崔云峰　鐘衛(wèi)東　劉東

1 智能工業(yè)發(fā)展趨勢

信息化和工業(yè)化的發(fā)展以及深度融合，將在世界范圍內(nèi)帶來深刻的變革。以物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能為代表的新一代信息技術與現(xiàn)有工業(yè)進行深度融合，并推動工業(yè)技術變革。全面和持續(xù)的技術變革必將改變產(chǎn)業(yè)格局，因此部分發(fā)達國家相繼頒布再工業(yè)化戰(zhàn)略，國際競爭日趨激烈。

中國連續(xù)多年制造業(yè)總產(chǎn)值世界第一，成為世界的制造大國。但中國與先進國家相比還有較大差距：創(chuàng)新能力弱，關鍵核心技術與高端裝備對外依賴度高；產(chǎn)業(yè)結構不合理，高端裝備制造業(yè)和生產(chǎn)性服務業(yè)發(fā)展滯后；信息化水平不高，與工業(yè)化融合深度不夠；產(chǎn)業(yè)國際化程度不高，企業(yè)全球化經(jīng)營能力不足等。

為了推進中國從制造大國向制造強國的轉變，國務院組織編制并正式發(fā)布了《中國制造2025》，對中國制造業(yè)轉型升級和跨越發(fā)展作了整體部署，總體分三步走的戰(zhàn)略規(guī)劃。為了力爭到2025年達到國際領先地位或國際先進水平，《中國制造2025》選擇了十大優(yōu)勢和戰(zhàn)略產(chǎn)業(yè)作為突破點，包括：新一代信息技術產(chǎn)業(yè)（含芯片、操作系統(tǒng)、信息通信等基礎產(chǎn)業(yè)）、高檔數(shù)控機床和機器人、航空航天裝備、海洋工程裝備及高技術船舶、先進軌道交通裝備、節(jié)能與新能源汽車、電力裝備、農(nóng)業(yè)裝備、新材料、生物醫(yī)藥及高性能醫(yī)療器械。

新一代信息技術產(chǎn)業(yè)是其他行業(yè)發(fā)展的基礎，而操作系統(tǒng)是整個智能工業(yè)發(fā)展的核心基礎。在《中國制造 2025重點領域技術路線圖》中也明確指出：“新一代科技革命與產(chǎn)業(yè)變革是以數(shù)字化網(wǎng)絡化智能化為特征，操作系統(tǒng)是工業(yè)數(shù)字化網(wǎng)絡化智能化的基石，是新一輪工業(yè)革命的核心要素?！薄吨袊圃?025重點領域技術路線圖》中對智能工業(yè)裝備操作系統(tǒng)領域有明確的規(guī)劃：“到 2025 年，絕大部分核心技術取得突破，形成自主可控的操作系統(tǒng)與工業(yè)軟件及其標準體系，自主工業(yè)軟件市場占有率超過50%”。

2 智能工業(yè)裝備操作系統(tǒng)

的關鍵需求

智能工業(yè)裝備操作系統(tǒng)作為底層的基礎軟件，存在兩個方面的需求來源。首先需要滿足傳統(tǒng)嵌入式系統(tǒng)的功能和性能需求；其次是由物聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術引入的智能化的功能和性能需求?？傮w來說包括4方面需求，如圖1所示。

（1）關鍵性能需求。首先，智能工業(yè)裝備由傳統(tǒng)的嵌入式實時系統(tǒng)發(fā)展而來，系統(tǒng)具有明確的硬實時需求。例如：高速行駛汽車上自動駕駛系統(tǒng)屬于硬實時系統(tǒng)，需系統(tǒng)及時處理外部事件，否則可能造成不可預期的后果。其次，嵌入式實時系統(tǒng)存在嚴格的確定性需求。系統(tǒng)的某些關鍵業(yè)務必須在確定的時間內(nèi)完成。Windows、Linux、Android等桌面操作系統(tǒng)或手機操作系統(tǒng)，采用相同的軟硬件，有時業(yè)務運行快，有時業(yè)務運行慢。而嵌入式系統(tǒng)中的關鍵任務需要明確固定的執(zhí)行節(jié)奏，從而保證系統(tǒng)行為的確定性。

