汽车制造商为面临可靠性和安全性的问题寻求方案

汽车电子的软件功能变得越来越强大，因病毒和程序错误造成的风险大增。

随着汽车电子系统越来越多地被连接到外部世界，它们也变得越来越依赖于软件，使汽车制造商面临可靠性和安全性的问题。

利用软件的可伸缩性和成本显然比利用单独的硬件单元更有吸引力，但是，要付出的代价在于：利用更多的软件增加了由“寄宿”在已连接设备上的病毒造成的威胁。此外，更多的软件意味着软件错误也更多，从而导致安全性下降，因为这些软件错误可能被希望掌控汽车电子系统的心怀叵测的团体所利用。

汽车市场现在是非常小的攻击目标，然而，汽车电子行业在2005年收到的报告称，Cabir病毒被用于暴露Lexus车载蓝牙使能嵌入式导航系统的弱点。虽然迄今为止病毒的形态看来尚非常低级，但是，它们提供了真实威胁的证据，让终生持续不断把传统计算机中的技术嵌入到车载系统之中的汽车电子系统设计工程师受到极大震动。

在10月于底特律份召开的“Convergence 2006 automotive conference”上，软件提供商展示了汽车制造商现在正嵌入到它们的车载电子系统之中的实时操作系统(RTOS)中间件解决方案。iSuppli公司利用该大会的机会，与RTOS制造商QNX软件系统公司对话，由该公司的Mark Roberts解释该针对安全性、保密性和连接性的方法。

Roberts描述了在大多数情形下，汽车系统如何利用由一个RTOS和若干软件任务构成的单一存储器映像来组成的实时执行程序。这种结构内在就脆弱，因为所有任务共享相同的存储器地址空间，如果一个过程的完整性受到威胁就可能危及整个系统，从而造成汽车制造商的担保费用和成本剧增。

像QNX这样的公司提供的解决方案就是软件功能分区，为管理软件复杂性并且也实现更好的安全性和可靠性提供了一种办法。软件功能分区容许设计团队把中间件划分为独立的部分，每一个部分被分配一个受保护的系统资源部分。软件功能分区也可以提供存储器保护，其中，每一个部分由存储器管理单元独立地控制，这些功能在面向车载信息娱乐系统设计的大多数处理器上都可以找到。

Roberts解释了QNX的Neutrino RTOS如何把应用、设备驱动程序、协议堆栈和文件系统等分区为独立的存储器受到保护的过程。因此，如果任何过程—如设备驱动程序—试图访问其处理容器之外的存储器，则存储器管理单元(MMU)将通知操作系统，由操作系统随后终止并重启该过程，从而为谨小慎微的汽车系统开发商提供了一种立竿见影且可测量的系统可靠性改进方法。

随着车载信息娱乐系统转向更为开放和可升级的结构，操作系统提供商将寻求恢复汽车制造商对他们的信任，从而提供具有根本安全措施的RTOS中间件解决方案，包括：

1. 安全可升级能力：如果下载和发布新的且本质上未经授信的软件组件，那么，将不能干扰现有的应用和功能；

2. 更便于集成第三方软件：汽车供应商将能够集成无数来自第三方供应商的应用、协议堆栈和中间件，然后每一个组件都符合其预先确定的中央处理单元(CPU)预算；

3. 提高多媒体体验：随着车载信息娱乐系统中CPU上损伤的增加，实时操作可能如饥似渴地吞噬CPU周期，从而造成媒体播放过程中出现讨厌的副作用，包括画面跳跃和扭曲等等。操作系统分区应该能够预定必需的CPU周期来执行最重要的实时功能，以提供连续的播放效果。

4. 快速响应用户体验：设计工程师将能够确保关键的消费者看得见的功能—如用户接口—总是占有足够的CPU时间。

信息娱乐系统解决方案提供商将越来越被要求满足—更多地符合消费电子而不是传统汽车系统—消费者的需求。随着汽车市场感觉到产能过剩的效应，以及对降价的需求，iSuppli认为，这些中间件解决方案为设计工程师提供了重新定位资源的机会，放弃开发不经济的专有且面向特定车型的系统，向着可伸缩性和标准化的方向前进。

Richard Robinson

iSuppli汽车电子首席分析师