摘要：本文首先概述了智能駕駛操作系統(tǒng)和功能安全標(biāo)準(zhǔn)，然后介紹了智能駕駛操作系統(tǒng)架構(gòu)，對其進行功能安全分析，并基于上述分析對智能駕駛操作系統(tǒng)功能安全開發(fā)進行了認(rèn)證實踐活動。

關(guān)鍵詞：操作系統(tǒng) 智能駕駛 功能安全 認(rèn)證實踐

一、概述

（一）智能駕駛操作系統(tǒng)概述

汽車行業(yè)正在經(jīng)歷一場翻天覆地的變革，從機械化到電子化、電動化，再到自動化、智能化，以及未來的云計算化、車路云協(xié)同化，智能車時代已經(jīng)拉開序幕，智能車操作系統(tǒng)作為智能車時代的靈魂和核心備受關(guān)注。按照應(yīng)用場景的不同，智能車的操作系統(tǒng)可以分為安全車控操作系統(tǒng)、智能駕駛操作系統(tǒng)和車載操作系統(tǒng)3類[1]。隨著智能駕駛技術(shù)快速發(fā)展，智能駕駛操作系統(tǒng)已成為行業(yè)競爭焦點，但技術(shù)和市場尚不成熟，是關(guān)鍵突破口；智能駕駛操作系統(tǒng)主要面向智能駕駛領(lǐng)域，支持高算力異構(gòu)系統(tǒng)級芯片（System On Chip，SOC），包含車規(guī)級操作系統(tǒng)內(nèi)核，兼容自適應(yīng)汽車開放系統(tǒng)架構(gòu)（Automotive Open System Architecture，AUTOSAR）等國際主流中間件，具備多傳感器數(shù)據(jù)的接入和大數(shù)據(jù)吞吐能力，同時滿足自動駕駛所需的功能安全要求[2]。本文著重分析智能駕駛操作系統(tǒng)的功能安全，并開展相關(guān)的認(rèn)證實踐活動。

（二）功能安全概述

目前智能車遵循的功能安全國際標(biāo)準(zhǔn)為ISO 26262-2018《Road vehicles — Functional safety》和國內(nèi)標(biāo)準(zhǔn)為GB/T 34590-2022《道路車輛 功能安全》，國內(nèi)標(biāo)準(zhǔn)是基于國際標(biāo)準(zhǔn)的翻譯修訂而來，以下為ISO 26262-2018[3]標(biāo)準(zhǔn)構(gòu)成和主要內(nèi)容，如表1 所示。

在應(yīng)用 ISO 26262 規(guī)范自動駕駛軟件產(chǎn)品的相關(guān)研發(fā)活動時，主要涉及的是標(biāo)準(zhǔn)的第 2 章、第6 章、第 8 章和第9章的內(nèi)容或要求的活動。由于ISO 26262-2018《Road vehicles -Functional safety》標(biāo)準(zhǔn)的局限性，沒有對既存的軟件組件（如Linux開源軟件組件）的標(biāo)準(zhǔn)符合性提出可行的技術(shù)要求和方法指導(dǎo)，ISO/PAS 8926標(biāo)準(zhǔn)提出了一整套對開源軟件標(biāo)準(zhǔn)符合性的指導(dǎo)，國際標(biāo)準(zhǔn)化組織在ISO 26262 第三版的修訂版中將吸收ISO/PAS 8926標(biāo)準(zhǔn)的內(nèi)容作為補充。

（三）功能安全的重要性

智能車走進千家萬戶和融入我們的日常生活，車輛是否擁有足夠的安全性是人們關(guān)注的焦點。前方突然出現(xiàn)行人或車輛，它是否能迅速識別并在安全距離內(nèi)實現(xiàn)制動或減速慢行；在高速行駛過程中，它是否會出現(xiàn)突發(fā)的非預(yù)期的剎車制動；在自主泊車過程中，它是否能精確計算位置，而不與其他車輛發(fā)生碰撞剮蹭。在智能車時代，一個元器件的失效，一段不經(jīng)意的代碼，一套不完善的防護機制，都將對人們的生命安全造成巨大威脅[4]。在出現(xiàn)電子系統(tǒng)故障情況下，智能車合理的功能安全機制和安全策略能識別安全風(fēng)險并控制車輛進入安全狀態(tài)，最大限度減少甚至避免人員傷亡，功能安全就成了最基本的安全保障，智能車功能安全的重要性不言而喻。同時智能車安全體系的內(nèi)涵和外延也在不斷發(fā)生變化，功能安全、預(yù)期功能安全和信息安全構(gòu)成了智能車特別是智能駕駛體系的安全要素。功能安全地融入是智能駕駛汽車發(fā)展的客觀要求，功能安全在智能駕駛系統(tǒng)的全生命周期中起著指引、規(guī)范、控制的作用。明確的功能安全要求、技術(shù)方案和規(guī)范的功能安全開發(fā)流程可以降低甚至避免來自系統(tǒng)失效和隨機硬件失效的風(fēng)險。

