WO2024012603A1 - 基于多操作系统的车载系统及其控制方法 - Google Patents

Abstract

本申请提供一种基于多操作系统的车载系统及其控制方法。该基于多操作系统的车载系统包括：至少一个应用操作系统及安全监控操作系统，应用操作系统及安全监控操作系统采用同一处理器的不同内核；其中，应用操作系统用于运行非安全应用；安全监控操作系统与应用操作系统通信连接，用于运行安全监控服务，以对应用操作系统进行安全监控。

Description

基于多操作系统的车载系统及其控制方法

本申请要求于2022年07月11日提交的申请号为2022108132200，发明名称为“基于多操作系统的车载系统及其控制方法”的中国专利申请的优先权，其通过引用方式全部并入本申请。

【技术领域】

本申请涉及车载技术领域，特别是涉及一种基于多操作系统的车载系统及其控制方法。

【背景技术】

目前，汽车中控系统，即车载系统已经越来越普及，车载系统不仅包括安卓(Android)娱乐功能、汽车导航、倒车后视等功能，还包括监测系统安全的安全监控等功能。

但现有的车载系统通常是基于安卓操作系统的内核，实现一个应用程序来实现其安全监控功能的。而安卓操作系统是一个应用庞大的系统，运行了很多应用，复杂庞大的系统存在不少安全性问题，其中一个应用运行异常，可能就会导致整个系统崩溃。因此，其安全监控功能会受到安卓操作系统的其它应用运行异常的影响，不能提供有效的安全监控，系统安全性较低。

【发明内容】

本申请主要解决的技术问题是提供一种基于多操作系统的车载系统及其控制方法，以提高安全监控的有效性，提高车载系统的安全性能。

为解决上述技术问题，本申请提供一种基于多操作系统的车载系统。该基于多操作系统的车载系统包括：至少一个应用操作系统及安全监控操作系统，应用操作系统及安全监控操作系统采用同一处理器的不同内核；其中，应用操作系统用于运行非安全应用；安全监控操作系统与应用操作系统通信连接，用于运行安全监控服务，以对应用操作系统进行安全监控。

为解决上述技术问题，本申请提供一种基于多操作系统的车载系统的控制方法。该车载系统包括至少一个应用操作系统及安全监控操作系统，应用操作系统包括第二操作系统，与安全监控操作系统采用同一处理器的不同内核，第二操作系统用于运行快启应用，控制方法进一步包括：为第二操作系统及安全监控操作系统配置内核；获取到上电启动指令，将安全监控操作系统的镜像文件加载到车载系统的运行内存中，并启动安全监控操作系统对应的内核运行， 以完成安全监控操作系统及其安全监控服务的启动；将第二操作系统的Kernel加载到运行内存中，并启动第二操作系统对应的内核运行，依次完成第二操作系统的驱动加载、快启应用依赖的服务的启动、快启应用的启动。

与现有技术相比，本申请的有益效果是：本申请基于多操作系统的车载系统包括：至少一个应用操作系统及安全监控操作系统，应用操作系统及安全监控操作系统采用同一处理器的不同内核；其中，应用操作系统用于运行非安全应用；安全监控操作系统与应用操作系统通信连接，用于对应用操作系统进行安全监控。本申请车载系统利用安全监控操作系统实现对应用操作系统的安全监控，且采用同一处理器的不同内核分别实现安全监控操作系统及应用操作系统，以实现二者之间的隔离，能够避免应用操作系统中应用运行异常而导致安全监控应用无法正常运行的问题，因此能够提高安全监控的有效性，提高车载系统的安全性能。

