在SAE 2024國際汽車安全大會上，Elektrobit的Linux專家王紅燕在操作系統與芯片技術的分論壇上為大家帶來了“面向功能安全應用的汽車開源操作系統解決方案”主題演講。

為了便于大家能夠有進一步了解，我們將此次演講內容進行了提煉整理，內容如下：

挑戰與汽車行業需求

首先來了解下汽車行業和開源軟件的現狀，我們一般來說是不會頻繁地去申請軟件的版本，申請時主要是修復有bug的部分。那開源軟件的現狀是什么？

第一個產品生命周期非常短，如果大家關注過Linux Kernel的開源社區就會發現基本上兩周、三周就會有一個完整的更新。

第二個是它的好處，就是創新非常快，基本上最新的一些技術都會體現在Linux操作系統上。

第三個是Linux的漏洞是通過不斷的升級版本來進行更新的。比如說在6.1上發現了一個bug，那一般是不會在6.1上修復的，通常會修復到6.2或者更高的版本上去，這樣子其實不符合我們汽車行業的要求。

我們再來看下汽車行業的要求，為什么去選Linux，其實原因有很多。

第一個就是它的功能眾多而且非常強大，剛剛可以看到Linux提供了很多安全的手段。

第二個是開發人員就是比較易招，基本上學計算機或者是一些息息相關的專業，Linux都是必修的。

還有一個最大的優勢，是無廠商鎖定，它是不綁定license的，不屬于任何一個公司，所以我們不會因為因為某些原因導致被某些公司鎖定而得不到軟件。

還有一個創新快，這是開源軟件最大的一個優點，因為全球有數億開發者在貢獻Linux開源社區。

最后一個是廣泛的硬件支持和源代碼透明易于調試，這個大家應該都比較清楚。

合規性挑戰

第一個組建非常復雜且集成比較麻煩，因為現在特別是在A核上面的應用會越來越多，那我們APP的供應商也會越來越多，對我們Tier 1或者是OEM去集成這些APP的時候，當所有的APP都集成到一個Linux操作系統上，定位問題就會非常麻煩。

第二個就是需要適應一些新的標準，不管是新的歐盟，包括美國以及我們國家的一些安全標準也很快都會出來。

第三個就是功能安全，Linux擁有比如開源、沒有廠商鎖定這些好處，但是它缺了一點，就是我們汽車某些域它有一些功能安全的要求。

第四點就是開發方法非常多，這個是我們從開源社區截的兩張圖，左邊這張圖就是我們關注Linux安全的可能經常會查閱的一個網站，就是NVD。在這個NVD的網站上，它會列出來全世界各地發現的Linux的bug，然后這個就可以看到，bug其實是隨著時間的增長開始一個直線型的增長。然后右邊這張圖是Linux開源社區的更新，大家可以看到更新的非常頻繁。

彌合差距

那Elektrobit是怎么做的呢? 首先第一個針對我們有很多個APP供應商這樣的一個問題，就是集成面的問題，我們引入了一個容器的概念，Elektrobit的Linux它是一個基于容器的操作系統，那么這個容器帶來的好處有以下幾點：

首先，它會給APP創造這么一個隔離的環境，把APP和整個系統然后隔離開，第二個就是安全上面的使用，比如說它會在各個層面上去做嚴格的一個定義，RAM, CPU, disk, network，包括剛剛我們上一個演講者所提到的比如說compatibility，還有一些dm-verity這些，然后在這個Container里面配置的時候，它的DAC，包括你的UID、GID這些都要配好，然后你的compatibility，Cgroup, Namespace這些都要配置上去，所以說它是一個對APP安全性提高非常大的一個特性（feature）。

然后第二個就是對于集成帶來的好處，因為它會把比如說每一個APP的供應商它可能用到的庫的版本，其實我們今天是用同一個庫，但是大家版本不一樣，如果集成的時候，我們熟悉Linux的可能都知道，我們一般像二進制應用都會放到/usr/bin下面，庫放到/usr/bin下面，如果有很多個APP，大家用到的版本都不一樣，這樣子的話，你就在這個庫下面有很多個版本，所以如果我們每一個APP供應商，大家都把自己所需要的配置文件都打包在一個Linux的一個Container鏡像當中，那我們最終集成調試地也會比較方便，因為誰的容器沒有啟起來，那就是誰的問題。

這個容器的方案，其實我們在市場上應該也會看到很多，比如說像OCI，Podman, Docker，我想應該有很多已經嘗試過不同的方案了，那Docker, Podman的問題就是太大了，那我們汽車的硬件，比如EMS、包括內存都是有限的，而且成本比較高，Elektrobit的Container，是一個輕量級的解決方案。

還有一個問題就是，剛才我們有一個Temper proof，就是防竄改。防竄改我們就引入了dm-verity這個feature，所以在每一次你啟動Container這個鏡像(image)的時候，我們都會去做integrity check，大家不用擔心說Container的image被第三方進行篡改，這是Elektrobit的一個Container。

另外，因為Container其實就是一個image，所以它可以非常方便地去做到SOTA，而不是說每次升級的時候，我要整個系統去進行升級。

最后一點就是Elektrobit的Container是跟我們業內通用的OCI標準是兼容的，那我們Container是怎么放的呢？就是你相同的一些應用，比如說你功能相近，還有一些比如說交互非常頻繁的應用，我們都建議放在一個容器內部，因為一個容器可以放一個APP，也可以放多個APP。又比如像我們經常使用中間件，Adaptive AUTOSAR, 一般來說Elektrobit提供的集成方案——就是我們的Adaptive AUTOSAR是一個容器鏡像，然后給客戶的時候就是一個鏡像給到客戶，然后客戶放上去就運行起來，沒有任何集成的代價，這對于Tier 1或者OEM來說就會非常方便。

