汽车行业正经历一场“软件定义汽车”的深刻转型。自动驾驶和高级驾驶辅助系统（ADAS）等技术不仅带来了前所未有的机遇，同时也对车辆的安全性提出了更高的要求。随着近期萝卜快跑Robotaxi（无人驾驶出租车）在全国多个城市落地运营，消费者对汽车安全的关注达到了前所未有的高度。功能安全关键性系统关乎乘客和其他道路使用者的生命，对此决不能有任何妥协。因此，汽车制造商和供应商应当从一开始就应将汽车功能安全标准纳入软件架构，以确保汽车的安全性。

BlackBerry QNX大中华区首席代表董渊文

一、合格操作系统的重要性

具有最高等级功能安全认证（如ISO 26262 ASIL-D 和IEC 61508 SIL 3）的合格操作系统，是开发功能安全关键系统的基础。只有这样一个强大且经过全面测试的内核，才能满足以下严格的功能安全要求：

• 实时可靠性：实时能力对于时间紧迫的任务（如避免碰撞或车辆控制等）至关重要。具有硬实时能力的操作系统可确保在有限的时间窗口内精确执行这些任务。

• 功能安全认证：获得 ISO 26262 ASIL-D 最高等级功能安全认证意味着从设计阶段开始就满足了最高的功能安全要求。然而，未经认证的系统中可能出现的错误，可能会造成致命的后果。

• 可认证的操作系统：应详细说明实际认证系统所涉及的工作流程和限制条件。

• 网络信息安全作为贯穿产品生命周期的整体概念：ISO 21434 提供了一个从最初就将网络信息安全纳入考虑的汽车系统开发框架。该标准追求的目标与 ISO 26262 相辅相成，强调将其标准融入整个开发过程以及产品从概念到维护和停止使用的全生命周期。

• 风险最小化：通过IEC 61508 SIL 3标准意味着可将危险事件的风险降至最低。满足如此复杂的功能安全标准对于各个公司而言都是巨大的挑战。

二、兼顾性能与功能安全的系统架构

底层系统架构对软件平台的实时性能与可靠性至关重要。与单体架构相比，微内核架构有以下三个明显优势：

• 组件隔离：不同功能在独立的内存区域中运行。这可以最大限度地减少错误。

• 确定性实时行为：由于严格的分离，即便在最大负荷下，也能确保功能安全关键功能可随时访问处理器、主内存和其他资源。

• 高容错性：即使出现故障，重要的系统区域仍能正常工作。该架构可防止出现全面故障。

三、网络信息安全是基础要求

随着现代汽车互联性的增强，抵御网络威胁成为另一重大挑战。因此，软件密集型架构必须采用多层次的网络信息安全策略，并从一开始就考虑到以下方面：

• 不断扩大的攻击面： 随着汽车软件组件的增加，网络犯罪分子的潜在攻击面也在增加。因此，每个代码库都必须经过严格的漏洞检查。

• 深度防御： 从组件隔离、访问控制和软件更新，到安全启动程序和持续监控，每一个环节都相互配合着进行抵御，以确保系统的整体安全性。

• 保证开发的安全： 功能安全和网络信息安全必须齐头并进。只有从根本上集成两者的操作系统才能保证最高的安全标准。

四、持续的合作与支持

构建一个获得认证的软件平台，并以此作为网络信息安全文化的实践基础，这是一个复杂且漫长的过程。在此过程中，选择一位经验丰富且具有竞争力的合作伙伴至关重要，因它能够提供以下三大关键优势：

• 功能安全专业知识：在不同行业开发功能安全关键型系统方面拥有丰富经验，涵盖从医疗技术到工业自动化，从铁路系统到汽车应用等多个领域。

• 建立功能安全文化：根据功能安全第一的原则， 为企业提供全面的建议，包括实施流程、指导方针和思维方式的优化，以帮助企业逐步构建起功能安全的文化。

• 持续支持：提供从概念阶段到实施阶段，再到最终认证以及产品成熟后的持续支持。

自动驾驶等新技术带来的机遇和可能性可谓革命性。然而，推进行业创新绝不能以牺牲汽车安全为代价。保障汽车安全从来都不是可选项，而是行业发展的核心命题。

因此，汽车制造商和供应商必须从一开始投资于经过认证、符合功能安全标准的软件平台——因为在设计用于保护数百万生命的汽车系统时，绝不能有半点妥协。未来，凭借获得最高安全认证的软件平台，QNX将继续携手合作伙伴，为更加安全的智能化出行保驾护航。