近日,理想汽车发布了《理想星环 OS 技术架构白皮书 v1.0》,本文将其核心的技术内容做了梳理呈现,包括:通信中间件、智能车控OS、智能驾驶OS、虚拟化引擎、信息安全。
1.1 系统说明
星环 OS 通信总线(VBS ,Vehicle Bus System)是专为智能汽车领域打造的高效数据交互通信平台。该平台依托标准化的通信协议、模块化架构以及卓越的实时数据传输能力,为整车电子电气系统构建起一条实时且可靠的信息高速公路。凭借这一平台,智能驾驶、动力控制、信息娱乐、主动安全等关键服务得以实现无缝协同,为智能汽车的高效运行与功能拓展提供坚实保障。通信中间件的系统架构如下图所示:
1.2 核心技术特性
1.2.1 支持全域统一部署
新一代电子电气架构给车载通信中间件带来两大技术难题:一方面,智能驾驶系统要求海量传感器数据能在毫秒级内确定性传输;另一方面,车控域芯片算力与存储空间有限,却需部署管理数百个通信主题(topic)。当前行业内的通信中间件仅能在限定域场景下解决部分问题,导致车载场景全域系统部署时通信协议割裂,工程化管理与维护成本很高。星环 OS 通信中间件基于车载场景实现定制化的 DDS 通信协议,实现面向 MCU 的轻量化设计,构建起真正全域统一的通信基座,核心特点如下:
VBS Pro 版本: 运用无锁化设计与自适应序列化 / 反序列化等技术,实现跨进程零拷贝数据传输,提升数据传输效率;通过发送端消息过滤与定频消息去重等机制,有效减少无效数据传输。
VBS Lite 版本: 借助自定义通信协议、传输通道智能合并、逻辑通信端点等技术创新,降低对系统内存占用,满足了各类资源受限MCU 部署场景需求。
通用特性:VBS Pro 版本与 VBS Lite 版本均采用统一的跨域数据传输协议,这使得全域通信无需进行复杂的多协议间交互 ,简化了通信流程,提升了系统整体的兼容性与易用性。
1.2.2 多传输协议自适应
在车载汽车领域,业务功能部署存在无序性,而且底层介质协议呈现多样化,涉及以太网、CAN、共享内存等多种介质。在传统方案中,针对每种传输介质都需要定制独立的协议栈,应用程序也必须分别适配不同的协议栈,这无疑大幅增加了开发的复杂性与成本。为了解决上述难题,星环 OS 通信中间件设计实现了多传输协议自适应方案,支撑业务使用统一接口层,底层可在跨芯片、芯片内异构核之间、 核内多进程之间等不同场景下,自适应匹配到底层以太网、CAN、共享内存等传输介质上,从而有效简化开发流程,具体如下图所示:
1.2.3 可靠性机制增强
星环 OS 通信中间件不仅支持 E2E 校验、丢包重传、按序到达以及网络拥塞控制等基础传输可靠性保障机制,还实现了多路冗余传输方案、共享内存异常无感恢复等可靠性增强方案,确保关键指令(如主动安全相关指令)能够可靠到达,同时实现传输低延迟,以适应严苛的车规级环境。其中多路冗余传输方案的原理如下图所示:
1.2.4 多层级安全防护
星环 OS 通信中间件基于车载场景进行安全防护增强,实现三级安全防护,如下所示:
设备级:采用一机一密 PKI 身份认证机制,确保非法设备无法探测到授权设备所提供的服务,从源头上阻止非授权设备接入网络,保障设备层面的安全。
应用级:通过对通信实体应用进行权限控制,只有经过签名的可信应用之间才能建立通信,有效防止非可信应用干扰或窃取通信数据,保障通信过程的安全性与可靠性。
数据级:运用会话级数据加密技术,即使报文被中间人截获,由于缺乏有效的解密密钥,也无法获取原文内容,全方位保障数据在传输过程中的保密性。
2.1 系统说明
智能车控 OS(VCOS: Vehicle Control Operating System)是面向车辆控制的操作系统,支撑智能汽车高安全、高实时的核心车控业务部署。系统通过硬实时调度架构确保动力控制、底盘控制等关键任务精准响应,实现感知与决策系统的高效协同,构建从硬件到软件的全链路安全防护体系。智能车控 OS 在实时性、确定性和功能安全等维度显著领先业内系统,并配备覆盖开发调试、仿真验证的可视化工具链,有效提升车企在智能控制系统开发、测试及迭代的效率。智能车控 OS 的系统架构如下图所示:
2.2 核心技术特性
2.2.1 全方位软硬解耦
