车载系统的安全监控方法、系统及装置与流程

1.本技术涉及车辆安全技术领域，具体涉及一种车载系统的安全监控方法、系统及装置。


背景技术：

2.在车载系统(例如智能车载系统)运行过程中，可能会出现各种异常情况，即产生各种异常信息，其中有的异常甚至能够让车载系统瘫痪。因此，车载系统在面对不同异常时，如果缺乏合理的处理机制，将会导致严重事故的发生，甚至不起眼的异常也可能经过一些复杂的操作，逐渐演变成不可控制的致命异常。
3.因此，如何高效处理不同的异常信息以使得车载系统稳定、安全的运行成为亟待解决的技术问题。


技术实现要素：

4.有鉴于此，本技术实施例提供了一种车载系统的安全监控方法、系统及装置，能够提高车载系统处理异常信息的效率。
5.第一方面，本技术的实施例提供了一种车载系统的安全监控方法，该车载系统包括多个层级的功能，该方法包括：通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息，其中第一层级为第二层级的上一层级；通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处理范围；在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，并由第三层级对第一异常信息进行安全处理，其中第三层级为第一层级的上一层级。
6.在本技术某些实施例中，该方法还包括：在第一异常信息未超出第二安全监控模块的处理范围时，通过第二安全监控模块对第一异常信息进行安全处理；或者在第一异常信息并未超出第一安全监控模块的处理范围时，通过第一安全监控模块对第一异常信息进行安全处理。
7.在本技术某些实施例中，该方法还包括：通过第一安全监控模块监控第一层级的运行状态。
8.在本技术某些实施例中，该方法还包括：通过第一安全监控模块监控第二层级中包括的功能模块的运行状态和第二安全监控模块的运行状态，其中，第一层级包括虚拟机监视器，第二层级包括多个操作系统，第三层级包括ecu安全岛核。
9.在本技术某些实施例中，在通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息之前，还包括：通过第二层级的诊断模块收集操作系统上功能模块的第二异常信息；通过诊断模块将第二异常信息发送至第二安全监控模块；通过第二安全监控模块将第二异常信息划分为对应的安全等级；通过第二安全监控模块根据安全等级控制功能模块重启，或根据安全等级将第二异常信息发送至安全
等级对应的处理模块中进行安全处理，其中处理模块包括功能模块；在第二异常信息超出处理模块的处理范围时，将第二异常信息作为第一异常信息，并通过第二安全监控模块向第一安全监控模块发送第一异常信息。
10.第二方面，本技术的实施例提供了一种车载系统的安全监控装置，车载系统包括多个层级的功能，该装置包括：接收模块，用于通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息，其中第一层级为第二层级的上一层级；判断模块，用于通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处理范围；第一发送模块，用于在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，并由第三层级对第一异常信息进行安全处理，其中第三层级为第一层级的上一层级。
11.第三方面，本技术的实施例提供了一种电子设备，包括：处理器；用于存储处理器可执行指令的存储器，其中，处理器用于执行上述第一方面所述的车载系统的安全监控方法。
12.第四方面，本技术的实施例提供了一种车辆，包括上述第二方面所述的车载系统的安全监控装置，或如上述第三方面所述的电子设备。
13.第五方面，本技术的实施例提供了一种计算可读存储介质，存储介质存储有计算机程序，计算机程序用于执行上述第一方面所述的车载系统的安全监控方法。
14.第六方面，本技术的实施例提供了一种车载系统的安全监控系统，包括：操作系统层级，用于收集异常信息，并在异常信息超出操作系统中的第二安全监控模块的处理范围时，将异常信息发送至虚拟机监视器的第一安全监控模块，其中虚拟机监视器为操作系统层级的上一层级；虚拟机监视器，虚拟机监视器的第一安全监控模块，用于接收第二安全监控模块发送的异常信息；判断异常信息是否超出第一安全监控模块的处理范围；在异常信息超出第一安全监控模块的处理范围时，将异常信息发送至ecu安全岛核，其中ecu安全岛核为虚拟机监视器的上一层级；ecu安全岛核，用于接收异常信息，并判断异常信息是否超出ecu安全岛核的处理范围；在异常信息超出ecu安全岛核的处理范围时，将异常信息发送至微控制单元，其中微控制单元为ecu安全岛核的上一层级；微控制单元，用于对异常信息进行安全处理。
