红帽全球峰会概述
随着技术的发展,汽车行业正经历着快速的转型和变革,汽车厂商纷纷开始采用不同的新方法来打造软件定义汽车。
在整个行业的转型升级中,开放技术可以帮助行业推动创新理念并切实地降低成本。然而,由于功能安全方面的严格要求,开放技术在汽车领域的落地尤为复杂。在探讨开放技术如何改变汽车行业之前,我们先要了解什么是功能安全,以及功能安全将如何影响持续的功能安全认证。
什么是功能安全?
功能安全是一个适用于包括汽车在内的许多行业的概念,它本质上基于这样一个理念:如果系统有可能发生故障,则它应该尽可能以可预测的方式发生故障。这样一来,人们就可以为故障做好准备,并且能够尽可能减轻故障带来的危害。
功能安全绝不是要试图完全消除系统故障的可能性。虽然那也是一个令人向往的目标,但其超出了功能安全的概念范围。
要实现功能安全,需要:
- 确定被评估对象在其预期环境中运行时,需要设置的安全系统的所有要点。
- 评估该安全功能对于降低风险的作用。
- 确保安全功能正常工作。
- 进行检查以确保安全功能在一段时间后仍能发挥作用。
具体到汽车电子设备而言,功能安全意味着汽车中的所有电子元件(包括计算设备)在预期环境中运行时可避免不合理的风险,并且符合国际标准化组织制定的 ISO 26262 的要求。当然,这就引出了下一个问题:
什么是 ISO 26262?
ISO 26262 是一套涵盖道路车辆电气和电子系统功能安全的国际标准。该标准基于国际电工委员会发布的功能安全标准 IEC 61508 改编而成。最初,ISO 26262 仅适用于乘用车,但在 2018 年,ISO 26262 经过扩充后将所有道路车辆(除轻便摩托车以外)都涵盖了在内。
ISO 26262 旨在降低车辆电子电气(E/E)系统发生故障时可能造成的危害。该标准不仅涵盖车辆的电气和电子元件,还包括与这些元件相关的机械子系统。因此可以理解为,该标准涵盖了很多车辆组件。
ISO 26262 是一套重点针对风险的安全标准,因此该标准会对潜在危害进行定性评估,并概述减轻、控制或避免系统故障的安全措施。
什么是功能安全认证?
功能安全认证是评估安全功能是否符合 IEC 61508 标准以及 ISO 26262 等特定标准的过程。功能安全认证通常由公认的行业协会颁发,用于证明被评估方所拥有的资质、知识和经验。
与功能安全认证相关的挑战有哪些?
任何想要声称符合 ISO 26262 等功能安全标准的车载系统,都需要经过独立的机构来对其进行认证。该机构还应对该系统进行持续的监督审核,跟进并确保系统始终保持其认证标准。
获得功能安全认证的挑战
获得车辆功能认证的其中一大挑战,是 ISO 26262 标准是根据 20 世纪 70 年代和 80 年代汽车行业电子器件的标准改编而来的。
为封闭系统进行认证时,所使用的软件大多来自净室开发(重点要将已有元素排除在系统之外,以免它们引起缺陷),相关人员可以充分理解相关的要求和规范,并且在需求、代码和覆盖范围之间存在非常高的可追溯性。然而,如今的开放系统由成百上千个组件组成,并且有许多不同的项目聚合在一起。尽管这些项目有类似的软件开发方法,但它们并不完全相同。随着项目愈发复杂,这些差异会积累得越来越多。
由于用现有组件拼接成新的整车并不在 ISO 26262 标准设计时的考量范围内,因此开放系统的认证就会遇到麻烦。
在现行体系下,对于汽车操作系统等复杂框架,可能需要三到五年的时间才能完成对整个系统的认证。此外,如果对配置进行了微小的变更,则可能需要很长一段时间才能获得有关所做变更的认证,有时可能又需要大半年的时间。如果整个系统中的小组件发生变更,就又要重新开始新的认证流程,如此反复,就会变得非常耗费资源。
因此,为了使真正的、开放的车载操作系统(特别是基于 Linux 的操作系统)成功派上用场,就需要一个全新的认证模式:持续功能安全认证。
持续功能安全认证的好处
功能安全面临的一大挑战就是变更管理。
目前,功能安全认证仅适用于特定硬件上的专用软件配置,并受制于已获批和记录的条件及假设。此外,如果存在安全漏洞或引入了新要求,则需要重新进行认证。使用传统方法时,即便是很小的变更,重新认证工作也费时费力。
使用持续功能安全认证的话,可以最大限度减少重新认证的成本和时间,这样一来,现有系统就能够进行持续认证,就像软件日常修复安全问题或添加功能的更新速度一样。
在这个新机制下,认证过程将成为软件更新过程的一部分,从而减轻汽车厂商进行持续不断且昂贵的重新认证的负担。从这个角度来看,对基于 Linux 的开源操作系统进行标准化能够让汽车厂商以更少的资源更快地推送更新。
但是,持续的安全认证需要大量的技术工作才能启动并运作,并且可能涉及对 ISO 26262 认证过程的变更。
为什么选择红帽?
红帽车载操作系统
红帽车载操作系统将红帽企业 Linux 延伸到了汽车行业中,旨在提供功能安全的创新平台。我们的目标是将红帽车载操作系统打造成为软件定义汽车的新标准。通用汽车对此表示赞同,并选择了红帽车载操作系统作为其下一代计算系统的基础。
用开源软件作为下一代汽车的重要组成部件,这一创举可以帮助汽车制造商实现更大更快的创新,并提升客户体验。借助红帽车载操作系统,我们将看到 Linux 在安全性至关重要的汽车系统上发挥作用,创造软件定义汽车新生态,加速开发、降低成本,同时为新服务和收入来源创造机会。
然而,如上所述,这种方法也有其挑战,并且功能安全方面的挑战亟需解决。红帽正沿着这些思路,努力实现持续功能安全的标准化和规范化,从而使红帽车载操作系统成为可能。
exida 是谁?红帽为什么选择与它合作?
exida 是跨多个行业的功能安全领导者。该公司于 2000 年成立,专门从事汽车系统安全、警报管理、网络安全和可用性等认证服务。红帽正在与 exida 开展合作,为汽车行业提供经过功能安全认证的优化版 Linux 操作系统,该系统将由红帽开发和维护,并由 exida 持续认证。
当然,获得功能安全认证也有其自身挑战,并且以开源的方式实现这一目标更需要与众不同的思维方式和策略。
软件定义汽车的未来
当基于 Linux 的开放式解决方案在汽车领域越来越普及,未来的驾驶体验将很快迎来开放式创新的浪潮。红帽将继续发挥作用,引领开创汽车领域的持续功能安全新未来,我们深信,持续功能安全正是软件定义汽车的大势所趋。
了解有关红帽车载操作系统的更多信息。
