一种功能安全操作系统技术方案

本发明专利技术提供一种功能安全操作系统

【技术实现步骤摘要】
一种功能安全操作系统、方法、电子设备及存储介质


[0001]本专利技术涉及智能驾驶
，尤其涉及一种功能安全操作系统
、
方法
、
电子设备及计算机可读存储介质
。

技术介绍

[0002]随着汽车工业的快速发展和人们生活水平的提高，汽车已成为人们主要的代步工具，人们对乘用车的安全性能要求也越来越高，而为了保证汽车所需的智能和实时决策，并为乘客与行人提供最高级别的安全保障，车辆底层操作系统的安全性和完整性至关重要
。
[0003]因此，如何通过安全策略，提高车辆底层操作系统的安全性，是目前有待解决的问题
。

技术实现思路

[0004]本专利技术提供一种功能安全操作系统
、
方法
、
电子设备及计算可读存储介质，以提高车辆底层操作系统的安全性
。
本专利技术的技术方案如下：
[0005]根据本专利技术实施例的第一方面，提供一种功能安全操作系统，所述系统包括：
[0006]操作系统模块，用于基于指令对硬件平台的实时操作系统进行运行操作；
[0007]基础安全服务模块，用于在所述实时操作系统进行运行操作时，利用安全驱动与所述硬件平台通过安全通信通道进行信息交互，实现核间信息的安全通信，以及在所述硬件平台上的仪表使用过程中，通过对所述仪表上图标的像素流进行校验，实现所述图标的安全显示；
[0008]通用安全服务模块，用于对所述实时操作系统的运行环境进行安全监控，并对监控到所述硬件平台上各个硬件和实时操作系统的异常状态及故障，选择对应的安全策略进行处理，以及对所述各个硬件的状态和健康进行管理，实现安全操作
。
[0009]可选的，所述基础安全服务模块包括：
[0010]基础安全通信服务模块，用于通过所述硬件平台中的通信单元实现所述功能安全操作系统与外部系统的端到端的安全通信；
[0011]基础安全驱动服务模块，用于通过所述硬件平台中的驱动单元实现安全传输；
[0012]基础安全显示服务模块，用于通过所述硬件平台的显示单元实现仪表上图标的正确显示
。
[0013]可选的，所述基础安全通信服务模块包括：
[0014]核间通信
IPC
模块，用于基于所述硬件平台的
Mailbox
进行异步通信，并对协议栈数据结构中的数据进行封装和解封，以及对数据包的打包和分包，实现共享内存中数据的正确性；
[0015]E2E
保护检测模块，用于按照用户需求配置多种不同的
E2E
配置文件，以适配不同的所述核间通信
IPC
模块的通信需求和通信场景
。
[0016]可选的，所述基础安全驱动服务模块，包括：
[0017]ASIL D
校验模块，用于基于所述硬件平台的驱动单元对
ASIL D
的安全驱动功能进行校验，并在使用双核锁步安全机制的基础上，增加初始化阶段安全回读校验机制，以及增加驱动运行过程中周期回读校验机制；或者在提供两路冗余比较的安全前提下，增加初始化阶段安全回读校验机制；
[0018]ASIL B
校验模块，用于基于所述硬件平台的显示单元对整体
