2023年11月3日，2023中国汽车软件大会在上海嘉定举办。本届大会以“聚软件之力，创数智未来”为主题，由中国汽车工业协会主办，中国汽车工业协会下属单位中德智能网联汽车推广应用中心、上海智能汽车软件园共同承办，中国汽车工业协会软件分会、智能网联汽车分会和中国汽车工程学会汽车基础软件分会协办。紧扣新时代汽车产业高质量发展和汽车软件发展要求，本次会议设置了“1场大会论坛+4个主题论坛”，旨在打造汽车软件领域开放、高端、权威的交流与沟通平台。其中，在下午举办的“汽车操作系统‘芯’发展”主题论坛上，蔚来汽车SkyOS首席架构师、数字架构资深专家罗金华发表精彩演讲。以下内容为现场演讲实录：

　　大家好，我来自蔚来，很荣幸在此和大家分享一下SkyOS。
　　今天，我会重点介绍一下蔚来SkyOS的发展历程，包括技术方面的一些细节。在蔚来NIO IN(蔚来创新大会)上，我们展示过SkyOS的架构图，但对其中的细节没有具体展开，会后有很多朋友对此表达了浓厚兴趣，想知道更多的信息。今天，我就趁此机会，和大家就相关话题做一个较深入探讨。
　　我今天主要讲的内容包括：蔚来为什么要做SkyOS，第二是SkyOS的演进历程，第三是SkyOS的软件架构，第四是SkyOS的商业化进程。
　　为什么要做整车全域操作系统？有几个原因，一个是防止被“卡脖子”。操作系统被公认为软件皇冠上的明珠，是最为核心的技术之一，也是最容易被“卡脖子”的技术。因此，从产业安全的角度，多年以来，国家把操作系统列为“核高基”项目，是几个最为重要需要突破的技术之一。第二，蔚来很清晰地认识到，要成为智能汽车行业的领导者，必须积累全栈的研发能力，而这其中，操作系统就是最为基础最为核心的能力之一。第三，有了这些技术，我们就可以做整车上的各种优化，包括用户体验、资源利用、性能等等，都可以做很多创新。
　　SkyOS的愿景是以车为中心, 构建座舱、自动驾驶、车控全谱系操作系统内核，打造虚拟化、SOA框架、应用框架、双安全(security & safety)、OTA、数据闭环、分布式IoT操作系统等核心技术集群，全面拥抱AI技术浪潮，从上到下，软硬一体、全方位、全场景优化，为用户带来安全、智能、愉悦的极致数字化体验。其含义有三：一个是要做全场景的操作系统内核，同时也包括虚拟化技术。SkyOS的虚拟化技术，包括基于ARM-A核和MCU的虚拟化技术；第二，就是开发丰富的中间件，包括多个技术集群，形成完善的核心技术能力。第三，很重要的一点就是要拉通整车全域ECU之间的融合和优化。基于这三个核心点，把SkyOS建成车的数字化、智能化的技术基座。
　　SkyOS的发展历程，经过了NT1，NT2，现在正处于NT3研发阶段。NT1的时候，我们在各个垂直域里面建立了一些核心中间件的研发能力比如OTA，整车电源管理，音视频引擎和框架等等；NT2，我们量产了SkyOS-Lite，首次成功替换了AutoSar，技术的成熟度在关键ECU上得到了验证。与此同时，我们也逐渐丰富了中间件，包括自动驾驶的核心框架和算法，传感器框架，通信框架等等。这些方面，我们做了不错的积累；NT3，我们会把SkyOS定义的所有操作系统内核和中间件，以及核心应用和服务都会全面量产。
　　这个是我们在NIO IN上给大家展示的架构图，绿色的部分从下往上看，最下面是Hypervisor，它的主要作用是为不同的操作系统提供硬件资源共享能力。基于ARM-A核的虚拟化技术，会支撑自动驾驶以及座舱域的多个操作系统。基于MCU的虚拟化技术能有效地使用MCU的多核资源。再往上是四个操作系统内核。SkyOS-R，面向的是丰富应用场景，构建高性能、实时操作系统，主要用于座舱和自动驾驶。SkyOS-M是基于ARM的A核打造的高安全高可靠的基于微内核的车控操作系统。SkyOS-L，是高实时、轻量的操作系统内核，用于MCU等处理器。SkyOS-C，对安卓系统深度定制，这个定制，是从上到下的全栈定制，我们优化了性能、优化了资源使用、优化各种应用，用于座舱娱乐系统。再往上一层，是中间件，包括自动驾驶的引擎、SOA框架等。最上一层是各个域的应用，这儿不细讲了。
