本發明公開了一種QNX BSP啟動驗證方法，包括以下步驟：通過對芯片安全規則的分析，識別出與當前硬件和/或軟件應用場景相關的硬件安全機制和軟件啟動組件；通過對硬件安全機制和軟件啟動組件的檢測判斷否異常；若硬件安全機制和軟件啟動組件檢測中出現任意一項啟動異常，則判斷QNX BSP啟動異常，直接觸發安全反應，系統進入無法繼續啟動的軟件死循環。本發明還公開了一種QNX BSP啟動驗證模塊。本發明符合功能安全ASIL B能及時的檢測出啟動過程中功能安全相關模塊的狀態是否存在異常，及時的避免了以非安全的軟件狀態進入ASIL D的操作系統中繼續運行，避免以非安全軟件狀態進入操作系統為操作系統正常的初始化提供了保障。

技術領域

本發明涉安全功能控制領域，特別是涉及一種符合功能安全ASIL B的QNX BSP啟動驗證方法。本發明還涉及一種符合功能安全ASIL B的QNX BSP啟動驗證模塊。

背景技術

為了實現智能駕駛的安全性，軟件的功能安全技術十分重要。而QNX操作系統因為已經通過ISO26262 ASIL D的功能安全認證，從而被智能駕駛域控制器中SOC系統廣泛應用。

由于BSP為QNX系統正常運行提供了硬件的初始化，所以BSP屬于當前軟件系統中不可或缺的一部分，但是BSP的開發本身是不符合功能安全的標準，為了去除非功能安全的BSP Startup模塊對ASIL D的QNX內核正常運行的影響，本發明利用安全檢驗機制，檢測Startup模塊中的安全相關組件的狀態，從而提升BSP整體的功能安全水平。

如圖1所述，傳統的QNX平臺軟件啟動執行順序圖，其中啟動模塊是對硬件的初始化，包含了CPU、內存、時鐘、總線、中斷等模塊。但是這部分軟件開發的流程不符合功能安全要求，所以運行完成之后無法確認初始化的狀態是否正確。此時直接跳轉到功能安全的微內核中運行，則微內核的運行環境是處于不可信任的非安全狀態，極大的破壞了系統的安全性和穩定性。

上述軟件架構及其啟動驗證過程至少存在下列問題：

1、QNX BSP STARTUP模塊中安全相關組件啟動的狀態無法確認，存在初始化失敗的情況。

2、在QNX BSP STARTUP模塊啟動后，整體軟件運行環境處于非安全的狀態，即刻跳轉到ASIL D的QNX內核中運行，很有可能會破壞QNX內核的正常初始化，從而導致系統啟動之后，整個軟件運行環境仍然是非安全的，留下了較大的安全隱患。

發明內容

在發明內容部分中引入了一系列簡化形式的概念,該簡化形式的概念均為本領域現有技術簡化，這將在具體實施方式部分中進一步詳細說明。本發明的發明內容部分并不意味著要試圖限定出所要求保護的技術方案的關鍵特征和必要技術特征，更不意味著試圖確定所要求保護的技術方案的保護范圍。

本發明要解決的技術問題是提供一種能基于QNX安全手冊和芯片安全手冊的功能安全分析，在跳轉到ASIL D的QNX內核運行之前，對硬件安全機制和軟件啟動組件進行驗證，根據驗證結果執行不同的安全反應，能保證在進入QNX內核初始化之前，系統硬件和軟件運行環境和狀態為安全的QNX BSP啟動驗證方法。

本發明要解決的另一技術問題是提供一種能基于QNX安全手冊和芯片安全手冊的功能安全分析，在跳轉到ASIL D的QNX內核運行之前，對硬件安全機制和軟件啟動組件進行驗證，根據驗證結果執行不同的安全反應，能保證在進入QNX內核初始化之前，系統硬件和軟件運行環境和狀態為安全的QNX BSP啟動驗證模塊。

為解決上述技術問題，本發明提供符合功能安全ASIL B的QNX BSP啟動驗證方法，包括以下步驟：

S1，通過對芯片安全規則的分析，識別出與當前硬件和/或軟件應用場景相關的硬件安全機制和軟件啟動組件；

S2，通過對硬件安全機制和軟件啟動組件檢測判斷否異常；