智能汽車(chē)操作系統(tǒng)安全性如何保障？

前言

汽車(chē)行業(yè)正在經(jīng)歷一場(chǎng)翻天覆地的變革，從機(jī)械化到電子化、電動(dòng)化，再到自動(dòng)化、智能化，以及未來(lái)的云計(jì)算化、車(chē)路云協(xié)同化……智能網(wǎng)聯(lián)汽車(chē)時(shí)代已經(jīng)拉開(kāi)序幕，智能汽車(chē)的誕生推動(dòng)汽車(chē)行業(yè)從硬件主導(dǎo)的傳統(tǒng)方式轉(zhuǎn)變?yōu)橐攒浖?a target="_blank">中心的個(gè)性化模式。

汽車(chē)電子產(chǎn)業(yè)鏈也在發(fā)生巨變與重塑，面向部件的整體功能式供應(yīng)鏈轉(zhuǎn)為硬件+平臺(tái)化軟件+定制化開(kāi)發(fā)的聯(lián)合形態(tài)，急需構(gòu)建圍繞主機(jī)廠和最終用戶需求的智能計(jì)算基礎(chǔ)平臺(tái)和產(chǎn)業(yè)鏈生態(tài)，智能汽車(chē)操作系統(tǒng)必將成為產(chǎn)業(yè)核心，推動(dòng)和引領(lǐng)智能網(wǎng)聯(lián)汽車(chē)的發(fā)展。只有智能汽車(chē)操作系統(tǒng)才能支撐打造跨車(chē)型、應(yīng)用定制，適配不同異構(gòu)分布硬件的統(tǒng)一汽車(chē)智能駕駛產(chǎn)業(yè)化平臺(tái)合作模式，實(shí)現(xiàn)軟硬解耦、功能應(yīng)用解耦、車(chē)型解耦的靈活開(kāi)發(fā)模式，真正賦能主機(jī)廠的自主開(kāi)發(fā)。

縱觀歷史，每一次科技變革，一定會(huì)帶來(lái)一場(chǎng)舊思想的顛覆和新思想的滲透與沖擊！對(duì)于汽車(chē)行業(yè)的巨變，隨之帶來(lái)的是新思想新理念新技術(shù)的融合與創(chuàng)新。

傳統(tǒng)車(chē)企多年沉淀的優(yōu)勢(shì)在于強(qiáng)大的集成能力與規(guī)范且規(guī)模化的生產(chǎn)制造能力，傳統(tǒng)汽車(chē)行業(yè)零部件供應(yīng)商具有良好的電子零部件開(kāi)發(fā)及供貨能力，但是二者在大規(guī)模平臺(tái)化軟件開(kāi)發(fā)方面經(jīng)驗(yàn)欠缺，缺乏較大型軟件規(guī)劃、架構(gòu)、設(shè)計(jì)等方面的正向積累，所以傳統(tǒng)汽車(chē)行業(yè)的各路玩家是無(wú)法獨(dú)自撐起一個(gè)完整的智能網(wǎng)聯(lián)汽車(chē)時(shí)代，在這樣智能汽車(chē)取代傳統(tǒng)汽車(chē)的大時(shí)代背景下，融合車(chē)企規(guī)范性和ICT先進(jìn)性的高科技平臺(tái)軟件公司必將登上歷史舞臺(tái)，作為中堅(jiān)力量，向下實(shí)現(xiàn)跨車(chē)型跨硬件的擴(kuò)展集成，向上賦能車(chē)企深入到軟件開(kāi)發(fā)中，真正實(shí)現(xiàn)定制化應(yīng)用軟件的自主開(kāi)發(fā)。

由此誕生的智能計(jì)算基礎(chǔ)平臺(tái)、智能汽車(chē)操作系統(tǒng)，作為承上啟下的時(shí)代新產(chǎn)物，大家對(duì)它的認(rèn)知還需要時(shí)間的沉淀，而我們作為智能計(jì)算基礎(chǔ)平臺(tái)，智能汽車(chē)操作系統(tǒng)最早的定義者和引領(lǐng)者，在行業(yè)內(nèi)不斷的授人以漁，慢慢的讓行業(yè)各路資深玩家們開(kāi)始覺(jué)醒，認(rèn)同，并開(kāi)始協(xié)同合力共創(chuàng)智能網(wǎng)聯(lián)汽車(chē)時(shí)代華章。