　　下面分别介绍一下这几个操作系统内核的情况。
　　SkyOS-L，主要是用于 MCU、ARM-R/M核、RISC-V的操作系统。它支持完善的虚拟化技术，有多种调度的算法，包括优先级调度、调度表，dead-line，有完善的Safety的机制，未来替代AUTOSAR对芯片的支持。
　　SkyOS-M，专为ARM_A核设计的实时安全操作系统，基于世界上最快、最安全的微内核，精心为车控设计的双安全操作系统，设计了从应用、核心组件到内核、全栈的双安全机制。
　　SkyOS-R，它用于自动驾驶和座舱域，从这个图可以看到我们对实时操作系统内核做了非常多的优化，从底层的硬件开始，再到操作系统内核，再到很多实时的中间件，也包括应用，全栈做了软硬结合的优化。
　　SkyOS-C，用于座舱的操作系统，针对Android，做了深度定制，无论是性能还是稳定性方面都花了很大精力，结合软硬件的能力，从上到下，全面优化。另一方面，蔚来开发了非常多的子系统，来完善安卓对座舱方面的业务需求和支持。
　　SkyOS-H，主要是指我们在ARM-A核上，做了完善的虚拟化技术，现在我们的hypervisor,其代码体积非常小，仅仅只有几十KB。它的一大特点，是在safety和security方面，有特殊的设计和考虑。另一方面，和很多友商的hypervisor做过对比，很多指标，我们是遥遥领先的。
　　Security和Safety，对于车来说，是不得不谈论的话题。蔚来高度重视这个“双安全技术”，有几百人的团队在做这方面的工作。
　　对security而言，从云到端，采取了很多安全措施和安全技术来保障信息在链路上的安全，比如加密、鉴权、防DOS等等。车内ECU之间也做到了E2E加密和鉴权。另外还包括资源、数据的访问提供了非常详细的分级管理，严格控制对这些资产的访问。我们从芯片级构建根信任链，保障了车端代码的安全运行环境。另外一些技术包括磁盘的加密、安全存储等就不一一列举了。
　　Safety方面，SkyOS也做了系统的设计。大家知道，冗余设计是保障safety的一个重要技术。我们在整车系统设计，考虑了很多冗余设计，涵盖方方面面。作为高端品牌，保障车辆的驾驶安全，蔚来不遗余力。大家知道，蔚来全系车辆标配双电机，这仅仅是其中一个例子，这样的例子还很多，可以说是比比皆是，比如我们的自动驾驶系统，4颗orin，主从2套系统。另外像车控域的ECU,我们都有全面的冗余设计。在SkyOS层面，也有很多的软件设计和算法来配合硬件和系统在safety方面的设计。除了冗余设计之外，当然还有很多其他技术，包括代码质量，缺陷分析，故障监测与诊断等等。可以说是一个立体的，从下往上，层层防护的机制。我们的SkyOS-M是基于sel4的微内核。sel4是被认为通过形式化验证确认没有bug的一个操作系统内核，这是远比ASIL-D等级更高的安全保障，而我们的SkyOS-L的代码质量也是达到了类似ASIL-D的标准，这就是为什么我们敢于替换AutoSar的原因。
　　SkyOS-核心中间件，包括比如大家都熟悉的SOA框架、应用框架、AI算法引擎，分布式操作系统，NIO-LINK，OTA、整车电源管理、数据回还的支持等等，我就不一一介绍了。
　　SkyOS商业化进程，对于蔚来来讲，它内部的自研ECU，像座舱、自驾、Zone Controller、车身控制、底盘控制等全部用上了SkyOS。我们也在和行业内的合作伙伴合作，希望把SkyOS进一步规模化的推广。
　　我的报告到此结束，谢谢大家。
　　（注：本文根据现场速记整理，未经演讲嘉宾审阅）