【附图说明】

图1是本申请基于多操作系统的车载系统一实施例的结构示意图；

图2是本申请车载系统内核划分的一结构示意图；

图3是本申请车载系统的一启动流程示意图；

图4是本申请车载系统内核划分的另一结构示意图；

图5是本申请车载系统的另一启动流程示意图；

图6是本申请基于多操作系统的车载系统不同内核之间的通信流程示意图；

图7是本申请基于多操作系统的车载系统中安全监控操作系统的工作流程示意图；

图8是本申请基于多操作系统的车载系统的控制方法一实施例的流程示意图；

图9是本申请基于多操作系统的车载系统的控制方法中不同内核之间的通信流程示意图；

图10是本申请基于多操作系统的车载系统的控制方法中安全监控操作系统的工作流程示意图。

【具体实施方式】

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请的一部分实施例，而不是 全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本申请首先提出一种基于多操作系统的车载系统，如图1所示，图1是本申请基于多操作系统的车载系统一实施例的结构示意图。本实施例的车载系统包括：至少一个应用操作系统及安全监控操作系统12，应用操作系统及安全监控操作系统12采用同一处理器的不同内核，即二者分别采用内核1及内核2(和内核3)；其中，应用操作系统用于运行非安全应用；安全监控操作系统12与应用操作系统通信连接，用于运行安全监控服务，以对应用操作系统进行安全监控。

本实施例的车载系统利用安全监控操作系统12实现对应用操作系统的安全监控，且采用同一处理器的不同内核分别实现安全监控操作系统12及应用操作系统，以实现二者之间的隔离，能够避免应用操作系统中应用运行异常而导致安全监控应用无法正常运行的问题，因此能够提高安全监控的有效性，提高车载系统的安全性能。

其中，用于运行安全监控操作系统12的内核2，即安全监控操作系统12采用的内核2可以是同一处理器的一个或者多个(两个或者两个以上)内核。安全监控操作系统12主要用于运行一个安全监控应用，即安全监控服务，以监控应用操作系统的运行状态等。

其中，用于运行应用操作系统的内核1(和内核3)，即应用操作系统采用的内核1(和内核3)可以是同一处理器的一个或者多个(两个或者两个以上)其它的内核。

其中，本实施例的应用操作系统包括第一操作系统11及第二操作系统13，其中，第一操作系统11可以是安卓操作系统，安卓(Android)操作系统主要包括：(a)Kernel层，其驱动模块包括片上系统(System-on-a-chip，SOC)上除视频(VEDIO)设备驱动外的所有设备驱动，例如图形处理器(graphics processing unit，GPU)、数据处理器(Data Processing Unit，DPU)、其他模块驱动(包括EMMC、I2C、WIFI、USB等模块)；(b)Service层，即服务层，其服务包括所有运行服务，例如OpenGLES、CarmeraSource、Surfaceflinger、其他运行服务(如Storage Service、WIFI Service、Audio Service)；(c)应用层，其应用包括VEDIO Player、Music Play、3rd Patry APP等。

关于安卓操作系统的具体介绍可以参阅现有技术，本文不做具体限定。在 其它实施例中，应用操作系统还可以是其它非安全的多应用系统等。

需要注意的是本申请的多个(两个或者两个以上)内核可以是同构的或者异构的，具体不做限定。

可选地，本实施例的第二操作系统13可以是Linux操作系统，与第一操作系统及安全监控操作系统12采用同一处理器的不同内核，Linux操作系统采用内核3，安卓操作系统采用内核1，即Linux操作系统、安卓操作系统及安全监控操作系统12分别采用同一处理中独立的内核。

其中，Linux操作系统用于运行快启应用；其中，Linux操作系统仅设置快启应用依赖的资源项，以简化Linux操作系统13，缩短快启应用的启动时间。

安全监控操作系统12分别与安卓操作系统及Linux操作系统通信连接，用于分别安卓操作系统及对Linux操作系统进行安全监控。

其中，用于运行Linux操作系统的内核可以是同一处理器的一个或者多个(两个或者两个以上)其它的内核。

快启应用，即需快速启动的应用，如全景式监控影像系统(Around View Monitor，AVM)应用、智能座舱中倒车应用、车载仪表应用、车载汽车经销商管理系统(Dealer Management System，DMS)应用等。