對(duì)于智能網(wǎng)聯(lián)汽車(chē)，安全是最為關(guān)注的話題。從功能安全I(xiàn)SO26262到預(yù)期功能安全I(xiàn)SO21448，標(biāo)準(zhǔn)只是提供最基本的方法論，而如何真正做到安全是需要每一個(gè)從業(yè)者深度思考、深入研究以及深刻實(shí)踐的。智能汽車(chē)操作系統(tǒng)作為支撐智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)的核心產(chǎn)品，其安全可靠也是我們一直以來(lái)追求的目標(biāo)，傳統(tǒng)的安全標(biāo)準(zhǔn)雖然按部就班的給出相應(yīng)的開(kāi)發(fā)指導(dǎo)，但是對(duì)于智能汽車(chē)操作系統(tǒng)而言，所需支持的應(yīng)用場(chǎng)景復(fù)雜多變，AI算法作為服務(wù)嵌入其中，功能邏輯復(fù)雜，代碼量巨大，大量開(kāi)源代碼的使用，基于linux內(nèi)核開(kāi)發(fā)的廣泛應(yīng)用……這些似乎都與傳統(tǒng)的功能安全背道而馳，新生的預(yù)期功能安全似乎也還處于一種混沌狀態(tài)，那么智能汽車(chē)操作系統(tǒng)安全性如何保障？

智能網(wǎng)聯(lián)汽車(chē)的安全是否有明天？在智能汽車(chē)操作系統(tǒng)功能安全上，我們就好像是“孤身走暗巷”的孤勇者一樣，雖然對(duì)峙絕望但也算一路披荊斬棘，摸索開(kāi)拓出一條屬于智能汽車(chē)操作系統(tǒng)功能安全的正確之路，也希望能把這些經(jīng)驗(yàn)與理念傳播給行業(yè)內(nèi)為了確保安全而奮力作戰(zhàn)的同行者們，大家共同真正推動(dòng)落實(shí)智能汽車(chē)操作系統(tǒng)的安全可靠性。

智能汽車(chē)操作系統(tǒng)的安全入場(chǎng)券

智能汽車(chē)操作系統(tǒng)的安全性如何保障？毋庸置疑，一定是先站在巨人的肩膀上，標(biāo)準(zhǔn)是行業(yè)智慧的體現(xiàn)，是經(jīng)過(guò)時(shí)間見(jiàn)證的優(yōu)秀方法論，標(biāo)準(zhǔn)不一定是最好最先進(jìn)的，但一定是最基礎(chǔ)的理論，所以對(duì)于智能汽車(chē)操作系統(tǒng)的安全之路第一步一定是先買(mǎi)入場(chǎng)券，我們?cè)诠痉秶鷥?nèi)建立安全體系，在基礎(chǔ)質(zhì)量體系基礎(chǔ)上建設(shè)穩(wěn)固的ASPICE體系、再在此基礎(chǔ)上融合功能安全體系和預(yù)期功能安全體系，萬(wàn)丈高樓一定需要堅(jiān)實(shí)的地基與框架。

在汽車(chē)行業(yè)里，很多人對(duì)于功能安全和預(yù)期功能安全的理解只停留在標(biāo)準(zhǔn)層面上，因此會(huì)有很多誤解，認(rèn)為它側(cè)重在文檔功夫上，甚至有些人認(rèn)為它很雞肋，但很多時(shí)候都是無(wú)知者無(wú)畏。真正的功能安全與預(yù)期功能安全一定是和技術(shù)融為一體，在開(kāi)發(fā)過(guò)程中自然而然能夠考慮到，也會(huì)自然而然去解決。文檔作為一種載體和體現(xiàn)形式，雖然不是產(chǎn)品能夠設(shè)計(jì)好的充分條件，但是一定是產(chǎn)品卓越的必要條件。

傳統(tǒng)功能安全聚焦于電子電氣設(shè)備的失效，對(duì)于硬件有形產(chǎn)品，硬件固有屬性隨著時(shí)間的推移會(huì)產(chǎn)生隨機(jī)失效，例如一個(gè)電阻元器件可能隨機(jī)產(chǎn)生開(kāi)路、短路、阻值漂移等隨機(jī)失效模式，如果它在一個(gè)電路中處于很關(guān)鍵的角色，那么它的失效可能帶來(lái)整個(gè)電路、模塊或設(shè)備、的失效，如果這個(gè)產(chǎn)品又是一個(gè)安全相關(guān)產(chǎn)品，它的失效就可能導(dǎo)致人身傷害的危險(xiǎn)事故。

而對(duì)于軟件這種無(wú)形產(chǎn)品，軟件人員能力差異，開(kāi)發(fā)過(guò)程的疏忽，所使用的工具的準(zhǔn)確度偏差都會(huì)影響最終軟件的質(zhì)量，這些不可量化的失效統(tǒng)稱為系統(tǒng)性失效，系統(tǒng)性失效無(wú)法完全消除且一旦運(yùn)行環(huán)境或條件達(dá)到相應(yīng)觸發(fā)臨界點(diǎn)時(shí)，便一定會(huì)發(fā)生，同樣，對(duì)于安全相關(guān)軟件，系統(tǒng)性失效可能導(dǎo)致人身傷害的事故發(fā)生。因此功能安全的終極使命便是降低隨機(jī)性失效和系統(tǒng)性失效，把一切風(fēng)險(xiǎn)控制在可接受的范圍。