二、智能駕駛操作系統(tǒng)功能安全分析

（一）智能駕駛操作系統(tǒng)架構(gòu)

智能駕駛操作系統(tǒng)按架構(gòu)自下而上均可分為系統(tǒng)軟件和功能軟件。其中，系統(tǒng)軟件按架構(gòu)自下而上可以分為虛擬化管理（如Hypervisor）、操作系統(tǒng)內(nèi)核（如Linux）和中間件；功能軟件可以分為自動駕駛通用框架模型（環(huán)境模型、規(guī)劃模型、控制模型）和功能軟件通用框架（數(shù)據(jù)抽象、數(shù)據(jù)流框架、基礎(chǔ)服務(wù)）以及應(yīng)用軟件接口（SOA/API）等[1]，如圖1所示為智能駕駛操作系統(tǒng)架構(gòu)。

（二）智能駕駛操作系統(tǒng)功能安全分析

由于智能駕駛操作系統(tǒng)作為軟件組件使用SEooC（Safety Element out of Content，脫離上下文的安全要素）的開發(fā)方式較合適，從智能汽車操作系統(tǒng)的特性定義入手，進行假設(shè)分析，并進一步分解安全需求，這種方式更加聚焦共性基礎(chǔ)軟件的功能安全細(xì)節(jié)要求，同時結(jié)合自上而下的方式對智能駕駛操作系統(tǒng)進行從HARA到FSR到TSR的逐層分析和需求導(dǎo)出，如下表2－表3提出了對智駕操作系統(tǒng)的安全目標(biāo)、功能安全需求和軟件安全需求，智駕操作系統(tǒng)的設(shè)計需遵循此要求。

以上的功能安全需求定義了實現(xiàn)安全的智駕操作系統(tǒng)的基本的功能安全要求，同時需結(jié)合安全的軟件架構(gòu)進行落地實施。

E-GAS安全監(jiān)控架構(gòu)是汽車行業(yè)廣為人知的系統(tǒng)架構(gòu)，如圖2為汽車動力域采用的E-GAS 3級監(jiān)控概念，監(jiān)控層1為功能實現(xiàn)層，實現(xiàn)的是發(fā)動機控制基礎(chǔ)的功能，如扭矩控制和部件監(jiān)控；監(jiān)控層2功能監(jiān)控層，監(jiān)控功能層的軟件運行，如監(jiān)控扭矩的計算和車輛加速度，如果發(fā)生功能故障，將觸發(fā)系統(tǒng)故障反應(yīng)；監(jiān)控層3為控制監(jiān)控層，此監(jiān)控層模塊需獨立于上述的功能監(jiān)控層，通過問答監(jiān)控程序測試程序是否在正確地運行[5]。

將功能安全的需求和技術(shù)措施結(jié)合汽車行業(yè)的E-GAS 3層監(jiān)控的概念應(yīng)用到智能駕駛操作系統(tǒng)的架構(gòu)設(shè)計中，可以提出如圖3所示的典型的監(jiān)控架構(gòu)，用以保證智能駕駛操作系統(tǒng)的整體安全性，其中：L1（level 1層 功能監(jiān)控層），該層對OS的內(nèi)核態(tài)和用戶態(tài)的故障檢測和診斷；L2（level 2層 功能安全島監(jiān)控層），該層是功能安全島，負(fù)責(zé)整個SOC的關(guān)鍵狀態(tài)監(jiān)測；L3（level 3層 外部監(jiān)控層），該層運行在第三方的MCU上，支持重啟等措施來恢復(fù)SOC的嚴(yán)重故障。

為了滿足和實現(xiàn)上述的功能安全需求和落地上述典型操作系統(tǒng)監(jiān)控架構(gòu)，開發(fā)滿足功能安全流程和技術(shù)要求的智能駕駛操作系統(tǒng)的系統(tǒng)軟件和功能軟件，選擇安全可靠的開發(fā)工具是必不可少的。從整車系統(tǒng)角度分析的智能駕駛域的功能安全最高等級要求需達(dá)到ASILD的要求，智能駕駛操作系統(tǒng)作為智能駕駛域控的技術(shù)底座，也需按照最高功能安全等級ASILD進行開發(fā)。

