雖然前兩個陳述已經(jīng)大大提高了汽車制造商軟件平臺的可維護性，但這句話卻概括了Automotive OS概念的全部意義：“我們需要為應(yīng)用程序提供一個開放且明確的接口，使其能夠在不同車型、品牌，甚至不同代的汽車上運行，就像您的手機應(yīng)用可以在多個操作系統(tǒng)版本和各種設(shè)備上運行一樣”。

在汽車系統(tǒng)中使用Linux的優(yōu)勢

GNU/Linux作為一種開源操作系統(tǒng)，可為汽車系統(tǒng)提供眾多優(yōu)勢。它可在服務(wù)器環(huán)境、云計算、HPC和Android設(shè)備等各種使用情況下提供可定制的特性和功能、可靠性和穩(wěn)定性。

龐大的開發(fā)人員庫。GNU/Linux的一大優(yōu)勢是其龐大的開發(fā)人員庫。大量的用戶和用戶組織有助于不斷改進和提供寶貴的資源、文檔和支持。眾所周知的API簡化了開發(fā)和集成，節(jié)省了時間和工作量。此外，開源特性可避免供應(yīng)商鎖定，使組織能夠從多個供應(yīng)商中進行選擇，即使原來的供應(yīng)商無法提供服務(wù)，也能確保靈活性。

創(chuàng)新周期快。GNU/Linux創(chuàng)新周期快，經(jīng)常更新、修復錯誤并增加新功能，使操作系統(tǒng)處于最新狀態(tài)。

兼容性。GNU/Linux與多種硬件架構(gòu)兼容，汽車制造商可根據(jù)具體要求選擇組件，而不會立即出現(xiàn)軟件兼容性問題。

源代碼透明。此外，GNU/Linux的源代碼完全透明，有助于高效調(diào)試和故障排除，從而加快錯誤修復速度，提高系統(tǒng)穩(wěn)定性。這種透明度提高了基于GNU/Linux構(gòu)建的汽車系統(tǒng)的整體可維護性。

在汽車中使用專門的Linux發(fā)行版相較于使用企業(yè)發(fā)行版或嵌入式Linux構(gòu)建系統(tǒng)的優(yōu)勢

在汽車應(yīng)用中選擇Linux發(fā)行版而不是Yocto等嵌入式Linux構(gòu)建系統(tǒng)，需要考慮幾個關(guān)鍵因素，其中維護是一個重要的考慮因素。雖然Yocto為嵌入式系統(tǒng)提供了靈活性和定制選項，但它需要大量的專業(yè)知識和資源才能進行有效的維護和更新。相比之下，專為汽車定制的Linux發(fā)行版通過提供預配置組件和對汽車特定功能的支持，簡化了維護流程，減輕了開發(fā)團隊的負擔，并確保了系統(tǒng)在汽車生命周期內(nèi)的安全性。

還需要考慮的是，由于通用Linux發(fā)行版對存儲和內(nèi)存的要求過高，無法滿足汽車領(lǐng)域的特定需求。到目前為止，這一直是通過簡單地減少軟件包的數(shù)量來解決的，但這并不是一個有效的解決方案，因為它會對功能產(chǎn)生不利影響。

此外，專用的汽車Linux發(fā)行版可針對汽車用例和車規(guī)級安全功能進行有針對性的優(yōu)化和增強，并應(yīng)符合ISO 26262等適用標準和法規(guī)。EB corbos Linux for Safety Applications配備了專為汽車開發(fā)定制的軟件堆棧和工具，可加快產(chǎn)品上市速度并降低開發(fā)成本。

3.汽車行業(yè)的功能安全標準和法規(guī)

相關(guān)安全標準和法規(guī)概述

相關(guān)的汽車安全標準和法規(guī)在確保道路車輛的安全和可靠性方面發(fā)揮著至關(guān)重要的作用。最突出的標準之一是 ISO 26262，該標準概述了道路車輛電氣和電子系統(tǒng)的功能安全要求。ISO 26262為整個汽車供應(yīng)鏈的安全關(guān)鍵系統(tǒng)的開發(fā)、實施和驗證提供了一個全面的框架。它涵蓋多個方面，包括危害分析和風險評估、安全目標定義、硬件和軟件開發(fā)流程以及驗證和校驗，所有這些都旨在最大限度地降低系統(tǒng)故障風險，確保車輛安全。

