1、技术文章Linux 在提升车载 HPC 安全方面的应用：综合概述面向功能安全应用的 EB corbos Linux for Safety Applications2白皮书内容摘要1.引言 3 1.1 功能安全至关重要 3 1.2 自动驾驶增加了对安全相关软件的需求 4 1.3 高性能计算与对 AD/ADAS 和座舱的适用性 42.Linux 在汽车系统中的作用 5 2.1 理解和定义 Automotive OS 5 2.2 在汽车系统中使用 Linux 的优势 5 2.3 在汽车中使用专门的 Linux 发行版相较于使用企业发行版或嵌入式 Linux 构建 系统的优势 63.汽车行业的功能安全

2、标准和法规 7 3.1 相关安全标准和法规概述 7 3.2 功能安全标准对基于 Linux 的汽车系统的影响 74.汽车领域的 Linux 安全解决方案 8 4.1 与功能安全相关的故障场景 9 4.2 将安全措施集成到基于 Linux 的汽车软件栈中 105.最佳实践和建议 116.结论 117.参考文献 12面向功能安全应用的 EB corbos Linux for Safety Applications3Linux 在提升车载 HPC 安全方面的应用：综合概述简介：面向功能安全应用的 EB corbos Linux for Safety Applications 的架构、开发阶段和概念。

3、读者将了解 Linux 在车载 HPC 安全方面的工作原理。作者：Joachim Schlosser1.引言1.1 功能安全至关重要自 20 世纪 90 年代以来，由于系统复杂性不断增加，汽车上的电子控制单元(ECU)越来越多。防抱死制动系统、牵引力控制和高级驾驶辅助系统(ADAS)等功能需要专用的 ECU，以便进行优化，并确保高效的性能和可靠性。这种 ECU 模块化设计方法便于在不对整个系统进行检修的情况下集成新功能，在采购、装配和维护方面具有灵活性和成本效益。此外，用于制动和安全气囊展开等关键功能的专用 ECU 通过隔离这些功能和降低系统故障风险，大大提高了车辆的安全性和可靠性。监管要求和

4、行业标准进一步推动了多个 ECU 在汽车中的应用。排放控制、功能安全和网络安全方面的规定往往要求使用专用的 ECU 来实现特定功能。此外，行业标准和协议促进了不同 ECU 和车辆系统之间的互操作性和兼容性，确保了无缝集成和操作。随着软件功能的增加，高性能计算(HPC)系统当前的目标是将许多 ECU 的功能整合到单个片上系统(SoC)或 ECU 数量更少但更大的 SoC 集群中。高性能计算(HPC)系统对管理安全关键和非安全关键应用不可或缺，因此功能安全在车载 HPC 系统中至关重要。HPC 系统必须遵守功能安全方面的适用标准和法规，如 ISO 26262 1，以实现所需的可靠性、功能安全、信息

5、安全，特别是网络安全、隐私和数据保护。1.2 自动驾驶增加了对安全相关软件的需求自动驾驶，又称（部分）无人驾驶或自动驾驶技术，大幅增加了车辆中与安全相关的软件数量，主要有以下几个原因：控制系统的复杂性。复杂的传感器（摄像头或雷达）和控制单元等组件之间错综复杂的相互作用，使自动驾驶系统变得越来越复杂。1 复杂传感器产生的海量数据需要经过先进且密集的数据处理。各种复杂传感器的集成和先进的数据处理需要许多技术娴熟的跨学科团队合作。确保复杂控制系统的功能安全本身也是一项复杂的任务。物体识别和情境解读。AD/ADAS 系统首先需要建立一个不确定且不断变化的环境模型（道路、其他车辆、行人、车辆本身.）。这

6、反过来又需要收集和处理来自不同传感器的信息，并将其汇总到该模型中，然后利用该模型就如何驾驶车辆做出决策。这一过程需要大量密集的数据采集和处理，包括图像和信号。冗余和失效可操作机制。自动驾驶汽车中的安全关键系统通常采用冗余和故障检测与排除机制，以确保系统可用性和功能安全。面向功能安全应用的 EB corbos Linux for Safety Applications4例如，采用冗余传感器阵列和冗余处理单元来交叉验证数据并检测/消除/缓解潜在故障。2 先进的故障检测、隔离和恢复算法通常用于检测异常情况，从而确保安全运行。3-5在 SAE L2 级别及以下的 ADAS 系统中，6 驾驶员始终是最终

