雷鋒網(wǎng)新智駕按：7月10日，在由中國(guó)計(jì)算機(jī)學(xué)會(huì)（CCF）主辦，雷鋒網(wǎng)和香港中文大學(xué)（深圳）承辦的CCF-GAIR全球人工智能與機(jī)器人大會(huì)壓軸日上，大會(huì)智能駕駛專(zhuān)場(chǎng)如約而至。以下內(nèi)容來(lái)自專(zhuān)場(chǎng)對(duì)話(huà)環(huán)節(jié)，對(duì)話(huà)問(wèn)方來(lái)自哈爾濱工業(yè)大學(xué)（深圳）教授朱曉蕊，對(duì)話(huà)答方來(lái)自耶魯大學(xué)教授邵中，后者的團(tuán)隊(duì)目前專(zhuān)注于汽車(chē)領(lǐng)域安全操作系統(tǒng)研究，話(huà)題圍繞“安全操作系統(tǒng)與自動(dòng)駕駛”展開(kāi)。雷鋒網(wǎng)新智駕將對(duì)話(huà)內(nèi)容做了不改變?cè)獾恼砭庉嫛?/span>

目前，大部分對(duì)自動(dòng)駕駛的研究停留在應(yīng)用層或系統(tǒng)級(jí)別層面，但核心軟件，例如操作系統(tǒng)，現(xiàn)在其實(shí)是發(fā)展的黃金時(shí)期。從前的操作系統(tǒng)在設(shè)計(jì)時(shí)，是按照開(kāi)發(fā)普通應(yīng)用的思路，但通用性差，為了能夠快速在市場(chǎng)應(yīng)用，目前操作系統(tǒng)已經(jīng)到了發(fā)展拐點(diǎn)，邵中團(tuán)隊(duì)就在做這方面工作。

邵中團(tuán)隊(duì)目前聚焦于對(duì)面向車(chē)輛的安全操作系統(tǒng)研究，并自主搭建一套支持多核的CertiKOS的安全操作系統(tǒng)。CertiKOS是世界上第一個(gè)能夠在多核平臺(tái)上運(yùn)行，而且能夠以非?？斓乃俣?，支持多個(gè)內(nèi)核的系統(tǒng)，這套技術(shù)正變得越來(lái)越成熟。

如何開(kāi)發(fā)自動(dòng)駕駛所需的安全操作系統(tǒng)？

朱曉蕊：您從新的角度講了如何將安全操作系統(tǒng)應(yīng)用在自動(dòng)駕駛領(lǐng)域，現(xiàn)在做自動(dòng)駕駛的人都知道，ROS (Robot Operating System, 機(jī)器人操作系統(tǒng))是自動(dòng)駕駛領(lǐng)域常用的軟件。那么您所講的安全操作系統(tǒng)與ROS系統(tǒng)之間是什么關(guān)系？

邵中：ROS更像一個(gè)中間件，因?yàn)樗窃贚inux平臺(tái)上搭的。ROS是把一個(gè)很復(fù)雜的應(yīng)用分成不同的層面，但是其中一旦涉及實(shí)時(shí)系統(tǒng)要求的時(shí)候，它還是依賴(lài)于底層操作系統(tǒng)給予這樣的保證，因此，如果底層操作系統(tǒng)到最后完全是Linux的話(huà)，它也不能提供很好的保障，當(dāng)然Linux里面有幾十萬(wàn)行的代碼，它的安全是沒(méi)有保證的。

朱曉蕊：所以安全操作系統(tǒng)，和ROS并沒(méi)有沖突，它只是在ROS的底層加一層安全防護(hù)。第二個(gè)問(wèn)題，如果要專(zhuān)門(mén)為自動(dòng)駕駛系統(tǒng)設(shè)計(jì)一套安全操作系統(tǒng)，需要考慮哪幾個(gè)核心的要素？

邵中：其實(shí)操作系統(tǒng)的概念是非常廣的，之前的主題演講中我介紹了一個(gè)特定的操作系統(tǒng)，但是大家都知道，現(xiàn)在我們講操作系統(tǒng)，管理一個(gè)智慧城市，它的政府部門(mén)加上軟件就屬于一個(gè)操作系。操作系統(tǒng)的概念，其實(shí)就是為硬件平臺(tái)和它上面為應(yīng)用搭建出來(lái)的環(huán)境起到一個(gè)承上啟下的作用。

所以，為了搭建這樣一個(gè)汽車(chē)操作系統(tǒng)，首先要搞清楚你的硬件平臺(tái)是什么樣的。早期階段，很可能是汽車(chē)不同的ECU有自己的電腦，并將一大堆電腦連在一起，但未來(lái)，很可能會(huì)朝著類(lèi)飛機(jī)的情況發(fā)展，它會(huì)把越來(lái)越多的功能都聚到幾個(gè)SoC上。因?yàn)闄C(jī)器的功能越來(lái)越大，所以你必須要明確未來(lái)的硬件是什么樣子。