三、智能駕駛操作系統(tǒng)功能安全認(rèn)證實踐

由前述章節(jié)的分析可知，判斷智能駕駛操作系統(tǒng)是否滿足功能安全ISO 26262標(biāo)準(zhǔn)的要求，需確保操作系統(tǒng)系統(tǒng)軟件和功能軟件安全相關(guān)的核心組件符合功能安全流程和技術(shù)要求?；诖艘?，進行了如下實踐活動：

系統(tǒng)軟件：對安全強相關(guān)的軟件組件C庫、IPC、AUTOSAR AP等系統(tǒng)軟件組件按照ISO2626功能安全標(biāo)準(zhǔn)流程開發(fā)并進行功能安全最高等級ASILD的認(rèn)證，并通過第三方審核機構(gòu)審核和評估；對Linux內(nèi)核的核心模塊按照ISO2626標(biāo)準(zhǔn)以ASILB為目標(biāo)的功能安全流程開發(fā)，同時對系統(tǒng)調(diào)用進行安全缺陷分析、增加安全機制以實現(xiàn)安全加強。

功能軟件：確定性調(diào)度和診斷模塊等功能軟件組件按照ISO2626功能安全標(biāo)準(zhǔn)流程開發(fā)并進行功能安全最高等級ASILD的認(rèn)證，并通過第三方審核機構(gòu)審核和評估；開發(fā)工具：對安全相關(guān)關(guān)鍵工具鏈編譯器進行功能安全最高置信度 TCL3的工具鑒定并通過第三方審核機構(gòu)審核和評估；

本章將選取Linux內(nèi)核安全加強、C庫軟件組件功能安全認(rèn)證兩個案例逐一論述為了滿足智能駕駛操作系統(tǒng)功能安全技術(shù)和流程的要求所做的實踐活動。

（一）Linux內(nèi)核安全加強

智能汽車操作系統(tǒng)底層采用Linux內(nèi)核，并且內(nèi)部含有第三方的庫函數(shù)（如C庫）和一些開源代碼（如中間件vsomeip、cyclonedds、iceoryx），從傳統(tǒng)功能安全的角度，這些都是標(biāo)準(zhǔn)要求所不能接受的，Linux內(nèi)核作為智能駕駛操作系統(tǒng)的核心內(nèi)容需具備足夠的安全機制以確保滿足功能安全ISO 26262標(biāo)準(zhǔn)技術(shù)要求，但受限于Linux作為開源的宏內(nèi)核，代碼結(jié)構(gòu)極其復(fù)雜，流程層面還不具備功能安全認(rèn)證的條件，ELISA組織（Linux基金會發(fā)起，致力于將開源的Linux內(nèi)核滿足ASILB開發(fā)要求，并應(yīng)用于關(guān)鍵安全系統(tǒng)的組織）提出了借助ISO 26262 Part8-12和Part6的混合方法論，同時結(jié)合標(biāo)準(zhǔn)ISO/PAS 8926進行內(nèi)核的缺陷分析，以確保有足夠的安全機制保證內(nèi)核安全和穩(wěn)定地運行。

以內(nèi)核系統(tǒng)調(diào)用ioctl（）為例，如圖4和表5所示，分別展示了基于ISO 26262 Part8-12和Part6的混合方式的方法論的流程和基于ISO8926進行的ioctl（）安全需求設(shè)計及ioctl（）架構(gòu)設(shè)計示意圖。

通過專門的接口調(diào)用分析軟件分析可以統(tǒng)計出，Linux內(nèi)核被安全相關(guān)的上層應(yīng)用調(diào)用的系統(tǒng)調(diào)用有134個。首先根據(jù)項目實際應(yīng)用和專門的分析工具，將其分為三類：禁止使用、非安全相關(guān)、安全相關(guān)。如果Linux內(nèi)核系統(tǒng)調(diào)用被定義為禁止使用或者非安全相關(guān)，則在安全使用手冊中明確寫出此類接口被禁止使用，或為非安全接口。對于安全相關(guān)系統(tǒng)調(diào)用，利用特別定制的Linux內(nèi)核復(fù)雜度分析軟件進行調(diào)用樹展開及復(fù)雜度分析，并按照ISO/PAS 8926標(biāo)準(zhǔn)的要求將其復(fù)雜度由低到高劃分為C1、C2、C3三個等級。

對于低復(fù)雜度（復(fù)雜度為C1、C2）的部分按照ISO26262 Part8-12的要求，將其作為黑盒進行需求分析后加入相應(yīng)的安全機制并進行必要的需求驗證測試，以驗證功能是否達(dá)預(yù)期和安全機制的有效性。