7、的监督者，对车辆负最终责任，即使系统出现故障也是如此。从 SAE L3 级别开始，系统对车辆的安全承担全部责任，而驾驶员则无需监督其运行。因此，要求系统在发生故障后仍能执行紧急功能，至少在有限的时间内（例如，直到车辆停稳）。对于失效安全系统，冗余可用于检测故障；而对于失效可操作系统，冗余还能在发生故障或失效时提供执行紧急功能所需的可用性。当然，这也适用于我们的数字座舱示例，我们还需要设定安全状态和/或回退机制。实时决策。自动驾驶系统必须在动态和不可预测的驾驶环境中迅速做出决策，以确保安全驾驶。这要求软件具有高度的响应性和准确性，能够通过复杂的算法实时处理大量数据。7 软件必须考虑道路状况、交通

8、模式、天气条件和其他道路使用者的行为等因素，以做出适当的驾驶决策，避免事故发生。8验证和校验。开发自动驾驶安全关键软件需要进行适当的验证和校验，以确保剩余误差的风险符合适用的规范和法规。这包括在模拟和真实环境中进行测试，涉及许多不同场景的虚拟 12-14 和真实 11 驾驶数据。自动驾驶技术为车辆带来了各种与安全相关的软件组件。这些组件包括从感知算法到失效可操作机制的所有内容。此外，还有验证/校验流程来确保所有这些组件正常工作。随着汽车行业向自动驾驶方向发展，确保这些软件系统的安全性和可靠性至关重要。91.3 高性能计算与对 AD/ADAS 和座舱的适用性 HPC 系统支持自动驾驶和防撞等安全

9、关键功能，而作为 HPC 用例 10 的座舱/车载信息娱乐(IVI)系统主要侧重于娱乐和 GPS 导航等非安全关键功能，但也执行与安全相关的功能。无论其关键程度如何，这两种情况都面临与系统复杂性、互连性和潜在故障模式有关的挑战，因此必须采取强有力的功能安全措施，以确保可靠运行。座舱系统就是一个很好的示例。所有屏幕空间都需要密集的计算资源，因此可能需要使用 HPC。值得注意的是，座舱也可用于显示对安全至关重要的信息，这就需要将功能安全考虑在内。在车辆技术中，自动驾驶和高级驾驶辅助系统(ADAS)都涉及座舱，座舱是人机界面，因此对整个车辆控制至关重要。图 1：2024 年国际消费类电子产品展览会(

10、CES)上展示的边缘到边缘数字座舱 10面向功能安全应用的 EB corbos Linux for Safety Applications52.Linux 在汽车系统中的作用2.1 理解和定义 Automotive OSAutomotive OS（汽车操作系统）是汽车制造商目前最常用的术语之一。11 它让人联想到汽车就像您的手机或电脑一样拥有一个单一的操作系统，并且体现了“软件定义汽车”的概念这也是目前汽车界广泛使用的另一个术语。然而，我们都知道，一辆汽车实际上包含几十个独立的 ECU，它们都运行各自的软件，通过 CAN 或以太网等多个网络，使用主要由 AUTOSAR 12 定义的通用通信标准

11、进行连接。这一系列 ECU 该如何形成一个单一的汽车操作系统？这种分散的基础设施又该如何保证功能安全和信息安全 13？要解决这些问题，我们需要从术语“Automotive OS”的定义入手。Elektrobit 使用三个陈述来定义 Automotive OS 的属性：“Automotive OS 是一个软件平台，它能够将复杂的 ECU 车辆网络抽象简化为单一设备。”14这意味着，对于 Automotive OS 而言，我们谈论的不是一个单一的操作系统。事实上，它是一个软件层，利用定义的接口隐藏复杂的 ECU 集合及其通信矩阵。这样，信息娱乐系统和集群系统等应用程序就能与驾驶员和乘客进行交互，同

12、时还能通过云连接访问汽车功能，而无需了解汽车的网络结构。这有助于提高不同车型和不同代软件平台之间的可移植性。15,16“Automotive OS 管理、监督和更新设备。”14当然，组成 Automotive OS 的软件平台了解汽车的内部网络。它确保各个组件配置正确，以适当状态运行，并充当与外部世界的接口。它还确保所有组件都是最新的，并在兼容的软件版本上运行。“Automotive OS 通过协调用于开发功能的 API 来构建生态系统。”14虽然前两个陈述已经大大提高了汽车制造商软件平台的可维护性，但这句话却概括了 Automotive OS 概念的全部意义：“我们需要为应用程序提供一个开放

