现代智能车机系统4——HPC（1）

当我们将所有鸡蛋（功能）都放在一个篮子（HPC）里时，篮子的安全性就成了头等大事。我们不能让愤怒的小鸟（安卓游戏）因为 Bug 崩溃，而导致刹车系统（智驾 OS）跟着一起死机。

这就引出了混合临界系统 (Mixed-Criticality System) 的设计哲学------让"性命攸关"与"无关紧要"在同一颗芯片上和平共处。

系统软件栈 ------ Hypervisor 与确定性 OS

在汽车行业，软件被严格分为不同的安全等级（ISO 26262）：

挑战：在单芯片架构下，QM 级别的 Android 可能会因为内存泄漏耗尽系统资源，或者死循环占满 CPU，导致 ASIL-D 的刹车任务无法执行。

解法：我们必须构建一道数字柏林墙。

Hypervisor（虚拟机监控器）是运行在硬件之上的第一层软件，它把物理硬件切分成多个虚拟硬件。

主流方案 ：QNX Hypervisor (闭源商业)、ACRN (开源、Linux 基金会主导)。
特点：Hypervisor 直接运行在硬件上，不仅效率高，而且自身代码量极小（几万行），经过严格测试，很难崩溃。
架构实战 ：
- VM 1 (Safety VM) ：运行 QNX / Safety Linux 。负责智驾感知、规控。分配固定的 4 个 CPU 核心和 16GB 内存。优先级：最高。
- VM 2 (Entertainment VM) ：运行 Android 。负责中控屏、应用生态。分配剩余的 CPU 和内存。优先级：低。
- VM 3 (Real-time VM) ：运行 Classic Autosar。负责网关转发和底层车控。

空间隔离 (Spatial Isolation) ：
- 利用 CPU 的 MMU (内存管理单元) 和 IOMMU ，强制规定 Android 只能访问 0x0000 到 0xFFFF 的内存。
- 如果 Android 试图访问越界地址（比如想改写刹车指令的内存），硬件会直接拦截并报错，绝不手软。
外设透传 (Passthrough) ：
- GPU 被切分，智驾专用的 CUDA 核心只有 QNX 能用。
- 以太网控制器被虚拟化，变成多个虚拟网卡。

为什么智驾系统不能用普通的 Linux？因为普通 Linux 是**"尽力而为"**的。当系统负载重时，一个 10ms 的任务可能被拖到 50ms 才执行。对于时速 120km/h 的车，50ms 意味着开出去 1.6 米，这不可接受。

确定性 (Determinism) 意味着：无论系统多忙，关键任务必须在预定的时间内完成。

这是解决 CPU 资源争夺的终极手段。

原理：把 CPU 时间切成固定的时间窗 (Time Window)。
例子：
- 我们将 10ms 定义为一个周期。
- 0~2ms ：强制分配给 智驾 VM。就算智驾没事干，这 2ms 也是空的，Android 也不许用。
- 2~8ms ：分配给 Android VM。如果 Android 任务重，算不完也得暂停，等下一个周期。
- 8~10ms ：分配给 Autosar VM。
结果：智驾系统永远能保证每 10ms 获得 2ms 的计算时间。刹车任务永远不会被抖音卡顿所影响。

在多核异构 SoC (如 Thor) 上，调度更加复杂。

DAG (有向无环图) 调度 ：
- 智驾任务通常是一条流水线：感知 -> 融合 -> 预测 -> 规划 -> 控制。
- 确定性 OS 会根据任务的依赖关系 和最晚截止时间 (Deadline)，静态生成一张调度表。
- 每个任务在哪个核上跑、什么时候跑，在编译阶段就定死了，运行时严丝合缝，如同精密的机械钟表。

结论：
Hypervisor + 确定性 OS 是智能汽车的安全底座。没有它们，高性能计算平台就是沙滩上的城堡，虽华丽却经不起风浪。它们保证了汽车在变得越来越像手机的同时，依然保持着那份属于工业品的严谨与可靠。