15.本技术实施例提供了一种车载系统的安全监控方法、系统及装置，通过在第一层级设置第一安全监控模块，以及在第二层级设置第二安全监控模块，将超出第二安全监控模块处理范围的异常信息，发送至第一安全监控模块，并在异常信息超出第一安全监控模块的处理范围时，再将异常信息发送至第三层级进行安全处理，从而能够对异常信息进行合理的管理，实现了针对不同的异常信息进行不同层级的处理，保证了车载系统的稳定运行，避免了在进行功能安全处理时处理流程冗余的问题，提高了异常信息的处理效率。同时在不同的层级中设置安全监控模块，以纵深防御的方式，能够及时阻止异常信息对车载系统运行的影响。
附图说明
16.图1是本技术一示例性实施例提供的车载系统的软件架构示意图。
17.图2是本技术一示例性实施例提供的车载系统的安全监控方法的流程示意图。
18.图3是本技术一示例性实施例提供的车载系统的安全监控系统的示意图。
19.图4是本技术另一示例性实施例提供的车载系统的安全监控方法的流程示意图。
20.图5是本技术又一示例性实施例提供的车载系统的安全监控方法的流程示意图。
21.图6是本技术另一示例性实施例提供的车载系统的安全监控系统的示意图。
22.图7是本技术一示例性实施例提供的车载系统的安全监控装置的结构示意图。
23.图8是本技术一示例性实施例提供的用于安全监控的电子设备的框图。
24.图9是本技术一示例性实施例提供的车辆的框图。
25.图10是本技术另一示例性实施例提供的车辆的框图。
具体实施方式
26.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
27.申请概述
28.为了实现智能车载系统的安全检测，可以由统一的故障管理模块对检测到的故障进行安全处理。例如，可以监视车辆的各个层级的功能的运行状态，并在故障发生时向故障管理模块上报故障通知，故障管理模块根据故障通知确认故障类型，并进行对应的预处理，以及在预处理结束后做出对应的功能安全处理。
29.但采用上述功能安全处理和预处理的方式，在故障通知(或异常信息)的实时性要求较高时，会导致响应不及时的情况发生，而且未能明确区分两个功能(即功能安全处理和预处理)的分工，即预处理能够解决部分简单故障，则不需要故障管理模块进行功能安全处理，导致功能冗余，无法高效稳定的对故障进行处理。而且，故障管理模块缺乏自身检错机制，即在故障管理模块自身出现错误时，会导致整个车载系统的运行故障系统错乱，从而无法提供安全稳定的运行环境。
30.针对上述问题，本技术实施例提供了一种安全监控方法和安全监控系统，下面将结合附图来具体介绍本技术的各种非限制性实施例。
31.为了方便理解，先对本技术实施例中涉及的超级监督者(hypervisor)的概念进行简单的介绍。
32.hypervisor又称虚拟机监视器(virtual machine monitor，缩写为vmm)，作为虚拟化技术的核心，用来建立与执行虚拟机器的软件、固件或硬件。通过虚拟化技术，可以在一台物理服务器上模拟出多个具有完整硬件配置并运行在完全隔离环境中的计算机系统，即虚拟机。虚拟机监视器是运行在基础物理服务器和操作系统之间的中间软件层，可允许多个操作系统和应用共享硬件。虚拟机监控器可以全面接管物理服务器的cpu、内存、硬盘、网卡等硬件资源，把他们抽象成逻辑资源池，并按需分配给每个虚拟机，从而使每个虚拟机都能独立使用自己的虚拟cpu、内存、硬盘、网卡等硬件资源。虚拟机监控器可以直接运行在物理硬件上，向下直接管理所有硬件资源，向上通过创建多个虚拟机，在虚拟机上安装操作系统及部署应用。
33.示例性系统
34.图1是本技术一示例性实施例提供的车载系统100的架构示意图。
35.车载系统可以包括多个层级的功能。如图1所示，从下向上依次设置有微控制单元(microcontroller unit,mcu)140、ecu(electronic control unit，电子控制单元)安全岛核130、虚拟机监控器120以及多个操作系统110。
36.每个操作系统110可以包括安全监控模块111(例如下述实施例中描述的第二安全监控模块)，用于监控每个操作系统的运行状态，以及收集每个操作系统内部出现的异常信息等，其中该运行状态可以包括启动、运行或异常暂停。安全监控模块111还可以处理操作系统中出现的一部分异常，对于不属于其处理范围的异常，会向虚拟监视器120报告。
37.虚拟机监视器120可以包括安全监控模块121(例如下述实施例描述的第一安全监控模块)，用于接收操作系统110的安全监控模块111上报的异常信息，安全监模块121还用于收集虚拟机监视器120中产生的异常信息等。对于安全监控模块111上报的异常信息以及虚拟机监视器120中产生的异常信息，如果属于其处理范围的异常，则会由安全监控模块121在本地处理，对于不属于其处理范围的异常，会向ecu安全岛核130报告。