下面以Linux操作系统运行AVM应用为例，进行描述。

AVM应用依赖3个重要的硬件模块：GPU、DPU、VEDIO IN。其中，GPU可以加速图像处理，对应Android Kernel的GPU驱动和Android Service的OpenGLES接口；DPU为显示模块，对应Android Kernel的DPU驱动和Android Service的Surfacefingler接口；VEDIO IN为摄像头图像采集模块，对应Android Kernel的VEDIOIN驱动和Android Service的CamerSource接口。

AVM应用是Android应用层一个java写的APP应用程序，它通过CameraSource接口获取VEDIO IN模块采集的摄像头图像数据，经过算法使用GPU硬件模块完成图像数据畸变矫正以及拼接，最后通过Surfaceflinger显示到屏幕上。

现有的车载系统中，如上的AVM系统存在如下问题：

(1)Camerasource接口、Surfaceflinger服务、OpenGLES库等这些组件都必须在Android主文件系统加载起来后才能工作，AVM APP更是要整个Android系统启动完成，进入主界面后才能启动。所以传统的车载系统，汽车冷启动，获得AVM图像的过程非常慢，一般在20s以上。

(2)Android系统是一个应用庞大系统，系统运行了很多服务，复杂庞大的系统存在不少安全性问题，例如其中一个服务运行异常，可能导致整个系统崩溃，这个AVM应用也会受到影响，所以AVM功能受Android系统的影响，安全性较低。

而本实施例的车载系统，将AVM功能独立出来，单独运行在一Linux操作系统中，可以达到AVM快速启动，且运行安全的效果。

且本实施例的Linux操作系统是定制裁剪的，仅包括：(a)Linux Kernel层，主要包括AVM依赖的GPU、DPU、VEDIO设备驱动；(b)Linux Service层，主要包括AVM依赖的OpenGLES、CarmeraSource、Surfaceflinger和Safety Service；(c)Linux应用层只运行一个AVM应用。简化的Linux操作系统能够进一步加快AVM的启动。

SOC集成多个内核，例如4个内核或者8个内核。本实施例充分利用多核系统的资源优势，在SOC上运行3个操作系统，第一操作系统11运行在部分内核，安全监控操作系统12运行在部分内核，第二操作系统13运行在剩下内核上。

进一步地，本实施例的第一操作系统11及第二操作系统13都需要GPU及DPU这2个资源模块，可以使用软件虚拟化技术(Hypervisor)达到第一操作系统11及第二操作系统13共同访问这2个资源模块。

由上述分析可知，车载系统进一步包括SOC，在SOC设有多个物理内核，并分别为第一操作系统11、安全监控操作系统12及第二操作系统13分配至少一个物理内核。

具体地，如图2所示，SOC运行时为第一操作系统11、安全监控操作系统12及第二操作系统13分配物理内核，例如SOC设有4个物理内核Core[0]-Core[3]，分配Core[0]给安全监控操作系统13；分配Core[1]给第二操作系统；分配Core[2]及Core[3]给第一操作系统11。

可选地，如图3所示，车载系统上电启动，运行引导加载程序，即bootloader，初始化硬件设备，SOC分别为第一操作系统11、安全监控操作系统12及第二操作系统13分配不同的物理内核；bootloader加载安全监控操作系统12的镜像文件到运行内存中，启动安全监控操作系统12对应的内核运行，完成安全监控操作系统12及其安全监控服务的启动。

bootloader加载Min Kernel到运行内存中，启动Linux操作系统对应的内 核运行。Linux kernel完成驱动加载后，启动AVM依赖的CarmeraSource、surfaceflinger及Opengles服务，最后启动AVM应用。

bootloader加载Android Kernel到运行内存中，启动安卓操作系统对应的内核运行。Android Kernel完成驱动加载后，启动Android所有Service，在Android Service启动完成后，最后启动Android应用。

