雷鋒網(wǎng)新智駕按：7月10日，在由中國計(jì)算機(jī)學(xué)會（CCF）主辦，雷鋒網(wǎng)和香港中文大學(xué)（深圳）承辦的CCF-GAIR全球人工智能與機(jī)器人大會壓軸日上，大會智能駕駛專場如約而至。以下內(nèi)容來自專場對話環(huán)節(jié)，對話問方來自哈爾濱工業(yè)大學(xué)（深圳）教授朱曉蕊，對話答方來自耶魯大學(xué)教授邵中，后者的團(tuán)隊(duì)目前專注于汽車領(lǐng)域安全操作系統(tǒng)研究，話題圍繞“安全操作系統(tǒng)與自動駕駛”展開。雷鋒網(wǎng)新智駕將對話內(nèi)容做了不改變原意的整理編輯。

目前，大部分對自動駕駛的研究停留在應(yīng)用層或系統(tǒng)級別層面，但核心軟件，例如操作系統(tǒng)，現(xiàn)在其實(shí)是發(fā)展的黃金時期。從前的操作系統(tǒng)在設(shè)計(jì)時，是按照開發(fā)普通應(yīng)用的思路，但通用性差，為了能夠快速在市場應(yīng)用，目前操作系統(tǒng)已經(jīng)到了發(fā)展拐點(diǎn)，邵中團(tuán)隊(duì)就在做這方面工作。

邵中團(tuán)隊(duì)目前聚焦于對面向車輛的安全操作系統(tǒng)研究，并自主搭建一套支持多核的CertiKOS的安全操作系統(tǒng)。CertiKOS是世界上第一個能夠在多核平臺上運(yùn)行，而且能夠以非?？斓乃俣龋С侄鄠€內(nèi)核的系統(tǒng)，這套技術(shù)正變得越來越成熟。

如何開發(fā)自動駕駛所需的安全操作系統(tǒng)？

朱曉蕊：您從新的角度講了如何將安全操作系統(tǒng)應(yīng)用在自動駕駛領(lǐng)域，現(xiàn)在做自動駕駛的人都知道，ROS (Robot Operating System, 機(jī)器人操作系統(tǒng))是自動駕駛領(lǐng)域常用的軟件。那么您所講的安全操作系統(tǒng)與ROS系統(tǒng)之間是什么關(guān)系？

邵中：ROS更像一個中間件，因?yàn)樗窃贚inux平臺上搭的。ROS是把一個很復(fù)雜的應(yīng)用分成不同的層面，但是其中一旦涉及實(shí)時系統(tǒng)要求的時候，它還是依賴于底層操作系統(tǒng)給予這樣的保證，因此，如果底層操作系統(tǒng)到最后完全是Linux的話，它也不能提供很好的保障，當(dāng)然Linux里面有幾十萬行的代碼，它的安全是沒有保證的。

朱曉蕊：所以安全操作系統(tǒng)，和ROS并沒有沖突，它只是在ROS的底層加一層安全防護(hù)。第二個問題，如果要專門為自動駕駛系統(tǒng)設(shè)計(jì)一套安全操作系統(tǒng)，需要考慮哪幾個核心的要素？

邵中：其實(shí)操作系統(tǒng)的概念是非常廣的，之前的主題演講中我介紹了一個特定的操作系統(tǒng)，但是大家都知道，現(xiàn)在我們講操作系統(tǒng)，管理一個智慧城市，它的政府部門加上軟件就屬于一個操作系。操作系統(tǒng)的概念，其實(shí)就是為硬件平臺和它上面為應(yīng)用搭建出來的環(huán)境起到一個承上啟下的作用。

所以，為了搭建這樣一個汽車操作系統(tǒng)，首先要搞清楚你的硬件平臺是什么樣的。早期階段，很可能是汽車不同的ECU有自己的電腦，并將一大堆電腦連在一起，但未來，很可能會朝著類飛機(jī)的情況發(fā)展，它會把越來越多的功能都聚到幾個SoC上。因?yàn)闄C(jī)器的功能越來越大，所以你必須要明確未來的硬件是什么樣子。

