自动驾驶Linux系统的功能安全研究 1.0

导读

UNECE（United Nations Economic Commission for Europe）Regulation 152条，直接明确对AEB的系统整体功能安全的合规要求，需要OEM能自证Traceability。在保守解读下，可认为对操作系统、底层软件和芯片都提出了满足功能安全的要求。

2023年11月17日，工业和信息化部、公安部、住房和城乡建设部、交通运输部联合开展智能网联汽车准入和上路通行试点工作，发布了《智能网联汽车准入和上路通行试点实施指南》。其中尤其针对自动驾驶系统提出了全面的功能安全过程保障要求，确保安全目标在整车层面正确、完整并得到充分实现，同时也细化要求了功能安全要求应细化分配到自动驾驶系统的架构要素。操作系统、底层软件和芯片等作为自动驾驶系统架构的关键要素，需要满足功能安全的要求。

从市场与技术角度：对于海外汽车及国内汽车出海的市场，OEM希望使用已通过功能安全认证的操作系统和芯片；在往高等级自动驾驶功能演进过程中，也对操作系统和底层软件的功能安全提出了要求。

我们做自动驾驶的技术型公司，经常会提到特斯拉，，那我们来探讨特斯拉FSD Linux安全性如何解决？特斯拉中控大屏和FSD系统底层均是Linux，车控系统采用OSEK兼容。这三个系统之间相互独立。

特斯拉FSD基于Linux内核打造了整套自动驾驶的软件方案（ https://www.tesla.com/AI），完成了从感知（如目标检测、分割、融合）、定位、决策、规控等的全套解决方案，不需显示处理。特斯拉Linux内核不以符合ISO26262标准认证为功能安全目标，而是对内核进行实时性、安全性增强，在系统、硬件层面（包含电源、总线通信、执行机构等）对整个车辆进行冗余设计，如确保每个关键的驱动系统都有两个独立的电源系统和总线通信线路，以防其中一个失效时，关键的驱动组件仍能正常运行；车辆的转向系统、制动系统也都做了备份设计，当其中一套系统发生故障时，另一套仍然可用。

自动驾驶域作为安全关键的系统，而非整体最优的系统（安全性、实时性、人机交互&显示等）。特斯拉CCM将ADAS（FSD芯片主要为AI计算）和中控（视频/图形计算）功能置于两个不同的控制器中，独立运行不同系统，FSD上的Linux在性能和NPU算法迭代能力之间取得最优，而不会影响到车机上的Linux系统。

自动驾驶方案应用从演示阶段走向规模量产，以及高等级自动驾驶、舱驾融合发展，需要做好在快速发展和安全、合法合规之间的平衡。长期来看，需要通过研究、实践积累对整车功能安全的系统级理解，平衡“向用户提供更高级产品功能”和“向用户提供更高的产品功能安全等级”。目前基于Linux内核的操作系统广泛应用于自动驾驶计算平台，随着汽车智能化及EEA发展，自动驾驶应用场景（如高速NOA、城区NOA等）落地，预期未来份额仍会持续上升。针对自动驾驶Linux系统功能安全的需求越来越迫切，需加速推动相应研究并实践。

Linux系统的功能安全属于基础性、关键性问题，“勿在浮沙筑高台”，否则在自动驾驶基础软件功能安全达成策略和认证标准上需要“补课”，且“补课”成本可能非常高。

部分领先玩家（主机厂、供应商、行业组织、标准化机构、认证机构等）在Linux系统尤其是内核层面所需具备的功能安全特性，在方法论、技术、工程等实操路径上有一些探索与实践，包括一些国际标准（有些处于制定中）作为参考指南。行业对Linux内核功能安全的话题，如Linux内核过功能安全认证的可行性、方式&方法、路径、实操等，有不同的认知。需要主机厂、操作系统厂商、芯片厂商等联合起来，共同解决Linux功能安全这个基础性、关键性的问题。

通过AUTOSEMO操作系统工作组组织下，发起技术研究项目。以研究为起点及主线，分步骤推进和迭代，持续性过程中探索生态合作的模式和可行性。参与单位包括但不限于：技术公司（如计算芯片、操作系统企业等）、Tier1、主机厂、测试、认证机构、高校等。

研究目标：对自动驾驶应用场景下的Linux操作系统，聚焦内核层面（含BSP、工具链与部分第三方库），展开功能安全技术研究。《自动驾驶Linux系统的功能安全研究》（暂定名）；V1.0版是起步版本，随着技术、行业发展，按年度迭代版本V2.0、V3.0…，长期目标在针对自动驾驶场景下Linux功能安全话题，从可行性、方法论和实操角度，得到收敛性结论。

研究方法：V1.0侧重国内外进展调研与综述，V2.0及后续版本从可行性、实操、产品等侧重点方面进行迭代迭代完善。

调研和综述从两个层面展开：

1）调研对象：协会与组织（ELISA）、标准（ISO26262、ISO8926、GB/T 34590等国内外标准）、OEM（特斯拉、大众、奔驰、宝马、国内主机厂等）、供应商如软件Tier1/Tier2（领先的Linux玩家）、测试&认证机构等；

  2）功能安全开发过程：方法论、需求分析、概念分析、详细设计、开发、测试、验证与认证

研究范围：V1.0版拟回答或解决的关键问题包括：1）国内外关键进展梳理，包含学术研究、产业届、行业组织、标准化机构。包括技术、研究、相关标准、产业、用户等范围；2）从国内外进展（ELISA、ISO26262、ISO8926、GB/T 34590等标准、供应商、主机厂、认证机构等），映射到功能安全方法论、需求、设计、开发、测试、认证等维度；

总结与发展建议：

功能安全Linux内核涉及到内核数百万甚至上千万行代码的功能安全合规的目标，单凭一家或少数几家公司基本不可能在合理的成本下达成这项目标。

为了达成自主可控功能安全Linux内核，需要各家主机厂、代表企业及生态合作伙伴共同努力，将Linux内核分解成多个部分从而逐个击破功能安全合规的问题。例如，

1、芯片厂商提供内核中功能安全合规的芯片驱动代码。

2、自动驾驶软件厂商提供各类功能安全合规的Linux系统中间件软件模块。

3、Linux操作系统类厂商提供功能安全合规的内核基本功能软件模块和Linux操作系统开发工具链。

4、多家厂商分别实现不同的Linux功能安全软件模块、工具，合作集成后共同提供一套完整的功能安全Linux系统解决方案。

5、功能安全认证机构提供标准化、高效率的功能安全培训和认证服务。

6、主机厂提出Linux操作系统功能安全的要求，并给予供应链中的生态伙伴一定扶持。

7、国家标准制定组织、生态联盟提出对自动驾驶操作系统的功能安全要求和标准，统一行业认知，提高基于功能安全Linux的自动驾驶系统的安全性。