进一步地，为快速启动AVM应用，可以在AVM应用启动阶段分配较多的物理内核给第二操作系统13，等AVM应用启动完成后，再释放物理内核给第一操作系统11。本实施例在AVM应用启动阶段为第二操作系统13配置较多的物理内核，能够保证AVM应用快速启动，且在AVM应用启动完成后，再将部分物理分配给第二操作系统13的部分物理内核释放给车载系统的其它应用操作系统，如第一操作系统11，以保证其它应用操作系统的运行速率及资源的合理利用。

在另一实施例中，还可以通过软件虚拟化(Hypervisor)技术为第一操作系统11、安全监控操作系统12及第二操作系统13分配内核。本实施例的车载系统进一步包括内核虚拟化系统14(如图4所示)，其是通用实现是在处理器的EL2(Exception Level)设计一层软件。内核虚拟化系统14利用Hypervisor技术将物理内核虚拟化为多个虚拟内核，SOC分别为第一操作系统11、安全监控操作系统12及第二操作系统13分配至少一个虚拟内核。

具体地，如图4所示，内核虚拟化系统14使用Hypervisor技术将物理内核Core[0]-Core[3]虚拟化多个虚拟内核VCore[0]-VCore[5]，分配VCore[0]给安全监控操作系统12；分配VCore[0]、VCore[2]给第二操作系统13；分配VCore[3]、VCore[4]、VCore[5]给第一操作系统11。

可选地，如图5所示，系统上电启动，运行bootloader，初始化硬件设备，bootloader加载Hypervisor的镜像文件到运行内存中，启动Hypervisor启动成功后，虚拟化多个虚拟内核；Hypervisor加载安全监控操作系统12的镜像文件到运行内存中，启动安全监控操作系统12对应的内核运行，完成安全监控操作系统12及其安全监控服务的启动。

Hypervisor加载Min Kernel到运行内存中，启动Linux操作系统对应的内核运行。Linux kernel完成驱动加载后，启动AVM依赖的CarmeraSource、surfaceflinger及Opengles服务，最后启动AVM应用。

Hypervisor加载Android Kernel到运行内存中，启动安卓操作系统对应的 内核运行。Android Kernel完成驱动加载后，启动Android所有Service，在Android Service启动完成后，最后启动Android应用。

在另一实施例中，还可以结合图2实施例的物理划分方式及图4实施例的虚拟划分方式为第一操作系统、安全监控操作系统及第二操作系统分配内核。

具体地，SOC设有多个物理内核，内核虚拟化系统将部分物理内核虚拟化为多个虚拟内核，SOC分别为第一操作系统及第二操作系统分配至少一个虚拟内核，并为安全监控操作系统分配至少一个物理内核。

在其它实施例中，还可以为第一操作系统和/或第二操作系统分配物理内核，为安全监控操作系统分配虚拟内核。

本实施例的车载系统还设置有内存。

可选地，本实施例的车载系统还能够实现不同内核之间通信，具体地，如图6所示，本实施例是基于中断和共享内存的方式实现不同内核之间通信。假定SOC中有n个内核，以Core[0]向Core[n-1]发送消息为例：

Core[0]向预定的共享内存data_A[]写入消息；Core[0]写中断，控制器触发Core[n-1]收到中断；Core[n-1]收到中断，进入中断处理程序中，并从共享内存data_A[]读取该消息。

可选地，如图7所示，本实施例采用如下方式实现安全监控操作系统12对第一操作系统11及第二操作系统13进行运动状态的监控：运行在第二操作系统13及第一操作系统11上的Safety Service会以固定频率的间隔，通过进程间通信，即IPC方式发送消息告知安全监控操作系统12运行的安全监控服务Safety Monitor。消息类型可自行定义，可以定义两中消息：“alive”和“fatal”。