（2）智能化需求。首先，智能工業(yè)裝備引入互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等新技術，這些新技術需要操作系統(tǒng)提供開放的智能軟件生態(tài)。新技術多數(shù)從IT行業(yè)發(fā)展而來，依賴開放的智能軟件生態(tài)，例如：Android的應用生態(tài)、深度學習軟件生態(tài)等。其次，智能工業(yè)裝備可能由多個系統(tǒng)相互協(xié)同完成工作任務。因此需要底層操作系統(tǒng)提供互聯(lián)互通技術，以及進一步提供互操作互調(diào)用的機制。

（3）功能安全需求。部分嵌入式系統(tǒng)涉及到行業(yè)以及個人生命安全，例如：工業(yè)控制設備、軌道交通控制設備、汽車自動駕駛系統(tǒng)等。對于這類系統(tǒng)需要進行系統(tǒng)全面的失效分析，從失效概率、危害大小、危害可控性等維度評估出業(yè)務模塊的功能安全等級。需要底層的操作系統(tǒng)符合響應功能安全等級的要求，并且提供故障監(jiān)測控制、故障隔離以及故障恢復的功能。

（4）信息安全需求。開放的軟件生態(tài)環(huán)境以及互聯(lián)網(wǎng)技術引入到嵌入式實時操作系統(tǒng)上，也給現(xiàn)有封閉的嵌入式系統(tǒng)帶來了安全隱患。大規(guī)模的開放軟件生態(tài)環(huán)境可能含有安全漏洞、未知后門；高速的以太網(wǎng)接入方式也給黑客提供了便捷的攻擊路徑。但是嵌入式系統(tǒng)的網(wǎng)絡安全問題不能直接照搬IT領域的安全解決方案，需要考慮到現(xiàn)有嵌入式系統(tǒng)的實時性、確定性要求；同時頻繁升級、打補丁會影響系統(tǒng)可用性，因此同樣不適用于嵌入式系統(tǒng)。

3 中興通訊智能工業(yè)裝備

操作系統(tǒng)及技術創(chuàng)新方案

中興通訊立足于自主創(chuàng)新，從2003年開始研發(fā)自主可控的嵌入式操作系統(tǒng)，經(jīng)過10余年的積累掌握底層操作系統(tǒng)的核心技術。中興通訊所研制的電信級嵌入式實時操作系統(tǒng)于2016年榮獲了第4屆中國工業(yè)大獎（工業(yè)領域最高榮譽），并于2017年榮獲了國際軟件博覽會金獎。目前中興嵌入式操作系統(tǒng)廣泛應用于通信、電力、軌道交通、汽車、航空等眾多工業(yè)領域，累計發(fā)貨量達到2億，穩(wěn)定運行于全球160個國家和地區(qū)。

針對智能工業(yè)裝備的關鍵需求，中興通訊自主研發(fā)了智能工業(yè)裝備操作系統(tǒng)ZEOS。如圖2所示，中興智能工業(yè)裝備操作系統(tǒng)以安全可信的微內(nèi)核架構和嵌入式虛擬化技術為支撐，同時具備實時操作系統(tǒng)和嵌入式Hypervisor的功能。通過健康管理技術實現(xiàn)故障隔離、運行狀態(tài)監(jiān)測控制、故障恢復，保障系統(tǒng)持續(xù)穩(wěn)定運行；通過面向服務的互聯(lián)網(wǎng)絡架構支持多種異構系統(tǒng)互聯(lián)互通，并借助虛擬機支撐智能應用生態(tài)；通過內(nèi)建的安全可信體系架構保障基礎系統(tǒng)安全可信，引入移動目標防御技術防御未知威脅。

