《Elektrobit：2024Linux在提升車載HPC安全方面的應用：綜合概述白皮書（14頁）.pdf》由會員分享，可在線閱讀，更多相關《Elektrobit：2024Linux在提升車載HPC安全方面的應用：綜合概述白皮書（14頁）.pdf（14頁珍藏版）》請在三個皮匠報告上搜索。

1、技術文章Linux 在提升車載 HPC 安全方面的應用：綜合概述面向功能安全應用的 EB corbos Linux for Safety Applications2白皮書內容摘要1.引言 3 1.1 功能安全至關重要 3 1.2 自動駕駛增加了對安全相關軟件的需求 4 1.3 高性能計算與對 AD/ADAS 和座艙的適用性 42.Linux 在汽車系統中的作用 5 2.1 理解和定義 Automotive OS 5 2.2 在汽車系統中使用 Linux 的優勢 5 2.3 在汽車中使用專門的 Linux 發行版相較于使用企業發行版或嵌入式 Linux 構建 系統的優勢 63.汽車行業的功能安全

2、標準和法規 7 3.1 相關安全標準和法規概述 7 3.2 功能安全標準對基于 Linux 的汽車系統的影響 74.汽車領域的 Linux 安全解決方案 8 4.1 與功能安全相關的故障場景 9 4.2 將安全措施集成到基于 Linux 的汽車軟件棧中 105.最佳實踐和建議 116.結論 117.參考文獻 12面向功能安全應用的 EB corbos Linux for Safety Applications3Linux 在提升車載 HPC 安全方面的應用：綜合概述簡介：面向功能安全應用的 EB corbos Linux for Safety Applications 的架構、開發階段和概念。

3、讀者將了解 Linux 在車載 HPC 安全方面的工作原理。作者：Joachim Schlosser1.引言1.1 功能安全至關重要自 20 世紀 90 年代以來，由于系統復雜性不斷增加，汽車上的電子控制單元(ECU)越來越多。防抱死制動系統、牽引力控制和高級駕駛輔助系統(ADAS)等功能需要專用的 ECU，以便進行優化，并確保高效的性能和可靠性。這種 ECU 模塊化設計方法便于在不對整個系統進行檢修的情況下集成新功能，在采購、裝配和維護方面具有靈活性和成本效益。此外，用于制動和安全氣囊展開等關鍵功能的專用 ECU 通過隔離這些功能和降低系統故障風險，大大提高了車輛的安全性和可靠性。監管要求和

4、行業標準進一步推動了多個 ECU 在汽車中的應用。排放控制、功能安全和網絡安全方面的規定往往要求使用專用的 ECU 來實現特定功能。此外，行業標準和協議促進了不同 ECU 和車輛系統之間的互操作性和兼容性，確保了無縫集成和操作。隨著軟件功能的增加，高性能計算(HPC)系統當前的目標是將許多 ECU 的功能整合到單個片上系統(SoC)或 ECU 數量更少但更大的 SoC 集群中。高性能計算(HPC)系統對管理安全關鍵和非安全關鍵應用不可或缺，因此功能安全在車載 HPC 系統中至關重要。HPC 系統必須遵守功能安全方面的適用標準和法規，如 ISO 26262 1，以實現所需的可靠性、功能安全、信息

5、安全，特別是網絡安全、隱私和數據保護。1.2 自動駕駛增加了對安全相關軟件的需求自動駕駛，又稱（部分）無人駕駛或自動駕駛技術，大幅增加了車輛中與安全相關的軟件數量，主要有以下幾個原因：控制系統的復雜性。復雜的傳感器（攝像頭或雷達）和控制單元等組件之間錯綜復雜的相互作用，使自動駕駛系統變得越來越復雜。1 復雜傳感器產生的海量數據需要經過先進且密集的數據處理。各種復雜傳感器的集成和先進的數據處理需要許多技術嫻熟的跨學科團隊合作。確保復雜控制系統的功能安全本身也是一項復雜的任務。物體識別和情境解讀。AD/ADAS 系統首先需要建立一個不確定且不斷變化的環境模型（道路、其他車輛、行人、車輛本身.）。這

