Elektrobit：2024Linux在提升车载HPC安全方面的应用：综合概述白皮书

21.1功能安全至关重要2.2在汽车系统中使用Lin2.3在汽车中使用专门的Linux发行版相较于使用企业发行版或嵌入式Linux构建3.1相关安全标准和法规概述3.2功能安全标准对基于Linux的汽车系统的影响4.1与功能安全相关的故障场景4.2将安全措施集成到基于Linux的汽车软件栈中3这种ECU模块化设计方法便于在不对整个系统进行检修的情况下集成新功能，在采购、装配和维护方面具有灵活性和成本效益。此外，用于制动和安全气囊展开等关键功能的专用ECU通过隔离这些功能和降低系统故障风险，大大提高监管要求和行业标准进一步推动了多个ECU在汽车中的应用。排放控制、功能安全和网络安全方面的规定往往要求使系统必须遵守功能安全方面的适用标准和法规，如ISO26262[1]，控制系统的复杂性。复杂的传感器（摄像头或雷达）和控制单元等组件之间错综复杂的相互作用，使自动驾驶系统变得越来越复杂。[1]复杂传感器产生的海量数据需要经过先进且密集的数据处理。各种复杂传感器的集成和先进的数据处物体识别和情境解读。AD/ADAS系统首先需要建立一个不确定且不断变化的环境模型（道路、其他车辆、行人、车辆本身......）。这反过来又需要收集和处理来自不同传感器的信息，并将其汇总到该模型中，然后利用该模型就如何驾驶冗余和失效可操作机制。自动驾驶汽车中的安全关键系统通常采4例如，采用冗余传感器阵列和冗余处理单元来交叉验证数据并检测/消除/缓解潜在故障。[2]先进的故障检测、隔离此。从SAEL3级别开始，系统对车辆的安全承担全部责任，而驾驶员则无需监督其运行。因于失效可操作系统，冗余还能在发生故障或失效时提供执行紧急功能所需的可用性。当然，这也适用于我们的数字座舱响应性和准确性，能够通过复杂的算法实时处理大量数据。[7]软件必须考虑道路状况、交通模式、天气条件和其他道验证和校验。开发自动驾驶安全关键软件需要进行适当的验证和校验，以确保剩余误差的风险符合适还有验证/校验流程来确保所有这些组件正常工作。随着汽车行业向自动驾驶方向发展，确保这些软件系统的安全性和座舱系统就是一个很好的示例。所有屏幕空间都需要密集的计算资源，因此可能需要使用HPC。值得注意的是，座舱也可用于显示对安全至关重要的信息，这就需要将功能安全考虑在内。在车辆技术中，自动驾驶和高级驾驶辅助系统5样拥有一个单一的操作系统，并且体现了“软件定义汽车”的概念—这也是目前汽车界广泛使用的另一个术语要解决这些问题，我们需要从术语“AutomotiveOS”的定义入手。Elektrobit使用三个陈述来定义AutomotiveOS这意味着，对于AutomotiveOS而言，我们谈论的不是一接口隐藏复杂的ECU集合及其通信矩阵。这样，信息娱乐系统和集群系统等应用程序就能与驾驶员和乘客进行交互，同时还能通过云连接访问汽车功能，而无需了解汽车的网络结构。这有助于提高不同车型和不同代软件平台之间的可移“我们需要为应用程序提供一个开放且明确的接口，使其能够在不同车型、品牌，甚至不同代的汽车上运行，就像您的庞大的开发人员库。GNU/Linux的一大优势是其庞大的开发人员库。大量的用户和用户组织有助于不断改进和提供宝6源代码透明。此外，GNU/Linux的源代码完全透明，有助于高效调试和故障排除，从而加快错误修复速度，提高系统需要考虑几个关键因素，其中维护是一个重要的考虑因素。虽然Yocto为嵌入式系统提供了灵活性和定制选项，但它需要大量的专业知识和资源才能进行有效的维护和更新。相比之下，专为汽车定制的Linux发行版通过提供预配置组件和对汽车特定功能的支持，简化了维护流程，减轻了开发团队的负担，并确还需要考虑的是，由于通用Linux发行版对存储和内存的要求过高，无法满足汽车领域的特定需求。到目前为止，这一直是通过简单地减少软件包的数量来此外，专用的汽车Linux发行版可针对汽车用例和车规级安全功能进行有针对性的优化和增强，并应符合ISO26262等适用标准和法规。