38.ecu安全岛核130，即ecu安全岛核系统(例如，r5 safety island)可以用于监管ecu安全岛核的安全，以及接收安全监控模块121上报的异常信息。ecu安全岛核130还可以处理安全监控模块121上报的一部分异常以及ecu安全岛核130中产生的一部分异常，对于不属于其处理范围的异常，会向mcu140报告。
39.mcu140可以用于监管mcu的安全，以及接收ecu安全岛核130上报的异常信息，并对ecu安全岛核130上报的异常信息进行安全处理。
40.需要说明的是，每一层级的安全监控模块接收到下一层级的安全监控模块上报的异常信息时，首先判断自身是否有能力处理该异常信息指示的异常情况，如果有，则处理该异常情况，如果没有，则向上一层级上报异常信息，换句话说，由于异常信息超出了安全监控模块的处理范围，即安全监控模块处理不了该异常信息，需要上一层级的安全监控模块进行处理，以便于恢复异常。
41.异常信息可以包括异常错误码，该异常错误码可以根据不同的异常信息生成指示该异常信息的不同的异常错误码，并且该异常错误码还可以包括生成异常(或故障)的层级或者操作系统中运行的功能模块，例如异常错误码可以用于表明是操作系统中的哪个功能模块(例如应用程序)产生的异常或故障。
42.示例性方法
43.图2是本技术一示例性实施例提供的车载系统的安全监控方法的流程示意图。图2的方法由车载设备来执行，具体来说，可以由车载设备上运行的安全监控系统来执行。如图2所示，该安全监控方法包括如下内容。
44.需要说明的是，本技术实施例提供的安全监控系统可以运行在车载系统中，用于对车载系统进行安全监控，以及恢复异常(或故障)等操作。安全监控系统可以是基于车载系统中多个层级的安全监控模块、ecu安全岛核(例如r5 safety island)及mcu构成的。
45.在一实施例中，车载系统可以包括多个层级的功能。
46.210：通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息。
47.在一实施例中，第一层级为第二层级的上一层级。
48.具体地，车载系统可以包括第一层级和第二层级，该第一层级为第二层级的上一个层级，即第一层级为第二层级的上级。第一层级可以包括虚拟机监视器(即hypervisor)或ecu安全岛核，相应地，第二层级可以包括多个操作系统或虚拟机监视器，本技术实施例对第一层级和第二层级不作具体限定。例如，在第一层级包括虚拟机监视器时，第二层级包括多个操作系统；在第一层级包括ecu安全岛核时，第二层级包括虚拟机监视器。
49.在一实施例中，第二层级可以包括多个操作系统。并且每个操作系统可以包括第二安全监控模块，用于监控每个操作系统的运行状态，以及收集每个操作系统内部出现的第一异常信息等，其中该运行状态可以包括启动、运行或异常暂停。第一层级可以包括虚拟机监视器，且该虚拟机监视器可以包括第一安全监控模块，第一安全监控模块可以用于接收第二安全监控模块上报的第一异常信息。
50.需要说明的是，第二安全监控模块上报第一异常信息，是由于第一异常信息超出了第二安全监控模块的处理范围，即第二安全监控模块处理不了第一异常信息，需要上级的第一安全监控模块进行处理，以便于恢复异常。
51.220：通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处理范围。
52.具体地，第一安全监控模块可以对第一异常信息进行判断，判定第一异常信息是否超出该第一安全监控模块的处理范围。
53.在一实施例中，第一安全监控模块在检测到第一异常信息超出第一安全监控模块的处理范围时，将该第一异常信息上报至第三层级，其中该第三层级为第一层级的上一层级。或者，第一安全监控模块在检测到第一异常信息未超出第一安全监控模块的处理范围时，第一安全监控模块可以对第一异常信息进行安全处理，以便于恢复异常。
54.230：在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，并由第三层级对第一异常信息进行安全处理。
55.在一实施例中，第三层级为第一层级的上一层级。具体地，车载系统还可以包括第三层级，该第三层级为第一层级的上一层级，即第三层级为第一层级的上级。第三层级可以包括ecu安全岛核或mcu，本技术实施例对第三层级不作具体限定。例如，在第一层级包括虚拟机监视器时，第三层级包括ecu安全岛核；在第一层级包括ecu安全岛核时，第三层级包括mcu。
56.在一实施例中，在第一异常信息超出第一安全监控模块的处理范围，即第一安全监控模块无法解决第一异常信息时，第一安全监控模块可以将第一异常信息上报至第三层级，以便于第三层级解决第一异常信息，恢复异常。
