傳統(tǒng)的汽車電子都是以電子控制單元ECU為基本單位，每個ECU具有專用的控制功能，是1個獨立的電子模塊，比如發(fā)動機控制單元ECU、ABS控制單元ECU等等。

隨著處理器計算性能的提升，汽車電子架構(gòu)也開始演變，逐漸開始使用了域控制器DCU的概念，DCU可以將不同ECU的功能整合到單個芯片上，成了新的電子控制模塊。

隨著DCU的出現(xiàn)，汽車中也開始使用Hypervisor技術(shù)，為什么DCU要使用Hypervisor呢？

1.Hypervisor基本概念

在介紹Hypervisor之前，我們要先了解下Supervisor。常見的電子模塊的軟件架構(gòu)主要是硬件、操作系統(tǒng)和應(yīng)用軟件App。

電子模塊軟件架構(gòu)圖

操作系統(tǒng)將內(nèi)存分為兩種不同的空間，內(nèi)核空間和用戶空間，內(nèi)核空間是操作系統(tǒng)內(nèi)核訪問的區(qū)域，獨立于普通的應(yīng)用程序，是受保護的內(nèi)存空間，而用戶空間通常是普通應(yīng)用程序可訪問的內(nèi)存區(qū)域。

根據(jù)內(nèi)核和用戶程序的運行狀態(tài)，操作系統(tǒng)又分為內(nèi)核態(tài)和用戶態(tài)，內(nèi)核態(tài)是操作系統(tǒng)內(nèi)核所運行的模式，具有最高權(quán)限。內(nèi)核態(tài)程序可以直接訪問所有硬件資源并執(zhí)行特權(quán)指令。

用戶態(tài)是普通應(yīng)用程序所運行的模式，權(quán)限較低。用戶態(tài)程序只能訪問有限的資源，不能直接訪問硬件資源或執(zhí)行特權(quán)指令。

用戶程序通過系統(tǒng)調(diào)用來請求操作系統(tǒng)提供的服務(wù)，如文件操作、網(wǎng)絡(luò)通信等。用戶態(tài)程序只能訪問用戶空間，而不能訪問內(nèi)核空間。

操作系統(tǒng)運行在內(nèi)核態(tài)是一種特權(quán)模式，在該模式下向下可訪問處理器內(nèi)核、外設(shè)、中斷、異常等所有寄存器和內(nèi)存資源；向上可以對應(yīng)用軟件中的進程進行調(diào)度，這就是Supervisor模式。

與Supervisor相對應(yīng)的是用戶模式，也就是User模式，User模式只能訪問指定的用戶空間，不能訪問內(nèi)核空間，也不能直接訪問硬件，必須通過系統(tǒng)調(diào)用才能與硬件資源進行交互。

總之，Supervisor的權(quán)限很大！

Hypervisor是Hyper+Supervisor, 而Hyper是超級的意思，所以Hypervisor的權(quán)限更大。Hypervisor除了向下對硬件資源有特權(quán)外，它還可以虛擬出硬件環(huán)境，將虛擬的硬件環(huán)境提供給上層的操作系統(tǒng)，所以它向上不是直接對應(yīng)用程序進行調(diào)度，而是對控制應(yīng)用程序的操作系統(tǒng)OS進行調(diào)度。

Hypervisor軟件架構(gòu)圖

Hypervisor是一種運行在硬件和操作系統(tǒng)之間的中間軟件層。它的主要功能是管理操作系統(tǒng)，將底層的硬件資源（如 CPU、內(nèi)存、存儲和網(wǎng)絡(luò)等）進行抽象和分配，使多個操作系統(tǒng)能夠在同一個硬件上隔離運行。

2. Hypervisor的類型

Hypervisor的具體實現(xiàn)方式可以分為兩類，即1型 Hypervisor和 2型Hypervisor。

1型Hypervisor直接運行在物理硬件上，無需額外的操作系統(tǒng)支持，因此具有更高的性能和效率，也稱為裸機型，適用于對系統(tǒng)穩(wěn)定性、性能和管理功能要求較高的企業(yè)級應(yīng)用。

2型Hypervisor運行在現(xiàn)有的操作系統(tǒng)之上，依賴于宿主操作系統(tǒng)來管理硬件資源，也稱為托管型，通常用于個人計算機和開發(fā)測試環(huán)境。

1型Hypervisor VS 2型Hypervisor

嵌入式系統(tǒng)，尤其是汽車嵌入式系統(tǒng)，要求盡可能低的運算開銷和盡可能高的實時性，所以主要使用1型Hypervisor。

3.Hypervisor的主要功能

Hypervisor主要有兩大功能，1個是隔離，另一個是資源共享。

3.1隔離

隔離就是把物理層的硬件資源隔離成多臺獨立的邏輯控制系統(tǒng)，每個邏輯控制系統(tǒng)都有自己邏輯上獨立的處理器、內(nèi)存和各種外設(shè)，但實際上它并不是真實的物理資源，所以也稱為虛擬機VM。