Safety Monitor接收到“alive”，认定发送消息的操作系统运行正常，不做处理，继续监听消息；Safety Monitor接收到“fatal”，认定发送消息的操作系统运行遇到致命错误，需要重新启动运行该操作系统，以恢复正常运行；Safety Monitor在规定的时间内，没有收到操作系统发送的消息，认定未发送消息的操作系统运行遇到致命错误，需要重新启动该操作系统，以恢复正常运行。

进一步地，Safety Monitor还可以通过看门狗Watchdog来监控自身的运行状态，如以固定频率的间隔，向Watchdog的Register发送喂狗信号，如果Safety Monitor运行异常，没有及时喂狗，安全监控操作系统12会重启，以恢复正常运行。

本申请进一步提出一种基于多操作系统的车载系统的控制方法，如图8所 示，图8是本申请基于多操作系统的车载系统的控制方法一实施例的流程示意图。本实施例的控制方法可以用于上述基于多操作系统的车载系统，本实施例的控制方法具体包括以下步骤：

步骤S81：为第二操作系统及安全监控操作系统配置内核。

车载系统还包括至少一个应用操作系统及安全监控操作系统，应用操作系统包括第二操作系统，SOC为第二操作系统及安全监控操作系统配置内核。SOC为第二操作系统配置内核，且第二操作系统与安全监控操作系统位于处理器的不同内核，第二操作系统用于运行快启应用；其中，第二操作系统仅设置快启应用依赖的资源项，以简化Linux操作系统，缩短快启应用的启动时间。

快启应用，即需快速启动的应用，如AVM应用、智能座舱中倒车应用、车载仪表应用、车载DMS应用等。

进一步地，应用操作系统还可以包括第一操作系统。SOC分别为第一操作系统、第二操作系统及安全监控操作系统配置内核。

SOC运行时分别为第一操作系统、安全监控操作系统及第二操作系统分配至少一个物理内核；或者SOC运行时，通过内核虚拟化系统采用Hypervisor技术将SOC的物理内核虚拟化为多个虚拟内核，SOC分别为第一操作系统、安全监控操作系统及第二操作系统分配至少一个虚拟内核；又或者通过内核虚拟化系统采用Hypervisor技术将SOC的部分物理内核虚拟化为多个虚拟内核，SOC分别为第一操作系统及第二操作系统分配至少一个虚拟内核，并为安全监控操作系统分配至少一个未虚拟化的物理内核。

在其它实施例中，SOC还可以为第一操作系统和/或第二操作系统分配物理内核，为安全监控操作系统分配虚拟内核。

其中，本实施例的第二操作系统可以是Linux操作系统，第一操作系统可以是安卓操作系统；在其它实施例中，第一操作系统还可以是其它非安全的多应用系统等。

步骤S82：获取到上电启动指令，将安全监控操作系统的镜像文件加载到控制系统的运行内存中，并启动安全监控操作系统对应的内核运行，以完成安全监控操作系统及其安全监控服务的启动。

步骤S83：将第二操作系统的Kernel加载到运行内存中，并启动第二操作系统对应的内核运行，依次完成第二操作系统的驱动加载、快启应用依赖的服务的启动、快启应用的启动。

进一步的，本实施例的控制方法还包括步骤S84。

步骤S84：将第一操作系统的Kernel加载到运行内存中，并启动第一操作系统对应的内核运行，依次完成第一操作系统的驱动加载、服务启动、应用启动。

本实施例的车载系统利用安全监控操作系统实现对应用操作系统的安全监控，且采用同一处理器的不同内核分别实现安全监控操作系统及应用操作系统，以实现二者之间的隔离，能够避免应用操作系统中应用运行异常而导致安全监控应用无法正常运行的问题，因此能够提高安全监控的有效性，提高车载系统的安全性能。