57.在另一实施例中，车载系统还可以包括第四层级。第三层级在接收第一安全监控模块上报的第一异常信息时可以对第一异常信息进行判断；在第一异常信息超出第三层级的处理范围时，第三层级可以将第一异常信息上报至第四层级，由第四层级对第一异常信息进行安全处理，以恢复异常。
58.在一实施例中，第一层级可以包括虚拟机监视器，第三层级可以包括ecu安全岛核，虚拟监视器可以包括第一安全监控模块。例如，参见图3，虚拟机监视器320包括第一安全监控模块321。在检测到第一异常信息超出第一安全监控模块321的处理范围时，虚拟机监视器320的第一安全监控模块321将该第一异常信息上报至ecu安全岛核330，以便于ecu
安全岛核330解决该第一异常信息。
59.在另一实施例中，第一层级可以包括ecu安全岛核，第三层级可以包括mcu。例如，图3所示的ecu安全岛核330和mcu340，其中该ecu安全岛核可以是用于安全监控的ecu核。在检测到第一异常信息超出第一安全监控模块的处理范围时，ecu安全岛核可以将该第一异常信息上报至mcu，由mcu执行安全策略，以解决该第一异常信息，恢复异常。
60.需要说明的是，本技术实施例可以理解为是通过实施多层的功能安全控制策略实现的，即建立纵深防御的功能安全设计。例如，在第一层级包括虚拟机监视器(即hypervisor)，第二层级包括多个操作系统，第三层级包括ecu安全岛核(例如r5 safety island)的情况下，hypervisor中的第一安全监控模块可以控制操作系统中的第二安全监控模块的操作，使得第二安全监控模块具有两层的功能安全防护。
61.还需要说明的是，安装在某个操作系统上的某个服务或应用出现异常，需要由操作系统中的第二安全监控模块主动上报给第一安全监控模块时，首先，操作系统的第二安全监控模块对其服务出现的异常进行收集分析和处理，以获得第一异常信息，对于在自己监控下的服务，进行功能安全处理。但对于自己无法恢复的第一异常信息，可以向自己的上级(hypervisor)进行报告。其次，当hypervisor的第一安全监控模块收到下级的主动上报的第一异常信息，就可以进行异常处理。最后，如果异常十分严重，hypervisor的第一安全监控模块也无法进行决策，就应该将第一异常信息继续上报给ecu安全岛核(例如r5 safety island)进行处理，r5 safety island是ecu核级的功能安全系统，它拥有比hypervisor更高的权级。按照此层级一层一层的防护，能够最大程度的降低异常的危害。
62.由此可知，本技术实施例通过在第一层级设置第一安全监控模块，以及在第二层级设置第二安全监控模块，将超出第二安全监控模块处理范围的异常信息，发送至第一安全监控模块，并在异常信息超出第一安全监控模块的处理范围时，再将异常信息发送至第三层级进行安全处理，能够对异常信息进行合理的管理，实现了针对不同的异常信息进行不同层级的处理，保证了车载系统的稳定运行，避免了在进行功能安全处理时处理流程冗余的问题，提高了异常信息的处理效率。同时在不同的层级中设置安全监控模块，以纵深防御的方式，能够及时阻止异常信息对车载系统运行的影响。
63.图4是本技术另一示例性实施例提供的车载系统的安全监控方法的流程示意图。图4实施例是图2实施例的例子，相同之处不再赘述，此处着重描述不同之处。如图4所示，该安全监控方法包括如下内容。
64.410：收集第一异常信息。
65.420：通过第二安全监控模块判断第一异常信息是否超出第二安全监控模块的处理范围。
66.430：在第一异常信息未超出第二安全监控模块的处理范围时，通过第二安全监控模块对第一异常信息进行安全处理。
67.具体地，第二安全监控模块在检测到第一异常信息并未超出自身的处理范围时，第二安全监控模块可以对第一异常信息进行安全处理，恢复异常。
68.440：在第一异常信息超出第二安全监控模块的处理范围时，通过第二安全监控模块将第一异常信息上报至第一层级的第一安全监控模块。
69.450：通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处
理范围。
70.460：在第一异常信息并未超出第一安全监控模块的处理范围时，通过第一安全监控模块对第一异常信息进行安全处理。
71.具体地，第一安全监控模块在检测到第一异常信息并未超出第一安全监控模块的处理范围时，第一安全监控模块可以对第一异常信息进行安全处理。需要说明的是，在第一安全监控模块可以对第一异常信息进行处理时，无需将第一异常信息进行上报，自行处理即可。
72.470：在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，第三层级对第一异常信息进行安全处理。