6、反過來又需要收集和處理來自不同傳感器的信息，并將其匯總到該模型中，然后利用該模型就如何駕駛車輛做出決策。這一過程需要大量密集的數據采集和處理，包括圖像和信號。冗余和失效可操作機制。自動駕駛汽車中的安全關鍵系統通常采用冗余和故障檢測與排除機制，以確保系統可用性和功能安全。面向功能安全應用的 EB corbos Linux for Safety Applications4例如，采用冗余傳感器陣列和冗余處理單元來交叉驗證數據并檢測/消除/緩解潛在故障。2 先進的故障檢測、隔離和恢復算法通常用于檢測異常情況，從而確保安全運行。3-5在 SAE L2 級別及以下的 ADAS 系統中，6 駕駛員始終是最終

7、的監督者，對車輛負最終責任，即使系統出現故障也是如此。從 SAE L3 級別開始，系統對車輛的安全承擔全部責任，而駕駛員則無需監督其運行。因此，要求系統在發生故障后仍能執行緊急功能，至少在有限的時間內（例如，直到車輛停穩）。對于失效安全系統，冗余可用于檢測故障；而對于失效可操作系統，冗余還能在發生故障或失效時提供執行緊急功能所需的可用性。當然，這也適用于我們的數字座艙示例，我們還需要設定安全狀態和/或回退機制。實時決策。自動駕駛系統必須在動態和不可預測的駕駛環境中迅速做出決策，以確保安全駕駛。這要求軟件具有高度的響應性和準確性，能夠通過復雜的算法實時處理大量數據。7 軟件必須考慮道路狀況、交通

8、模式、天氣條件和其他道路使用者的行為等因素，以做出適當的駕駛決策，避免事故發生。8驗證和校驗。開發自動駕駛安全關鍵軟件需要進行適當的驗證和校驗，以確保剩余誤差的風險符合適用的規范和法規。這包括在模擬和真實環境中進行測試，涉及許多不同場景的虛擬 12-14 和真實 11 駕駛數據。自動駕駛技術為車輛帶來了各種與安全相關的軟件組件。這些組件包括從感知算法到失效可操作機制的所有內容。此外，還有驗證/校驗流程來確保所有這些組件正常工作。隨著汽車行業向自動駕駛方向發展，確保這些軟件系統的安全性和可靠性至關重要。91.3 高性能計算與對 AD/ADAS 和座艙的適用性 HPC 系統支持自動駕駛和防撞等安全

9、關鍵功能，而作為 HPC 用例 10 的座艙/車載信息娛樂(IVI)系統主要側重于娛樂和 GPS 導航等非安全關鍵功能，但也執行與安全相關的功能。無論其關鍵程度如何，這兩種情況都面臨與系統復雜性、互連性和潛在故障模式有關的挑戰，因此必須采取強有力的功能安全措施，以確?？煽窟\行。座艙系統就是一個很好的示例。所有屏幕空間都需要密集的計算資源，因此可能需要使用 HPC。值得注意的是，座艙也可用于顯示對安全至關重要的信息，這就需要將功能安全考慮在內。在車輛技術中，自動駕駛和高級駕駛輔助系統(ADAS)都涉及座艙，座艙是人機界面，因此對整個車輛控制至關重要。圖 1：2024 年國際消費類電子產品展覽會(

10、CES)上展示的邊緣到邊緣數字座艙 10面向功能安全應用的 EB corbos Linux for Safety Applications52.Linux 在汽車系統中的作用2.1 理解和定義 Automotive OSAutomotive OS（汽車操作系統）是汽車制造商目前最常用的術語之一。11 它讓人聯想到汽車就像您的手機或電腦一樣擁有一個單一的操作系統，并且體現了“軟件定義汽車”的概念這也是目前汽車界廣泛使用的另一個術語。然而，我們都知道，一輛汽車實際上包含幾十個獨立的 ECU，它們都運行各自的軟件，通過 CAN 或以太網等多個網絡，使用主要由 AUTOSAR 12 定義的通用通信標準

11、進行連接。這一系列 ECU 該如何形成一個單一的汽車操作系統？這種分散的基礎設施又該如何保證功能安全和信息安全 13？要解決這些問題，我們需要從術語“Automotive OS”的定義入手。Elektrobit 使用三個陳述來定義 Automotive OS 的屬性：“Automotive OS 是一個軟件平臺，它能夠將復雜的 ECU 車輛網絡抽象簡化為單一設備?！?4這意味著，對于 Automotive OS 而言，我們談論的不是一個單一的操作系統。事實上，它是一個軟件層，利用定義的接口隱藏復雜的 ECU 集合及其通信矩陣。這樣，信息娛樂系統和集群系統等應用程序就能與駕駛員和乘客進行交互，同