本实施例将快启应用独立出来，单独运行在一Linux操作系统中，可以达到快启应用快速启动，且运行安全的效果。

在其它实施例中，不限定步骤S82至步骤S84的执行顺序。

在一应用场景中，在SOC为安卓操作系统、安全监控操作系统及Linux操作系统分配物理内核后，车载系统上电启动，运行引导加载程序，即bootloader，初始化硬件设备，SOC分别为安卓操作系统、安全监控操作系统及Linux操作系统分配不同的物理内核；bootloader加载安全监控操作系统的镜像文件到运行内存中，启动安全监控操作系统对应的内核运行，完成安全监控操作系统及其安全监控服务的启动。

bootloader加载Min Kernel到运行内存中，启动Linux操作系统对应的内核运行。Linux kernel完成驱动加载后，启动AVM依赖的CarmeraSource、surfaceflinger及Opengles服务，最后启动AVM应用。

bootloader加载Android Kernel到运行内存中，启动安卓操作系统对应的内核运行。Android Kernel完成驱动加载后，启动Android所有Service，在Android Service启动完成后，最后启动Android应用。

在另一应用场景中，在SOC为安卓操作系统、安全监控操作系统及Linux操作系统分配虚拟内核后，系统上电启动，运行bootloader，初始化硬件设备，bootloader加载Hypervisor的镜像文件到运行内存中，启动Hypervisor启动成功后，虚拟化多个虚拟内核；Hypervisor加载安全监控操作系统的镜像文件到运行内存中，启动安全监控操作系统对应的内核运行，完成安全监控操作系统及其安全监控服务的启动。

Hypervisor加载Min Kernel到运行内存中，启动Linux操作系统对应的内 核运行。Linux kernel完成驱动加载后，启动AVM依赖的CarmeraSource、surfaceflinger及Opengles服务，最后启动AVM应用。

Hypervisor加载Android Kernel到运行内存中，启动安卓操作系统对应的内核运行。Android Kernel完成驱动加载后，启动Android所有Service，在Android Service启动完成后，最后启动Android应用。

进一步地，为快速启动快启应用，SOC为第二操作系统分配预设数量的内核，并在第二操作系统启动完成后，释放部分内核给第一操作系统。其中，该预设数量大于第二操作系统运行快启应用所需的内核的数量。本实施例在AVM应用启动阶段为第二操作系统配置较多的物理内核，能够保证AVM应用快速启动，且在AVM应用启动完成后，再将部分物理分配给第二操作系统的部分物理内核释放给车载系统的其它应用操作系统，如第一操作系统，以保证其它应用操作系统的运行速率及资源的合理利用。

可选地，本申请的控制方法还可以实现不同内核之间的通信。处理器(的SOC)设有第一内核及第二内核，分别对应应用操作系统及安全监控系统，本实施例的控制方法基于中断和共享内存实现不同内核之间通信。其中，该通信方法具体包括如图9所示的步骤S91至步骤S93。

步骤S91：应用操作系统向共享内存写入消息。

第一内核向共享内存写入消息。

步骤S92：应用操作系统写中断，以触发安全监控系统接收所述中断。

第一内核写中断，以触发第二内核接收所述中断。

步骤S93：安全监控操作系统接收到中断后，进入中断处理程序，并从共享内存中读取消息。

第二内核接收到中断后，进入中断处理程序，并从共享内存中读取消息。

假定SOC中有n个内核，以Core[0]向Core[n-1]发送消息为例：

Core[0]向预定的共享内存data_A[]写入消息；Core[0]写中断，控制器触发Core[n-1]收到中断；Core[n-1]收到中断，进入中断处理程序中，并从共享内存data_A[]读取该消息。

需要注意的是，上述不同操作系统对应的内核之间均可以采用上述方式进行通信。

可选地，本申请的控制方法还可以实现安全监控操作系统对应用操作系统的安全监控。具体地，可以通过如图10所示的方法实现，本实施例的方法包括 步骤S101至步骤S103。