EBcorbosLinuxforSafetyApplications配备了专为汽车开发定制的软件堆栈和工具，可加快7相关的汽车安全标准和法规在确保道路车辆的安全和可靠性方面发挥着至关重要的作用。最突出的标准之一是ISO26262，该标准概述了道路车辆电气和电子系统的功能安全要求。[19]ISO26262为整个汽车供应链的安全关键系统的开发、实施和验证提供了一个全面的框架。它涵盖多个方面，包括危害分析和风险评估、安全目标定义、硬件和软件开除ISO26262之外，汽车制造商还必须遵守针对其目标市场的地区安全法规和标准。如果公司希望在道路上使用电子或软件系统，就必须将功能安全考虑在内。即使产品责任法没有明确要求遵守某些功能安全标准，汽车制造商也有责任“Linux内核作为一个重要的开源组件，吸引了安全研究人员和广大开发人员的极大关注。其透明的特性使得可以进行这可确保较好的网络安全性能，但并未涉及功能安全。功能安全是另一个需要考虑的问题。Linux内核并非为车辆系统设计，即使在出现故障或错误的情况下，也无法可靠、安全地运行，以防止事故并保护乘客和道路使用者。此外，围绕内核的GNU系统更不是为此目的而设计的。这可确保较好的网络安全性能，但却无法实现所需的核的设计并不是为了可靠、安全地运行，更不是为了处理故障或错误。围绕内核的GNU系统更任务应用而设计的。因此，使用通常用于实现和证明符合适用功能安全规范和标准的方法、技术和程序来指定和证明8 为了展示其解决方案的潜力和优势，Elektrobit开发了一个示例系统。该示例系统可显示由车辆传感器或摄像头生成的视频流，提供有关车辆周围环境的视觉信息。视频流和其他相关数据显示在显示屏上，显示软件行为和系统响应，使观看者能够了解系统的行为。该软件包括一个安全监控系统，可持续分析视频流中的错误9准[19,29]开发。非安全（质量管理(QM))Linux分区运行所有常规的非安全相关功能，例如在容器化环境中作为性的安全衍生版上运行，位于第二个hypervisor虚拟机中，负责监控性能应用程序。进程管理程序保护安全关键应用的需要指出的是，功能安全是一种系统属性，而不是任何组件的固有特征。每个功能的本质决定了整个系统中该功能影响我们的目标是使安全应用程序正确执行，并在必要时提供适当的通知。面向功能安全应用的EBcorbosLinuxfor监督用户空间初始化及其过程并使其合法化。Linux系统启动时，需要初始化各种用户空间组件，以使系统正常运行。初始化过程包括加载必要的库，设置环境变量，以及执行启动脚本或二进制文件。这里的“合法化”是指初始化过程遵问分配给应用程序的内存的尝试都会受到监督，只有在合法的情况下才会被允许。这样做的目的是检测对分配给应用程在整个上下文切换过程中，监督并允许或阻止对处理器状态寄存器的更新。这可确保正确处理进程切换并防止未经授权经过安全评估的虚拟机监控程序会为安全和非安全工作负载划分资源分区。虚拟机监控程序的操作系统安全监控器负责汽车行业采用开源软件既带来了机遇，也带来了挑战。在本节中，我们将根据本文的讨论得出结论，强调在评估汽车系必须承认的是，开源软件并不能直接替代专有软件，尤其是在考虑到长期维护的影响在选择专有软件还是GNU/Linux时，没有简单的答案或“一刀切”的解决方案。需要对每种应用进行全面分析，考虑采用GNU/Linux的利弊，特别是要考虑长期影响。必须考虑功能需求、合规条例和行业标准等因素，以确定开源软件免费软件可能缺乏保证和担保，这会影响其在关键汽车系统中的适用性。因此，选择专注于GNU/Linux产品的组织作在考虑采用GNU/Linux时，要全面评估每种应用的需求和优先级。考虑长期影响、与现有系统的兼容性以及是否有专门的GNU/Linux供应商。与在提供适合汽车行业的长期维护GNU/Linux系统方面有良好记录的供应商合作，如在使用HPC时，您需要尽早认真考虑功能安全方面的问题。面向功能安全应用的EBcorbosLinuxforSafety