汽车成为智能终端，QNX最新安全认证捷足先登

——汽车从“与世隔绝”到“察言观色”再到“无人驾驶”历程的安全挑战

    现在人们已经习惯了智能手机甚至智能手表这类产品优秀的用户体验，随时随地访问个人内容，但是往往一上车就像“与世隔绝”一样。是的，消费者对于扩展其数字生活方式的期望正在提升互联汽车作为终端移动设备的重要性。这就是汽车行业的趋势：整合信息娱乐和功能安全的平台；系统必须可靠，但也必须能处理先进的图形、多媒体和设备互联；满足信息娱乐和功能安全的不同需求。

   近日，QNX公司推出QNX汽车安全操作系统1.0，助力汽车厂商和一级供应商满足对获得ISO 26262标准认证的功能性安全系统日益增长的需求。QNX软件系统公司亚太区工程服务总监梁为瑜先生和QNX软件系统公司产品经理郑怡女士特意在APEC期间来到北京与记者分享了QNX在汽车功能性安全的成绩，并聊到了汽车的热门话题——无人驾驶汽车。

从“与世隔绝”到“察言观色”

    梁为瑜先生首先为记者描述了下一代汽车的用户界面的构想：“实时的、基于情境的车辆诊断和信息的展示，手势可以控制信息娱乐系统，扫描眼睛运动可以决定显示仪表视图的最佳位置，3D渲染/增强的实现，详细和持久的个性化，音频带宽和语音质量正提高到全频段立体声：从20 Hz~20 kHz。”也就是说，汽车可以察言观色，通过看人、听声，记住你的习惯，定制个性化的服务，对于多人共用一辆车是非常实用的。梁先生补充到：“当然，把所有功能放在一个系统还是有很多挑战的，娱乐和安全往往有着对立面，鱼和熊掌不可兼得，此外还要考虑成本。”

    “车与车”、“车与设施”的直接“对话”都是汽车产业生态链中各企业努力的方向，你需要不断地尝试，但是目前仍然还处于“革命尚未成功，同志尚需努力”的阶段。

图1 QNX软件系统公司亚太区工程服务总监梁为瑜先生

功能性安全

    以上这些把汽车作为“智能终端”的趋势就带来了功能性安全和认证问题，功能性安全是整体的，包括系统的各个方面。QNX的名称已经和可靠性、安全性挂钩，也因此在汽车市场颇有建树，仅2012年就有1 100万辆车安装QNX的产品。郑怡女士表示：“在QNX‘功能性安全’不是口号，而是一个深植于心的概念。QNX积极参与与功能性安全相关的论坛——IEC 61508组织。通过创新，QNX持续地建立起功能性安全领域的领导地位。QNX的IEC 61508 SIL3认证彰显产品的安全水准，通过安全咨询服务，客户可以在QNX在功能性安全的丰富经验中获益。”

   其实功能安全性在其他行业已经存在了很多年，利用协同市场追求汽车安全也是明智之举，如医疗、工业（智能电网、国防和航空航天、机器人），这类对安全也要求很高的市场。郑怡女士补充到：“当然有的领域不能借鉴，如工业控制，它们是用两个一样的处理器、一样的操作系统来进行，虽然双保险，但是成本太高。QNX的优势在于模块性、分隔功能，真正分隔应用组件的架构。”

认证是一种技能

    有安全性就有标准问题，而标准就需要认证。郑怡女士表示：“认证是一种技能，QNX在该领域算是捷足先登了。 QNX汽车安全操作系统1.0是首个经认证可用于ISO 26262 ASIL D系统的实时操作系统，获得享有信誉的机构——德国TUV莱茵认证（认证存放于TUV公共存储库），认证范围包括工具链评估，认证为需要功能性安全评级的汽车系统提供扎实基础。ISO 26262作为新功能标准，已经被每个大车厂纳入议事日程。”