智能车控系统硬件选型的复杂性曾是制约快速迭代的瓶颈,为应对这一挑战,智能车控 OS 采用了彻底的软硬件解耦策略。内部设计实现了一个逻辑清晰、交互间接的芯片抽象层,通过多维度抽象建模(覆盖 CPU、驱动、编译等),有效屏蔽了底层硬件差异,为上层系统提供了一致且稳定的视图。这种“隔离”设计使得适配新硬件时,把原本需要的绝大部分修改提取到抽象层内部,并借助自动化代码生成工具,适配工作量被大幅削减。这使得车企能够将过去长达数月的芯片适配周期缩短至 4 周,显著提升了芯片选择灵活性,为供应链的韧性提供了坚实保障,架构原理图如下:
2.2.2 寻优算法保障硬实时
在复杂的跨域分布式场景中,会出现各种端到端实时性不达标的状况。智能车控OS 在传统硬实时内核上进行了进一步强化,并借助一体化工具链和全局寻优算法支撑,进一步提升跨系统交互的端到端实时性,其核心能力如下:
硬实时内核:实现了微秒级中断处理和任务切换,保证极低且可预测的中断延迟与切换开销;基于抢占式优先级调度策略,最大限度减少任务阻塞与不确定性。
一体化工具链:提供端到端时序分析与验证功能,协助开发者在设计阶段分析复杂系统的实时性表现;基于全局寻优算法生成最优系统配置 ,并确保系统可以按照优化后系统配置执行,将“事后调试”转化为“设计阶段保障”。
2.2.3 全链路压缩通信时延
完成一次远端服务访问过程中,协议传输层和系统任务调度层的各个环节处理都会影响到最终用户接口的访问时延。因此智能车控 OS 内部基于自研确定性网络、轻量化协议栈、协议栈多核部署等关键技术,大幅缩短了远端访问时延。在跨域控制器传感器资源共享的部分典型场景下,端到端访问时延减少 90%,实现与本地设备基本一致的访问效果 ,优化效果如下:
2.2.4 多维度存储资源优化
传统 OS 通过一些零散功能点做存储资源优化,没有形成全流程闭环的优化逻辑,难以持续迭代优化。智能车控 OS 通过建立资源消耗模型,借助智能车控 OS 的资源分析工具,并结合资源池化等诸多优化机制,形成全流程可持续的优化方案,将 OS的资源开销相比行业领先方案优化 30%,具体方案与效果如下图所示:
2.2.5 轻量级安全隔离
传统操作系统常采用内核级纵向隔离,不仅资源开销大,且高度依赖特定硬件功能,例如复杂的 MMU 配置等。智能车控 OS 创新地在解耦底层硬件特殊功能的依赖基础上,构建了一套轻量级软件解耦框架。该框架实现了核与核、系统软件间、以及应用层级间的三种纵向隔离机制,充分满足车载业务在功能隔离与独立复位方面的核心需求,通过最大化的轻量化设计,实现隔离安全性与资源效率间的最佳平衡,具体原理和效果如下图所示:
3.1 系统说明
智能驾驶 OS 是为智能驾驶场景打造的专用操作系统。系统内部对底层图像处理、AI 推理加速、视频编解码等专用硬件能力进行高效封装,在最大化释放底层硬件性能的同时,向上层应用提供一套简洁易用的接口,助力上层系统聚焦于业务与算法的实现,快速实现产品的迭代演进。同时,智能驾驶 OS 系统在异构图调度确定性、软硬协同的故障诊断与恢复机制等方面采用了诸多创新性设计,为智能驾驶场景提供了卓越的实时性、确定性和安全性保障。智能驾驶 OS 还同步提供了配套开发的仿真、调试和可观测性等完整工具链,显著提升开发者在开发、测试及维护阶段的工作效率。
智能驾驶 OS 的系统架构如下图所示:
3.2 核心技术特性
3.2.1 低时延图像预处理
图像预处理为智能驾驶端侧系统提供核心输入信息,其重要性不言而喻。 由于预处理产生的图像质量、时延及稳定性直接决定了整个智驾系统的性能表现,因此该处理系统构成了智驾 OS 内部的关键功能。为了确保最优效果,智能驾驶 OS 的图像预处理子系统会基于用户配置的多路图像组,动态地规划图像传感器到专用处理硬件(IP)的计算流水线,从而保障最低的端到端处理时延。其工作原理如下图所示:
3.2.2 基于车端优化 AI 推理
智能汽车中 AI 模型推理的应用日益增多,遍及车控、智驾等多个领域,导致模型数量不断增长。然而,不同领域业务对 AI 推理在资源占用、实时性、确定性和安全性方面的要求差异巨大,这使得 AI 算力推理加速变得异常复杂。为了应对这些挑战,智能驾驶 OS 开发的 AI 推理子系统通过多层级 AI 计算资源预编排以及多种内置调度模式(例如:子模型调度、优先级调度、时空资源调度等)相结合的方式,能够根据具体场景灵活选择策略,有效满足端侧 AI 推理的需求。其架构原理如下图所示:
3.2.3 端到端确定性调度能力
作为智能驾驶系统的关键底座之一,智驾 OS 致力于实现两大核心目标: 极致的性能表现与关键链路执行的严格确定性。后者不仅体现在极低的时延抖动,更要求执行过程确定且可回放,这是最大限度保障行车安全与生命安全的基础。为实现这一确定性,智驾 OS 会构建覆盖从传感器输入到控制器输出全过程的异构计算任务图,并将任务精确映射、分配至底层硬件单元,有效管理资源竞争,最终确保端到端调度的可预测性。核心原理的简化架构如下:
3.2.4 定制化的智驾 Linux 内核
在智能驾驶领域,定制化 Linux 内核具有关键作用。由于智能驾驶系统对实时性、可靠性、安全性及特定硬件支持的要求极高,标准通用 Linux 内核通常难以满足这些需求,因此需要进行深度定制和功能增强,以构建适用于智能驾驶场景的系统内核。
定制化智驾 Linux 内核主要采用以下核心技术方案:
实时性和性能提升:采用定制化内核混合抢占模型,提升智能驾驶场景的调度实时性;支持可编程调度算法扩展,满足车载多样化业务需求,全方位优化性能表现。
极致资源利用与管控:采用用户无感知的智能内存分级卸载器有效减少内存占用,配合动态大页技术和优化的页面回收算法,显著提升内存管理效率。
高可靠的健康管理:采用实时高效的健康诊断框架,为智能驾驶业务提供实时功能安全(FHTI)保障,包括软硬件故障的精确定位能力、故障严重等级和功能状态诊断评估以及保障系统可用性的多级故障处理机制。
#04
4.1 系统说明
星环 OS 虚拟化引擎(LiVisor)是用于构建车端 AI 计算中心的虚拟化底座,它通过对 CPU、内存、NPU 以及 I/O 外设进行资源池化管理与安全隔离,在集中式硬件平台上支持车端智能驾驶、智能车控等多域业务的并发运行与协同。在底层充分结合硬件特性进行软硬联合定制化设计,满足不同客户机对冷热启动、跨域通信、高速外设访问等特性的高性能需求。
4.2 核心技术特性
4.2.1 系统级安全隔离
传统虚拟化技术主要针对云端场景设计,而车载业务属于安全关键系统(Safety- Critical),对隔离性要求更为严格。为此,星环 OS 的虚拟化引擎 LiVisor 采用静态分区技术,确保 CPU、内存、中断及独占外设等资源具备更强的隔离性。
CPU 隔离,以物理CPU(PCPU)为粒度做隔离,静态部署逻辑 CPU(VCPU)到物理 CPU(PCPU)上,避免 CPU 资源争抢,保障实时性。
内存隔离,建立全局静态可配内存资源池,基于 CPU 的 Stage 2 MMU 特性实现虚拟机内存空间硬隔离,消除内存越界访问风险。
中断隔离,虚拟化系统中断控制器,按虚拟机粒度划分中断与路由策略,杜绝中断风暴跨虚拟机传播。
独占类外设隔离,结合 CPU 的 Stage 2 MMU 特性及白名单机制对虚拟机独占设备启用直通模式,实现独占类外设 I/O 空间硬件级隔离。
4.2.2 高效资源共享
针对车载域融合场景中 UFS、以太网控制器等非硬件虚拟化设备的共享需求,传统 virtio 半虚拟化方案会导致 30%~40%的 I/O 性能损耗。星环 OS 虚拟化引擎重构 v host 控制面框架,推出基于 virtio 的增强技术 VM Exit-Less。通过消除虚拟机上下文切换(VM-Exit),显著减少数据传输时延 ,极大提升设备虚拟化吞吐性能。
4.2.3 高速跨域互通
传统基于网络的虚拟化通信手段不仅通信时延较高,还会额外消耗网络带宽资源。星环 OS 虚拟化引擎采用了共享内存机制,实现了跨 VM 间的零拷贝通信,确保各类跨 VM 通信场景的实时性,其架构原理如下图所示:
4.2.4 性能损耗更低
传统虚拟化方案因高中断延迟、频繁缺页异常、TLB Miss 高及 vCPU 上下文切换开销大等痛点问题,导致虚拟机性能与实时性严重下降。星环 OS 虚拟化引擎通过以下核心技术构建完整实时虚拟化方案。
vCPU 绑定,将 vCPU 和 pCPU 一对一静态绑定, 减少 CPU 的频繁切换带来的上下文切换损耗。
大页预映射,对虚拟机物理内存进行预映射,消除运行时缺页现象。利用内存大页,减少 Stage 2 内存页表、降低 TLB Miss,提升虚拟机访存性能;
