如何保證車用操作系統(tǒng)安全？

作者 | 章漣漪

智能汽車快速發(fā)展的當(dāng)下，車用操作系統(tǒng)越發(fā)受到關(guān)注。

目前，國(guó)內(nèi)幾乎所有的車用操作系統(tǒng)都是基于國(guó)外的內(nèi)核進(jìn)行開發(fā)。如何在應(yīng)用國(guó)外內(nèi)核的同時(shí)，保證操作系統(tǒng)的安全？

在上周舉辦的2022 CICV論壇上，針對(duì)上述問題，中汽研汽車檢驗(yàn)中心(天津)有限公司（中汽中心投資建設(shè)，為獨(dú)立第三方汽車產(chǎn)品檢測(cè)及技術(shù)服務(wù)機(jī)構(gòu)）軟件與仿真測(cè)試平臺(tái)總監(jiān)鞠偉男給出了自己的答案。

以下為演講內(nèi)容分享：

隨著汽車不斷電動(dòng)化、智能化發(fā)展，操作系統(tǒng)電子電氣架構(gòu)各個(gè)方面都在發(fā)生變革，所以也催生了操作系統(tǒng)。

之前的操作系統(tǒng)是比較簡(jiǎn)單的嵌入式，比如ECU控制發(fā)動(dòng)機(jī)、天窗等，里面是一套很小的嵌入式系統(tǒng)，代碼也非常少。

但隨著汽車的不斷發(fā)展導(dǎo)致架構(gòu)也比較復(fù)雜，所以需要一套汽車上的操作系統(tǒng)進(jìn)行執(zhí)行。按照汽標(biāo)委發(fā)布的標(biāo)準(zhǔn)，車用操作系統(tǒng)可分為車控操作系統(tǒng)和車載操作系統(tǒng)。其中，車控主要分為安全、智能駕駛操作系統(tǒng)，車載則更多面向娛樂。

按底層開發(fā)程度劃分，車用操作系統(tǒng)可以劃分為四種。

首先是基礎(chǔ)性操作系統(tǒng)：全新底層操作系統(tǒng)和系統(tǒng)組建，如系統(tǒng)內(nèi)核、底層驅(qū)動(dòng)等，有的還包括虛擬機(jī)。這部分由于國(guó)外供應(yīng)商發(fā)展較早、技術(shù)相對(duì)成熟，并且擁有大量開發(fā)者群體，因此處于壟斷地位，目前業(yè)內(nèi)比較主流的產(chǎn)品包括Linux、Android、QNX、WinCE等。

其次是定制型操作系統(tǒng)：在基礎(chǔ)型操作系統(tǒng)之上深度定制化開發(fā)，如修改內(nèi)核、硬件驅(qū)動(dòng)、運(yùn)行時(shí)環(huán)境、應(yīng)用程序框架等；

再次是ROM型操作系統(tǒng)：基于基礎(chǔ)型操作系統(tǒng)限定制化開發(fā)，不涉及系統(tǒng)內(nèi)核更改，一般只修改自帶的應(yīng)用程序。

最后是手機(jī)映射系統(tǒng)，把手機(jī)屏幕內(nèi)容映射到車載中控，通過整合地圖、音樂、社交等功能為一體來滿足車主需求的APP。

可以預(yù)見，隨著智能汽車時(shí)代到來，智能駕駛操作系統(tǒng)將會(huì)成為自動(dòng)駕駛汽車發(fā)展的核心競(jìng)爭(zhēng)力之一，是未來車用操作系統(tǒng)主要發(fā)展趨勢(shì)。

具體到國(guó)內(nèi)操作系統(tǒng)發(fā)展現(xiàn)狀。

QNX由于安全性能確實(shí)非常高，整體市場(chǎng)份額還是比較高的；Linux應(yīng)用生態(tài)目前比較弱，但市場(chǎng)份額在逐漸增加，預(yù)計(jì)2023年可能會(huì)達(dá)到30%左右，特斯拉即是基于Linux進(jìn)行的開發(fā)；Android合作廠商已經(jīng)非常多了，包括國(guó)內(nèi)的阿里和百度等，預(yù)計(jì)市場(chǎng)份額也會(huì)不斷增加；微軟則馬上要退出歷史舞臺(tái)了。

目前，車載操作系統(tǒng)的生態(tài)處于迅速發(fā)展時(shí)期，操作系統(tǒng)將逐步從單系統(tǒng)演化為多系統(tǒng)，多系統(tǒng)方案將成為車載軟件構(gòu)架的核心。

