shí)采用了硬隔離方案來(lái)實(shí)現(xiàn)域融合，一方面最大程度地沿用既有技術(shù)能力，有確定性保障，但是缺少了軟件定義的靈活性，智能化程度有限，是域融 合的一種可選方案。在嵌入式虛擬化技術(shù)方面，國(guó)外的 QNX、OpenSynergy、PikeOS  等有先發(fā)優(yōu)勢(shì)，尤其在汽車領(lǐng)域已耕耘多年，因此在這兩年涌現(xiàn)了較多的應(yīng)用案例。在智能本土化發(fā)展的趨勢(shì)帶動(dòng)下，國(guó)內(nèi)這幾年也出現(xiàn)了不少芯片廠商、獨(dú)立軟件廠商研發(fā)嵌入式虛擬化技術(shù)、產(chǎn)品、解決方案，如中瓴智行的 RAITE Hypervisor(RHOS)、中興 GoldenOS、斑馬智行的 AliOS Hypervisor、中汽創(chuàng)智 CAIC Hypervi-sor 等。

1.  智能座艙域控制器產(chǎn)品

某廠家智能座艙域控制器產(chǎn)品，如圖 2.4-9 和圖 2.4-10 所示，基于高通 8155、瑞薩 R-Car H3 處理器，采用 QNX Hypervisor，搭載QNX Host、Android P/R/S Guest OS, 可配置輸出最多 6 塊高清大屏獨(dú)立顯示，集成了娛樂系統(tǒng)、液晶儀表、車身控制、DMS、APA   等功能，支持獨(dú)立四音區(qū)、多屏互動(dòng)和音視頻分享，集成度高，在長(zhǎng)城、長(zhǎng)安、宇通客車等多款車型上適配量產(chǎn)。

另外，國(guó)產(chǎn)化方案芯馳 X9HP+ 平臺(tái)，采用硬分區(qū)、Hypervisor 兩種方案靈活配置實(shí)現(xiàn)中低端智能座艙域控制器產(chǎn)品。

圖 2.4-9智能座艙域控制器

圖2.4-10國(guó)產(chǎn)化方案智能座艙域控制器

2.  RHOS 智能座艙域控制器平臺(tái)

(1) NXP I.MX8QM 座艙域控制器

某廠家基于自研的 Type-1 型虛擬化軟件 RHOS(Raite Hypervisor OS)，適配支持了 NXP I.MX8QM， 提供一個(gè)輕量、靈活的汽車智能座艙虛擬化解決方案，已在東風(fēng)車型量產(chǎn)上市。其系統(tǒng)架構(gòu)如圖 2.4-11 所示：

圖 2.4-11 NXP I.MX8智能座艙系統(tǒng)架構(gòu)

在 SoC 上運(yùn)行 Hypervisor 后可支持同時(shí)運(yùn)行多個(gè)操作系統(tǒng)，比如 Linux 系統(tǒng)可以運(yùn)行實(shí)時(shí)性和安全性較高的業(yè)務(wù)，如全液晶儀表等，可以擴(kuò)展運(yùn)行 DMS、HUD 等業(yè)務(wù)。另外一個(gè)虛擬機(jī)運(yùn)行 Android 操作系統(tǒng)，上面部署信息娛樂等安全性和實(shí)時(shí)性要求較低的業(yè)務(wù)。為保證系統(tǒng)具備良好的市場(chǎng)競(jìng)爭(zhēng)力，域控制器兼容 TBOX 功能需求，系統(tǒng)能夠支持休眠喚醒和快速啟動(dòng)。

Linux 和 Android 虛擬機(jī)可按需進(jìn)行資源的配置，包括內(nèi)存、CPU、存儲(chǔ)空間、外設(shè)等。該架構(gòu)支持系統(tǒng)升級(jí)，包括對(duì)虛擬機(jī)和 Hypervisor 的升級(jí)，支持異常日志記錄，包括虛擬機(jī)內(nèi)核和 Hypervisor 日志。

多屏交互是智能座艙重要的應(yīng)用場(chǎng)景，Android 的 APP 應(yīng)用程序可以通過(guò) Hypervisor 推送到 Linux 儀表進(jìn)行顯示。

圖2.4-12 虛擬機(jī)多屏交互架構(gòu)

Android 和 Linux 儀表交互的方案如圖 2.4-12 所示。NXP I.MX8QM 芯片有兩個(gè)以上顯示接口，每個(gè)顯示接口可以接 2 個(gè)顯示屏，當(dāng) Android 系統(tǒng)需要投射信息到儀表屏幕時(shí)，儀表顯示屏的 Overlay 圖層可以進(jìn)行投屏內(nèi)容的顯示。系統(tǒng)交互零延遲、零拷貝，多系統(tǒng)交互不額外占用 CPU 和 GPU 資源。通過(guò)Hypervisor 虛擬化技術(shù)實(shí)現(xiàn)跨系統(tǒng)多屏交互，有效提高了行車安全性，并降低智能座艙的硬件成本。

（2） MT8675 座艙域控制器

RHOS 通過(guò)適配支持MT8675，形成一個(gè)功能豐富、性價(jià)比高的一機(jī)多屏智能座艙域控制器解決方案，已獲得多個(gè)車廠量產(chǎn)項(xiàng)目。

其總體系統(tǒng)架構(gòu)如圖 2.4-13 所示：

圖2.4-13 MT8675智能座艙系統(tǒng)架構(gòu)

MT8675 只提供了一個(gè) GPU，座艙域需要在儀表和中控上共享使用 GPU 資源。RHOS 實(shí)現(xiàn)了 GPU 虛擬化共享，并通過(guò)性能優(yōu)化，達(dá)到業(yè)界領(lǐng)先的虛擬化效果（損耗 < 6%）。RHOS 支持 Suspend to RAM 功能，MT8675 A 核完全下電，滿足智能座艙待機(jī)靜態(tài)功耗小于 4mA 要求。

3.  KCS 3.0 智能座艙虛擬化平臺(tái)

某廠家基于 Renesas H3/M3 + QNX Hypervisor2.x 開發(fā)了支持 “一芯多屏” 的 KSC3.0 智能座艙虛擬化平臺(tái) , 可實(shí)現(xiàn)在一顆 SOC 上同時(shí)運(yùn)行 QNX 儀表、Android 中控及副駕等多個(gè)系統(tǒng)，并支持以下特性：

• 4 個(gè)屏幕同時(shí)輸出

• 多系統(tǒng)實(shí)時(shí) 3D 渲染

• 多屏共享

• 儀表和 IVI 間音樂、地圖應(yīng)用的多屏互動(dòng)，

• 快速啟動(dòng)：<2s

• 人臉及情緒識(shí)別等

  
  

平臺(tái)展示如圖 2.4-14 所示

圖2.4-14 KCS 3.0智能座艙虛擬化平臺(tái)

此外，該廠家還基于 X86+KVM+QEMU 開發(fā)了數(shù)字孿生平臺(tái)，通過(guò)虛擬化技術(shù)來(lái)模擬硬件開發(fā)平臺(tái)， 包括支持多路 Camera、多路顯示輸出、多系統(tǒng)音頻混音，屏幕共享以及多路 CAN 信號(hào)等，能夠很好地解決 SOA 平臺(tái)開發(fā)過(guò)程中開發(fā)人員對(duì)于真實(shí)硬件平臺(tái)的依賴。

識(shí)別二維碼或點(diǎn)擊閱讀原文下載：
《中國(guó)汽車基礎(chǔ)軟件發(fā)展白皮書》