13、且明确的接口，使其能够在不同车型、品牌，甚至不同代的汽车上运行，就像您的手机应用可以在多个操作系统版本和各种设备上运行一样”。172.2 在汽车系统中使用 Linux 的优势GNU/Linux 作为一种开源操作系统，可为汽车系统提供众多优势。它可在服务器环境、云计算、HPC 和 Android 设备等各种使用情况下提供可定制的特性和功能、可靠性和稳定性。庞大的开发人员库。GNU/Linux 的一大优势是其庞大的开发人员库。大量的用户和用户组织有助于不断改进和提供宝贵的资源、文档和支持。众所周知的 API 简化了开发和集成，节省了时间和工作量。此外，开源特性可避免供应商锁定，使组织能够从多个供应

14、商中进行选择，即使原来的供应商无法提供服务，也能确保灵活性。创新周期快。GNU/Linux 创新周期快，经常更新、修复错误并增加新功能，使操作系统处于最新状态。面向功能安全应用的 EB corbos Linux for Safety Applications6兼容性。GNU/Linux 与多种硬件架构兼容，汽车制造商可根据具体要求选择组件，而不会立即出现软件兼容性问题。源代码透明。此外，GNU/Linux 的源代码完全透明，有助于高效调试和故障排除，从而加快错误修复速度，提高系统稳定性。这种透明度提高了基于 GNU/Linux 构建的汽车系统的整体可维护性。2.3 在汽车中使用专门的 Linu

15、x 发行版相较于使用企业发行版或嵌入式 Linux 构建系统的优势在汽车应用中选择 Linux 发行版而不是 Yocto 18 等嵌入式 Linux 构建系统，需要考虑几个关键因素，其中维护是一个重要的考虑因素。虽然 Yocto 为嵌入式系统提供了灵活性和定制选项，但它需要大量的专业知识和资源才能进行有效的维护和更新。相比之下，专为汽车定制的 Linux 发行版通过提供预配置组件和对汽车特定功能的支持，简化了维护流程，减轻了开发团队的负担，并确保了系统在汽车生命周期内的安全性。还需要考虑的是，由于通用 Linux 发行版对存储和内存的要求过高，无法满足汽车领域的特定需求。到目前为止，这一直是通

16、过简单地减少软件包的数量来解决的，但这并不是一个有效的解决方案，因为它会对功能产生不利影响。此外，专用的汽车 Linux 发行版可针对汽车用例和车规级安全功能进行有针对性的优化和增强，并应符合 ISO 26262 等适用标准和法规。EB corbos Linux for Safety Applications 配备了专为汽车开发定制的软件堆栈和工具，可加快产品上市速度并降低开发成本。面向功能安全应用的 EB corbos Linux for Safety Applications73.汽车行业的功能安全标准和法规3.1 相关安全标准和法规概述相关的汽车安全标准和法规在确保道路车辆的安全和可靠性

17、方面发挥着至关重要的作用。最突出的标准之一是 ISO 26262，该标准概述了道路车辆电气和电子系统的功能安全要求。19ISO 26262 为整个汽车供应链的安全关键系统的开发、实施和验证提供了一个全面的框架。它涵盖多个方面，包括危害分析和风险评估、安全目标定义、硬件和软件开发流程以及验证和校验，所有这些都旨在最大限度地降低系统故障风险，确保车辆安全。在软件源代码层面，对于汽车而言，这通常包括遵守 MISRA-C 及其衍生标准。20 虽然有 GNU/Linux 编码指南 21,22，但这些指南并不针对嵌入式系统，更不用说与功能安全相关的系统。除 ISO 26262 之外，汽车制造商还必须遵守针