ISO26262基于對(duì)抗這兩種失效給我們提供了一套最基礎(chǔ)的方法論?？傮w概括，它包括兩部分內(nèi)容：功能安全技術(shù)和功能安全管理。功能安全技術(shù)包括逐層細(xì)化的功能安全分析，架構(gòu)層面的功能安全方案設(shè)計(jì)，硬件的安全架構(gòu)設(shè)計(jì)、失效探測(cè)、診斷措施、隨機(jī)失效的度量與定量計(jì)算，軟件的安全架構(gòu)設(shè)計(jì)、故障檢測(cè)與故障處理機(jī)制，各層級(jí)測(cè)試技術(shù)的充分運(yùn)用。功能安全管理包括安全文化的建立、功能安全認(rèn)可、功能安全審核、功能安全評(píng)估、配置管理、質(zhì)量管理、變更管理、驗(yàn)證管理等內(nèi)容。

同時(shí)ISO26262給我們提供了兩種開(kāi)發(fā)思路：一種是自上而下的開(kāi)發(fā)，從概念階段的HARA分析到功能安全概念FSC，到系統(tǒng)階段的技術(shù)安全概念TSC，再到軟硬件層面的安全需求、設(shè)計(jì)與測(cè)試，一切基于相關(guān)項(xiàng)定義進(jìn)行分析與分解。另一種是自下而上的開(kāi)發(fā)，也就是SEooC開(kāi)發(fā)（脫離上下文環(huán)境的安全要素開(kāi)發(fā)），我們選定要開(kāi)發(fā)范圍后假設(shè)它的上一層需求，以便推導(dǎo)出它的安全需求，然后進(jìn)行相應(yīng)的分析、設(shè)計(jì)和測(cè)試等一系列的活動(dòng)，當(dāng)它工程化實(shí)踐落到實(shí)際應(yīng)用場(chǎng)景中時(shí)，假設(shè)條件與實(shí)際條件進(jìn)行相應(yīng)的匹配與偏差分析。這兩種開(kāi)發(fā)思路的區(qū)別在于，第一種思路就是根據(jù)客戶的需求進(jìn)行定制；第二種思路是正向開(kāi)發(fā)產(chǎn)品進(jìn)行客戶營(yíng)銷(xiāo)。

對(duì)于智能汽車(chē)操作系統(tǒng)，顯然SEooC的開(kāi)發(fā)方式更符合它的基因，而功能安全技術(shù)和功能安全管理是缺一不可的。

隨著智能網(wǎng)聯(lián)汽車(chē)的發(fā)展，面對(duì)復(fù)雜的應(yīng)用場(chǎng)景，人們開(kāi)始意識(shí)到事故的發(fā)生不僅僅來(lái)源于電子電氣的失效，也有可能是功能不全、性能不足以及人的誤操作。但早在傳統(tǒng)功能安全誕生時(shí)，專家們就武斷的給功能安全下了一個(gè)“針對(duì)電子電氣失效”的緊箍咒，因此這些新型可能導(dǎo)致危害的情況衍生了一個(gè)功能安全的孿生體——預(yù)期功能安全。

ISO21448在這種混沌的狀態(tài)下誕生，立足對(duì)自動(dòng)駕駛安全影響廣泛的非故障安全領(lǐng)域，重點(diǎn)關(guān)注智能汽車(chē)的行為安全，解決因自身設(shè)計(jì)不足或性能局限在遇到一定的觸發(fā)條件（如環(huán)境干擾或人員誤用）時(shí)導(dǎo)致的整車(chē)行為危害。

ISO21448預(yù)期功能安全方法論總體概括也可分為兩部分內(nèi)容：一是功能設(shè)計(jì)、分析與優(yōu)化；二是場(chǎng)景的驗(yàn)證與確認(rèn)。前者包括功能規(guī)范設(shè)計(jì)、分析系統(tǒng)功能、危害識(shí)別與風(fēng)險(xiǎn)評(píng)估、改進(jìn)系統(tǒng)設(shè)計(jì)進(jìn)行功能優(yōu)化；后者包括已知危險(xiǎn)場(chǎng)景的評(píng)估和未知危險(xiǎn)場(chǎng)景的評(píng)估。
?