12、時還能通過云連接訪問汽車功能，而無需了解汽車的網絡結構。這有助于提高不同車型和不同代軟件平臺之間的可移植性。15,16“Automotive OS 管理、監督和更新設備?！?4當然，組成 Automotive OS 的軟件平臺了解汽車的內部網絡。它確保各個組件配置正確，以適當狀態運行，并充當與外部世界的接口。它還確保所有組件都是最新的，并在兼容的軟件版本上運行?！癆utomotive OS 通過協調用于開發功能的 API 來構建生態系統?！?4雖然前兩個陳述已經大大提高了汽車制造商軟件平臺的可維護性，但這句話卻概括了 Automotive OS 概念的全部意義：“我們需要為應用程序提供一個開放

13、且明確的接口，使其能夠在不同車型、品牌，甚至不同代的汽車上運行，就像您的手機應用可以在多個操作系統版本和各種設備上運行一樣”。172.2 在汽車系統中使用 Linux 的優勢GNU/Linux 作為一種開源操作系統，可為汽車系統提供眾多優勢。它可在服務器環境、云計算、HPC 和 Android 設備等各種使用情況下提供可定制的特性和功能、可靠性和穩定性。龐大的開發人員庫。GNU/Linux 的一大優勢是其龐大的開發人員庫。大量的用戶和用戶組織有助于不斷改進和提供寶貴的資源、文檔和支持。眾所周知的 API 簡化了開發和集成，節省了時間和工作量。此外，開源特性可避免供應商鎖定，使組織能夠從多個供應

14、商中進行選擇，即使原來的供應商無法提供服務，也能確保靈活性。創新周期快。GNU/Linux 創新周期快，經常更新、修復錯誤并增加新功能，使操作系統處于最新狀態。面向功能安全應用的 EB corbos Linux for Safety Applications6兼容性。GNU/Linux 與多種硬件架構兼容，汽車制造商可根據具體要求選擇組件，而不會立即出現軟件兼容性問題。源代碼透明。此外，GNU/Linux 的源代碼完全透明，有助于高效調試和故障排除，從而加快錯誤修復速度，提高系統穩定性。這種透明度提高了基于 GNU/Linux 構建的汽車系統的整體可維護性。2.3 在汽車中使用專門的 Linu

15、x 發行版相較于使用企業發行版或嵌入式 Linux 構建系統的優勢在汽車應用中選擇 Linux 發行版而不是 Yocto 18 等嵌入式 Linux 構建系統，需要考慮幾個關鍵因素，其中維護是一個重要的考慮因素。雖然 Yocto 為嵌入式系統提供了靈活性和定制選項，但它需要大量的專業知識和資源才能進行有效的維護和更新。相比之下，專為汽車定制的 Linux 發行版通過提供預配置組件和對汽車特定功能的支持，簡化了維護流程，減輕了開發團隊的負擔，并確保了系統在汽車生命周期內的安全性。還需要考慮的是，由于通用 Linux 發行版對存儲和內存的要求過高，無法滿足汽車領域的特定需求。到目前為止，這一直是通

16、過簡單地減少軟件包的數量來解決的，但這并不是一個有效的解決方案，因為它會對功能產生不利影響。此外，專用的汽車 Linux 發行版可針對汽車用例和車規級安全功能進行有針對性的優化和增強，并應符合 ISO 26262 等適用標準和法規。EB corbos Linux for Safety Applications 配備了專為汽車開發定制的軟件堆棧和工具，可加快產品上市速度并降低開發成本。面向功能安全應用的 EB corbos Linux for Safety Applications73.汽車行業的功能安全標準和法規3.1 相關安全標準和法規概述相關的汽車安全標準和法規在確保道路車輛的安全和可靠性

17、方面發揮著至關重要的作用。最突出的標準之一是 ISO 26262，該標準概述了道路車輛電氣和電子系統的功能安全要求。19ISO 26262 為整個汽車供應鏈的安全關鍵系統的開發、實施和驗證提供了一個全面的框架。它涵蓋多個方面，包括危害分析和風險評估、安全目標定義、硬件和軟件開發流程以及驗證和校驗，所有這些都旨在最大限度地降低系統故障風險，確保車輛安全。在軟件源代碼層面，對于汽車而言，這通常包括遵守 MISRA-C 及其衍生標準。20 雖然有 GNU/Linux 編碼指南 21,22，但這些指南并不針對嵌入式系統，更不用說與功能安全相關的系統。除 ISO 26262 之外，汽車制造商還必須遵守針