18、对其目标市场的地区安全法规和标准。如果公司希望在道路上使用电子或软件系统，就必须将功能安全考虑在内。即使产品责任法没有明确要求遵守某些功能安全标准，汽车制造商也有责任确保其系统采用最先进的技术开发，包括验证和校验。3.2 功能安全标准对基于 Linux 的汽车系统的影响“Linux 内核作为一个重要的开源组件，吸引了安全研究人员和广大开发人员的极大关注。其透明的特性使得可以进行深入分析，相比闭源软件，安全漏洞报告率更高。”23这可确保较好的网络安全性能，但并未涉及功能安全。功能安全是另一个需要考虑的问题。Linux 内核并非为车辆系统设计，即使在出现故障或错误的情况下，也无法可靠、安全地运行，

19、以防止事故并保护乘客和道路使用者。此外，围绕内核的 GNU 系统更不是为此目的而设计的。这可确保较好的网络安全性能，但却无法实现所需的功能安全。Linux 内核的设计并不是为了可靠、安全地运行，更不是为了处理故障或错误。围绕内核的 GNU 系统更不是为安全关键和关键任务应用而设计的。因此，使用通常用于实现和证明符合适用功能安全规范和标准的方法、技术和程序来指定和证明 GNU/Linux 的功能安全是不现实的。要使 GNU/Linux 适用于与功能安全相关的应用，需要采用非常创新的方法和“打破常规”的思维。面向功能安全应用的 EB corbos Linux for Safety Applicat

20、ions8appappappappMWappappRTEEB tresos Safety(BSW)EB tresos OSSafety MCALSoC enablement OS safety monitorEB corbos Hypervisor EB corbos Linux kernelAndroid Linux kernelEB corbos Linux for SafetyApplications kernelBase Startup Update Monitoring Logging.Container nAndroid frameworkHardware abstractionl

21、ayer(HAL)MiddlewareAPIContainer 1Container1aSafety middleware APIAutomotive libraries(Adaptive AUTOSAR,ROS/ROS2,.)Bootloader BootloaderHPC cores(Cortex A78AE,for example)RTC cores(Cortex M,R or external MCU)ASIL-B/D ASIL-B/D QMQM4.汽车领域的 Linux 安全解决方案面向功能安全应用的 EB corbos Linux for Safety Applications 是

22、基于开源软件的安全相关系统车载 HPC 系统的解决 方案。经过 TV 评估的安全架构，适用于带有 Linux 系统的汽车应用 HPC 系统功能安全概念包括在 ECU 软件中集成安全措施，以确保汽车应用中关键系统的有效性。为了展示其解决方案的潜力和优势，Elektrobit 开发了一个示例系统。该示例系统可显示由车辆传感器或摄像头生成的视频流，提供有关车辆周围环境的视觉信息。视频流和其他相关数据显示在显示屏上，显示软件行为和系统响应，使观看者能够了解系统的行为。该软件包括一个安全监控系统，可持续分析视频流中的错误或异常。如果检测到任何问题，系统会采取适当的措施，例如关闭系统以防止潜在的安全隐患。

23、该演示包括一种通过向视频流或 Linux 内核注入故障来诱导错误场景的机制，以模拟系统必须检测和应对异常情况的实际情况。系统示例架构如图 2 所示。在此示例中，HPC 中集成了另一个操作系统分区，使用 Android 框架为 OEM 可能希望使用现有软件模块的特殊显示用例提供服务。阴影区域显示了正在开发和运行的组件的安全完整性等级。示例数字座舱架构图显示了不同的硬件和软件层。从下到上，片上系统(SoC)使用一个或多个 RTC 核，如 ARM Cortex M、R 或外部 MCU。HPC 核通常包括 ARM Cortex A 核，例如 Cortex A78AE。RTC 和 HPC 核各有自己的

24、Bootloader。图 2：集成座舱+IVI 示例 24面向功能安全应用的 EB corbos Linux for Safety Applications9在本例中，RTC 部分在 Bootloader 上安装了支持功能安全的 Classic AUTOSAR 操作系统 EB tresos Safety OS 25 及其 Safety MCAL，但也可以在下面安装专用的实时 EB tresos Embedded Hypervisor 26，以备需要多个 Classic AUTOSAR 实例时使用。专用 HPC 虚拟机监控程序 EB corbos Hypervisor 27 具有特定的 SoC

25、支持功能和操作系统安全监控功能，可作为多个 HPC 操作系统实例的基础。虚拟机监控程序和操作系统安全监视器是安全组件，完全按照相关质量 28 和安全标准 19,29 开发。非安全（质量管理(QM)Linux 分区运行所有常规的非安全相关功能，例如在容器化环境中作为性能应用。30,31 在数字座舱的示例中，Android 框架也作为非安全相关分区运行，用于上述用例。最后，EB corbos Linux for Safety Applications 内核 32 是虚拟机监控程序上的独立虚拟机，带有安全中间件 API，如 EB corbos Adaptive 33 或 ROS 34，作为启用 IS