尤其Container的接口，我覺得是Linux做得比較好的，它的向后兼容性都做得非常好。

剛剛我們也說了，Linux開源設計上，它的更新非常頻繁，對于我們汽車操作系統來說，特別量產之后，我們是不大可能頻繁的去升級我們的Kernel版本的，那對于Elektrobit的維護方案是怎樣的呢，就是每兩年，我們會選取一個Kernel版本，每一個Kernel版本我們會維護10年到15年（包括產品和安全）這樣的一個維護周期。

比如我們Elektrobit第一款量產的Linux操作系統是在大眾ID.系列上面，當時的那個Kernel版本還是4.19，我們現在還在維護。現在當下的話，我們的Kernel版本已經到5.15，它是一個固定版本的一個Kernel版本維護。

為構建下一代汽車操作系統，我們聯合了一個強有力的合作伙伴，就是Canonical，雙方共同推出了基于Ubuntu的EB corbos Linux開源解決方案。Elektrobit的EB corbos Linux是一個單獨的發行包，我們的一些Kernel部分就是由我們的合作伙伴Canonical進行維護， Elektrobit作為一個專業的汽車軟件公司，我們的關注點就是在功能安全(Functional Safety)上面，所以我們提供的面向功能安全應用的EB corbos Linux for Safety Applications解決方案，目前是達到ASIL-B的，該解決方案彌補了開源操作系統對于功能安全的一個需求。

然后是關于信息安全（Security）的一些標準，我們的解決方案可以滿足主流的信息安全法律法規，包括：14028，ISO/SAE 21434，還有歐盟的UNR 155，VDA, 這些我們都可以滿足，包括我們已經量產的產品里面，比如說像剛剛介紹的Container的一項compatibility，Cgroup，Namespace，dm-verity，以及我們在三層、四層的iptables, netfilter這些都是EB corbos Linux for Safety Applications滿足這些安全都必須的組件。

工作原理

剛剛我們也說了Elektrobit的EB corbos Linux for Safety Applications目前可以做到功能安全等級到ASIL-B，那我們的功能安全概念是怎樣的？

這是我們EB corbos Linux for Safety Applications的Safety Concept，底層是有一個EB corbos Hyperviser，這是Elektrobit的一個虛擬化解決方案，它是有ASIL-B/D等級的，上面是一個EB corbos Linux for Safety Applications的Kernel（看右邊部分），左邊部分是帶Container的QM Linux，右邊的話是我們Safety的一個partition（分區），在上面是我們的Safety的一個中間件，然后再上面是Safety的APP，在Hyperviser和Kernel之間有一層隔離，這一層隔離所有的讀、寫、執行、包括一些訪問，通通都是被MMU和Hyperviser來進行監控和控制，在我們的操作系統和APP之間也是有它的所有的讀、寫、操作、訪問控制，都是由我們的safety monitor這個模塊，這個safety monitor不是一個物理的模塊，它是一個邏輯上的模塊，就是有統稱的這個safety monitor以及我們的MMU和Exception Level（EL, 異常級別）來控制，然后Safety和APP之間也是有MMU來進行保護的，這樣子的話就是中間還有個Safety的中間件。

對AUTOSAR CP里面Safety架構比較清楚的同仁知道，在Safety里面我們除了有Safety OS, 還有一些Safety模塊，例如Safety E2E, Safety RTE等，那對于我們A核同樣也是一個系統級別的Safety方案，我們除了有一個Hyperviser加EB corbos Linux for Safety Applications這樣的一個滿足功能安全的OS之外，我們同時還需要有一個Safety的中間件來整個達成我們A核這邊對功能安全的需求。

接下來就是我們基于Arm的三層對于Exception Level的一個處理，我們Safe Application需要用Supervisor Core，Supervisor Core中間這一些的調用的話，它所有的讀、寫、訪問控制、執行權限都由Safety monitor和MMU來進行控制, EL1和EL2，Hyperviser Core這一層的話由Safety monitor和MMU來控制和監控。整個Exception Level這個Kernel的部分，因為我們如果把一個Kernel幾件事情裁到最小的話，理論上也是可行的，就是你把一個Kernel去做到Safety，但是經濟上它是不可行的，因為Linux Kernel更新太快了，你可能一個Kernel做到Safety，然而也許它已經更新到很多版本了。所以我們的方案是一個系統化的解決方案，就是Hyperviser是一個帶ASIL的模塊，我們OS safety monitor也是一個帶ASIL的模塊，包括上層的Safety application，也是一個帶ASIL的模塊，這三個模塊和我們中間QM的Kernel之間都是做到了一個隔離和監控，這樣子的話，整個來達到一個Safety。

路線圖

最后看一下我們的路線圖，第一就是關于Safety Concept這一部分，我們已經拿到了TUV的技術憑資的認證，首先我們的Safety Concept是沒有問題的。

第二就是關于如何通過技術手段，來實現這些Safety Concept，這一部分我們也已經通過了認證，我們在今年的CES展上展示過demo，包括今年我們在北京車展上也已經全球首發發布了這款產品和解決方案。

第三，我們目前計劃是在2025年可以實現結合客戶的具體項目，具體應用需求，比如說ADAS，或者是需要功能安全的項目，來實現整個系統、項目的ASIL-B的量產。