车载操作系统之争一直没有停止。但一个事实是，目前专门针对汽车开发的操作系统实在是少之又少，憋足了劲的苹果和谷歌也只是分别推出了各自的映射系统，不管是从功能性还是从扩展性上来说，都注定只是阶段性产物，而非长久之计。而现存的这些系统中，也都把大部分精力放到了信息娱乐上，安全性能方面都有一定程度的选择性忽视。

　　所以，在收到QNX要发布一款专门针对汽车安全的操作系统的消息时，尽管这一天是早已定好的团建之日，还带着APEC的限行与交通管制debuff，车云菌还素义无返顾地前往了。



通往ISO 26262的独木桥

　　悬在欧盟众车企头上的几座大山之中，有一座叫做ISO 26262。何物？ISO 26262是2011年11月颁布，从电子设备的安全标准IEC 61508派生出来的，针对汽车所用的电子电气及可编程设备的安全标准，包括硬件、软件及系统各个层面，覆盖从项目定义、开发、生产乃至拆解的全生命周期。

　　个中复杂的定义和繁琐的要求自不必说，要通过这套安全认证，就是个不小的工程。所以我们很容易发现，目前国外汽车上所使用的车载系统更新换代的频率并不是很高，除了车辆本身的研发周期之外，ISO 26262安全认证通过之难也是原因之一。

　　于是，已经跟IEC 61508打了很长时间交道的IT企业们，手中也握上了一张相当重要的底牌。聪明的它们立马想到了一条新的发家致富之路：以辅助OEM进行ISO 26262标准的安全认证为筹码，把那些固执已见或者担心受人掣肘的车企们拉到自己的阵营之中。

　　QNX的这套OS for Automotive Safety（QNX汽车安全操作系统，此为1.0版本，以下简称QNX OS 1.0），就是走的这个路子。而且要走得更远一点，这套操作系统本身已经通过了ISO 26262的安全认证，是世界上第一款经过认证的车载OS，满足最高级别安全要求，车企们直接就可以拎包入住。

它的优势也相当明显：

　　1.根据不完全统计，目前IT企业辅助开发并进行ISO 26262安全认证的通过率仅为40%，采用这种方法的车企如果没有选好合作对象，很有可能就会竹篮打水一场空；

　　2.QNX OS 1.0是套完整的操作系统，功能全面，系统中留有不同功能的扩展接口，车企可以自行选择中间层软件与上层应用进行定制化开发，即节省了开发时间和成本，同样也不缺乏灵活性；

　　3.与Windows或者安卓不同，QNX属于微内核系统，这是QNX OS 1.0通过安全认证并取得最高等级的根本特性之一。当然，这并不是说安卓这类宏内核系统就不能通过安全认证，只不过相比微内核而言，是开启了Hard模式罢了。

　　所谓微内核系统，是指仅提供操作系统核心功能的内核的精简版本，占用内存空间小，可移植性高，最关键的在于微内核自行运行，中间层、软件、应用和驱动都在内核之外的空间上运行，如果有某一部分程序出错，只会影响到出错的这一个独立部分，而不会对内核造成影响。

　　在ISO 26262中，安全被划为分四个等级ASIL(Automotive Safety Integrity Level，汽车安全完整性等级）A-D。ASIL等级越高，对系统的安全性要求也就越高，达到要求所付出的代价也就越大，也就意味着设备的开发周期会更长，所花费的成本更高。

　　但是我们知道，对于一个操作系统而言，承担不同功能的部分其对安全的要求是不同的，涉及到核心组件的计算部分，自然需要高标准，而与应用和软件相关联的部分，标准则可以视其功能降低。所以，如果在操作系统层级，能够将这些对安全功能需求不同的部分进行有效分割，按照不同的安全等级进行针对性设计，而不是一口气全部设计成符合ASIL D标准的，不仅可以节省开发的时间与成本，进行安全认证时耗费的精力与时间也会大幅降低。