整體來看，特斯拉、大眾、華為、百度等都是當(dāng)下比較主流的車控操作系統(tǒng)，發(fā)展較為成熟。未來，自動(dòng)駕駛是重要發(fā)展方向，很多企業(yè)都在往智能駕駛方向進(jìn)行布局。

各大車載操作系統(tǒng)有細(xì)微差別。如Android和鴻蒙，是全世界第一個(gè)可以面向微內(nèi)核的相關(guān)OS，車載大屏和車載儀表用得比較多，但是對(duì)座艙系統(tǒng)的開發(fā)，由于開源性不是很強(qiáng)的特點(diǎn)，未來發(fā)展不是那么理想；阿里方面，則是針對(duì)整車智能操作系統(tǒng)也開發(fā)了一套相應(yīng)的系統(tǒng)，目前在相關(guān)車輛進(jìn)行搭載。

車載操作系統(tǒng)快速發(fā)展的同時(shí)，另一個(gè)問題也讓更多人關(guān)注：如何保證系統(tǒng)安全？

當(dāng)下，金融領(lǐng)域很多提出可信執(zhí)行環(huán)境操作系統(tǒng)概念，他們也有很多數(shù)據(jù)，需要從底層保證數(shù)據(jù)安全不被攻破。

汽車行業(yè)里也有一些方案，但還沒有進(jìn)行比較大規(guī)模應(yīng)用。

目前很多芯片里都有一套可信執(zhí)行環(huán)境操作系統(tǒng)，信標(biāo)委也已發(fā)布一項(xiàng)標(biāo)準(zhǔn)，里面提到了該系統(tǒng)。未來運(yùn)行這套操作系統(tǒng)，負(fù)責(zé)安全車控、智能和車載系統(tǒng)等。即，將用戶身份驗(yàn)證、敏感數(shù)據(jù)相關(guān)信息放在可信執(zhí)行環(huán)境運(yùn)行，通過硬件隔離和通道方式讀取必要的數(shù)據(jù)，保證即使復(fù)制環(huán)境被攻破，可信執(zhí)行環(huán)境還能夠保證安全。

目前可信執(zhí)行環(huán)境運(yùn)行還不太多，第一代只能單線程進(jìn)行通信，不能滿足汽車這種非常快速的通訊方式要求；第二代開始支持多線程通信，保證通信的效果。

從應(yīng)用場(chǎng)景來看，現(xiàn)階段車用可信執(zhí)行環(huán)境應(yīng)用場(chǎng)景還是車端比較多，下一階段可能會(huì)向以太網(wǎng)，包括智能座艙、中央網(wǎng)關(guān)都會(huì)搭載這樣一套可信執(zhí)行環(huán)境的芯片，保證操作系統(tǒng)底層的安全。

從政策法規(guī)來看，國(guó)外已經(jīng)開展了一系列標(biāo)準(zhǔn)化工作，國(guó)內(nèi)則處于相關(guān)標(biāo)準(zhǔn)制定期。

去年已有車載和車控標(biāo)準(zhǔn)提交立項(xiàng)材料，目前正在準(zhǔn)備這兩個(gè)標(biāo)準(zhǔn)的草案。中汽中心也參與了兩項(xiàng)標(biāo)準(zhǔn)研究工作。

中汽中心基于行業(yè)進(jìn)行了分析，國(guó)外都是基于AutoSAR進(jìn)行量產(chǎn)ECU開發(fā)，國(guó)內(nèi)也有應(yīng)用于一些主機(jī)廠。目前來看，這套產(chǎn)品在國(guó)內(nèi)應(yīng)用落地比較多，費(fèi)用也非常高昂，幫助企業(yè)研發(fā)一些模塊化東西，這也能比較好地保證開發(fā)過程的可控和安全。

在發(fā)展過程中，國(guó)內(nèi)車載操作系統(tǒng)技術(shù)也遇到了一些問題，整體發(fā)展不太成熟。主要是因?yàn)椋?span>國(guó)內(nèi)幾乎所有操作系統(tǒng)都是基于國(guó)外的內(nèi)核進(jìn)行開發(fā)。