3.1 安全可信的微內(nèi)核架構

中興通訊從關鍵需求出發(fā)，研究系統(tǒng)實時性、確定性的關鍵影響因素以及內(nèi)核各個模塊的代碼變更和質量特征，得出智能工業(yè)裝備操作系統(tǒng)的微內(nèi)核軟件架構。依據(jù)安全系統(tǒng)的最小特權原則（POLP），建立智能工業(yè)裝備操作系統(tǒng)的可信計算基（TCB）。如圖3所示，在處理器最高特權模式下僅保留少量的核心功能模塊（空間管理、線程管理、進程間通信機制、中斷管理部分）作為系統(tǒng)的可信計算基；其余的操作系統(tǒng)功能模塊運行于普通模式（普通模式）。以此基礎架構為支撐，中興智能裝備操作系統(tǒng)提供實時操作系統(tǒng)功能和嵌入式虛擬化功能。endprint

智能工業(yè)裝備操作系統(tǒng)的基礎架構有利于保障智能工業(yè)裝備的關鍵需求，例如實時性、確定性、功能安全、信息安全。

（1）實時性：利用微內(nèi)核的軟件架構可以保障硬實時性能。通過減少內(nèi)核功能模塊，減少系統(tǒng)關中斷、關搶占的頻度和時長，從而有效地提升系統(tǒng)的實時性指標（中斷延時、調(diào)度延時）。

（2）確定性：利用微內(nèi)核架構可減少后臺干擾，保障業(yè)務的確定性。從架構設計上減少內(nèi)核功能模塊，減少后臺任務和定時器，降低系統(tǒng)自身開銷，從而保障用戶業(yè)務的確定性。

（3）功能安全和信息安全：利用微內(nèi)核架構可隔離核心功能模塊和業(yè)務功能模塊，避免宏內(nèi)核架構下單個模塊故障或安全威脅波及影響整個操作系統(tǒng)。采用微內(nèi)核架構可將少數(shù)穩(wěn)定的核心模塊置于處理器的特權模式下，其他業(yè)務功能模塊放置于用戶態(tài)模式下，隔離了高缺陷率的功能模塊并縮小了核心模塊的對外攻擊表面。

3.2 嵌入式虛擬化技術

虛擬化技術已在IT領域廣泛商用，但應用到嵌入式設備上有兩個方面的挑戰(zhàn)：首先是虛擬機的性能問題。嵌入式系統(tǒng)對實時性以及關鍵業(yè)務性能有比較高的要求，引入Hypervisor仍需要保證虛擬機的關鍵性能。其次，嵌入式處理器發(fā)展相對滯后，部分處理器不具備硬件輔助虛擬化特性，需要在傳統(tǒng)硬件上提供虛擬化解決方案。

在IT領域廣泛使用I型和II型Hypervisor架構：II型架構中虛擬機管理監(jiān)測控制程序（VMM）作為應用程序運行在主機操作系統(tǒng)之上，虛擬機的性能受主機操作系統(tǒng)和虛擬機監(jiān)測控制程序的影響；I型架構將虛擬機直接運行在Hypervisor之上，相對而言虛擬機的性能更高。

為了保障虛擬機的性能，中興智能裝備操作系統(tǒng)采用更加輕量級的0型Hypervisor架構。將Hypervisor做的更“薄”：去除去除虛擬機遷移、容災熱備份等IT虛擬化功能特性；僅保留CPU虛擬化、內(nèi)存虛擬化以及部分外設虛擬化等核心功能；對于性能要求較高的虛擬機或實時業(yè)務通過分區(qū)隔離機制保障其物理資源分配，從而達到與物理機相近的性能指標。

針對處理器相對滯后（不支持嵌入式虛擬化特性）的問題，中興智能裝備操作系統(tǒng)引入半虛擬化技術。通過對客戶機操作系統(tǒng)和底層Hypervisor的深度定制和融合，實現(xiàn)在普通硬件環(huán)境下支持多個半虛擬化客戶機操作系統(tǒng)（例如Linux、Android）。具體包括了以下技術。

（1）處理器虛擬化：在定制的客戶機操作系統(tǒng)中實現(xiàn)了虛擬機處理器架構，并在非特權模式下客戶機操作系統(tǒng)與Hypervisor配合完成特權指令的模擬執(zhí)行。