18、對其目標市場的地區安全法規和標準。如果公司希望在道路上使用電子或軟件系統，就必須將功能安全考慮在內。即使產品責任法沒有明確要求遵守某些功能安全標準，汽車制造商也有責任確保其系統采用最先進的技術開發，包括驗證和校驗。3.2 功能安全標準對基于 Linux 的汽車系統的影響“Linux 內核作為一個重要的開源組件，吸引了安全研究人員和廣大開發人員的極大關注。其透明的特性使得可以進行深入分析，相比閉源軟件，安全漏洞報告率更高?！?3這可確保較好的網絡安全性能，但并未涉及功能安全。功能安全是另一個需要考慮的問題。Linux 內核并非為車輛系統設計，即使在出現故障或錯誤的情況下，也無法可靠、安全地運行，

19、以防止事故并保護乘客和道路使用者。此外，圍繞內核的 GNU 系統更不是為此目的而設計的。這可確保較好的網絡安全性能，但卻無法實現所需的功能安全。Linux 內核的設計并不是為了可靠、安全地運行，更不是為了處理故障或錯誤。圍繞內核的 GNU 系統更不是為安全關鍵和關鍵任務應用而設計的。因此，使用通常用于實現和證明符合適用功能安全規范和標準的方法、技術和程序來指定和證明 GNU/Linux 的功能安全是不現實的。要使 GNU/Linux 適用于與功能安全相關的應用，需要采用非常創新的方法和“打破常規”的思維。面向功能安全應用的 EB corbos Linux for Safety Applicat

20、ions8appappappappMWappappRTEEB tresos Safety(BSW)EB tresos OSSafety MCALSoC enablement OS safety monitorEB corbos Hypervisor EB corbos Linux kernelAndroid Linux kernelEB corbos Linux for SafetyApplications kernelBase Startup Update Monitoring Logging.Container nAndroid frameworkHardware abstractionl

21、ayer(HAL)MiddlewareAPIContainer 1Container1aSafety middleware APIAutomotive libraries(Adaptive AUTOSAR,ROS/ROS2,.)Bootloader BootloaderHPC cores(Cortex A78AE,for example)RTC cores(Cortex M,R or external MCU)ASIL-B/D ASIL-B/D QMQM4.汽車領域的 Linux 安全解決方案面向功能安全應用的 EB corbos Linux for Safety Applications 是

22、基于開源軟件的安全相關系統車載 HPC 系統的解決 方案。經過 TV 評估的安全架構，適用于帶有 Linux 系統的汽車應用 HPC 系統功能安全概念包括在 ECU 軟件中集成安全措施，以確保汽車應用中關鍵系統的有效性。為了展示其解決方案的潛力和優勢，Elektrobit 開發了一個示例系統。該示例系統可顯示由車輛傳感器或攝像頭生成的視頻流，提供有關車輛周圍環境的視覺信息。視頻流和其他相關數據顯示在顯示屏上，顯示軟件行為和系統響應，使觀看者能夠了解系統的行為。該軟件包括一個安全監控系統，可持續分析視頻流中的錯誤或異常。如果檢測到任何問題，系統會采取適當的措施，例如關閉系統以防止潛在的安全隱患。

23、該演示包括一種通過向視頻流或 Linux 內核注入故障來誘導錯誤場景的機制，以模擬系統必須檢測和應對異常情況的實際情況。系統示例架構如圖 2 所示。在此示例中，HPC 中集成了另一個操作系統分區，使用 Android 框架為 OEM 可能希望使用現有軟件模塊的特殊顯示用例提供服務。陰影區域顯示了正在開發和運行的組件的安全完整性等級。示例數字座艙架構圖顯示了不同的硬件和軟件層。從下到上，片上系統(SoC)使用一個或多個 RTC 核，如 ARM Cortex M、R 或外部 MCU。HPC 核通常包括 ARM Cortex A 核，例如 Cortex A78AE。RTC 和 HPC 核各有自己的

24、Bootloader。圖 2：集成座艙+IVI 示例 24面向功能安全應用的 EB corbos Linux for Safety Applications9在本例中，RTC 部分在 Bootloader 上安裝了支持功能安全的 Classic AUTOSAR 操作系統 EB tresos Safety OS 25 及其 Safety MCAL，但也可以在下面安裝專用的實時 EB tresos Embedded Hypervisor 26，以備需要多個 Classic AUTOSAR 實例時使用。專用 HPC 虛擬機監控程序 EB corbos Hypervisor 27 具有特定的 SoC