26、O 26262 ASIL-A/B 的性能安全应用的基础。这一概念包含几个关键方面：1.错误监控：系统持续监控错误，尤其是示例视频流中的错误，这对各种汽车功能至关重要。2.高完整性分区：ECU 内的高完整性分区负责生成和监控视频流。它能确保视频流及时发现任何错误或异常。3.操作系统安全监视器：操作系统安全监视器，又称进程管理程序，负责监督高完整性分区的功能，确保其正常运行。它还监控分区内的故障，并在必要时触发关机程序。总之，这一安全概念旨在创建一个强大的系统，能够检测和应对潜在的危险或故障，从而提高汽车系统的安全和可靠性。通过功能分解 35,36 或多通道方法可以实现更高的完整性等级（ASIL）

27、。在 ISO 26262 标准中，功能分解包括将安全要求最高的 ASIL-D 功能分解为冗余的 ASIL-B(D)要求。37Ch.5.这些 ASIL-B(D)要求可以在 ASIL-B 组件中实现，并不受干扰。37Ch.67面向功能安全应用的 EB corbos Linux for Safety Applications 受专利保护，因为其技术方法将 OSS 从进程管理程序中分离出来。4.1 与功能安全相关的故障场景上文介绍的示例系统所演示的故障场景包括在视频流中或直接在监视器中产生错误。典型用例：在我们的 Linux 发行版上运行一个性能应用程序 32 并处理图像数据。安全关键应用程序在 Li

28、nux 发行版的安全衍生版上运行，位于第二个 hypervisor 虚拟机中，负责监控性能应用程序。进程管理程序保护安全关键应用的数据完整性。性能应用程序内部故障：在第一个场景中，视频流中出现错误，导致视频流生成器向安全应用程序传输无效图像。系统检测到视频流中的错误，显示红色指示灯并随后关闭系统。内核故障损坏安全关键应用程序：例如，当启用安全功能的 Linux 分区内核访问未经授权的内存区域时，我们的操作系统解决方案的专用安全层（称为进程管理程序）会检测到这一情况，并通过 GPIO 通知在 PC 上运行的外部用户界面。需要指出的是，功能安全是一种系统属性，而不是任何组件的固有特征。每个功能的本

29、质决定了整个系统中该功能影响链的具体功能安全要求，从而对系统架构产生要求，进而对硬件、软件和软件架构产生要求。面向功能安全应用的 EB corbos Linux for Safety Applications10如上所述，在传统的 ECU 领域，这导致许多功能需要专用硬件，以满足特定的功能安全需求等。然而，对于减少变体、增加集中化以及降低硬件复杂性的强烈需求和愿望，推动了 E/E 架构的演进，使其朝着能够支持各种功能安全概念的架构方向发展。这两种场景都强调了系统检测错误和启动关机程序的能力，突出了集成在系统中的安全措施的稳健性。4.2 将安全措施集成到基于 Linux 的汽车软件栈中我们的目标

30、是使安全应用程序正确执行，并在必要时提供适当的通知。面向功能安全应用的 EB corbos Linux for Safety Applications 中的安全扩展包含了确保系统安全的各个方面：监督用户空间初始化及其过程并使其合法化。Linux 系统启动时，需要初始化各种用户空间组件，以使系统正常运行。初始化过程包括加载必要的库，设置环境变量，以及执行启动脚本或二进制文件。这里的“合法化”是指初始化过程遵循既定惯例、尊重安全机制并遵守最佳实践。特别是，专门的启动和服务初始化模块，如 crinit 38 和 cominit 39，取代了非自动就绪的基于脚本的解决方案。在内核和应用程序之间分离内存