中断直通,控制面-数据面相结合,实现关键中断高效处理:
控制面:Guest OS 对 vGIC 的每次读写都会陷入到 Hypervisor 内的vGIC 模块,保障安全。
数据面:设备中断直通目的 VM,无需经过 Hypervisor 绕行转发,保障性能。
4.2.5 冷热启动加速
车载系统的启动速度与休眠唤醒效率,直接决定用户对“上车即用”体验的满意度。 LiVisor 通过定制化 VM 级并行启动、细粒度 VM 级休眠唤醒及全域休眠唤醒技术,确保用户在上下车、临时离车等场景中始终感受无缝衔接的流畅交互。
LiVisor 支持三级渐进式低功耗策略,功耗控制粒度从外设级覆盖至系统级:
外设级休眠:客户虚拟机动态挂起(Runtime Suspend)非必要外设, 降低局部功耗。
虚拟机级休眠:客户虚拟机按整体业务挂起休眠,包括该虚拟机使用的 CPU以及独占外设。
系统级休眠:系统级挂起休眠,非 AON 电源域软硬件资源均进入低功耗状态。
5.1 系统说明
星环操作系统的信息安全体系是面向智能网联汽车构建的一整套多层级安全防护机制,涵盖数据加密与保护、系统完整性保护、身份认证与权限管理和可信执行环境等关键能力,旨在保障车辆关键功能稳定运行和用户隐私不泄露。核心功能架构如下图所示:
5.2 核心技术特性
5.2.1 数据加密与保护
数据加密与保护功能旨在防止未经授权的访问与篡改,确保数据在存储和传输过程中的机密性、完整性与可用性,降低数据泄露风险。智能汽车涉及大量的用户隐私数据,星环 OS 实现了覆盖全场景的数据加密能力,以保护用户隐私数据。
数据加密的基础是密码学算法。星环 OS 实现了多种密码学算法,涵盖了各类对称加解密算法、非对称签名验签算法、密钥交换算法和哈希算法等,并且通过软硬结合实现提高了算法性能,相较于纯软件实现性能提高了 4 倍。基于这些高性能算法实现了端到端加密,确保数据传输过程中不泄露;同时实现了对应用透明的存储加密,在保护数据的同时降低应用接入成本。通过覆盖全场景的数据加密能力,星环 OS 实现了对关键数据的全程保护,最大程度避免用户隐私泄露。
5.2.2 系统完整性保护
系统完整性确保运行的软件都是经过认证的合法软件,防止系统被非法篡改后进入不可控状态。
系统启动流程中的每一步,都包含对下一级启动对象的合法性校验,如此一环扣一环构成启动的信任链。只有正确通过签名校验的镜像文件才可被加载并运行,包括启动引导程序、内核、固件等镜像文件。启动链条的第一级来源于硬件的启动可信根。
在启动过程的任何阶段,如果签名校验失败,则启动流程会被终止。对于尺寸较大无法一次性校验的磁盘分区,星环 OS 在文件系统层面实现了分区粒度的完整性保护,实时发现非法篡改行为,维护系统环境的可信状态。
为防止攻击者刷入存在已知漏洞的低版本系统,利用防篡改存储实现版本防回退机制,确保设备仅能运行最新的安全固件,从而有效阻止通过旧版本系统实施的攻击行为。
5.2.3 身份认证与权限管控
身份认证与权限管控的目标是让正确的应用,访问正确的资源。智能汽车包含了大量敏感资源,如控制车辆运动的接口,用户的隐私数据等,一旦这些资源被滥用,都会对用户的行车安全和隐私安全造成威胁。星环 OS 实现了应用级的应用身份认证和权限管控能力,确保应用和资源之间的正确访问关系,以应对权限滥用带来的安全风险。
5.2.4 可信执行环境
可信执行环境(TEE)是一个保护敏感数据和代码的硬件安全世界,它为应用程序提供一个隔离的执行环境,确保它们在运行时免受外部攻击的影响。星环 OS 充分利用了硬件的安全能力,基于可信执行环境实现了系统的安全信任根,将整个系统的安全水平提升至硬件芯片级别。
可信执行环境技术将系统的工作状态分为安全世界和非安全世界,TEE 安全系统是运行在安全世界中的软件核心。它驱动了硬件安全能力实现了物理内存隔离,保护系统中最核心的敏感数据和代码。即使非安全世界中的系统(如 Linux)被攻破,攻击者也无法窃取、篡改可信执行环境中的数据和代码。TEE 安全系统负责管理每台设备唯一的硬件根密钥,该密钥仅在安全世界中可访问,无法被导出或复制。基于这把密钥,TEE 安全系统派生出一系列用于数据加密和签名的密钥或证书,保证密钥无法被窃取。