25、支持功能和操作系統安全監控功能，可作為多個 HPC 操作系統實例的基礎。虛擬機監控程序和操作系統安全監視器是安全組件，完全按照相關質量 28 和安全標準 19,29 開發。非安全（質量管理(QM)Linux 分區運行所有常規的非安全相關功能，例如在容器化環境中作為性能應用。30,31 在數字座艙的示例中，Android 框架也作為非安全相關分區運行，用于上述用例。最后，EB corbos Linux for Safety Applications 內核 32 是虛擬機監控程序上的獨立虛擬機，帶有安全中間件 API，如 EB corbos Adaptive 33 或 ROS 34，作為啟用 IS

26、O 26262 ASIL-A/B 的性能安全應用的基礎。這一概念包含幾個關鍵方面：1.錯誤監控：系統持續監控錯誤，尤其是示例視頻流中的錯誤，這對各種汽車功能至關重要。2.高完整性分區：ECU 內的高完整性分區負責生成和監控視頻流。它能確保視頻流及時發現任何錯誤或異常。3.操作系統安全監視器：操作系統安全監視器，又稱進程管理程序，負責監督高完整性分區的功能，確保其正常運行。它還監控分區內的故障，并在必要時觸發關機程序?？傊?，這一安全概念旨在創建一個強大的系統，能夠檢測和應對潛在的危險或故障，從而提高汽車系統的安全和可靠性。通過功能分解 35,36 或多通道方法可以實現更高的完整性等級（ASIL）

27、。在 ISO 26262 標準中，功能分解包括將安全要求最高的 ASIL-D 功能分解為冗余的 ASIL-B(D)要求。37Ch.5.這些 ASIL-B(D)要求可以在 ASIL-B 組件中實現，并不受干擾。37Ch.67面向功能安全應用的 EB corbos Linux for Safety Applications 受專利保護，因為其技術方法將 OSS 從進程管理程序中分離出來。4.1 與功能安全相關的故障場景上文介紹的示例系統所演示的故障場景包括在視頻流中或直接在監視器中產生錯誤。典型用例：在我們的 Linux 發行版上運行一個性能應用程序 32 并處理圖像數據。安全關鍵應用程序在 Li

28、nux 發行版的安全衍生版上運行，位于第二個 hypervisor 虛擬機中，負責監控性能應用程序。進程管理程序保護安全關鍵應用的數據完整性。性能應用程序內部故障：在第一個場景中，視頻流中出現錯誤，導致視頻流生成器向安全應用程序傳輸無效圖像。系統檢測到視頻流中的錯誤，顯示紅色指示燈并隨后關閉系統。內核故障損壞安全關鍵應用程序：例如，當啟用安全功能的 Linux 分區內核訪問未經授權的內存區域時，我們的操作系統解決方案的專用安全層（稱為進程管理程序）會檢測到這一情況，并通過 GPIO 通知在 PC 上運行的外部用戶界面。需要指出的是，功能安全是一種系統屬性，而不是任何組件的固有特征。每個功能的本

29、質決定了整個系統中該功能影響鏈的具體功能安全要求，從而對系統架構產生要求，進而對硬件、軟件和軟件架構產生要求。面向功能安全應用的 EB corbos Linux for Safety Applications10如上所述，在傳統的 ECU 領域，這導致許多功能需要專用硬件，以滿足特定的功能安全需求等。然而，對于減少變體、增加集中化以及降低硬件復雜性的強烈需求和愿望，推動了 E/E 架構的演進，使其朝著能夠支持各種功能安全概念的架構方向發展。這兩種場景都強調了系統檢測錯誤和啟動關機程序的能力，突出了集成在系統中的安全措施的穩健性。4.2 將安全措施集成到基于 Linux 的汽車軟件棧中我們的目標

30、是使安全應用程序正確執行，并在必要時提供適當的通知。面向功能安全應用的 EB corbos Linux for Safety Applications 中的安全擴展包含了確保系統安全的各個方面：監督用戶空間初始化及其過程并使其合法化。Linux 系統啟動時，需要初始化各種用戶空間組件，以使系統正常運行。初始化過程包括加載必要的庫，設置環境變量，以及執行啟動腳本或二進制文件。這里的“合法化”是指初始化過程遵循既定慣例、尊重安全機制并遵守最佳實踐。特別是，專門的啟動和服務初始化模塊，如 crinit 38 和 cominit 39，取代了非自動就緒的基于腳本的解決方案。在內核和應用程序之間分離內存