嵌入式系統(tǒng)中的Hypervisor常使用分離內(nèi)核的架構(gòu)，這種架構(gòu)利用現(xiàn)代處理器的硬件特性（如內(nèi)核態(tài)/用戶態(tài)切換、硬件虛擬化技術(shù)）來實現(xiàn)系統(tǒng)隔離。 

Hypervisor會提供嚴格的隔離環(huán)境，確保虛擬機（VM）之間互不干擾，保障安全性和穩(wěn)定性。對上層軟件而言，虛擬機的使用與原來的物理機是一樣的。

當某個虛擬機出現(xiàn)故障崩潰時，Hypervisor會終止其進程并回收資源，不影響其他虛擬機的正常運行。

隔離的具體實現(xiàn)方式包括：

1）CPU隔離：通過虛擬化指令集為每個VM分配獨立的虛擬CPU，同時利用調(diào)度算法防止資源搶占 。

2）內(nèi)存隔離：采用內(nèi)存分頁和地址空間映射，確保VM僅能訪問自身分配的內(nèi)存區(qū)域，防止越界訪問。

3）I/O設(shè)備隔離：通過設(shè)備直通或虛擬化為VM分配獨占或虛擬化設(shè)備，避免沖突。

4）安全隔離：通過硬件輔助技術(shù)和Hypervisor層加密實現(xiàn)，防止側(cè)信道攻擊和數(shù)據(jù)泄露。

5）實時性隔離：通過時間片輪轉(zhuǎn)或優(yōu)先級調(diào)度，確保高實時性任務(wù)（如ADAS）不受低優(yōu)先級任務(wù)干擾。

3.2資源共享

資源共享，也稱為超分技術(shù)，比如內(nèi)存超分。

內(nèi)存超分是指分配給虛擬機的內(nèi)存總和大于實際可用的物理內(nèi)存總數(shù)。在虛擬化環(huán)境中，內(nèi)存超分允許虛擬機使用更多的內(nèi)存資源，即使這些資源在物理上并不完全存在。

它的原理是不是所有虛擬機在任何時候都會使用到分配給它們的全部內(nèi)存。Hypervisor通過跟蹤虛擬機的內(nèi)存使用情況，將物理內(nèi)存動態(tài)地分配給那些實際需要內(nèi)存的虛擬機，使得多個虛擬機可以共享物理內(nèi)存資源，從而實現(xiàn)分配給虛擬機的內(nèi)存總和超過物理內(nèi)存總量的結(jié)果。

超分技術(shù)使得宏觀上看，多個虛擬機的使用內(nèi)存大于物理內(nèi)存，但微觀上看，超分是通過時間上的快速調(diào)度實現(xiàn)的，實際物理內(nèi)存大小是不變的。

資源共享的具體的實現(xiàn)方式包括：

1）透明頁共享：Hypervisor會檢測多個虛擬機中相同的內(nèi)存頁面，只保留一份映射的物理內(nèi)存頁面，供多個虛擬機共享。這樣可以減少內(nèi)存的實際使用量，為更多虛擬機分配內(nèi)存提供空間。

2）內(nèi)存壓縮：對虛擬機中不經(jīng)常訪問的內(nèi)存頁面進行壓縮，將壓縮后的頁面存儲在物理內(nèi)存中，以節(jié)省內(nèi)存空間。虛擬機需要訪問這些頁面時，再進行解壓縮。

3）交換技術(shù)：將虛擬機暫時不用的內(nèi)存數(shù)據(jù)交換到磁盤上的交換空間中，當需要時再從磁盤交換回物理內(nèi)存。通過這種方式，在物理內(nèi)存不足時，利用磁盤空間來擴展內(nèi)存容量。

動態(tài)內(nèi)存管理使得主機物理機的內(nèi)核僅在虛擬機請求時分配內(nèi)存。主機物理機的內(nèi)存管理器可以在其自己的物理內(nèi)存和交換空間之間移動虛擬機的內(nèi)存。虛擬機可以根據(jù)需要獲取更多內(nèi)存，適應(yīng)不同的工作負載需求。

Hypervisor在隔離基礎(chǔ)上實現(xiàn)硬件資源的動態(tài)共享，可提升利用率并降低成本，共享資源主要實現(xiàn)方式包括：

1）動態(tài)資源分配：根據(jù)VM負載動態(tài)調(diào)整虛擬CPU核心數(shù)和內(nèi)存大小。

2）存儲共享：通過虛擬磁盤或共享存儲允許多虛擬機訪問同一物理存儲，支持快照和克隆。

3）網(wǎng)絡(luò)虛擬化:虛擬交換機可以將物理網(wǎng)卡抽象為多個虛擬網(wǎng)卡，供VM共享帶寬。

4）GPU共享：通過虛擬化顯存或API轉(zhuǎn)發(fā)，支持多VM并行圖形處理。

4.域控制器與Hypervisor

域控制器的主要特點就是將原來幾個獨立的ECU，融合成一個DCU，硬件上使用1個主芯片來處理不同的模塊功能，這樣可以避免為每個功能部署獨立ECU，降低硬件成本和功耗。