在軟件源代碼層面，對于汽車而言，這通常包括遵守MISRA-C及其衍生標準。雖然有GNU/Linux編碼指南，但這些指南并不針對嵌入式系統(tǒng)，更不用說與功能安全相關(guān)的系統(tǒng)。

除ISO 26262之外，汽車制造商還必須遵守針對其目標市場的地區(qū)安全法規(guī)和標準。如果公司希望在道路上使用電子或軟件系統(tǒng)，就必須將功能安全考慮在內(nèi)。即使產(chǎn)品責任法沒有明確要求遵守某些功能安全標準，汽車制造商也有責任確保其系統(tǒng)采用最先進的技術(shù)開發(fā)，包括驗證和校驗。

功能安全標準對基于Linux的汽車系統(tǒng)的影響

“Linux內(nèi)核作為一個重要的開源組件，吸引了安全研究人員和廣大開發(fā)人員的極大關(guān)注。其透明的特性使得可以進行深入分析，相比閉源軟件，安全漏洞報告率更高。”

這可確保較好的網(wǎng)絡(luò)安全性能，但并未涉及功能安全。功能安全是另一個需要考慮的問題。Linux內(nèi)核并非為車輛系統(tǒng)設(shè)計，即使在出現(xiàn)故障或錯誤的情況下，也無法可靠、安全地運行，以防止事故并保護乘客和道路使用者。此外，圍繞內(nèi)核的GNU系統(tǒng)更不是為此目的而設(shè)計的。這可確保較好的網(wǎng)絡(luò)安全性能，但卻無法實現(xiàn)所需的功能安全。Linux內(nèi)核的設(shè)計并不是為了可靠、安全地運行，更不是為了處理故障或錯誤。圍繞內(nèi)核的GNU系統(tǒng)更不是為安全關(guān)鍵和關(guān)鍵任務(wù)應(yīng)用而設(shè)計的。因此，使用通常用于實現(xiàn)和證明符合適用功能安全規(guī)范和標準的方法、技術(shù)和程序來指定和證明GNU/Linux的功能安全是不現(xiàn)實的。

要使GNU/Linux適用于與功能安全相關(guān)的應(yīng)用，需要采用非常創(chuàng)新的方法和“打破常規(guī)”的思維。

4.汽車領(lǐng)域的Linux安全解決方案

面向功能安全應(yīng)用的EB corbos Linux for Safety Applications是基于開源軟件的安全相關(guān)系統(tǒng)車載HPC系統(tǒng)的解決方案。

經(jīng)過TüV評估的安全架構(gòu)，適用于帶有Linux系統(tǒng)的汽車應(yīng)用HPC系統(tǒng)

功能安全概念包括在ECU軟件中集成安全措施，以確保汽車應(yīng)用中關(guān)鍵系統(tǒng)的有效性。

為了展示其解決方案的潛力和優(yōu)勢，Elektrobit開發(fā)了一個示例系統(tǒng)。該示例系統(tǒng)可顯示由車輛傳感器或攝像頭生成的視頻流，提供有關(guān)車輛周圍環(huán)境的視覺信息。視頻流和其他相關(guān)數(shù)據(jù)顯示在顯示屏上，顯示軟件行為和系統(tǒng)響應(yīng)，使觀看者能夠了解系統(tǒng)的行為。該軟件包括一個安全監(jiān)控系統(tǒng)，可持續(xù)分析視頻流中的錯誤或異常。如果檢測到任何問題，系統(tǒng)會采取適當?shù)拇胧?，例如關(guān)閉系統(tǒng)以防止?jié)撛诘陌踩[患。該演示包括一種通過向視頻流或Linux內(nèi)核注入故障來誘導錯誤場景的機制，以模擬系統(tǒng)必須檢測和應(yīng)對異常情況的實際情況。