當(dāng)然，國(guó)內(nèi)自己去開發(fā)一套內(nèi)核是不符合實(shí)際的，也沒有必要把國(guó)外的路重新走一遍。

那么，即使應(yīng)用國(guó)外的內(nèi)核，如何保證國(guó)內(nèi)操作系統(tǒng)的安全？能不能將可信執(zhí)行環(huán)境這套東西作為中國(guó)自主可控的一個(gè)殼子套在國(guó)外內(nèi)核上，以保證即使用的是國(guó)外內(nèi)核，安全性能也能夠得到比較好的提升。

這需要整個(gè)生態(tài)圈的支持。而當(dāng)下，相關(guān)生態(tài)建設(shè)才剛剛開始，需要更多企業(yè)參與。

正如上述所言，一方面，相關(guān)標(biāo)準(zhǔn)還不夠完善，需要不斷建設(shè)；另一方面，工具鏈發(fā)展也比較緩慢，希望更多的企業(yè)能夠加入進(jìn)來，開發(fā)出具有中國(guó)自主知識(shí)產(chǎn)權(quán)的工具鏈。

中汽中心在做生態(tài)研究的工作組，去年已經(jīng)得到了相關(guān)數(shù)據(jù)，去支撐車用操作系統(tǒng)測(cè)試管理評(píng)價(jià)研究項(xiàng)目，相關(guān)成果已經(jīng)在7月的會(huì)議上進(jìn)行了發(fā)布。

主要有兩個(gè)支撐標(biāo)準(zhǔn)：一個(gè)是國(guó)汽智控牽頭的車控操作系統(tǒng)；另外一個(gè)是阿里牽頭的車載操作系統(tǒng)要求和實(shí)現(xiàn)方法。

項(xiàng)目組認(rèn)為，車控操作系統(tǒng)對(duì)性能和安全的要求比較高，所以搭建了功能測(cè)試、性能測(cè)試、安全測(cè)試和其它測(cè)試。

同時(shí)，由于車載操作系統(tǒng)應(yīng)用場(chǎng)景的特殊性，所以對(duì)多系統(tǒng)接口有比較高的要求，對(duì)安全性也有一些要求，所以搭建了基礎(chǔ)服務(wù)、多系統(tǒng)、安全性和接口的測(cè)試。

中汽中心方面認(rèn)為，將來車載操作系統(tǒng)肯定會(huì)有一個(gè)比較好的生態(tài)。他們希望，同樣的接口，比亞迪、上汽等都能用，達(dá)到這樣的狀態(tài)?？尚艌?zhí)行環(huán)境的測(cè)試體系也是從功能、安全、性能和其它測(cè)試方面開展。

當(dāng)下車用操作系統(tǒng)的難點(diǎn)，就是不同的廠家操作系統(tǒng)接口和應(yīng)用工具都是不一樣的。中汽中心給一些企業(yè)提供測(cè)試也是基于其已有的相關(guān)數(shù)據(jù)進(jìn)行輸入，很多工作還是通過文檔審查的方式開展。

因此，中汽中心也是搭建操作系統(tǒng)可信執(zhí)行環(huán)境的測(cè)試系統(tǒng)，有些能夠進(jìn)行全自動(dòng)測(cè)試，有些是通過代碼審核的方式開展相應(yīng)的測(cè)試工作。

在去年開展某款智能駕駛平臺(tái)的性能測(cè)試時(shí)，中汽中心發(fā)現(xiàn)了一個(gè)比較大的問題，即硬件平臺(tái)的統(tǒng)一。同樣操作系統(tǒng)在不同的硬件平臺(tái)運(yùn)行，測(cè)試出來的性能和參數(shù)是比較難以定義的。

所以，能夠?qū)π袠I(yè)定義一個(gè)統(tǒng)一的參數(shù)限值，說明這個(gè)操作系統(tǒng)好還是不好，目前市場(chǎng)還是比較難的。

去年中汽中心進(jìn)行平臺(tái)測(cè)試時(shí)，有客戶提出要求，重點(diǎn)關(guān)注幀率和時(shí)效比，我們當(dāng)時(shí)也是通過搭建平臺(tái)開展測(cè)試，并提供報(bào)告。但只能提供客觀測(cè)試報(bào)告，不能說這個(gè)平臺(tái)好還是不好，因?yàn)楝F(xiàn)在確實(shí)比較難以有統(tǒng)一的評(píng)價(jià)標(biāo)準(zhǔn)，這也是未來我們進(jìn)行操作系統(tǒng)研究的關(guān)鍵議題。