例如，SoC硬件很可能包括實(shí)時(shí)的CPU、GPU，另外還會(huì)有FPGA，在這上面做操作系統(tǒng)，就需要系統(tǒng)內(nèi)核能夠非常敏捷地應(yīng)用到各種架構(gòu)上。這種架構(gòu)會(huì)越來(lái)越復(fù)雜，所以軟件用抽象層做設(shè)計(jì)的理念跟硬件上開(kāi)發(fā)設(shè)計(jì)的理念是非常一致的，要把這個(gè)硬件搭出來(lái)，搭出一個(gè)非常開(kāi)放的抽象層內(nèi)核，這樣才能保證在各種各樣的情景下，你的操作系統(tǒng)都能轉(zhuǎn)換成汽車(chē)軟件的需求。

所以，首先是為了安全性，要做一定的形式化驗(yàn)證；第二是為了多變的硬件平臺(tái)上多變的軟件應(yīng)用需求，要做到操作系統(tǒng)內(nèi)核非常容易轉(zhuǎn)換成不同的功能。

通用性：安全操作系統(tǒng)的多領(lǐng)域應(yīng)用

朱曉蕊：安全操作系統(tǒng)是一個(gè)非常重要的平臺(tái)，用在自動(dòng)駕駛領(lǐng)域和用在其他領(lǐng)域，有哪些不太一樣的地方？比如，能否分享一下之前你們團(tuán)隊(duì)在安全操作系統(tǒng)的其他方面應(yīng)用和自動(dòng)駕駛應(yīng)用比較接近的案例？

邵中：現(xiàn)在大部分的形式化驗(yàn)證用在航天領(lǐng)域更多一些，或者是被用在飛船的環(huán)境下，很多情況下有些要求可能會(huì)比無(wú)人駕駛車(chē)更高，因?yàn)槿绻惆l(fā)了一個(gè)飛船到月亮上，出現(xiàn)故障的代價(jià)就非常高。而汽車(chē)上，不一定非要把所有的功能都驗(yàn)證。很多情況下，無(wú)人駕駛汽車(chē)關(guān)鍵是要保證出現(xiàn)問(wèn)題或是被黑客攻擊時(shí)，不要整個(gè)車(chē)垮掉，而是要保證黑客再怎么攻擊，只能攻擊到其中的一塊，汽車(chē)最基本的功能還是有。

所以，需要將汽車(chē)上的各種部件分成各種級(jí)別，然后在特定的情況下，能夠保證在車(chē)輛最基本的功能，這是為汽車(chē)做安全操作系統(tǒng)非常重要的一點(diǎn)，這樣可以避免大量的驗(yàn)證工作。

另外，區(qū)塊鏈其實(shí)也是形式化驗(yàn)證中非常相關(guān)的一個(gè)應(yīng)用。這是個(gè)很有意思的領(lǐng)域，比如一旦智能合約中出現(xiàn)一點(diǎn)點(diǎn)的錯(cuò)誤，你很可能就丟錢(qián)了，所以它對(duì)功能驗(yàn)證的要求更高。

在汽車(chē)領(lǐng)域，我相信有一天也會(huì)跟區(qū)塊鏈連在一起，它也會(huì)需要聯(lián)網(wǎng)、需要加密。所以，凡是在汽車(chē)上用到跟這些加密軟件相關(guān)的東西，還是需要驗(yàn)證的。在這方面，國(guó)際上已經(jīng)有很多工作，這些工作也可以應(yīng)用在無(wú)人駕駛車(chē)輛上。至于無(wú)人駕駛車(chē)本身，我認(rèn)為還是要在建模時(shí)搞清楚，在各種情況下保證最基本的安全狀態(tài)，這才是比較有用的一個(gè)目標(biāo)。

藍(lán)海：如何用安全操作系統(tǒng)贏得自動(dòng)駕駛創(chuàng)業(yè)競(jìng)爭(zhēng)力？

朱曉蕊：我相信目前國(guó)內(nèi)產(chǎn)業(yè)界對(duì)自動(dòng)駕駛安全問(wèn)題還沒(méi)有引起足夠的重視，大家可能還普遍在講怎么去做算法，怎么去做決策，實(shí)際上正如邵教授剛才講的，操作系統(tǒng)是一個(gè)最底層的安全保證，如果沒(méi)有，上面的高層級(jí)的安全措施都是無(wú)效的。

下面一個(gè)問(wèn)題，如果是產(chǎn)業(yè)界現(xiàn)在想要去在自動(dòng)駕駛安全方面投入的話(huà)，比如說(shuō)在這個(gè)操作系統(tǒng)的安全方面投入，大家都需要去做什么工作，如何去投入？