例如，SoC硬件很可能包括實(shí)時的CPU、GPU，另外還會有FPGA，在這上面做操作系統(tǒng)，就需要系統(tǒng)內(nèi)核能夠非常敏捷地應(yīng)用到各種架構(gòu)上。這種架構(gòu)會越來越復(fù)雜，所以軟件用抽象層做設(shè)計(jì)的理念跟硬件上開發(fā)設(shè)計(jì)的理念是非常一致的，要把這個硬件搭出來，搭出一個非常開放的抽象層內(nèi)核，這樣才能保證在各種各樣的情景下，你的操作系統(tǒng)都能轉(zhuǎn)換成汽車軟件的需求。

所以，首先是為了安全性，要做一定的形式化驗(yàn)證；第二是為了多變的硬件平臺上多變的軟件應(yīng)用需求，要做到操作系統(tǒng)內(nèi)核非常容易轉(zhuǎn)換成不同的功能。

通用性：安全操作系統(tǒng)的多領(lǐng)域應(yīng)用

朱曉蕊：安全操作系統(tǒng)是一個非常重要的平臺，用在自動駕駛領(lǐng)域和用在其他領(lǐng)域，有哪些不太一樣的地方？比如，能否分享一下之前你們團(tuán)隊(duì)在安全操作系統(tǒng)的其他方面應(yīng)用和自動駕駛應(yīng)用比較接近的案例？

邵中：現(xiàn)在大部分的形式化驗(yàn)證用在航天領(lǐng)域更多一些，或者是被用在飛船的環(huán)境下，很多情況下有些要求可能會比無人駕駛車更高，因?yàn)槿绻惆l(fā)了一個飛船到月亮上，出現(xiàn)故障的代價(jià)就非常高。而汽車上，不一定非要把所有的功能都驗(yàn)證。很多情況下，無人駕駛汽車關(guān)鍵是要保證出現(xiàn)問題或是被黑客攻擊時，不要整個車垮掉，而是要保證黑客再怎么攻擊，只能攻擊到其中的一塊，汽車最基本的功能還是有。

所以，需要將汽車上的各種部件分成各種級別，然后在特定的情況下，能夠保證在車輛最基本的功能，這是為汽車做安全操作系統(tǒng)非常重要的一點(diǎn)，這樣可以避免大量的驗(yàn)證工作。

另外，區(qū)塊鏈其實(shí)也是形式化驗(yàn)證中非常相關(guān)的一個應(yīng)用。這是個很有意思的領(lǐng)域，比如一旦智能合約中出現(xiàn)一點(diǎn)點(diǎn)的錯誤，你很可能就丟錢了，所以它對功能驗(yàn)證的要求更高。

在汽車領(lǐng)域，我相信有一天也會跟區(qū)塊鏈連在一起，它也會需要聯(lián)網(wǎng)、需要加密。所以，凡是在汽車上用到跟這些加密軟件相關(guān)的東西，還是需要驗(yàn)證的。在這方面，國際上已經(jīng)有很多工作，這些工作也可以應(yīng)用在無人駕駛車輛上。至于無人駕駛車本身，我認(rèn)為還是要在建模時搞清楚，在各種情況下保證最基本的安全狀態(tài)，這才是比較有用的一個目標(biāo)。

藍(lán)海：如何用安全操作系統(tǒng)贏得自動駕駛創(chuàng)業(yè)競爭力？

朱曉蕊：我相信目前國內(nèi)產(chǎn)業(yè)界對自動駕駛安全問題還沒有引起足夠的重視，大家可能還普遍在講怎么去做算法，怎么去做決策，實(shí)際上正如邵教授剛才講的，操作系統(tǒng)是一個最底層的安全保證，如果沒有，上面的高層級的安全措施都是無效的。

下面一個問題，如果是產(chǎn)業(yè)界現(xiàn)在想要去在自動駕駛安全方面投入的話，比如說在這個操作系統(tǒng)的安全方面投入，大家都需要去做什么工作，如何去投入？