步骤S101：应用操作系统向安全监控操作系统发送消息。

运行在应用操作系统上的Safety Service会以固定频率的间隔，通过进程间通信，即IPC方式发送消息告知安全监控操作系统运行的安全监控服务Safety Monitor。消息类型可自行定义，可以定义两中消息：“alive”和“fatal”。

步骤S102：安全监控操作基于消息或者接收消息的等待时长确定应用操作系统的运行状态。

Safety Monitor接收到“alive”，认定发送消息的应用操作系统运行正常，不做处理，继续监听消息；Safety Monitor接收到“fatal”，认定发送消息的应用操作系统运行遇到致命错误，需要重新启动运行该应用操作系统，以恢复正常运行；Safety Monitor在规定的时间内，没有收到应用操作系统发送的消息，认定未发送消息的应用操作系统运行遇到致命错误，需要重新启动该应用操作系统，以恢复正常运行。

步骤S103：若运行状态为异常状态，则安全监控操作系统重启应用操作系统。

若应用操作系统运行异常，安全监控操作系统重启应用操作系统。

安全监控操作系统分别与对安卓操作系统及Linux操作系统通信连接，可以采用上述方法实现对安卓操作系统及Linux操作系统的安全监控。

进一步地，Safety Monitor还可以通过看门狗Watchdog来监控自身的运行状态，如以固定频率的间隔，向Watchdog的Register发送喂狗信号，如果Safety Monitor运行异常，没有及时喂狗，重启安全监控操作系统，以恢复正常运行。

上述各操作系统的介绍可以参阅上述实施例，这里不赘述。

区别于现有技术，本申请基于多操作系统的车载系统包括：至少一个应用操作系统及安全监控操作系统，应用操作系统及安全监控操作系统采用同一处理器的不同内核；其中，应用操作系统用于运行非安全应用；安全监控操作系统与应用操作系统通信连接，用于对应用操作系统进行安全监控。本申请车载系统利用安全监控操作系统实现对应用操作系统的安全监控，且采用同一处理器的不同内核分别实现安全监控操作系统及应用操作系统，以实现二者之间的隔离，能够避免应用操作系统中应用运行异常而导致安全监控应用无法正常运行的问题，因此能够提高安全监控的有效性，提高车载系统的安全性能。

本申请提出将AVM应用独立运行在一个系统中，将多核SOC分配为安全 监控操作系统所需的内核、第二操作系统所需的内核和第一操作系统所需的内核，第二操作系统上运行AVM应用，第一操作系统运行Android应用，安全监控操作系统上运行Safety Monitor，用来监控第二操作系统和第一操作系统的运行状态，并处理异常恢复，达到快速启动(可以在3S左右完成AVM启动显示)和运行安全的效果。

本申请将AVM应用放在第二操作系统中，因为第二操作系统只需要支持AVM应用，可以裁剪非常精简，从而达到快速启动目的；且相比复杂庞大的第一操作系统，精简的第二操作系统，运行的服务少，应用单一，所以更加稳定安全，而且第一操作系统和第二操作系统是隔离的，所以第一操作系统运行出现异常也不会影响第二操作系统。

本申请提出的系统架构及方法不仅适用于AVM快速启动和运行安全的场景，也可以适用其他模块场景，例如智能座舱中倒车快速启动、车载仪表快速启动、车载DMS系统快速启动等。

以上所述仅为本申请的实施方式，并非因此限制本申请的专利范围，凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本申请的专利保护范围内。

Claims (11)

1. 一种基于多操作系统的车载系统，其特征在于，包括：至少一个应用操作系统及安全监控操作系统，所述应用操作系统及所述安全监控操作系统采用同一处理器的不同内核；

   其中，所述应用操作系统用于运行非安全应用；

   所述安全监控操作系统与所述应用操作系统通信连接，用于运行安全监控服务，以对所述应用操作系统进行安全监控。
2. 根据权利要求1所述的车载系统，其特征在于，所述应用操作系统包括第二操作系统，与所述安全监控操作系统采用所述处理器的不同内核，其中，所述第二操作系统用于运行快启应用；其中，所述第二操作系统仅配置加载所述快启应用依赖的资源项；