邵中：現(xiàn)在做無(wú)人駕駛車(chē)，我個(gè)人覺(jué)得還是比較早的時(shí)候。大家都知道，全世界有很多公司都在做無(wú)人駕駛車(chē)，有很多公司都在寫(xiě)上面的機(jī)器學(xué)習(xí)軟件或者控制軟件，如果你這家公司想做無(wú)人駕駛，怎么在眾多公司當(dāng)中脫穎而出？更不用說(shuō)世界上很多大公司，他們已經(jīng)有了一些積累，已經(jīng)做了很多。比如，谷歌就有自己的操作系統(tǒng)，其開(kāi)發(fā)的是基于安卓的系統(tǒng)，還有很多車(chē)載控制設(shè)備專(zhuān)門(mén)在Linux上開(kāi)發(fā)軟件，也有自己的系統(tǒng)，這樣比下去，很難看到競(jìng)爭(zhēng)出路。

但我想說(shuō)的是，安全絕對(duì)是無(wú)人駕駛車(chē)甚至無(wú)人駕駛飛機(jī)，或者任何跟這個(gè)智能系統(tǒng)相關(guān)的最關(guān)鍵的領(lǐng)域之一，誰(shuí)決定了這個(gè)安全平臺(tái)，誰(shuí)可能就會(huì)成為掌握智能平臺(tái)操作系統(tǒng)的最后贏家。普通軟件一旦有開(kāi)發(fā)bug，大家都是接受的，檢查出來(lái)就可以修復(fù)，但如果在無(wú)人車(chē)、無(wú)人機(jī)上有軟件的安全隱患，就會(huì)成為一個(gè)很大的問(wèn)題。所以我覺(jué)得，目前汽車(chē)行業(yè)應(yīng)該關(guān)注安全方面工作，應(yīng)該有團(tuán)隊(duì)去做安全系統(tǒng)，這是一個(gè)很大的領(lǐng)域。

在這個(gè)領(lǐng)域，可能一開(kāi)始你會(huì)發(fā)現(xiàn)投入不是馬上就能用到實(shí)際的場(chǎng)景，但其實(shí)很多方面還是有很好的效果。比如，我們最近有好幾個(gè)課題，在做一些demo，讓黑客來(lái)攻擊已經(jīng)被驗(yàn)證的操作系統(tǒng)，黑客根本攻擊不進(jìn)去。從這個(gè)角度來(lái)說(shuō)，我覺(jué)得汽車(chē)廠(chǎng)商應(yīng)該關(guān)注底層的操作系統(tǒng)，而不是隨便用其中某一家的，因?yàn)檫@樣很可能造成被動(dòng)，一旦安全需求變了，你就需要做很大的調(diào)整，這方面就不一定能跟上以后的飛速發(fā)展進(jìn)程。

朱曉蕊：贊同，全球都在競(jìng)爭(zhēng)自動(dòng)駕駛方面技術(shù)，如何在國(guó)內(nèi)自動(dòng)駕駛產(chǎn)業(yè)界脫穎而出，這實(shí)際上是一個(gè)蠻有挑戰(zhàn)性的問(wèn)題，也是這次智能駕駛專(zhuān)場(chǎng)這個(gè)環(huán)節(jié)帶來(lái)的前沿技術(shù)的價(jià)值。

最后一個(gè)問(wèn)題，您這個(gè)團(tuán)隊(duì)在安全操作系統(tǒng)領(lǐng)域大概有多少年的積累？

邵中：我們?cè)谶@個(gè)領(lǐng)域的研究，很多是在形式化方法、程序設(shè)計(jì)語(yǔ)言和編譯方面，我個(gè)人在這個(gè)領(lǐng)域已經(jīng)做了20多年，只是最近5年我們開(kāi)始把技術(shù)用到底層的操作系統(tǒng)內(nèi)核當(dāng)中。

在我們這個(gè)領(lǐng)域，很多剛才演講提的工具都已經(jīng)做了很多年，只是最近5年發(fā)現(xiàn)這個(gè)技術(shù)竟然也能做到驗(yàn)證操作系統(tǒng)。甚至現(xiàn)在，很多大公司都開(kāi)始研究如何用這個(gè)形式化方法來(lái)搭建能夠被驗(yàn)證的操作系統(tǒng)。

我覺(jué)得在中國(guó)，一些最底層的非常關(guān)鍵的模塊，比如說(shuō)操作系統(tǒng)、編譯、制造芯片的技術(shù)，沒(méi)有獲得特別多的關(guān)注。操作系統(tǒng)大部分都是開(kāi)源的，像我們這種操作系統(tǒng)過(guò)一段時(shí)間肯定會(huì)開(kāi)源，讓所有人都可以在上面建立新的平臺(tái)，并且慢慢建立起更大的生態(tài)圈。

朱曉蕊：我們非常期待CertiKOS開(kāi)源的這一天，這樣我們都可以在這個(gè)平臺(tái)上把我們?cè)谧詣?dòng)駕駛領(lǐng)域做的一些上層的算法、決策和CertiKOS結(jié)合起來(lái)，大家去建立一個(gè)很穩(wěn)固的、安全的自動(dòng)駕駛系統(tǒng)。

雷鋒網(wǎng)推薦閱讀：《速度與激情8》中的自動(dòng)駕駛汽車(chē)“瘋了”，背后是什么黑客技術(shù)在搗亂？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。