    采用QNX汽车安全操作系统1.0有什么好处？答案很简单但实现却很难：设计安全汽车产品，节省时间和资本。由于ISO 26262相对较新，对于大多数汽车制造商和汽车一级供应商来说，认证的流程仍是未知的领域。一款汽车系统通过ISO 26262认证需花费大量的时间和专业技能。这是一项漫长而艰巨的工作，如果部署不正确，可能会导致严重的产品延迟，但这也为拥有安全认证经验的软件供应商创造了需求。ISO 26262认证是QNX软件系统的最新的认证产品。迄今为止，该公司的产品和流程已经获得了IEC 61508 SIL 3（功能安全）、EAL 4 +（安防）通用标准、POSIX pse52实时控制器规范（可移植性和实时可知性能）、ISO 9001:2008（管理系统），并符合IEC62304标准（医疗器械软件）。

图2 TUV德国莱茵向QNX颁发证书

软件的安全性

    软件的失败率是否能被数字来测量？为此有人建了一个模型，对于自动驾驶汽车来说，要被大众接受，失败率是每1149年才出一次错。郑怡女士表示：“过去汽车是90%硬件、10%软件，未来将是40%硬件、40%软件和20%内容（手机带入的内容），功能性安全对软件的定义有了新的要求。通过预认证的操作系统屈指可数。”说到软件，就不得不提到开源代码，如果代码本身有问题，到底是谁的责任呢？因为关系到安全问题，QNX对所有代码都做了一次追溯，提供了清洁的支持产权：已知的代码血统和代码可追踪性，没有“病毒”的GPL证书，训练有素的工程流程用于代码接入，详细的授权表面出处以及相关的第三方授权，减少诉讼和召回的可能性。

无人驾驶四大挑战

    谷歌的自动驾驶让无人驾驶汽车一时之间成为最热门的话题之一，更重要的是把人们对汽车的期待一下跃升到新的层次。为此，汽车厂商和一、二级供应商都在极力攻克无人驾驶的种种难题。郑怡女士表示：“我们熟悉的汽车要演变为无人驾驶汽车将是一个循序渐进的过程，推动无人驾驶汽车发展的主要因素是安全性和效率；在无人驾驶汽车走出实验室，真正上路之前，还要解决很多挑战，包括技术挑战、安全挑战、安防挑战、法律挑战。”

   技术挑战有很多层次和方面。举一个最简单的例子：感应器。现在谷歌无人驾驶汽车上的激光扫描仪高达25万美元，所以低成本感应器的大量投产是需要努力的技术点之一。郑怡女士说：“据悉，奔驰已经开始测试无人驾驶汽车，在未知的地方开自驾车，而不是固定的A点到B点，这已经是一个突破。”

    安全挑战包括：功能性的安全需求将适用于多种车载系统，包括数字仪表盘和先进的驾驶员辅助系统（ADAS）；可能也需要ISO 26262标准，通过安全预认证的部件可以节省开发成本和认证成本。安防挑战包括：汽车、云和基础设施之间日益增加的连接性提出新的数据安全要求。例如黑客如果通过网络控制方向盘、油门、加速器，这就太可怕了。法律挑战包括：先进的ADAS功能为OEM和一级供应商带来新的法律义务。现在出了车祸，责任一般在个人，未来可能会归咎于传统车厂或供应商，这也是它们不敢贸然行动的关键原因。”   

    过去人们谈汽车发展，总是把中国和欧美分开说，其实现在中国汽车行业的趋势和全球是保持一致的。梁先生表示：“全球汽车对中国的影响包括汽车与智能设备的互联、车联网；数字仪表盘和高级ADAS对安全性的要求；高质量的人机界面、多媒体、免提通话、语音识别、底图导航；系能源、低成本。QNX可以凭借开发和整合汽车系统的专长，与一级、二级供应商及各行客户合作的经验，为中国汽车行业更智能做出贡献。”