（2）內(nèi)存虛擬化：針對半虛擬化虛擬機和全虛擬化虛擬機，分別提供基于影子頁表技術和基于硬件輔助虛擬化的內(nèi)存虛擬化功能，從而保障客戶機虛擬機的內(nèi)存訪問性能。

（3）外設虛擬化：對于不同需求的場景提供外設透傳技術（高性能使用場景）和外設模擬共享技術（共享使用場景）。外設模擬技術通過Hypervisor模擬多個虛擬外設，并將虛擬外設請求轉交給實際物理外設，實現(xiàn)多個虛擬機共享物理外設功能。

3.3 健康管理技術

在通信、汽車、工控、航空、軌道交通等高可靠領域，對于系統(tǒng)的功能安全要求比較高。例如：汽車電子的ISO26262 ASIL D級要求每小時失效概率小于10-9，需要系統(tǒng)底層操作系統(tǒng)提供多種功能安全保障措施。中興智能裝備操作系統(tǒng)從故障隔離、運行監(jiān)測控制、異?；謴偷冉嵌缺Ｕ舷到y(tǒng)的持續(xù)穩(wěn)定運行。

3.3.1 基于分區(qū)的故障隔離技術

在高可靠領域故障隔離是解決功能安全的核心關鍵。汽車電子領域ISO26262標準指出避免波及影響的重要性，系統(tǒng)必須提供兩個或多個單元發(fā)生級聯(lián)失效的手段。航空航天領域ARNIC653標準提出分區(qū)隔離方式支持多種電子應用，通過分區(qū)隔離保障單點失效不影響其他業(yè)務。

中興通訊智能裝備操作系統(tǒng)采用微內(nèi)核架構，對于用戶態(tài)的不同功能安全等級業(yè)務提供分區(qū)隔離機制。當某個業(yè)務發(fā)生故障并失效后，其他分區(qū)業(yè)務不受影響。如圖4所示，具體技術包括：分區(qū)間的時間隔離機制、空間隔離機制、權限隔離、硬件隔離機制。

3.3.2 系統(tǒng)運行監(jiān)測控制及多級異常

處理技術

中興智能裝備操作系統(tǒng)提供多種不同粒度的系統(tǒng)運行狀態(tài)監(jiān)測控制功能，包括：任務級、分區(qū)級、系統(tǒng)級、硬件級的運行監(jiān)測控制。通過不同粒度的健康監(jiān)測控制功能可以及時發(fā)現(xiàn)不同范圍的異?；蚋婢录?，并實時監(jiān)測控制關鍵任務的運行狀態(tài)，確保其運行狀態(tài)與預期一致。

當發(fā)現(xiàn)系統(tǒng)不同類型的故障后，中興智能裝備操作系統(tǒng)提供多級的異常處理機制。通過任務級、分區(qū)級、系統(tǒng)級、硬件級逐級處理異常，確保每個異常問題可以在系統(tǒng)最小波及、影響范圍內(nèi)恢復，避免恢復異常造成過大的影響。

中興智能裝備操作系統(tǒng)基于高可靠行業(yè)標準設計功能安全特性，及時監(jiān)測控制系統(tǒng)的運行狀態(tài)并細粒度地恢復系統(tǒng)運行狀態(tài)，從而保障高可靠性業(yè)務持續(xù)、穩(wěn)定運行。

3.4 智能互聯(lián)技術

隨著工業(yè)化和信息化的深度融合，智能化和網(wǎng)絡化是智能裝備的主要發(fā)展趨勢。在智能化方面，中興智能裝備操作系統(tǒng)通過嵌入式虛擬化技術引入成熟的開放軟件生態(tài)，并提供POSIX等基礎庫支撐硬實時的智能任務；在網(wǎng)絡化方面，中興智能裝備操作系統(tǒng)通過分區(qū)間通信技術（IPC）打通不同智能節(jié)點間的通信通道，通過支持各個行業(yè)的互聯(lián)管理協(xié)議支撐多種異構系統(tǒng)的互聯(lián)互通互操作。嵌入式虛擬化技術已在前述章節(jié)描述，在此重點介紹網(wǎng)絡互聯(lián)方面相關技術。