31、區域的讀/寫/執行權限。在 Linux 中，內核對分配給應用程序的內存沒有寫或執行權限，這意味著分配給應用程序的內存及其內容不能被 Linux 內核修改，從而保護應用程序。監督應用程序內存的任何讀取/寫入/執行嘗試并使其合法化。這意味著，除了上述不同的寫入和執行權限外，任何訪問分配給應用程序的內存的嘗試都會受到監督，只有在合法的情況下才會被允許。這樣做的目的是檢測對分配給應用程序的內存的任何不當或不正當訪問，并在發生此類嘗試時發出通知。在整個上下文切換過程中，監督并允許或阻止對處理器狀態寄存器的更新。這可確保正確處理進程切換并防止未經授權的修改，從而增強系統的穩定性和安全性。通過這些擴展，EB

32、 corbos Linux for Safety Applications 可確保 Linux 內核不會對屬于安全應用程序的內存部分進行不當訪問，也不會通過與其他分區共享的內存對屬于安全應用程序的內存部分進行不受控制的訪問。經過安全評估的虛擬機監控程序會為安全和非安全工作負載劃分資源分區。虛擬機監控程序的操作系統安全監控器負責對 EB corbos Linux for Safety Applications 內核進行外部監控。面向功能安全應用的 EB corbos Linux for Safety Applications115.最佳實踐和建議6.結論與早幾十年的 ECU 設計不同，車輛投產后

33、，ECU 軟件幾乎不再更新，而 HPC 系統設計則需要持續不斷的長期開發。面向功能安全應用的 EB corbos Linux for Safety Applications 虛擬機分區的所有軟件開發都必須遵守 安全手冊。這不適用于非安全型 EB corbos Linux，因為它沒有任何限制。監管概念可以擴展；在即將推出的版本中還將增加更多允許的功能。汽車行業采用開源軟件既帶來了機遇，也帶來了挑戰。在本節中，我們將根據本文的討論得出結論，強調在評估汽車系統中使用 GNU/Linux 和開源軟件時應考慮的要點。必須承認的是，開源軟件并不能直接替代專有軟件，尤其是在考慮到長期維護的影響時。雖然開源軟

34、件具有許多優勢，如靈活性、透明度和龐大的開發人員庫，但也需要仔細評估和考慮特定的應用程序需求。在選擇專有軟件還是 GNU/Linux 時，沒有簡單的答案或“一刀切”的解決方案。需要對每種應用進行全面分析，考慮采用 GNU/Linux 的利弊，特別是要考慮長期影響。必須考慮功能需求、合規條例和行業標準等因素，以確定開源軟件是否適合特定應用。23雖然開源軟件通常與節約成本聯系在一起，但必須考慮到總擁有成本可能因應用需求而異 15。直接從開源項目獲取的免費軟件可能缺乏保證和擔保，這會影響其在關鍵汽車系統中的適用性。因此，選擇專注于 GNU/Linux 產品的組織作為合作伙伴，可以提供更多支持并確保長

35、期維護，從而節省大量資源并降低風險。Elektrobit 等在汽車軟件和 Linux 領域擁有豐富經驗的公司可以提供幫助，提供基于 Canonical Ubuntu 17,18 的 EB corbos Linux 16。在考慮采用 GNU/Linux 時，要全面評估每種應用的需求和優先級?？紤]長期影響、與現有系統的兼容性以及是否有專門的 GNU/Linux 供應商。與在提供適合汽車行業的長期維護 GNU/Linux 系統方面有良好記錄的供應商合作，如 Elektrobit。這將有助于確保持續得到支持、漏洞修復和安全更新。保證 HPC 系統的功能安全絕非易事，不容小覷。作為 HPC 操作系統的

36、GNU/Linux 也是如此。實際上，EB corbos Linux for Safety Applications 可在不依賴 Linux 內核本身的情況下實現所需的功能安全等級，因此可以使用最新的內核。這樣就可以在車輛和車輛平臺的架構中實現面向未來的架構和性能。在使用 HPC 時，您需要盡早認真考慮功能安全方面的問題。面向功能安全應用的 EB corbos Linux for Safety Applications 是您的不二之選。面向功能安全應用的 EB corbos Linux for Safety Applications127.參考文獻1 S.Pruisken,“An end-to