ASIL B
的安全驱动功能进行校验，并基于下述至少一种情况时，增加初始化阶段安全回读校验机制，其中，所述至少一种情况包括：在硬件本身缺少安全措施的基础上；以太网在提供
ECC
保护
、
数据路径奇偶校验
、
超时保护的基础上；
QSPI
驱动在提供协议完整性校验
、
配置状态检查
、
数据路径和地址检查
、
传输超时检查的基础上
。
[0019]可选的，所述基础安全显示服务模块，包括：
[0020]显示监督模块，用于基于所述硬件平台的显示单元显示视频流的随机硬件和系统失效的监督，通过对视频流水平
、
垂直脉冲信号的参数的检测，实现视频流的故障检测和故障响应；
[0021]显示服务模块，用于基于所述硬件平台的显示单元进行图标描绘和
CRC
校验，其中，所述
CRC
校验包括：通过图标
CRC
对安全图标进行校验，通过区域
CRC
对指定的显示区域进行校验，通过帧校验实现整个区域的
CRC
校验，并通过回读机制和预先存储的数据进行比较，以检测图标绘制或删除是否成功；
[0022]硬件检测模块，用于基于所述硬件平台的显示单元对所述车端显示的外部接口涉及的硬件进行相关的安全检测，其中外部接口涉及到编串器
、
解串器以及硬件显示设备
。
[0023]可选的，所述通用安全服务模块包括：安全策略模块，
OS
监督模块和安全监控模块，其中，
[0024]所述安全策略模块，用于对安全相关的状态进行管理，并与所述基础安全服务模块同步通信
、
驱动
、
显示安全相关状态；以及与所述
OS
监督模块同步所述实时操作系统的安全状态；以及与所述安全监控模块同步所述硬件平台中各硬件的安全状态，以及与应用层实时保持信息交互，并按照整体安全策略进行故障分类
、
识别
、
处理和响应；
[0025]所述
OS
监督模块，用于对所述操作系统模块进行安全监督，并在所述操作系统模块进行调度
、
管理时，构建所述操作系统模块的监督和配置信息，并将安全状态同步至所述安全策略模块；
[0026]所述安全监控模块，用于对芯片级别故障进行监控及故障响应，并对硬件进行安全监控，以及监控到的安全状态同步至所述安全策略模块
。
[0027]可选的，所述安全策略模块包括：
[0028]健康管理模块，用于在检测到故障后停止心跳包，并通知对应的模块或系统进行故障响应的处理策略；
[0029]电源管理模块，用于监测开机时外部处理核上电是否成功，以及关机时外部处理核下电是否成功的异常诊断，并异常时发出故障响应处理策略；
[0030]异常处理模块，用于在检测到不同类型故障后进行故障处理，并针对不同的故障等级和类型，分别进行提醒
、
重初始化或重启；
[0031]存储管理模块，用于对内部
SRAM
和外部
flash
的内存错误执行对应的监控服务策略进行存储，并对所述外部
flash
，提供存储备份机制，在检测到校验和错误时，利用备份数
据进行恢复
。
[0032]可选的，所述
OS
监督模块包括：
[0033]堆栈监督模块，用于检测堆栈使用是否溢出...