在ISO21448標(biāo)準(zhǔn)中，從安全性和已知性角度，將車(chē)輛行駛場(chǎng)景劃分為4類(lèi)：

?????? 已知安全場(chǎng)景（區(qū)域1）

?????? 已知危險(xiǎn)場(chǎng)景（區(qū)域2）

?????? 未知危險(xiǎn)場(chǎng)景（區(qū)域3）

?????? 未知安全場(chǎng)景（區(qū)域4）

對(duì)于已知危險(xiǎn)場(chǎng)景2，基于現(xiàn)有用例可以明確評(píng)估，通過(guò)SOTIF分析方法保證這類(lèi)場(chǎng)景的殘余風(fēng)險(xiǎn)足夠低?；舅枷胧峭ㄟ^(guò)危害分析識(shí)別出風(fēng)險(xiǎn)場(chǎng)景，針對(duì)風(fēng)險(xiǎn)場(chǎng)景開(kāi)發(fā)對(duì)應(yīng)策略，再對(duì)已知場(chǎng)景搭建仿真環(huán)境或?qū)嵻?chē)環(huán)境進(jìn)行測(cè)試驗(yàn)證，根據(jù)實(shí)驗(yàn)結(jié)果優(yōu)化系統(tǒng)設(shè)計(jì)，例如進(jìn)行功能改進(jìn)或限制功能使用，從而將相應(yīng)的危險(xiǎn)場(chǎng)景轉(zhuǎn)移至區(qū)域1安全場(chǎng)景。

對(duì)于未知危險(xiǎn)場(chǎng)景3， SOTIF基于危害分析、開(kāi)放道路測(cè)試、隨機(jī)輸入測(cè)試等，發(fā)現(xiàn)系統(tǒng)設(shè)計(jì)不足，并將能檢測(cè)到的危險(xiǎn)場(chǎng)景轉(zhuǎn)移到區(qū)域2當(dāng)中。區(qū)域3的場(chǎng)景和相應(yīng)用例可以通過(guò)行業(yè)最佳實(shí)踐或者其他方法制定。最終基于統(tǒng)計(jì)數(shù)據(jù)和測(cè)試結(jié)果，間接證明區(qū)域3的殘余風(fēng)險(xiǎn)可接受。

預(yù)期功能安全最終目標(biāo)為評(píng)估系統(tǒng)在已知危險(xiǎn)場(chǎng)景（區(qū)域 2）和未知危險(xiǎn)場(chǎng)景（區(qū)域3）的殘余風(fēng)險(xiǎn)控制在合理可接受范圍。

智能汽車(chē)操作系統(tǒng)作為智能網(wǎng)聯(lián)汽車(chē)的共性基礎(chǔ)軟件，所需要支持L2到L4不同的自動(dòng)駕駛應(yīng)用功能，因此預(yù)期功能安全的考慮也是必不可少。

無(wú)論是ISO26262功能安全標(biāo)準(zhǔn)還是ISO21448預(yù)期功能安全標(biāo)準(zhǔn)，它們只提供了最基礎(chǔ)的方法論，而距離工程化實(shí)踐還有很大的距離，按照標(biāo)準(zhǔn)開(kāi)展相應(yīng)活動(dòng)也不過(guò)僅僅是智能汽車(chē)操作系統(tǒng)功能安全路上的一張入場(chǎng)券而已，后面任重而道遠(yuǎn)。

2020年，我們基于智能汽車(chē)操作系統(tǒng)的平臺(tái)化特性，摸索確定其功能安全目標(biāo)，由于智能汽車(chē)操作系統(tǒng)后續(xù)支持的服務(wù)及應(yīng)用廣泛，可能涵蓋多種場(chǎng)景和自動(dòng)駕駛等級(jí)，在不同的自動(dòng)駕駛等級(jí)下，對(duì)智能汽車(chē)操作系統(tǒng)可能有不同的功能安全要求，所以最終確定按照ISO26262標(biāo)準(zhǔn)最高功能安全等級(jí)ASILD的要求對(duì)其進(jìn)行流程體系構(gòu)建與落地，全面建立功能安全開(kāi)發(fā)流程、文檔模板、檢查單和各種功能安全活動(dòng)指導(dǎo)手冊(cè)。并在同年加入CAICV中國(guó)智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)創(chuàng)新聯(lián)盟的預(yù)期功能安全工作組，對(duì)預(yù)期功能安全相關(guān)技術(shù)開(kāi)展研究與評(píng)價(jià)。2021年初順利通過(guò)ISO26262-2018標(biāo)準(zhǔn)流程體系認(rèn)證，標(biāo)志著我們?cè)谥悄苡?jì)算基礎(chǔ)平臺(tái)、智能汽車(chē)操作系統(tǒng)的安全之路上邁出了重要的第一步。