73.由此可知，本技术实施例通过第一安全监控模块对自身能够处理的异常进行处理，无需上报上一层级，避免了在进行异常信息处理时，处理流程冗余的问题，提高了异常信息的处理效率。
74.在本技术一实施例中，该方法还包括：通过第一安全监控模块监控第一层级的运行状态。
75.具体地，第一安全监控模块除了可以接收第二层级的第二安全监控模块上报的第一异常信息之外，还可以对第一层级进行安全监测。
76.在一实施例中，安全监控模块可以通过第一安全监控模块监控第一层级的运行状态，其中该运行状态包括启动、运行或异常暂停。
77.在一实施例中，第一安全监控模块可以为虚拟机监视器中包括的安全监控模块。需要说明的是，对hypervisor来说，也需要一个安全监控模块(例如第一安全监控模块)对自身进行保障，监控hypervisor内部出现的异常，并进行分析处理。
78.由此可知，本技术实施例通过设置第一安全监控模块对第一层级的运行状态进行检测，使得第一安全监控模块可以监控第一层级内部出现的异常，以保证第一层级的安全运行。
79.在本技术一实施例中，该方法还包括：通过第一安全监控模块监控第二层级中包括的功能模块的运行状态和第二安全监控模块的运行状态。
80.具体地，第一层级的第一安全监控模块可以监控第二层级(即下一层级)中包括的功能模块的运行状态，以及第二层级中包括的第二安全监控模块的运行状态。其中该运行状态可以包括启动、运行或异常暂停。功能模块可以是运行在第二层级的应用程序或服务，例如功能模块为操作系统上运行的应用程序。
81.例如，对第二安全监控模块的运行状态的监控方式可以采用心跳机制，本技术实施例对监控方式不作具体限定。第一安全监控模块可以定期向第二安全监控模块发送心跳监测消息，其中在第二安全监控模块根据心跳监测消息返回响应消息时，则证明第二安全监控模块正常运行；否则第二安全监控模块出现异常暂停。
82.在一实施例中，对第二层级中应用程序的运行状态的监控方式可以是定期监控，也可以是心跳机制，本技术实施例对监控方式不作具体限定。例如，第一安全监控模块实时监控应用程序的运行状态。
83.需要说明的是，第一层级可以包括hypervisor，第二层级包括多个操作系统。本技术实施例除了在操作系统内部出现异常，通过逐级主动上报第一异常信息的方式来保障安
全，还有以反向监控操作系统的方式去跟踪和管理操作系统上的应用服务。对于操作系统上的应用服务来说，第二安全监控模块需要跟踪和管理服务进程的生命周期，例如在面对意外的服务或应用进程崩溃，安全监控模块能够及时发现问题，并对异常进行关注和分析，最终对异常进行决策和处理。同样，hypervisor的第一安全监控模块可以跟踪和监控多个操作系统的运行状态和操作系统内部的第二安全监控模块的运行状态。而且ecu安全岛核(例如r5 safety island)作为最高权级的安全监控模块，也可以对包含hypervisor的层级进行跟踪和监控，掌握其运行状态。
84.还需要说明的是，采用纵深防御的功能安全设计中，既有安全监控模块对异常的主动上报，逐级防护，也有反向的逐级功能安全跟踪和监控每个异常。
85.由此可知，本技术实施例通过对安全监控模块(例如第二安全监控模块)进行监控，使得安全监控模块(例如第一安全监控模块)可以实时监控下一层级的安全监控模块(例如第二安全监控模块)是否出现无法响应等异常情况，并能够及时的对异常进行处理。也就是说，下一层级的安全监控模块本身也由上一层级的安全监控模块进行保障，避免了第二安全监控模块因本身发生故障无法处理其他异常的情况，也避免了第二安全监控模块因长时间无法正常运行，从而导致整个车载系统崩溃的问题。同时，上一层级的安全监控模块还对下一层级进行监控，获取下一层级的运行状态，从而为下一层级的正常运行提供了保障。
86.在本技术一实施例中，第一层级包括虚拟机监视器，第二层级包括多个操作系统，第三层级包括ecu安全岛核。
87.具体地，在第一层级包括虚拟机监视器(即hypervisor)的情况下，第二层级可以包括多个操作系统，第三层级可以包括ecu安全岛核。
88.参见图1，车载系统由下级至上级可以包括第一层级、第二层级、第三层级和第四层级。第二层级可以包括多个操作系统110，该多个操作系统中的每个操作系统110可以包括安全监控模块111(即第二安全监控模块)。第一层级可以包括虚拟机监视器120，该虚拟机监视器120可以包括安全监控模块121(即第一安全监控模块)。第三层级可以包括ecu安全岛核130。第四层级可以包括mcu140。