中興智能裝備操作系統(tǒng)采用微內(nèi)核架構，所有內(nèi)核功能和業(yè)務功能都以服務方式對外提供，并支持本地和遠程的連接和訪問，具體過程如圖5所示。首先由智能應用服務業(yè)務向本地服務管理器注冊，并由服務管理器發(fā)布此服務；再由本地業(yè)務通過IPC機制訪問服務管理器，并由服務管理器建立服務連接實現(xiàn)本地訪問服務功能。遠程業(yè)務也同樣訪問服務管理器并查找到服務節(jié)點，由服務管理器建立遠程服務通信通道。通過此技術實現(xiàn)跨節(jié)點的智能互聯(lián)互操作功能，應用業(yè)務可透明使用本地服務或遠端服務。endprint

中興智能裝備操作系統(tǒng)針對不同行業(yè)需求，提供應用互聯(lián)互通互操作的業(yè)務協(xié)議和安全管控協(xié)議。例如：在物聯(lián)網(wǎng)領域的約束應用協(xié)議（CoAP）和消息隊列遙測傳輸協(xié)議（MQTT）等應用互聯(lián)協(xié)議；在汽車電子領域的AUTOSAR SOME/IP協(xié)議；在工業(yè)控制領域的IEC62351（傳輸層安全協(xié)議（TLS））。通過上述應用互聯(lián)和管控協(xié)議，實現(xiàn)多種異構系統(tǒng)的相互協(xié)同，形成了一個完整的智能工業(yè)系統(tǒng)。

3.5 安全防御技術

智能工業(yè)裝備引入開放的軟件生態(tài)以及互聯(lián)網(wǎng)技術，也引入了安全威脅：開放的智能軟件生態(tài)可能包含各種安全隱患（甚至包括未知安全威脅），互聯(lián)網(wǎng)技術也給攻擊者提供了便利的攻擊途徑。中興智能裝備操作系統(tǒng)基于可信計算的理念，設計安全可信的操作系統(tǒng)體系架構；同時從攻擊鏈入手，利用底層基礎軟件隨機多樣的變化改變攻擊路徑，實現(xiàn)主動防御。利用基礎軟件建立智能工業(yè)裝備內(nèi)生的信息安全機制，無需疊加外部信息安全功能，保障了智能工業(yè)裝備的實時性、確定性以及關鍵業(yè)務性能。

3.5.1 內(nèi)建的安全可信體系架構

首先，基于前述安全可信的微內(nèi)核架構，建立智能工業(yè)裝備操作系統(tǒng)的可信計算基（TCB）。可信計算基從兩個方面實現(xiàn)內(nèi)建的安全可信：一是控制可信計算基的規(guī)模和復雜度，杜絕其自身的安全漏洞；二是縮小及加固可信計算基的對外攻擊面，采用基于權限映射表的強制訪問控制技術實現(xiàn)外部接口的安全控制功能。

其次，中興智能裝備操作系統(tǒng)支持內(nèi)核分離保護輪廓（SKPP），通過分區(qū)隔離機制保障單個分區(qū)的安全威脅不擴散。操作系統(tǒng)非核心功能及智能節(jié)點業(yè)務之間都處于時間隔離、空間隔離、訪問權限隔離、多核和外設隔離的運行環(huán)境中。單個分區(qū)業(yè)務故障不會影響到其他分區(qū)業(yè)務功能。

中興通訊通過上述技術途徑搭建了一個安全可信的體系架構，實現(xiàn)內(nèi)建的可信體系架構，解決了工業(yè)裝備系統(tǒng)的核心問題。

3.5.2 具有隨機多樣特征的移動目標

防御技術

高級持續(xù)威脅（APT）是智能工業(yè)裝備面臨的最大的安全威脅形式，例如：伊朗震網(wǎng)事件、烏克蘭電網(wǎng)事件、康明斯發(fā)動機事件等。如圖6所示，高級持續(xù)威脅攻擊過程包括如下4個步驟：系統(tǒng)探測、漏洞挖掘、系統(tǒng)突破、系統(tǒng)控制。通過對此攻擊模型分析可以看出，攻擊者在攻擊過程依賴系統(tǒng)中固定的、一致性的、可預期的系統(tǒng)規(guī)律。例如：全局符號布局相對相對關系、關鍵數(shù)據(jù)結構的布局結構、關鍵函數(shù)的地址信息等。