在智能汽車(chē)操作系統(tǒng)ICVOS產(chǎn)品開(kāi)發(fā)過(guò)程中，我們也進(jìn)行了很長(zhǎng)時(shí)間功能安全開(kāi)發(fā)模式的探索，前期采用自上而下的開(kāi)發(fā)模式，從應(yīng)用功能角度出發(fā)，以HWA和AEB功能為例，進(jìn)行HARA分析，識(shí)別功能安全需求，基于架構(gòu)分解技術(shù)安全需求，再進(jìn)一步分解……在這個(gè)過(guò)程中，我們發(fā)現(xiàn)這種方式對(duì)于智能汽車(chē)操作系統(tǒng)的功能安全有兩個(gè)弊端：一是對(duì)于基礎(chǔ)平臺(tái)化軟件，需要支撐各種不同的應(yīng)用及服務(wù)，安全需求如果來(lái)源于單純一種或幾種應(yīng)用及服務(wù)并不全面，且這種方式分解出來(lái)的特定應(yīng)用相關(guān)需求較多，而基礎(chǔ)平臺(tái)軟件安全需求不足；二是這種分解到智能汽車(chē)操作系統(tǒng)層面的安全需求顆粒度不夠細(xì)化。

因此轉(zhuǎn)為自下而上的SEooC的分析，從智能汽車(chē)操作系統(tǒng)的feature定義入手，進(jìn)行假設(shè)分析，并進(jìn)一步分解安全需求，這種方式更加聚焦共性基礎(chǔ)軟件的功能安全細(xì)節(jié)要求，實(shí)踐證明這種方式更加適用于智能汽車(chē)操作系統(tǒng)的功能安全開(kāi)發(fā)。而從應(yīng)用角度啟動(dòng)的自上而下的分析與分解可以作為一種輔助形式，用來(lái)作為功能安全需求查缺補(bǔ)漏的驗(yàn)證。

智能汽車(chē)操作系統(tǒng)的安全挑戰(zhàn)探索

智能汽車(chē)操作系統(tǒng)作為智能網(wǎng)聯(lián)汽車(chē)時(shí)代的新產(chǎn)品，ISO26262功能安全標(biāo)準(zhǔn)無(wú)法覆蓋它的安全性，即使是ISO21448預(yù)期功能安全的加持，也不能完全承載它所面對(duì)的安全挑戰(zhàn)。

首先，智能汽車(chē)操作系統(tǒng)作為一個(gè)基礎(chǔ)平臺(tái)軟件，需要支持L2到L4級(jí)自動(dòng)駕駛應(yīng)用，各種應(yīng)用面臨不同的使用場(chǎng)景，多種場(chǎng)景因素組合又會(huì)衍生無(wú)窮的新場(chǎng)景；新場(chǎng)景帶來(lái)不可預(yù)知的功能、性能的局限性以及特定場(chǎng)景可能觸發(fā)的失效情況，從而引發(fā)安全問(wèn)題。

而軟件本身的屬性只能對(duì)有限的場(chǎng)景或特征輸入進(jìn)行處理，這就要求對(duì)海量的場(chǎng)景進(jìn)行抽絲剝繭，提取各種場(chǎng)景下共性的、與安全相關(guān)的特征進(jìn)行分析，并最終分配至安全要素，而要完成對(duì)安全分析結(jié)果正確性驗(yàn)證則需要對(duì)海量場(chǎng)景進(jìn)行測(cè)試，此過(guò)程的難度和工作量無(wú)疑是巨大的，需要靈活的軟件架構(gòu)、強(qiáng)大的自動(dòng)化測(cè)試系統(tǒng)做支撐。

并且汽車(chē)行業(yè)里很多標(biāo)準(zhǔn)來(lái)源于國(guó)際標(biāo)準(zhǔn)，或由國(guó)際標(biāo)準(zhǔn)轉(zhuǎn)化的國(guó)家標(biāo)準(zhǔn)，而智能網(wǎng)聯(lián)汽車(chē)安全與場(chǎng)景強(qiáng)相關(guān)，因此也具有一定的地域性，國(guó)外的標(biāo)準(zhǔn)理論固然可以借鑒，但是并不能真正徹底指導(dǎo)和解決中國(guó)的自動(dòng)駕駛問(wèn)題，中國(guó)特色的標(biāo)準(zhǔn)還在構(gòu)建與規(guī)劃中，還有待進(jìn)一步完善。

智能汽車(chē)操作系統(tǒng)的軟件規(guī)模也是空前龐大，隨著整車(chē)電子電氣架構(gòu)從分布式向集中式的演變，智能計(jì)算基礎(chǔ)平臺(tái)承擔(dān)越來(lái)越多原來(lái)單個(gè)ECU的功能，因此智能汽車(chē)操作系統(tǒng)軟件代碼量巨大，邏輯異常復(fù)雜，由此帶來(lái)很多不確定性因素，系統(tǒng)性失效率可能隨著代碼量的增加而倍增，因?yàn)榉爆嵉牧鞒毯托试谝欢ǔ潭壬蠒?huì)存在沖突，大規(guī)模軟件的安全性可靠性魯棒性必然面臨巨大挑戰(zhàn)。