31、区域的读/写/执行权限。在 Linux 中，内核对分配给应用程序的内存没有写或执行权限，这意味着分配给应用程序的内存及其内容不能被 Linux 内核修改，从而保护应用程序。监督应用程序内存的任何读取/写入/执行尝试并使其合法化。这意味着，除了上述不同的写入和执行权限外，任何访问分配给应用程序的内存的尝试都会受到监督，只有在合法的情况下才会被允许。这样做的目的是检测对分配给应用程序的内存的任何不当或不正当访问，并在发生此类尝试时发出通知。在整个上下文切换过程中，监督并允许或阻止对处理器状态寄存器的更新。这可确保正确处理进程切换并防止未经授权的修改，从而增强系统的稳定性和安全性。通过这些扩展，EB

32、 corbos Linux for Safety Applications 可确保 Linux 内核不会对属于安全应用程序的内存部分进行不当访问，也不会通过与其他分区共享的内存对属于安全应用程序的内存部分进行不受控制的访问。经过安全评估的虚拟机监控程序会为安全和非安全工作负载划分资源分区。虚拟机监控程序的操作系统安全监控器负责对 EB corbos Linux for Safety Applications 内核进行外部监控。面向功能安全应用的 EB corbos Linux for Safety Applications115.最佳实践和建议6.结论与早几十年的 ECU 设计不同，车辆投产后

33、，ECU 软件几乎不再更新，而 HPC 系统设计则需要持续不断的长期开发。面向功能安全应用的 EB corbos Linux for Safety Applications 虚拟机分区的所有软件开发都必须遵守 安全手册。这不适用于非安全型 EB corbos Linux，因为它没有任何限制。监管概念可以扩展；在即将推出的版本中还将增加更多允许的功能。汽车行业采用开源软件既带来了机遇，也带来了挑战。在本节中，我们将根据本文的讨论得出结论，强调在评估汽车系统中使用 GNU/Linux 和开源软件时应考虑的要点。必须承认的是，开源软件并不能直接替代专有软件，尤其是在考虑到长期维护的影响时。虽然开源软

34、件具有许多优势，如灵活性、透明度和庞大的开发人员库，但也需要仔细评估和考虑特定的应用程序需求。在选择专有软件还是 GNU/Linux 时，没有简单的答案或“一刀切”的解决方案。需要对每种应用进行全面分析，考虑采用 GNU/Linux 的利弊，特别是要考虑长期影响。必须考虑功能需求、合规条例和行业标准等因素，以确定开源软件是否适合特定应用。23虽然开源软件通常与节约成本联系在一起，但必须考虑到总拥有成本可能因应用需求而异 15。直接从开源项目获取的免费软件可能缺乏保证和担保，这会影响其在关键汽车系统中的适用性。因此，选择专注于 GNU/Linux 产品的组织作为合作伙伴，可以提供更多支持并确保长

35、期维护，从而节省大量资源并降低风险。Elektrobit 等在汽车软件和 Linux 领域拥有丰富经验的公司可以提供帮助，提供基于 Canonical Ubuntu 17,18 的 EB corbos Linux 16。在考虑采用 GNU/Linux 时，要全面评估每种应用的需求和优先级。考虑长期影响、与现有系统的兼容性以及是否有专门的 GNU/Linux 供应商。与在提供适合汽车行业的长期维护 GNU/Linux 系统方面有良好记录的供应商合作，如 Elektrobit。这将有助于确保持续得到支持、漏洞修复和安全更新。保证 HPC 系统的功能安全绝非易事，不容小觑。作为 HPC 操作系统的

36、GNU/Linux 也是如此。实际上，EB corbos Linux for Safety Applications 可在不依赖 Linux 内核本身的情况下实现所需的功能安全等级，因此可以使用最新的内核。这样就可以在车辆和车辆平台的架构中实现面向未来的架构和性能。在使用 HPC 时，您需要尽早认真考虑功能安全方面的问题。面向功能安全应用的 EB corbos Linux for Safety Applications 是您的不二之选。面向功能安全应用的 EB corbos Linux for Safety Applications127.参考文献1 S.Pruisken,“An end-to

37、-end approach for mastering rising software complexity,”presented at the Autonomous Driving Meetup Munich,Munich,Sep.19,2019.Available:https:/autonomous-driving.org/wp-content/uploads/2019/10/Elektrobit_Mastering-Software-Complexity ADM11.pdf.Accessed:Feb.15,20242 T.Ishigooka,S.Honda,and H.Takada,“C

38、ost-Effective Redundancy Approach for Fail-Operational Autonomous Driving System,”in 2018 IEEE 21st International Symposium on Real-Time Distributed Computing(ISORC),Singapore:IEEE,May 2018,pp.107115.doi:10.1109/ISORC.2018.00023.Available:https:/ieeexplore.ieee.org/document/8421154/.Accessed:Feb.15,