但是在融合的過程中，可能會出現(xiàn)把性能特點完全不同的兩種ECU合并在一起，比如實時性高和實時性低的兩個系統(tǒng)、安全性高和安全性低的兩個系統(tǒng)。

這時就會出現(xiàn)系統(tǒng)性能需求不兼容，甚至互相排斥的問題，這種情況就需要使用Hypervisor。

在汽車域控中，對實時性要求較高，所以常采用1型Hypervisor。因為它可以直接管理和分配硬件資源，為虛擬機提供更高效的運行環(huán)境，同時也便于進行安全機制的設(shè)計和實現(xiàn)，確保系統(tǒng)的穩(wěn)定運行。

很多功能模塊對實時性和安全性要求較高，常采用實時性的隔離方式和時間調(diào)度的資源共享方式。通過硬件輔助虛擬化與軟件調(diào)度策略，在隔離與共享之間實現(xiàn)平衡。

4.1智能座艙域

在智能座艙域中，全液晶儀表、AR-HUD、HVAC、環(huán)視、倒車影像、DMS和CMS等對實時性、安全性和可靠性要求極高的領(lǐng)域，通過最高等級ASIL D功能安全標準的QNX操作系統(tǒng)是首選。

而在對實時性要求更低，但對生態(tài)應(yīng)用要求較高的中控及后排信息娛樂系統(tǒng)領(lǐng)域，Android系統(tǒng)是首選。

智能座艙域需要融合這兩種特性完全不同的操作系統(tǒng)，所以必須使用Hypervisor。

這兩類系統(tǒng)也可以劃分為安全相關(guān)的系統(tǒng)（如儀表）和非安全相關(guān)的系統(tǒng)（中控）兩類，主要目標就是要保障安全相關(guān)的高優(yōu)先級任務(wù)不被非安全相關(guān)的低優(yōu)先級進程搶占。

通過Hypervisor虛擬化層實現(xiàn)邏輯隔離，結(jié)合硬件級的物理資源切割，智能座艙就可以在單芯片上構(gòu)建既共享又獨立的混合運行環(huán)境。

座艙域Hypervisor架構(gòu)圖

智能座艙中的分層架構(gòu)主要包括硬件層、Hypervisor層和虛擬機層。硬件層包括SoC芯片、內(nèi)存、外設(shè)控制器等物理資源；Hypervisor層負責(zé)資源分配、虛擬機調(diào)度及硬件訪問控制；虛擬機層包括行儀表系統(tǒng)如QNX、娛樂系統(tǒng)如Android、HUD、DMS等獨立功能域。

目前常用的是QNX Hypervisor，整體架構(gòu)是主芯片上先運行QNX的Hypervisor，再上面一層并行運行QNX和Android。

座艙QNX Hypervisor 架構(gòu)

QNX Hypervisor具有高可靠性、實時性與安全性，能夠滿足系統(tǒng)響應(yīng)速度和穩(wěn)定性的嚴格要求。它采用微內(nèi)核架構(gòu)，通過將不同級別的組件放置在不同的 guest 操作系統(tǒng)中，實現(xiàn)了分離和隔離，支持多種芯片架構(gòu)，能很好地適配域控制器中常用的硬件平臺。并且QNX的Hypervisor本身也通過了ISO26262 ASIL D功能安全認證。

從隔離角度看，儀表和DMS等功能對實時性和安全性的要求很高，而中控的音視頻娛樂系統(tǒng)對實時性要求較低。

Hypervisor 通過硬件虛擬化技術(shù)，能夠在同一硬件平臺上創(chuàng)建多個相互隔離的虛擬環(huán)境，將高安全等級的儀表、DMS等功能與低安全等級的信息娛樂功能分隔開來?？梢员ＷC儀表和DMS功能的實時性和穩(wěn)定性。

在資源共享方面，隨著汽車智能化程度不斷提升，智能座艙中集成的功能越來越多。Hypervisor 能夠高效調(diào)配 CPU、內(nèi)存、存儲等硬件資源，根據(jù)不同任務(wù)的優(yōu)先級和需求動態(tài)分配，提高資源利用率。

比如在車輛正常行駛時，可將更多計算資源分配給導(dǎo)航和信息娛樂功能；當檢測到車輛故障或駕駛員疲勞時，迅速將資源集中于儀表報警和DMS提醒等功能，實現(xiàn)資源的靈活調(diào)度與最優(yōu)配置。

5.小結(jié)

Hypervisor是一種運行在硬件和操作系統(tǒng)之間的中間軟件層。它的主要功能是管理操作系統(tǒng)，將底層的硬件資源（如 CPU、內(nèi)存、存儲和網(wǎng)絡(luò)等）進行抽象和分配，使多個操作系統(tǒng)能夠在同一個硬件上隔離運行。

有些域控制器需要運行多個操作系統(tǒng)，通過Hypervisor，就可以在域控制器中實現(xiàn)不同操作系統(tǒng)和不同功能模塊的融合與共存，比如座艙域中的QNX+Android。