37、-end approach for mastering rising software complexity,”presented at the Autonomous Driving Meetup Munich,Munich,Sep.19,2019.Available:https:/autonomous-driving.org/wp-content/uploads/2019/10/Elektrobit_Mastering-Software-Complexity ADM11.pdf.Accessed:Feb.15,20242 T.Ishigooka,S.Honda,and H.Takada,“C

38、ost-Effective Redundancy Approach for Fail-Operational Autonomous Driving System,”in 2018 IEEE 21st International Symposium on Real-Time Distributed Computing(ISORC),Singapore:IEEE,May 2018,pp.107115.doi:10.1109/ISORC.2018.00023.Available:https:/ieeexplore.ieee.org/document/8421154/.Accessed:Feb.15,

39、20243 AUTOSAR,“Explanation of Error Handling on Application Level.”Nov.23,2023.Available:https:/www.autosar.org/fileadmin/standards/R23-11/CP/AUTOSAR_CP_EXP_ApplicationLevelErrorHandling.pdf4 Lucian Badescu,“Software for fail-operational systems in autonomous vehicles,”Elektrobit,Jun.30,2023.Availab

40、le:https:/ T.Schmid,S.Schraufstetter,and S.Wagner,“An Approach for Structuring a Highly Automated Driving Multiple Channel Vehicle System for Safety Analysis,”in 2018 3rd International Conference on System Reliability and Safety(ICSRS),Barcelona,Spain:IEEE,Nov.2018,pp.362367.doi:10.1109/ICSRS.2018.8

41、688859.Available:https:/ieeexplore.ieee.org/document/8688859/.Accessed:Feb.15,20246 “J3016:2018:Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles-SAE International.”Available:https:/www.sae.org/standards/content/j3016_201806/.Accessed:Nov.17,20207 J.

42、Ren and D.Xia,“Autonomous Driving Operating Systems,”in Autonomous driving algorithms and Its IC Design,Singapore:Springer Nature Singapore,2023,pp.245261.doi:10.1007/978-981-99-2897-2_11.Available:https:/ A.K.Jgerbrand and J.Sjbergh,“Effects of weather conditions,light conditions,and road lighting

43、on vehicle speed,”SpringerPlus,vol.5,no.1,p.505,Dec.2016,doi:10.1186/s40064-016-2124-69 J.Schlosser and J.Petersohn,“Considering Linux for functional safety relevant system architecture:Pitfalls and Potential,”in ATZlive Automatisiertes Fahren 2024,Frankfurt am Main:Springer Nature,Mar.2024.10 “Digi

44、tal Cockpits Solutions for Automotive,”Elektrobit.Available:https:/ A.Mattausch,J.Schlosser,and M.Neukirchner,“E/E Architectures and the Automotive OS,”in 23rd Stuttgart International Symposium-Automotive and Engine Technology Documentation,Wiesbaden:Springer Vieweg,2023,pp.175183.Available:https:/

45、“Standards AUTOSAR.”Available:https:/www.autosar.org/standards.Accessed:Apr.03,202413 United Nations Economic Commission for Europe,“UN Regulation No.155-Cyber security and cyber security management system,E/ECE/TRANS/505/Rev.3/Add.154.”4.Available:https:/unece.org/transport/documents/2021/03/standa

46、rds/un-regulation-no-155-cyber-security-and-cyber-security14 M.Neukirchner,“Defining the Automotive OS,”LinkedIn Post,Apr.08,2022.Available:https:/ M.Neukirchner,“Automotive OS Fulfills Its Promise,”EE Times,Mar.06,2023.Available:https:/ J.Schlosser,A.Mattausch,M.Neukirchner,and R.Holve,“Adaption de

47、s Software-Qualittsmanagements im Automotive-Bereich fr eine Nutzung von Fremdkomponenten,”in Software Engineering 2023 Workshops,I.Groher and T.Vogel,Eds.,Bonn:Gesellschaft fr Informatik e.V.,Feb.2023,pp.7891.doi:10.18420/SE2023-WS-10.Available:http:/dl.gi.de/handle/20.500.12116/4019517 M.Neukirchn

48、er,“There is no software-defined vehicle without an Automotive OS.Period.,”The Automotive OS perspective,Dec.15,2022.Available:https:/ Linux Foundation,“The Yocto Project,”The Yocto Project.Available:https:/www.yoctoproject.org/.Accessed:Jan.30,202419 “ISO 26262:2018:Road Vehicles Functional Safety.