系統(tǒng)示例架構(gòu)如圖2所示。在此示例中，HPC中集成了另一個操作系統(tǒng)分區(qū)，使用Android框架為OEM可能希望使用現(xiàn)有軟件模塊的特殊顯示用例提供服務(wù)。陰影區(qū)域顯示了正在開發(fā)和運行的組件的安全完整性等級。

圖 2 集成座艙 + IVI示例

示例數(shù)字座艙架構(gòu)圖顯示了不同的硬件和軟件層。從下到上，片上系統(tǒng) (SoC) 使用一個或多個RTC核，如ARM Cortex M、R或外部MCU。HPC核通常包括ARM Cortex A核，例如Cortex A78AE。RTC和HPC核各有自己的Bootloader。

在本例中，RTC部分在Bootloader上安裝了支持功能安全的Classic AUTOSAR操作系統(tǒng)EB tresos Safety OS [25] 及其Safety MCAL，但也可以在下面安裝專用的實時EB tresos Embedded Hypervisor，以備需要多個Classic AUTOSAR實例時使用。

專用HPC虛擬機監(jiān)控程序EB corbos Hypervisor具有特定的SoC支持功能和操作系統(tǒng)安全監(jiān)控功能，可作為多個HPC操作系統(tǒng)實例的基礎(chǔ)。虛擬機監(jiān)控程序和操作系統(tǒng)安全監(jiān)視器是安全組件，完全按照相關(guān)質(zhì)量和安全標準開發(fā)。非安全（質(zhì)量管理 (QM)) Linux分區(qū)運行所有常規(guī)的非安全相關(guān)功能，例如在容器化環(huán)境中作為性能應(yīng)用。在數(shù)字座艙的示例中，Android框架也作為非安全相關(guān)分區(qū)運行，用于上述用例。最后，EB corbos Linux for Safety Applications內(nèi)核是虛擬機監(jiān)控程序上的獨立虛擬機，帶有安全中間件API，如EB corbos Adaptive或ROS，作為啟用ISO 26262 ASIL-A/B的性能安全應(yīng)用的基礎(chǔ)。

這一概念包含幾個關(guān)鍵方面：

錯誤監(jiān)控：系統(tǒng)持續(xù)監(jiān)控錯誤，尤其是示例視頻流中的錯誤，這對各種汽車功能至關(guān)重要。

高完整性分區(qū)：ECU內(nèi)的高完整性分區(qū)負責生成和監(jiān)控視頻流。它能確保視頻流及時發(fā)現(xiàn)任何錯誤或異常。

操作系統(tǒng)安全監(jiān)視器：操作系統(tǒng)安全監(jiān)視器，又稱進程管理程序，負責監(jiān)督高完整性分區(qū)的功能，確保其正常運行。它還監(jiān)控分區(qū)內(nèi)的故障，并在必要時觸發(fā)關(guān)機程序。

總之，這一安全概念旨在創(chuàng)建一個強大的系統(tǒng)，能夠檢測和應(yīng)對潛在的危險或故障，從而提高汽車系統(tǒng)的安全和可靠性。通過功能分解或多通道方法可以實現(xiàn)更高的完整性等級（ASIL）。在ISO 26262標準中，功能分解包括將安全要求最高的ASIL-D功能分解為冗余的ASIL-B(D) 要求。[37Ch. 5].這些ASIL-B(D) 要求可以在ASIL-B組件中實現(xiàn)，并不受干擾。[37Ch.6–7]

面向功能安全應(yīng)用的EB corbos Linux for Safety Applications受專利保護，因為其技術(shù)方法將OSS從進程管理程序中分離出來。

與功能安全相關(guān)的故障場景

上文介紹的示例系統(tǒng)所演示的故障場景包括在視頻流中或直接在監(jiān)視器中產(chǎn)生錯誤。

典型用例：在我們的Linux發(fā)行版上運行一個性能應(yīng)用程序并處理圖像數(shù)據(jù)。安全關(guān)鍵應(yīng)用程序在Linux發(fā)行版的安全衍生版上運行，位于第二個hypervisor虛擬機中，負責監(jiān)控性能應(yīng)用程序。進程管理程序保護安全關(guān)鍵應(yīng)用的數(shù)據(jù)完整性。