89.继续参见图1，首先在每个操作系统110内部，需要一个第二安全监控模块对当前操作系统110进行监控和决策，这是第二安全监控模块需要完成的基本的工作。也就是说，在存在多个操作系统110时，每个操作系统110内部都应该存在一个第二安全监控模块。从纵向来看安全监控系统的层级关系，在多个操作系统110的下一层是hypervisor120，其中hypervisor是一种运行在基础物理服务器和操作系统的中间层，它实现了多个系统共享物理资源的功能，同时它也拥有对上层操作系统的资源分配权。在hypervisor 120也存在一个第一安全监控模块，该第一安全监控模块既可以监控hypervisor，又可以对上层的多个操作系统110中第二安全监控模块进行控制管理。
90.进一步地，因为虚拟机监视器拥有资源分配权，所以虚拟机监视器中的第一安全监控模块，也拥有直接监控操作系统状态的权力，这样对于操作系统这一层来说，既有自身的第二安全监控模块的保障，也有更高等级的第一安全监控模块保障，这无疑是双层保险。
91.在另一实施例中，第一层级包括ecu安全岛核，第二层级包括虚拟机监视器，第三层级包括微控制单元。
92.需要说明的是，本技术实施例参考arm处理器(advanced risc machine)架构的层级区分，对功能安全进行设计。其中异常级别(exception level,el)包括el0、el1、el2和el3。el0包括多个应用程序，el1包括多个操作系统，即可以相当于本技术实施例的第二层级，el2包括hypervisor，el3包括atf(arm trusted firmware)/psci。本技术实施例可以在el2层的hypervisor中加入安全监控模块。
93.还需要说明的是，本技术实施例通过在hypervisor中加入安全监控模块(例如第一安全监控模块)，包括如下优点：1)hypervisor作为整个ecu安全岛核组的决策层，可以发送单核的控制指令到el3层实现自身对核的控制；2)hypervisor可以获取el1中的操作系统的运行状态，则在hypervisor中的安全监控模块能够对el1中每一个操作系统进行监控，获取其状态。另外，安全监控模块可以收集操作系统内部功能安全的信息，对多个操作系统进行安全管理；3)跟el1中每个操作系统都需要一个安全监控模块(例如第二安全监控模块)一样，对hypervisor来说，也需要一个安全监控模块对自身进行保障，监控hypervisor内部出现的异常，并进行分析处理。
94.由此可知，本技术实施例通过设置虚拟机监视器，实现了多个操作系统共享资源的功能，同时虚拟机监视器也可实现对下一层级操作系统进行资源分配。同时在虚拟机监视器上设置安全监控模块，使得该安全监控模块既可以监控虚拟机监视器，又可以对多个操作系统中的安全监控模块进行控制管理。
95.图5是本技术又一示例性实施例提供的车载系统的安全监控方法的流程示意图。图5实施例是图2实施例中步骤210之前执行的步骤。如图5所示，该安全监控方法包括如下内容。
96.510：通过第二层级的诊断模块收集操作系统上功能模块的第二异常信息。
97.具体地，参见图6，在第二层级中操作系统可以包括诊断模块615，该诊断模块615也可以称为诊断服务。诊断模块615用于收集操作系统上运行的功能模块所产生的异常信息(即第二异常信息)，其中该功能模块可以包括非关键应用611、用户关键应用612、系统关键应用613以及硬件抽象层(hardware abstraction layer,hal)614。
98.非关键应用可以是指对车载系统运行影响较小的应用，例如音频播放器。用户关键应用可以是指对车载系统运行存在一定影响的应用，例如定位装置、获取车速的装置。系统关键应用可以是指用户不可见的底层应用。需要说明的是，非关键应用和关键应用的设定，可以是用户根据实际应用情况灵活设置的，本技术实施例对此不作具体限定。
99.520：通过诊断模块将第二异常信息发送至第二安全监控模块。
100.具体地，参见图6，诊断模块615可以将收集的第二异常信息进行初步过滤，对于不需要处理的第二异常信息删除，并将需要恢复的第二异常信息发送至操作系统610的第二安全监控模块616。其中该第二异常信息与第一异常信息相同，该第二异常信息可以包括异常错误码，该异常错误码可以根据不同的异常信息生成指示该异常信息的不同的错误码，并且该异常错误码还可以包括生成异常(或故障)的操作系统中运行的功能模块，例如异常错误码可以用于表明是操作系统中的哪个功能模块(例如应用程序)产生的异常或故障。
101.例如，音频播放器(即非关键应用)在播放过程中未找到待播放文件，此时音频播放器会生成第二异常信息。该第二异常信息中包括的异常错误码用于指示音频播放器未找到待播放文件，且异常错误码可以指明该第二异常信息是由非关键应用产生的。
102.需要说明的是，操作系统中的第二安全监控模块可以理解为是操作系统中的安全服务。其中操作系统中的安全服务具有收集操作系统异常状态，并对所有运行模块具有控制决策权。并且异常情况的收集分为以下两种方式，即进程检测和诊断服务主动汇报错误事件。