   所述安全监控操作系统与所述第二操作系统通信连接，用于对所述第二操作系统进行安全监控。
3. 根据权利要求2所述的车载系统，其特征在于，所述应用操作系统还包括第一操作系统，与所述安全监控操作系统通信连接，所述安全监控操作系统还用于对所述第一操作系统进行安全监控。
4. 根据权利要求3所述的车载系统，其特征在于，所述车载系统进一步包括片上系统，所述片上系统设有多个物理内核，并分别为所述第一操作系统、所述安全监控操作系统及所述第二操作系统分配至少一个所述物理内核。
5. 根据权利要求3所述的车载系统，其特征在于，所述车载系统进一步包括片上系统及与内核虚拟化系统，所述片上系统设有物理内核，所述内核虚拟化系统将至少部分所述物理内核虚拟化为多个虚拟内核，所述片上系统分别为所述第一操作系统、所述安全监控操作系统及所述第二操作系统分配至少一个所述虚拟内核和/或至少一个所述物理内核。
6. 一种基于多操作系统的车载系统的控制方法，其特征在于，所述车载系统包括至少一个应用操作系统及安全监控操作系统，所述应用操作系统包括第二操作系统，与所述安全监控操作系统采用同一处理器的不同内核，所述第二操作系统用于运行快启应用，所述控制方法包括：

   为所述第二操作系统及所述安全监控操作系统配置内核；

   获取到上电启动指令，将所述安全监控操作系统的镜像文件加载到所述车 载系统的运行内存中，并启动所述安全监控操作系统对应的内核运行，以完成所述安全监控操作系统及其安全监控服务的启动；

   将所述第二操作系统的Kernel加载到所述运行内存中，并启动所述第二操作系统对应的内核运行，依次完成所述第二操作系统的驱动加载、所述快启应用依赖的服务的启动、所述快启应用的启动。
7. 根据权利要求6所述的控制方法，其特征在于，所述应用操作系统还包括第一操作系统，与所述安全监控操作系统及所述第二操作系统采用所述处理器的不同内核，所述控制方法进一步包括：

   为所述第一操作系统配置内核；

   将所述第一操作系统的Kernel加载到所述运行内存中，并启动所述第一操作系统对应的内核运行，依次完成所述第一操作系统的驱动加载、服务启动、应用启动。
8. 根据权利要求7所述的控制方法，其特征在于，为所述第一操作系统、所述第二操作系统及所述安全监控操作系统配置内核，包括：

   分别为所述安全监控操作系统及所述第二操作系统、所述第一操作系统分配至少一个物理内核；或者

   将至少部分物理内核虚拟化为多个虚拟内核；

   分别为所述安全监控操作系统及所述第二操作系统、所述第一操作系统分配至少一个所述虚拟内核和/或至少一个所述物理内核。
9. 根据权利要求7所述的控制方法，其特征在于，为所述第二操作系统配置内核，包括：

   为所述第二操作系统分配预设数量的内核；

   所述控制方法进一步包括：在所述第二操作系统启动完成后，释放部分所述内核给所述第一操作系统。
10. 根据权利要求6所述的控制方法，其特征在于，所述控制方法进一步包括：

    所述应用操作系统向共享内存写入消息；

    所述应用操作系统写中断，以触发所述安全监控操作系统接收所述中断；

    所述安全监控操作系统接收到所述中断后，进入中断处理程序，并从所述共享内存中读取所述消息。
11. 根据权利要求6所述的控制方法，其特征在于，进一步包括：

    所述应用操作系统向所述安全监控操作系统发送消息；

    所述安全监控操作基于所述消息或者接收所述消息的等待时长确定所述应用操作系统的运行状态；

    若运行状态为异常状态，则所述安全监控操作系统重启所述应用操作系统。