【技术保护点】

【技术特征摘要】
1.
一种功能安全操作系统，其特征在于，所述系统包括：操作系统模块，用于基于指令对硬件平台的实时操作系统进行运行操作；基础安全服务模块，用于在所述实时操作系统进行运行操作时，利用安全驱动与所述硬件平台通过安全通信通道进行信息交互，实现核间信息的安全通信，以及在所述硬件平台上的仪表使用过程中，通过对所述仪表上图标的像素流进行校验，实现所述图标的安全显示；通用安全服务模块，用于对所述实时操作系统的运行环境进行安全监控，并对监控到所述硬件平台上各个硬件和实时操作系统的异常状态及故障，选择对应的安全策略进行处理，以及对所述各个硬件的状态和健康进行管理，实现安全操作
。2.
根据权利要求1所述的功能安全操作系统，其特征在于，所述基础安全服务模块包括：基础安全通信服务模块，用于通过所述硬件平台中的通信单元实现所述功能安全操作系统与外部系统的端到端的安全通信；基础安全驱动服务模块，用于通过所述硬件平台中的驱动单元实现安全传输；基础安全显示服务模块，用于通过所述硬件平台中的显示单元实现仪表上图标的正确显示
。3.
根据权利要求2所述的功能安全操作系统，其特征在于，所述基础安全通信服务模块包括：核间通信
IPC
模块，用于基于所述硬件平台的
Mailbox
进行异步通信，并对协议栈数据结构中的数据进行封装和解封，以及对数据包的打包和分包，实现共享内存中数据的正确性；
E2E
保护检测模块，用于按照用户需求配置多种不同的
E2E
配置文件，以适配不同的所述核间通信
IPC
模块的通信需求和通信场景
。4.
根据权利要求2所述的功能安全操作系统，其特征在于，所述基础安全驱动服务模块，包括：
ASIL D
校验模块，用于基于所述硬件平台的驱动单元对
ASIL D
的安全驱动功能进行校验，并在使用双核锁步安全机制的基础上，增加初始化阶段安全回读校验机制，以及增加驱动运行过程中周期回读校验机制；或者在提供两路冗余比较的安全前提下，增加初始化阶段安全回读校验机制；
ASIL B
校验模块，用于基于所述硬件平台的显示单元对整体
ASIL B
的安全驱动功能进行校验，并基于下述至少一种情况时，增加初始化阶段安全回读校验机制，其中，所述至少一种情况包括：在硬件本身缺少安全措施的基础上；以太网在提供
ECC
保护
、
数据路径奇偶校验
、
超时保护的基础上；
QSPI
驱动在提供协议完整性校验
、
配置状态检查
、
数据路径和地址检查
、
传输超时检查的基础上
。5.
根据权利要求2所述的功能安全操作系统，其特征在于，所述基础安全显示服务模块，包括：显示监督模块，用于基于所述硬件平台的显示单元显示视频流的随机硬件和系统失效的监督，通过对视频流水平
、
垂直脉冲信号的参数的检测，实现视频流的故障检测和故障响应；
显示服务模块，用于基于所述硬件平台的显示单元进行图标描绘和
CRC
校验，其中，所述
CRC
校验包括：通过图标
CRC
对安全图标进行校验，通过区域
CRC
对指定的显示区域进行校验，通过帧校验实现整个区域的
CRC
校验，并通过回读机制和预先存储的数据进行比较，以检测图标绘制或删除是否成功；硬件检测模块，用于基于所述硬件平台的显示单元对所述车端显示的外部接口涉及的硬件进行相关的安全检测，其中外部接口涉及到编串器
、
解串器以及硬件显示设备
。6.
根据权利要求1所述的功能安全操作系统，其特征在于，所述通用安全服务模块包括：安全策略模块，
OS
监督模块和安全监控模块，其中，所述安全策略模块，用于对安全相关的状态进行管理，并与所述基础安全服务模块同步通信
、
驱动
、
显示安全相关状态；以及与所述
OS
监督模块同步所述实时操作系统的安全状态；以及与所述安全监控模块同步所述硬件平台中各硬件的安全状态，以及与应用层实时保持信息交互，并按照整体安全策略进行故障分类
、
识别
、
处理和响应；所述
OS
监督模块，用于对所述操作系统模块进行安全监督，并在所述操作系统模块进行调度
、
管理时，构建所述操作系统模块的监督和配置信息，并将安全状态同步至所述安全策略模块；所述安全监控模块，用于对芯片级别故障进行监控及故障响应，并对硬件进行安全监控，以及监控到的安全状态同步至所述安全策略模块
。7.
根据权利要求6所述的功能安全操作系统，其特征在于，所述安全策略模块包括：健康管理模块，用于在检测到故障后停止心跳包，并通知对应的模块或系统进行故障响应的处理策略；电源管理模块，用于监测开机时外部处理核上电是否成功，以及关机时外部处理核下电是否成功的异常诊断，并异常时发出故障响应处理策略；异常处理模块，用于在检测到不同类型故障后进行故障处理，并针对不同的故障等级和类型，分别进行提醒
、...

【专利技术属性】
技术研发人员：余峰，王永建，
申请(专利权)人：亿咖通湖北技术有限公司，
类型：发明
国别省市：