智能汽車(chē)操作系統(tǒng)中可包含算子庫(kù)，對(duì)于AI算法，AI模型屬性上存在一定的模糊性，參數(shù)在不斷變化，沒(méi)有固定的標(biāo)準(zhǔn)去評(píng)估下一次計(jì)算結(jié)果正確性，也就沒(méi)有了功能安全上所謂的診斷依據(jù)。神經(jīng)網(wǎng)絡(luò)的不確定性與錯(cuò)誤率是不可避免的，訓(xùn)練數(shù)據(jù)無(wú)法確保其完整性與全面覆蓋，實(shí)際運(yùn)行時(shí)數(shù)據(jù)與原始訓(xùn)練數(shù)據(jù)也會(huì)存在分布偏差，訓(xùn)練環(huán)境與實(shí)際運(yùn)行環(huán)境可能存在差異，都可能導(dǎo)致輸出結(jié)果偏差，這些問(wèn)題無(wú)法通過(guò)功能安全方法論解決，也無(wú)法完全靠預(yù)期功能安全理論方法就能完美消除。

智能汽車(chē)操作系統(tǒng)底層采用linux內(nèi)核，并且內(nèi)部含有第三方的庫(kù)函數(shù)和一些開(kāi)源代碼，從傳統(tǒng)功能安全的角度，這些都是標(biāo)準(zhǔn)要求所不能接受的，而linux系統(tǒng)本身與智能汽車(chē)操作系統(tǒng)特性又高度契合，作為開(kāi)源操作系統(tǒng)，Linux統(tǒng)治了服務(wù)器端75%的市場(chǎng)，在多年的使用、更新迭代的過(guò)程中，Linux自身具備了強(qiáng)大的、適應(yīng)服務(wù)軟件的穩(wěn)定性、可靠性和安全性，同理，開(kāi)源代碼一般都是經(jīng)過(guò)不斷迭代，千錘百煉沉淀下來(lái)的行業(yè)智慧，很多時(shí)候自研代碼性能未必優(yōu)于開(kāi)源代碼。這些矛盾，就好像是一邊是心之所向，一邊是道德倫理；又好像一邊是理想主義，一邊是現(xiàn)實(shí)所趨，那么智能汽車(chē)操作系統(tǒng)如何面對(duì)這些挑戰(zhàn)，解決這些矛盾呢。

我們?cè)?021年到2022年的項(xiàng)目實(shí)踐與探索中，逐漸意識(shí)到這些挑戰(zhàn)，也逐步開(kāi)始認(rèn)知這些挑戰(zhàn)背后的本質(zhì)，對(duì)新生事物與理念首先是抱著一種接受的態(tài)度而不是本能的拒絕，放下安全相關(guān)標(biāo)準(zhǔn)的條條框框，用第一性原理去看待分析每一個(gè)問(wèn)題，也從第一性原理去解決每一個(gè)安全問(wèn)題。智能汽車(chē)操作系統(tǒng)作為功能安全路上的孤勇者，誰(shuí)說(shuō)站在光里的才是英雄，誰(shuí)說(shuō)只有照搬標(biāo)準(zhǔn)才算安全？！

智能汽車(chē)操作系統(tǒng)安全的落地化實(shí)踐

在經(jīng)過(guò)長(zhǎng)達(dá)一年多的實(shí)踐與探索中，我們終于對(duì)智能汽車(chē)操作系統(tǒng)安全實(shí)現(xiàn)了落地化?！笆郎媳緵](méi)有路，走的人多了，也便成了路?！睂?duì)于智能汽車(chē)操作系統(tǒng)的安全，我們的策略是繼承與創(chuàng)新。既繼承功能安全標(biāo)準(zhǔn)與實(shí)踐中的優(yōu)良經(jīng)驗(yàn)，也允許在本質(zhì)趨向安全、風(fēng)險(xiǎn)可控的范圍內(nèi)接受一定的創(chuàng)新。

首先，我們定位智能汽車(chē)操作系統(tǒng)的安全目標(biāo)的安全完整性等級(jí)，毋庸置疑，無(wú)論是其中的功能軟件還是系統(tǒng)軟件，一定要以ASILD為目標(biāo)去實(shí)現(xiàn)，才能承載智能汽車(chē)操作系統(tǒng)跨車(chē)型跨平臺(tái)跨自動(dòng)駕駛等級(jí)的歷史使命。

智能汽車(chē)操作系統(tǒng)中系統(tǒng)軟件是基礎(chǔ)，功能軟件是核心，而功能軟件的重中之重則是數(shù)據(jù)流，負(fù)責(zé)節(jié)點(diǎn)的部署、調(diào)度與編排。系統(tǒng)軟件其實(shí)相對(duì)成熟，操作系統(tǒng)內(nèi)核與中間件都有比較成熟的框架和協(xié)議，也有大量的應(yīng)用實(shí)踐數(shù)據(jù)可以參考借鑒。而功能軟件相對(duì)較新，它能更好的支持SOA架構(gòu)，是軟件定義汽車(chē)時(shí)代的重要產(chǎn)物，所以我們的安全策略是以數(shù)據(jù)流為中心，將功能軟件作為重要的核心內(nèi)容徹底安全化。因此我們將功能軟件進(jìn)行全面的功能安全產(chǎn)品認(rèn)證，并且在基礎(chǔ)服務(wù)中添加全面的安全機(jī)制可供應(yīng)用及服務(wù)自由使用。