　　微内核的这种布局不仅能够保证电子系统的功能安全，对于信息安全的提升，同样有利好作用。QNX的操作系统在对使用者开放权限时，因为不同层次不同可以有针对性的开放。这么说比较抽象，举个例子：假设QNX OS 1.0上有三个不同的房间，使用者发出进入房间A的需求，系统响应之后房门打开，这个时候有小偷的话，也只能把房间A中的东西拿走，而无法突破其他层级或者同层级的房间B与C。

　　而且，由于微内核只将最为重要的功能放在内核之中，内核占用空间小，相对稳定性提高，也很少会需要修改。

模块化

　　我们说大多数的开发商是将信息娱乐功能重视过头，忽略了安全性，那么，QNX OS 1.0会不会因为过分重视安全性能而忘记了娱乐相关被车企否决呢？

　　这就要提到QNX的另外一个产品：QNX Car Platfrom for Infotainment，车载娱乐平台。这个平台目前已经开发到了2.1版本，业内有不少的使用，比如奔驰和奥迪，国内的华阳也是QNX的客户之一。这个平台就是专门针对娱乐功能进行开发的。不过，考虑到车内有安全要求的产品很少会出现在信息娱乐系统当中，所以QNX目前并没有将QNX OS 1.0融入到这个平台之中。

　　但是，车企们对于车载系统的需求是多样化的，不可能只有娱乐或者安全。所以，QNX的产品经理郑怡表示，车载系统功能融合的趋势已经越来越明显，未来主打安全性与主打娱乐性的产品肯定会被集成到一起。而借助微内核的特性，QNX能够将不同特性的部分按照功能进行模块化。以后的解决方案中，会将安全性、娱乐性放到同一操作系统的不同功能模块之中。

　　虽然，QNX OS 1.0在国内是第一次现身，上市也不足月余，但是车云菌在关于QNX的自我修养一文中提到，它的第一次发布亮相是在今年6月份的底特律车联网大会上。在那次大会之上，这套操作系统的功能也更加丰富，不仅整合了一系列的ADAS技术——ACC、车道偏离警告和倒车雷达等，还能够进行二次编程来使用一些附加的设备，比如说酒精联锁设备。

　　但是，要想整合这些功能，单纯依靠一个底层的操作系统是做不到的，还需要有中间层以及软件的辅助，也就是，QNX OS 1.0需要变成一个如同QNX Car Platfrom for Infotainment一样的平台才行。

　　这个平台并不是那么容易炼成的。以ADAS功能为例，要想整合进来，平台必须对于负责相应功能的传感器和控制单元进行信息采集、分析和控制逻辑建立，控制逻辑不再是单一系统时简单的收到信息与报警，而是变成了一个大系统，收集到各类不同信息之后，判断出优先级，再进行处理。另外，目前市场上，传感器与控制单元的种类繁多，使用的标准和机制也各不相同，性能要求有高有低，这个平台不能只适用于某一标准或者某一个性能等级的硬件，而必须成为一个普适平台或者是很容易被改造成能够相互兼容的平台。这对于QNX来说，是一个挑战。郑怡也坦言，虽然QNX已经开始了这方面的开发工作，但是开花结果还需要很长一段时间。

总结：

　　微内核、经过ISO 26262认证，是QNX OS 1.0对制造商与供应商伸出来的橄榄枝。不过，单靠一个操作系统，QNX还解决不了车企们面临的所有问题。在底层OS之上，中间层、软件层以及最上端的应用层都需要安全认证，同样要有足够的安全可靠性。尤其是功能控制优先级一项上，并不是在操作系统层级就会轻松解决的问题。

　　不能提供一揽子解决方案的劣势还表现在功能性不受自我控制。最明显的例子，现阶段联网更新功能还并没有普及，如果操作系统发现重大BUG而需要进行更新的话，用户就没有办法及时收到了。

　　所以，虽然操作系统之于车载系统的重要性不言而喻，但这样看来，一个好的操作系统可以说只是个半成品。所以，我们仍然需要等待一个更加完整的解决方案。