103.还需要说明的是，进程检测主要为安全服务会维护静态系统关键进程表和用户可配置关键进程表。静态系统关键进程表由系统预设，默认只读。用户可配置关键进程表可支持用户自定义进程追加。关键进程一旦发生异常退出，则安全服务通知收集该进程的运行状态，根据配置完成对错误情况的处理。诊断服务上报主要为诊断模块(或诊断服务)会收集操作系统内所有异常错误事件，通过初步过滤后发送到第二安全监控模块。当第二安全监控模块(或安全服务)收到内部错误码后，安全服务会根据预设决策方案，完成对错误情况的处理。
104.530：通过第二安全监控模块将第二异常信息划分为对应的安全等级。
105.具体地，参见图6，第二安全监控模块616可以利用预先设置的静态配置表617，根据第二异常信息中的异常错误码指示产生该异常的功能模块，将第二异常信息划分成对应的安全等级。其中该静态配置表包括不同的功能模块分别对应的安全等级。
106.例如，非关键应用的安全等级为0；用户关键应用、系统关键应用和hal的安全等级为1；诊断模块的安全等级为2；第二安全监控模块的安全等级为3。此外，在第二层级包括多个操作系统时，第一层级的第一安全监控模块(例如图6所示的虚拟机监视器的第一安全监控模块620)的安全等级为4；第三层级(即图6所示的ecu安全岛核630)的安全等级为5；第四层级(即图6所示的微控制单元640，例如tc397单片机)的安全等级为6。
107.需要说明的是，为了确保所有的异常(或故障)都能被不同的级别监控和处理，我们会对异常进行区分，对于指定的应用程序或服务，存在4种类型的异常，即内部错误、致命错误、无响应和崩溃。其中内部错误和致命错误由应用程序或服务本身监视。无响应和崩溃故障由更高级别监视。因此本技术实施例将车载系统内的异常信息划分为0-6共7个安全级别。
108.540：通过第二安全监控模块根据安全等级控制功能模块重启，或根据安全等级将第二异常信息发送至安全等级对应的处理模块中进行安全处理。
109.在一实施例中，处理模块可以包括功能模块。
110.具体地，第二安全监控模块可以根据安全等级控制功能模块重启，该功能模块可以是用户关键应用、系统关键应用或hal。或者，第二安全监控模块可以根据安全等级将第二异常信息发送至该安全等级对应的处理模块中进行安全处理，其中该处理模块可以包括功能模块，该功能模块可以是非关键应用。
111.在一实施例中，在第二安全监控模块判断第二异常信息对应的安全等级为1，且可以通过重启产生该第二异常信息的应用时，可恢复该第二异常信息。第二安全监控模块可以通过重启第二异常信息对应的应用，以恢复异常。或者，在第二安全监控模块判断第二异常信息对应的安全等级为1，且产生该第二异常信息的用户关键应用可以自行处理该第二异常信息时，第二安全监控模块可以将第二异常信息发送至用户关键应用。
112.在另一实施例中，在第二安全监控模块判断第二异常信息对应的安全等级为0，且产生该第二异常信息的非关键应用可以自行处理该第二异常信息时，第二安全监控模块可
以将第二异常信息发送至非关键应用。
113.550：在第二异常信息超出处理模块的处理范围时，将第二异常信息作为第一异常信息，并通过第二安全监控模块向第一安全监控模块发送第一异常信息。
114.具体地，第二安全监控模块判定第二异常信息超出自身的处理范围时，可以将第二异常信息作为第一异常信息。而后第二安全监控模块可以将第一异常信息发送至第一层级的第一安全监控模块，由第一安全监控模块对第一异常信息进行处理，其中该第一层级为第二层级的上一层级。
115.需要说明的是，诊断模块可以收集安全等级为1的事件(例如异常信息)并定期检查它们。并且诊断模块发现的异常将报告给安全等级为3的第二安全监控模块，第二安全监控模块将处理这些异常。第二安全监控模块还可以监控所有安全等级为1和安全等级为2的异常(或故障)，并定期检查安全等级为2的诊断模块。类似地，第二安全监控模块将发送它无法处理的第二异常信息(例如致命错误事件)到安全等级为4的hypervisor上的第一安全监控模块，第一安全监控模块无法处理的第二异常信息(例如致命错误事件)发送给安全等级为5的ecu安全岛核(即r5核功能安全系统)。r5核将处理该第二异常信息并决定是否重启a55核(其中hypervisor和多个操作系统位于该a55核上)。最上层是mcu，它将控制整个单片机。
116.还需要说明的是，多个层级中包括的模块也有分级，不存在同时出现多个异常，无法及时处理的情况，每一层级的安全监控模块都有自己负责的范围，超过处理范围的异常，由更高级的安全监控模块处理。
117.由此可知，本技术实施例通过对异常信息进行区分，划分对应的安全等级，使得本技术实施例可以有序的针对不同异常，通过不同的安全监控模块给予不同的处理，分工明确，提高了处理异常的效率。
118.示例性装置