通過(guò)建立平臺(tái)化的安全監(jiān)控框架實(shí)現(xiàn)故障監(jiān)測(cè)與故障處理的解耦，通過(guò)全面的安全分析識(shí)別安全監(jiān)控所需提供的安全措施，實(shí)現(xiàn)以下內(nèi)容：

?故障碼設(shè)計(jì)

?異常檢測(cè)對(duì)象管理

?異常處理對(duì)象管理

?異常監(jiān)測(cè)

?異常處理

?異常發(fā)布

?異常訂閱

?異常信息查詢

?系統(tǒng)資源監(jiān)控

?冗余-類(lèi)鎖步核-比較器

?檢查點(diǎn)服務(wù)

?心跳服務(wù)

?安全動(dòng)態(tài)加載/運(yùn)行/卸載

我們通過(guò)功能安全技術(shù)全面構(gòu)建安全的環(huán)境模型服務(wù)，保障安全的接收環(huán)境數(shù)據(jù)并分類(lèi)存儲(chǔ)；安全的數(shù)據(jù)抽象，確保上行和下行數(shù)據(jù)進(jìn)行安全的抽象轉(zhuǎn)換與收發(fā)；安全的數(shù)據(jù)流，確保所承載節(jié)點(diǎn)及算法的啟動(dòng)、加載、部署、調(diào)度、編排、運(yùn)行、退出的安全性，為智能汽車(chē)操作系統(tǒng)的功能安全提供全面保障。

針對(duì)智能汽車(chē)操作系統(tǒng)所面對(duì)超出功能安全標(biāo)準(zhǔn)范疇的那些安全挑戰(zhàn)，我們從第一性原理出發(fā)挖掘問(wèn)題的本質(zhì)，同時(shí)也從第一性原理出發(fā)，找尋解決辦法。這是一條真正的孤勇者之路，需要探索的勇氣，需要選擇性繼承的智慧，更需要沖破枷鎖的創(chuàng)新。

在智能汽車(chē)操作系統(tǒng)的系統(tǒng)軟件內(nèi)核選擇上，Linux無(wú)疑是當(dāng)前最優(yōu)選擇，如果僅僅因?yàn)槠錈o(wú)法確定滿足功能安全標(biāo)準(zhǔn)而棄之不用未免有點(diǎn)太武斷。如果要把一個(gè)Linux系統(tǒng)完全轉(zhuǎn)化為滿足功能安全標(biāo)準(zhǔn)的內(nèi)核，所花費(fèi)的成本據(jù)不完全統(tǒng)計(jì)也是一個(gè)天文數(shù)字，而借鑒功能安全“ALARP”原則，所花費(fèi)的成本超過(guò)其轉(zhuǎn)化所帶來(lái)的受益程度，那么轉(zhuǎn)化這件事本身在功能安全理論上也是不支持的，所以由此看來(lái)，對(duì)于Linux我們不能一味的反對(duì)或盲目的接受，而是尋求最優(yōu)性價(jià)比。

因此，我們?cè)趯?duì)待Linux的態(tài)度是“取其精華、去其糟粕”，選取關(guān)鍵內(nèi)容進(jìn)行充分功能安全分析、驗(yàn)證與確認(rèn)，針對(duì)安全相關(guān)的特定功能對(duì)其進(jìn)行自上而下的實(shí)時(shí)性和安全性評(píng)估，充分利用其自身的安全機(jī)制，同時(shí)不斷為其添加新的安全機(jī)制作為現(xiàn)階段可落地的安全措施。

同理，針對(duì)開(kāi)源代碼和第三方庫(kù)函數(shù)的使用，也采用此策略，并且實(shí)踐是檢驗(yàn)真理的標(biāo)準(zhǔn)，實(shí)踐數(shù)據(jù)表明集眾人智慧的開(kāi)源軟件代碼的可靠性往往高于新開(kāi)發(fā)的代碼，所以是默守陳規(guī)堅(jiān)持所有代碼重新按照功能安全標(biāo)準(zhǔn)重新編寫(xiě)驗(yàn)證還是根據(jù)實(shí)際情況評(píng)估，選取關(guān)鍵且薄弱的部分進(jìn)行優(yōu)化更加實(shí)際，在我們看來(lái)更支持后者，但這不代表我們對(duì)標(biāo)準(zhǔn)的漠視，也不代表這樣做工作量會(huì)少，而是更加說(shuō)明對(duì)功能安全的深刻理解，從真正的需求與目標(biāo)出發(fā)，不拘泥于形式，只忠于安全本質(zhì)。