性能應(yīng)用程序內(nèi)部故障：在第一個場景中，視頻流中出現(xiàn)錯誤，導致視頻流生成器向安全應(yīng)用程序傳輸無效圖像。系統(tǒng)檢測到視頻流中的錯誤，顯示紅色指示燈并隨后關(guān)閉系統(tǒng)。

內(nèi)核故障損壞安全關(guān)鍵應(yīng)用程序：例如，當啟用安全功能的Linux分區(qū)內(nèi)核訪問未經(jīng)授權(quán)的內(nèi)存區(qū)域時，我們的操作系統(tǒng)解決方案的專用安全層（稱為進程管理程序）會檢測到這一情況，并通過GPIO通知在PC上運行的外部用戶界面。需要指出的是，功能安全是一種系統(tǒng)屬性，而不是任何組件的固有特征。每個功能的本質(zhì)決定了整個系統(tǒng)中該功能影響鏈的具體功能安全要求，從而對系統(tǒng)架構(gòu)產(chǎn)生要求，進而對硬件、軟件和軟件架構(gòu)產(chǎn)生要求。

如上所述，在傳統(tǒng)的ECU領(lǐng)域，這導致許多功能需要專用硬件，以滿足特定的功能安全需求等。然而，對于減少變體、增加集中化以及降低硬件復雜性的強烈需求和愿望，推動了E/E架構(gòu)的演進，使其朝著能夠支持各種功能安全概念的架構(gòu)方向發(fā)展。

這兩種場景都強調(diào)了系統(tǒng)檢測錯誤和啟動關(guān)機程序的能力，突出了集成在系統(tǒng)中的安全措施的穩(wěn)健性。

將安全措施集成到基于Linux的汽車軟件棧中

我們的目標是使安全應(yīng)用程序正確執(zhí)行，并在必要時提供適當?shù)耐ㄖ?。面向功能安全?yīng)用的EB corbos Linux for Safety Applications中的安全擴展包含了確保系統(tǒng)安全的各個方面：

監(jiān)督用戶空間初始化及其過程并使其合法化。Linux系統(tǒng)啟動時，需要初始化各種用戶空間組件，以使系統(tǒng)正常運行。初始化過程包括加載必要的庫，設(shè)置環(huán)境變量，以及執(zhí)行啟動腳本或二進制文件。這里的“合法化”是指初始化過程遵循既定慣例、尊重安全機制并遵守最佳實踐。特別是，專門的啟動和服務(wù)初始化模塊，如crinit和cominit，取代了非自動就緒的基于腳本的解決方案。

在內(nèi)核和應(yīng)用程序之間分離內(nèi)存區(qū)域的讀/寫/執(zhí)行權(quán)限。在Linux中，內(nèi)核對分配給應(yīng)用程序的內(nèi)存沒有寫或執(zhí)行權(quán)限，這意味著分配給應(yīng)用程序的內(nèi)存及其內(nèi)容不能被Linux內(nèi)核修改，從而保護應(yīng)用程序。

監(jiān)督應(yīng)用程序內(nèi)存的任何讀取/寫入/執(zhí)行嘗試并使其合法化。這意味著，除了上述不同的寫入和執(zhí)行權(quán)限外，任何訪問分配給應(yīng)用程序的內(nèi)存的嘗試都會受到監(jiān)督，只有在合法的情況下才會被允許。這樣做的目的是檢測對分配給應(yīng)用程序的內(nèi)存的任何不當或不正當訪問，并在發(fā)生此類嘗試時發(fā)出通知。

在整個上下文切換過程中，監(jiān)督并允許或阻止對處理器狀態(tài)寄存器的更新。這可確保正確處理進程切換并防止未經(jīng)授權(quán)的修改，從而增強系統(tǒng)的穩(wěn)定性和安全性。