邵中：現(xiàn)在做無人駕駛車，我個人覺得還是比較早的時候。大家都知道，全世界有很多公司都在做無人駕駛車，有很多公司都在寫上面的機(jī)器學(xué)習(xí)軟件或者控制軟件，如果你這家公司想做無人駕駛，怎么在眾多公司當(dāng)中脫穎而出？更不用說世界上很多大公司，他們已經(jīng)有了一些積累，已經(jīng)做了很多。比如，谷歌就有自己的操作系統(tǒng)，其開發(fā)的是基于安卓的系統(tǒng)，還有很多車載控制設(shè)備專門在Linux上開發(fā)軟件，也有自己的系統(tǒng)，這樣比下去，很難看到競爭出路。

但我想說的是，安全絕對是無人駕駛車甚至無人駕駛飛機(jī)，或者任何跟這個智能系統(tǒng)相關(guān)的最關(guān)鍵的領(lǐng)域之一，誰決定了這個安全平臺，誰可能就會成為掌握智能平臺操作系統(tǒng)的最后贏家。普通軟件一旦有開發(fā)bug，大家都是接受的，檢查出來就可以修復(fù)，但如果在無人車、無人機(jī)上有軟件的安全隱患，就會成為一個很大的問題。所以我覺得，目前汽車行業(yè)應(yīng)該關(guān)注安全方面工作，應(yīng)該有團(tuán)隊(duì)去做安全系統(tǒng)，這是一個很大的領(lǐng)域。

在這個領(lǐng)域，可能一開始你會發(fā)現(xiàn)投入不是馬上就能用到實(shí)際的場景，但其實(shí)很多方面還是有很好的效果。比如，我們最近有好幾個課題，在做一些demo，讓黑客來攻擊已經(jīng)被驗(yàn)證的操作系統(tǒng)，黑客根本攻擊不進(jìn)去。從這個角度來說，我覺得汽車廠商應(yīng)該關(guān)注底層的操作系統(tǒng)，而不是隨便用其中某一家的，因?yàn)檫@樣很可能造成被動，一旦安全需求變了，你就需要做很大的調(diào)整，這方面就不一定能跟上以后的飛速發(fā)展進(jìn)程。

朱曉蕊：贊同，全球都在競爭自動駕駛方面技術(shù)，如何在國內(nèi)自動駕駛產(chǎn)業(yè)界脫穎而出，這實(shí)際上是一個蠻有挑戰(zhàn)性的問題，也是這次智能駕駛專場這個環(huán)節(jié)帶來的前沿技術(shù)的價(jià)值。

最后一個問題，您這個團(tuán)隊(duì)在安全操作系統(tǒng)領(lǐng)域大概有多少年的積累？

邵中：我們在這個領(lǐng)域的研究，很多是在形式化方法、程序設(shè)計(jì)語言和編譯方面，我個人在這個領(lǐng)域已經(jīng)做了20多年，只是最近5年我們開始把技術(shù)用到底層的操作系統(tǒng)內(nèi)核當(dāng)中。

在我們這個領(lǐng)域，很多剛才演講提的工具都已經(jīng)做了很多年，只是最近5年發(fā)現(xiàn)這個技術(shù)竟然也能做到驗(yàn)證操作系統(tǒng)。甚至現(xiàn)在，很多大公司都開始研究如何用這個形式化方法來搭建能夠被驗(yàn)證的操作系統(tǒng)。

我覺得在中國，一些最底層的非常關(guān)鍵的模塊，比如說操作系統(tǒng)、編譯、制造芯片的技術(shù)，沒有獲得特別多的關(guān)注。操作系統(tǒng)大部分都是開源的，像我們這種操作系統(tǒng)過一段時間肯定會開源，讓所有人都可以在上面建立新的平臺，并且慢慢建立起更大的生態(tài)圈。

朱曉蕊：我們非常期待CertiKOS開源的這一天，這樣我們都可以在這個平臺上把我們在自動駕駛領(lǐng)域做的一些上層的算法、決策和CertiKOS結(jié)合起來，大家去建立一個很穩(wěn)固的、安全的自動駕駛系統(tǒng)。

雷鋒網(wǎng)推薦閱讀：《速度與激情8》中的自動駕駛汽車“瘋了”，背后是什么黑客技術(shù)在搗亂？

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。