49、Part 1-12,”International Organization for Standardization,Geneva,ISO 26262:2018,Dec.2018.20 Motor Industry Software Reliability Association,Ed.,MISRA-C:2004:guidelines for the use of the C language in critical systems,2.ed,Stand:October 2004.Nuneaton:MIRA,2008.面向功能安全應用的 EB corbos Linux for Safety Ap

50、plications13關于作者21 “GNU Coding Standards,”Jul.01,2021.Available:https:/www.gnu.org/prep/standards/standards.html.Accessed:Mar.06,202422 “Linux kernel coding style,”The Linux Kernel documentation,2016.Available:https:/www.kernel.org/doc/html/v4.10/process/coding-style.html.Accessed:Mar.06,202423 J.Sc

51、hlosser and J.Petersohn,“Maintaining Open-Source based Software or What is the true cost of free?,”in ELIV 2023:Electric/Electronics for Commercial Vehicles 2023,VDI Wissensforum,Ed.,in VDI-Berichte,vol.2423.Dsseldorf:VDI Verlag,2023,pp.267280.doi:10.51202/9783181024232-267.Available:https:/doi.org/

52、10.51202/9783181024232-26724 J.Petersohn and M.Wiegand,“EB corbos Linux built on Ubuntu.Product Description,”Erlangen,Dec.29,2023.25 “Functional Safety ISO 26262 for Automotive-EB tresos Safety,”Elektrobit.Available:https:/ “EB tresos Embedded Hypervisor,”Elektrobit.Available:https:/ “Adaptive AUTOS

53、AR Hypervisor:EB corbos Hypervisor,”Elektrobit.Available:https:/ “Automotive SPICE Process Reference Model/Process Assessment Model.”VDA Quality Management Center,Nov.29,2023.29 “IEC 61508-1:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 1:General

54、 requirements.”International Electrotechnical Commission,Geneva,Switzerland,2010.30 M.Schfer,“Invisible Container Fortress with EB corbos Linux built on Ubuntu.”Elektrobit,2023.Available:https:/ The invisible container fortress-isolating apps in software instead of distinct ECUs,(Jul.26,2023).Availa

55、ble:https:/mobex.io/webinar-library/the-invisible-container-fortress-isolating-apps-in-software-instead-of-distinct-ecus/32 “Linux OS for Automotive:EB corbos Linux,”Elektrobit.Available:https:/ “Adaptive AUTOSAR Architecture:EB corbos,”Elektrobit.Available:https:/ “ROS:Home,”Robot Operating System(

56、ROS).Available:https:/www.ros.org/.Accessed:Feb.16,202435 A.Frigerio,B.Vermeulen,and K.Goossens,“Component-Level ASIL Decomposition for Automotive Architectures,”in 2019 49th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops(DSN-W),Portland,OR,USA:IEEE,Jun.2019,p

57、p.6269.doi:10.1109/DSN-W.2019.00021.Available:https:/ieeexplore.ieee.org/document/8806012/36 C.Lidstrom,C.Bondesson,M.Nyberg,and J.Westman,“Improved Pattern for ISO 26262 ASIL Decomposition with Dependent Requirements,”in 2019 IEEE 19th International Conference on Software Quality,Reliability and Se

58、curity Companion(QRS-C),Sofia,Bulgaria:IEEE,Jul.2019,pp.2835.doi:10.1109/QRS-C.2019.00019.Available:https:/ieeexplore.ieee.org/document/8859482/37 “ISO 26262:2018:Road Vehicles Functional Safety.Part 9:Automotive safety integrity level(ASIL)-oriented and safety-oriented analyses,”International Organ

59、ization for Standardization,Geneva,ISO 26262:2018-9,Dec.2018.38 “Elektrobit/crinit.”Elektrobit Automotive GmbH,Dec.06,2023.Available:https:/ “Elektrobit/cominit.”Elektrobit Automotive GmbH,Sep.11,2023.Available:https:/ Schlosser 教授、博士高級經理Elektrobit面向功能安全應用的 EB corbos Linux for Safety Applications關于 ElektrobitElektrobit 是一家屢獲殊榮、富有遠見的全球性供應商，致力于為汽車行業提供嵌入式互聯軟件產品和服務。作為汽車軟件行業的佼佼者，憑借超過 35 年為本行業服務的經驗，Elektrobit 為超過 6 億輛汽車的逾 50 億臺設備提供支持，并針對汽車基礎軟件、互聯和安全、自動駕駛和相關工具，以及用戶體驗提供靈活、創新的解決方案。Elektrobit 是大陸集團的全資獨立子公司。如需了解更多信息，請訪問