通過這些擴展，EB corbos Linux for Safety Applications可確保Linux內(nèi)核不會對屬于安全應(yīng)用程序的內(nèi)存部分進行不當訪問，也不會通過與其他分區(qū)共享的內(nèi)存對屬于安全應(yīng)用程序的內(nèi)存部分進行不受控制的訪問。

經(jīng)過安全評估的虛擬機監(jiān)控程序會為安全和非安全工作負載劃分資源分區(qū)。虛擬機監(jiān)控程序的操作系統(tǒng)安全監(jiān)控器負責對EB corbos Linux for Safety Applications內(nèi)核進行外部監(jiān)控。

5.最佳實踐和建議

與早幾十年的ECU設(shè)計不同，車輛投產(chǎn)后，ECU軟件幾乎不再更新，而HPC系統(tǒng)設(shè)計則需要持續(xù)不斷的長期開發(fā)。

面向功能安全應(yīng)用的EB corbos Linux for Safety Applications虛擬機分區(qū)的所有軟件開發(fā)都必須遵守《安全手冊》。這不適用于非安全型EB corbos Linux，因為它沒有任何限制。監(jiān)管概念可以擴展；在即將推出的版本中還將增加更多允許的功能。

汽車行業(yè)采用開源軟件既帶來了機遇，也帶來了挑戰(zhàn)。在本節(jié)中，我們將根據(jù)本文的討論得出結(jié)論，強調(diào)在評估汽車系統(tǒng)中使用GNU/Linux和開源軟件時應(yīng)考慮的要點。

必須承認的是，開源軟件并不能直接替代專有軟件，尤其是在考慮到長期維護的影響時。雖然開源軟件具有許多優(yōu)勢，如靈活性、透明度和龐大的開發(fā)人員庫，但也需要仔細評估和考慮特定的應(yīng)用程序需求。

在選擇專有軟件還是GNU/Linux時，沒有簡單的答案或“一刀切”的解決方案。需要對每種應(yīng)用進行全面分析，考慮采用GNU/Linux的利弊，特別是要考慮長期影響。必須考慮功能需求、合規(guī)條例和行業(yè)標準等因素，以確定開源軟件是否適合特定應(yīng)用。

雖然開源軟件通常與節(jié)約成本聯(lián)系在一起，但必須考慮到總擁有成本可能因應(yīng)用需求而異。直接從開源項目獲取的免費軟件可能缺乏保證和擔保，這會影響其在關(guān)鍵汽車系統(tǒng)中的適用性。因此，選擇專注于GNU/Linux產(chǎn)品的組織作為合作伙伴，可以提供更多支持并確保長期維護，從而節(jié)省大量資源并降低風險。Elektrobit等在汽車軟件和Linux領(lǐng)域擁有豐富經(jīng)驗的公司可以提供幫助，提供基于Canonical Ubuntu的EB corbos Linux。

在考慮采用GNU/Linux時，要全面評估每種應(yīng)用的需求和優(yōu)先級?？紤]長期影響、與現(xiàn)有系統(tǒng)的兼容性以及是否有專門的GNU/Linux供應(yīng)商。與在提供適合汽車行業(yè)的長期維護GNU/ Linux系統(tǒng)方面有良好記錄的供應(yīng)商合作，如Elektrobit。這將有助于確保持續(xù)得到支持、漏洞修復和安全更新。

6.結(jié)論

保證HPC系統(tǒng)的功能安全絕非易事，不容小覷。作為HPC操作系統(tǒng)的GNU/Linux也是如此。實際上，EB corbos Linux for Safety Applications可在不依賴Linux內(nèi)核本身的情況下實現(xiàn)所需的功能安全等級，因此可以使用最新的內(nèi)核。這樣就可以在車輛和車輛平臺的架構(gòu)中實現(xiàn)面向未來的架構(gòu)和性能。

在使用HPC時，您需要盡早認真考慮功能安全方面的問題。面向功能安全應(yīng)用的EB corbos Linux for Safety Applications是您的不二之選。