中興智能裝備操系統(tǒng)基于移動目標防御（MTD）的思想，打破攻擊者所依賴的系統(tǒng)固定的、一致性的規(guī)律。通過編譯器和操作系統(tǒng)等底層基礎軟件，實現(xiàn)全局符號隨機化、關鍵數(shù)據(jù)結構隨機化、運行地址空間隨機化、異構發(fā)布等技術。通過上述技術對整個系統(tǒng)引入隨機、多樣的變化，使攻擊者無法找到系統(tǒng)或漏洞的規(guī)律，有效阻斷攻擊鏈。

4 結束語

中興智能裝備操作系統(tǒng)通過技術創(chuàng)新，解決了智能工業(yè)裝備的4個核心需求：關鍵性能（實時性、確定性）、智能化、功能安全、信息安全。結合智能工業(yè)行業(yè)特點，提供全面的解決方案。

在電信行業(yè)：電信業(yè)務中數(shù)據(jù)面業(yè)務可直接運行于中興智能裝備操作系統(tǒng)，由操作系統(tǒng)保障業(yè)務的實時性、確定性和吞吐性能；控制面業(yè)務和云化網(wǎng)絡功能可通過虛擬化方式運行在電信級嵌入式Linux操作系統(tǒng)之上，滿足業(yè)務對軟件生態(tài)的要求。

在工業(yè)控制行業(yè)：首先，中興智能裝備操作系統(tǒng)通過硬實時、高確定特性，保障工控組態(tài)業(yè)務的實時性和確定性；其次，通過虛擬化技術和電信級嵌入式操作系統(tǒng)支持多個控制器集約化發(fā)展，降低產(chǎn)品成本；最后，通過安全可信的體系架構和移動目標防御技術解決工業(yè)控制系統(tǒng)的安全問題。

在汽車電子行業(yè)：針對車載電子，中興智能裝備操作系統(tǒng)利用虛擬化技術支持“一機多屏”，在一個硬件環(huán)境上同時支持儀表業(yè)務（Linux+QT）和中控臺業(yè)務（Android），并滿足儀表快速啟動和功能安全和信息安全要求。針對車控電子，中興智能裝備操作系統(tǒng)利用虛擬化引入自動駕駛軟件生態(tài)，提供感知、決策的底層中間件；同時多分區(qū)的軟件架構支持不同功能安全等級的業(yè)務，并兼容AUTOSAR行業(yè)基礎軟件標準。

綜上所述，中興智能裝備操作系統(tǒng)滿足不同行業(yè)的智能裝備發(fā)展的關鍵需求，為中國制造2025的規(guī)劃奠定堅實的軟件基礎。

參考文獻

[1] 中華人民共和國國務院. 中國制造2025[R]. 北京： 中華人民共和國國務院， 2015

[2] 國家制造強國建設戰(zhàn)略咨詢委員會. 中國制造2025重點領域技術路線圖[R]. 北京：國家制造強國建設戰(zhàn)略咨詢委員會， 2015

[3] Lynx Software Technologies. The Rise of the Type Zero Hypervisor[EB/OL].（2012-09-18）[2017-10-08]. http：//www.lynx.com/the-rise-of-the-type-zero-hypervisor/

[4] ISO. ISO26262 Part 1[S]. Geneva： ISO， 2011：11

[5] Aeronautical Radio. ARNIC653 Standards[EB/OL]. （2013-10-20）[ 2017-10-08]. http：//store.aviation-ia.com/cf/store/catalog_detail.cfm？item_id=496

[6] AUTOSAR. AUTOSAR Standards[EB/OL]. （2017-03-31） [2017-10-08]. https：//www.autosar.org/standards/endprint