對(duì)于自動(dòng)駕駛復(fù)雜多變的場(chǎng)景，數(shù)據(jù)驅(qū)動(dòng)一定是重點(diǎn)突破口。我們不斷構(gòu)建場(chǎng)景庫(kù)、事故庫(kù)，并建立隨機(jī)泛化，不斷積累經(jīng)驗(yàn)數(shù)據(jù)。同時(shí)，我們也在同步嘗試開(kāi)展預(yù)期功能安全的危害分析與風(fēng)險(xiǎn)評(píng)估，不斷的將未知的危險(xiǎn)場(chǎng)景轉(zhuǎn)化為已知危險(xiǎn)場(chǎng)景，將已知危險(xiǎn)場(chǎng)景轉(zhuǎn)化為安全場(chǎng)景。在測(cè)試方式方法上繼承功能安全、預(yù)期功能安全中測(cè)試、驗(yàn)證與確認(rèn)的相關(guān)經(jīng)驗(yàn)，借鑒等價(jià)類(lèi)邊界值的用例選取思想，充分進(jìn)行仿真驗(yàn)證，HIL臺(tái)架驗(yàn)證及真正的實(shí)車(chē)測(cè)試，并在SIL環(huán)境下建立全面的自動(dòng)化測(cè)試機(jī)制，注重Corner case的建立、積累與充分測(cè)試。

建立中國(guó)化標(biāo)準(zhǔn)法規(guī)，才能真正適用于本土智能網(wǎng)聯(lián)汽車(chē)及智能汽車(chē)操作系統(tǒng)。我們牽頭和參與了多項(xiàng)智能網(wǎng)聯(lián)汽車(chē)國(guó)標(biāo)、團(tuán)標(biāo)的撰寫(xiě)工作，對(duì)智能網(wǎng)聯(lián)汽車(chē)產(chǎn)業(yè)化落地實(shí)施有深刻的理解感悟和十足的信心。

在算法安全性方面，我們目前已對(duì)數(shù)十萬(wàn)張圖片進(jìn)行精確標(biāo)注用于算法訓(xùn)練，同時(shí)繼承功能安全標(biāo)準(zhǔn)中軟件功能安全開(kāi)發(fā)要求，最大限度的爭(zhēng)取讓算法設(shè)計(jì)增加可解釋性，并最大限度的爭(zhēng)取降低系統(tǒng)性失效影響。功能安全開(kāi)發(fā)過(guò)程中，也對(duì)算法的輸入輸出增加檢測(cè)機(jī)制，確保在輸入輸出端實(shí)現(xiàn)故障安全策略，并且在我們的安全機(jī)制中可提供軟件冗余機(jī)制，在應(yīng)用及服務(wù)需要時(shí)實(shí)現(xiàn)冗余策略。

對(duì)于智能汽車(chē)操作系統(tǒng)這種大規(guī)模軟件產(chǎn)品開(kāi)發(fā)，我們秉承功能安全高內(nèi)聚、低耦合的設(shè)計(jì)要求，采用模塊化設(shè)計(jì)、軟硬解耦、模塊間解耦的方式進(jìn)行安全軟件開(kāi)發(fā)，融合繼承傳統(tǒng)車(chē)企規(guī)范性和ICT行業(yè)高效性，創(chuàng)建高效融合的開(kāi)發(fā)流程體系。巨大的代碼量會(huì)帶來(lái)BUG概率的增加，但我們努力用規(guī)范高效的流程來(lái)降低BUG發(fā)生概率，讓二者處于一個(gè)平衡。并在軟件開(kāi)發(fā)過(guò)程中，采用系統(tǒng)工程思維，權(quán)衡系統(tǒng)安全性、可靠性、可用性、可維護(hù)性。
?

結(jié)束語(yǔ)

在智能汽車(chē)操作系統(tǒng)功能安全這條路上，經(jīng)歷著“孤身走暗巷”，經(jīng)歷著“對(duì)峙過(guò)絕望”，但“為何孤獨(dú)不可光榮”，相信“不完美值得歌頌”。安全這個(gè)話題，永遠(yuǎn)沒(méi)有百分之百的絕對(duì)，竭盡全力降低風(fēng)險(xiǎn)到可接受程度就是最美的姿態(tài)。

在智能汽車(chē)操作系統(tǒng)安全的開(kāi)拓探索中，愿所有人都能做一個(gè)不借光，不教條，不妥協(xié)，不盲從，在廢墟之上造城邦的孤勇者。戰(zhàn)嗎？戰(zhàn)?。∽穼ぐ踩膲?mèng)，竭盡我們所能，聯(lián)合行業(yè)同盟之力，走出一條踏實(shí)穩(wěn)健的智能汽車(chē)操作系統(tǒng)安全之路。

審核編輯：劉清