39、20243 AUTOSAR,“Explanation of Error Handling on Application Level.”Nov.23,2023.Available:https:/www.autosar.org/fileadmin/standards/R23-11/CP/AUTOSAR_CP_EXP_ApplicationLevelErrorHandling.pdf4 Lucian Badescu,“Software for fail-operational systems in autonomous vehicles,”Elektrobit,Jun.30,2023.Availab

40、le:https:/ T.Schmid,S.Schraufstetter,and S.Wagner,“An Approach for Structuring a Highly Automated Driving Multiple Channel Vehicle System for Safety Analysis,”in 2018 3rd International Conference on System Reliability and Safety(ICSRS),Barcelona,Spain:IEEE,Nov.2018,pp.362367.doi:10.1109/ICSRS.2018.8

41、688859.Available:https:/ieeexplore.ieee.org/document/8688859/.Accessed:Feb.15,20246 “J3016:2018:Taxonomy and Definitions for Terms Related to Driving Automation Systems for On-Road Motor Vehicles-SAE International.”Available:https:/www.sae.org/standards/content/j3016_201806/.Accessed:Nov.17,20207 J.

42、Ren and D.Xia,“Autonomous Driving Operating Systems,”in Autonomous driving algorithms and Its IC Design,Singapore:Springer Nature Singapore,2023,pp.245261.doi:10.1007/978-981-99-2897-2_11.Available:https:/ A.K.Jgerbrand and J.Sjbergh,“Effects of weather conditions,light conditions,and road lighting

43、on vehicle speed,”SpringerPlus,vol.5,no.1,p.505,Dec.2016,doi:10.1186/s40064-016-2124-69 J.Schlosser and J.Petersohn,“Considering Linux for functional safety relevant system architecture:Pitfalls and Potential,”in ATZlive Automatisiertes Fahren 2024,Frankfurt am Main:Springer Nature,Mar.2024.10 “Digi

44、tal Cockpits Solutions for Automotive,”Elektrobit.Available:https:/ A.Mattausch,J.Schlosser,and M.Neukirchner,“E/E Architectures and the Automotive OS,”in 23rd Stuttgart International Symposium-Automotive and Engine Technology Documentation,Wiesbaden:Springer Vieweg,2023,pp.175183.Available:https:/

45、“Standards AUTOSAR.”Available:https:/www.autosar.org/standards.Accessed:Apr.03,202413 United Nations Economic Commission for Europe,“UN Regulation No.155-Cyber security and cyber security management system,E/ECE/TRANS/505/Rev.3/Add.154.”4.Available:https:/unece.org/transport/documents/2021/03/standa

46、rds/un-regulation-no-155-cyber-security-and-cyber-security14 M.Neukirchner,“Defining the Automotive OS,”LinkedIn Post,Apr.08,2022.Available:https:/ M.Neukirchner,“Automotive OS Fulfills Its Promise,”EE Times,Mar.06,2023.Available:https:/ J.Schlosser,A.Mattausch,M.Neukirchner,and R.Holve,“Adaption de

47、s Software-Qualittsmanagements im Automotive-Bereich fr eine Nutzung von Fremdkomponenten,”in Software Engineering 2023 Workshops,I.Groher and T.Vogel,Eds.,Bonn:Gesellschaft fr Informatik e.V.,Feb.2023,pp.7891.doi:10.18420/SE2023-WS-10.Available:http:/dl.gi.de/handle/20.500.12116/4019517 M.Neukirchn

48、er,“There is no software-defined vehicle without an Automotive OS.Period.,”The Automotive OS perspective,Dec.15,2022.Available:https:/ Linux Foundation,“The Yocto Project,”The Yocto Project.Available:https:/www.yoctoproject.org/.Accessed:Jan.30,202419 “ISO 26262:2018:Road Vehicles Functional Safety.