對于高復(fù)雜度（復(fù)雜度為C3）的部分，除了按照ISO26262 Part8-12的要求，將其作為黑盒進行需求分析后加入相應(yīng)的安全機制并進行必要的需求驗證測試以外，還需按照ISO 8926標(biāo)準(zhǔn)的要求，以白盒的方式進行架構(gòu)設(shè)計分析并據(jù)此進行安全分析（采用FEMA方法），依次進行功能級FEMA分析和函數(shù)級FEMA分析，分析出功能層級和函數(shù)層級可能的失效模式和失效影響，最終提出可行的安全機制和安全需求并進行相應(yīng)的機制驗證。通過對安全應(yīng)用相關(guān)的Linux內(nèi)核系統(tǒng)調(diào)用的黑盒和白盒的分析，得到必要的安全機制并實施，極大地提升內(nèi)核的安全性和可靠性，為實現(xiàn)安全Linux內(nèi)核打下堅實基礎(chǔ)。

（二）C庫軟件組件功能安全產(chǎn)品認(rèn)證

C庫即C運行庫，是智能駕駛操作系統(tǒng)最底層的接口，其功能安全的實現(xiàn)必須依賴安全的C庫。智能駕駛操作系統(tǒng)中的系統(tǒng)軟件和功能軟件都依賴C庫函數(shù)才能正常運行和實現(xiàn)相應(yīng)的功能，C庫函數(shù)大約有幾千個之多，并且還隨著版本的更新而增加。在實際車型項目中，根據(jù)智能駕駛系統(tǒng)軟件和功能軟件對C庫的依賴情況，使用專用工具掃描獲取高頻的C庫函數(shù)有456個，核心的有108個，選取了其中安全相關(guān)的且核心的108個函數(shù)作為C庫的認(rèn)證范圍。

在對C庫產(chǎn)品進行功能安全認(rèn)證時，首先對該軟件組件的使用假設(shè)場景（Assumption of Use，AoU）進行定義，AoU中對外部的依賴項進行明確要求和定義?；诖颂岢龈邔蛹壍墓δ馨踩枨?，功能安全目標(biāo)（Safety Goal，SG），根據(jù)對C庫的分析，提出以下功能安全目標(biāo)（表6）。

根據(jù)功能安全目標(biāo)的要求對C庫的架構(gòu)進行分析，形成功能安全概念和技術(shù)安全概念，并編寫功能安全需求（FSR）（見表7）和技術(shù)安全需求（TSR）（見表8）。

基于以上的安全需求，按照ISO26262功能安全標(biāo)準(zhǔn)的要求依次進行軟件需求開發(fā)、架構(gòu)設(shè)計、單元設(shè)計、詳細(xì)測試、集成測試、功能測試等文檔編寫和代碼實現(xiàn)及測試，對C庫軟件組件進行功能安全產(chǎn)品認(rèn)證，通過第三方審核機構(gòu)TUV萊茵的審核評估，最終獲得軟件功能安全產(chǎn)品ASILD認(rèn)證證書。

四、結(jié)束語

智能駕駛操作系統(tǒng)作為智能車時代的核心，其功能安全的重要性不言而喻。本文通過對智能駕駛操作系統(tǒng)架構(gòu)并對其進行功能安全分析，同時運用可行的方法論對智能駕駛操作系統(tǒng)的核心軟件組件進行了功能安全技術(shù)開發(fā)和認(rèn)證實踐活動，通過ISO26262功能安全標(biāo)準(zhǔn)的指導(dǎo)減少甚至避免了智能駕駛操作系統(tǒng)核心軟件組件的系統(tǒng)性失效的發(fā)生，從而確保了智能駕駛操作系統(tǒng)整體的安全性。

作者單位：王圭 孟超 吳鵬 零束科技有限公司

參考文獻

[1]全國汽車標(biāo)準(zhǔn)化技術(shù)委員會智能網(wǎng)聯(lián)汽車分技術(shù)委員會.車控操作系統(tǒng)總體技術(shù)要求研究報告[R/OL].全國汽車標(biāo)準(zhǔn)化委員會， 2022.

[2] 周時瑩，梁貴友，王德平，等.智能網(wǎng)聯(lián)汽車操作系統(tǒng)發(fā)展趨勢及國產(chǎn)化生態(tài)建設(shè)[J].汽車技術(shù)， 2023（11）： 1-7.

[3] ISO 26262：2018. Road Vehicles Functional Safety [S].

[4] https：//zhuanlan.zhihu.com/p/560674605.

[5] EGAS Workgroup.Standardized E-Gas Monitoring Concept for Gasoline and Diesel Engine Control Units[S]Version 6.0.Frankfurt，Germany.