49、Part 1-12,”International Organization for Standardization,Geneva,ISO 26262:2018,Dec.2018.20 Motor Industry Software Reliability Association,Ed.,MISRA-C:2004:guidelines for the use of the C language in critical systems,2.ed,Stand:October 2004.Nuneaton:MIRA,2008.面向功能安全应用的 EB corbos Linux for Safety Ap

50、plications13关于作者21 “GNU Coding Standards,”Jul.01,2021.Available:https:/www.gnu.org/prep/standards/standards.html.Accessed:Mar.06,202422 “Linux kernel coding style,”The Linux Kernel documentation,2016.Available:https:/www.kernel.org/doc/html/v4.10/process/coding-style.html.Accessed:Mar.06,202423 J.Sc

51、hlosser and J.Petersohn,“Maintaining Open-Source based Software or What is the true cost of free?,”in ELIV 2023:Electric/Electronics for Commercial Vehicles 2023,VDI Wissensforum,Ed.,in VDI-Berichte,vol.2423.Dsseldorf:VDI Verlag,2023,pp.267280.doi:10.51202/9783181024232-267.Available:https:/doi.org/

52、10.51202/9783181024232-26724 J.Petersohn and M.Wiegand,“EB corbos Linux built on Ubuntu.Product Description,”Erlangen,Dec.29,2023.25 “Functional Safety ISO 26262 for Automotive-EB tresos Safety,”Elektrobit.Available:https:/ “EB tresos Embedded Hypervisor,”Elektrobit.Available:https:/ “Adaptive AUTOS

53、AR Hypervisor:EB corbos Hypervisor,”Elektrobit.Available:https:/ “Automotive SPICE Process Reference Model/Process Assessment Model.”VDA Quality Management Center,Nov.29,2023.29 “IEC 61508-1:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems-Part 1:General

54、 requirements.”International Electrotechnical Commission,Geneva,Switzerland,2010.30 M.Schfer,“Invisible Container Fortress with EB corbos Linux built on Ubuntu.”Elektrobit,2023.Available:https:/ The invisible container fortress-isolating apps in software instead of distinct ECUs,(Jul.26,2023).Availa

55、ble:https:/mobex.io/webinar-library/the-invisible-container-fortress-isolating-apps-in-software-instead-of-distinct-ecus/32 “Linux OS for Automotive:EB corbos Linux,”Elektrobit.Available:https:/ “Adaptive AUTOSAR Architecture:EB corbos,”Elektrobit.Available:https:/ “ROS:Home,”Robot Operating System(

56、ROS).Available:https:/www.ros.org/.Accessed:Feb.16,202435 A.Frigerio,B.Vermeulen,and K.Goossens,“Component-Level ASIL Decomposition for Automotive Architectures,”in 2019 49th Annual IEEE/IFIP International Conference on Dependable Systems and Networks Workshops(DSN-W),Portland,OR,USA:IEEE,Jun.2019,p

57、p.6269.doi:10.1109/DSN-W.2019.00021.Available:https:/ieeexplore.ieee.org/document/8806012/36 C.Lidstrom,C.Bondesson,M.Nyberg,and J.Westman,“Improved Pattern for ISO 26262 ASIL Decomposition with Dependent Requirements,”in 2019 IEEE 19th International Conference on Software Quality,Reliability and Se

58、curity Companion(QRS-C),Sofia,Bulgaria:IEEE,Jul.2019,pp.2835.doi:10.1109/QRS-C.2019.00019.Available:https:/ieeexplore.ieee.org/document/8859482/37 “ISO 26262:2018:Road Vehicles Functional Safety.Part 9:Automotive safety integrity level(ASIL)-oriented and safety-oriented analyses,”International Organ

59、ization for Standardization,Geneva,ISO 26262:2018-9,Dec.2018.38 “Elektrobit/crinit.”Elektrobit Automotive GmbH,Dec.06,2023.Available:https:/ “Elektrobit/cominit.”Elektrobit Automotive GmbH,Sep.11,2023.Available:https:/ Schlosser 教授、博士高级经理Elektrobit面向功能安全应用的 EB corbos Linux for Safety Applications关于 ElektrobitElektrobit 是一家屡获殊荣、富有远见的全球性供应商，致力于为汽车行业提供嵌入式互联软件产品和服务。作为汽车软件行业的佼佼者，凭借超过 35 年为本行业服务的经验，Elektrobit 为超过 6 亿辆汽车的逾 50 亿台设备提供支持，并针对汽车基础软件、互联和安全、自动驾驶和相关工具，以及用户体验提供灵活、创新的解决方案。Elektrobit 是大陆集团的全资独立子公司。如需了解更多信息，请访问