119.图7是本技术一示例性实施例提供的车载系统的安全监控装置700的结构示意图。如图7所示，该安全监控装置700包括：收集模块710、第二发送模块720、划分模块730、第一安全处理模块740、第三发送模块750、接收模块760、判断模块770、第一发送模块780和第二安全处理模块790。
120.接收模块760用于通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息，其中第一层级为第二层级的上一层级；判断模块770用于通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处理范围；第一发送模块780用于在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，并由第三层级对第一异常信息进行安全处理，其中第三层级为第一层级的上一层级。
121.本技术实施例提供了一种车载系统的安全监控装置，通过在第一层级设置第一安全监控模块，以及在第二层级设置第二安全监控模块，将超出第二安全监控模块处理范围的异常信息，发送至第一安全监控模块，并在异常信息超出第一安全监控模块的处理范围时，再将异常信息发送至第三层级进行安全处理，能够对异常信息进行合理的管理，实现了针对不同的异常信息进行不同层级的处理，保证了车载系统的稳定运行，避免了在进行功能安全处理时处理流程冗余的问题，提高了异常信息的处理效率。同时在不同的层级中设
置安全监控模块，以纵深防御的方式，能够及时阻止异常信息对车载系统运行的影响。
122.根据本技术一实施例，第二安全处理模块790用于在第一异常信息未超出第二安全监控模块的处理范围时，通过第二安全监控模块对第一异常信息进行安全处理；或者在第一异常信息并未超出第一安全监控模块的处理范围时，通过第一安全监控模块对第一异常信息进行安全处理。
123.根据本技术一实施例，第一发送模块780用于通过第一安全监控模块监控第一层级的运行状态。
124.根据本技术一实施例，第一发送模块780用于通过第一安全监控模块监控第二层级中包括的功能模块的运行状态和第二安全监控模块的运行状态，其中，第一层级包括虚拟机监视器，第二层级包括多个操作系统，第三层级包括ecu安全岛核。
125.根据本技术一实施例，收集模块710用于通过第二层级的诊断模块收集操作系统上功能模块的第二异常信息；第二发送模块720用于通过诊断模块将第二异常信息发送至第二安全监控模块；划分模块730用于通过第二安全监控模块将第二异常信息划分为对应的安全等级；第一安全处理模块740用于通过第二安全监控模块根据安全等级控制功能模块重启，或根据安全等级将第二异常信息发送至安全等级对应的处理模块中进行安全处理，其中处理模块包括功能模块；第三发送模块750用于在第二异常信息超出处理模块的处理范围时，将第二异常信息作为第一异常信息，并通过第二安全监控模块向第一安全监控模块发送第一异常信息。
126.应当理解，上述实施例中的收集模块710、第二发送模块720、划分模块730、第一安全处理模块740、第三发送模块750、接收模块760、判断模块770、第一发送模块780和第二安全处理模块790的具体工作过程和功能可以参考上述图1至图6实施例提供的安全监控方法和系统中的描述，为了避免重复，在此不再赘述。
127.示例性电子设备及计算机可读存储介质
128.图8是本技术一示例性实施例提供的用于安全监控的电子设备800的框图。
129.参照图8，电子设备800包括处理组件810，其进一步包括一个或多个处理器，以及由存储器820所代表的存储器资源，用于存储可由处理组件810的执行的指令，例如应用程序。存储器820中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件810被配置为执行指令，以执行上述车载系统的安全监控方法。
130.电子设备800还可以包括一个电源组件被配置为执行电子设备800的电源管理，一个有线或无线网络接口被配置为将电子设备800连接到网络，和一个输入输出(i/o)接口。可以基于存储在存储器820的操作系统操作电子设备800，例如windows server
tm
，mac os x
tm
，unix
tm
，linux
tm
，freebsd
tm
或类似。
131.一种非临时性计算机可读存储介质，当存储介质中的指令由上述电子设备800的处理器执行时，使得上述电子设备800能够执行一种车载系统的安全监控方法，该车载系统包括多个层级的功能，该方法包括：通过多个层级中的第一层级的第一安全监控模块接收第二层级的第二安全监控模块发送的第一异常信息，其中第一层级为第二层级的上一层级；通过第一安全监控模块判断第一异常信息是否超出第一安全监控模块的处理范围；在第一异常信息超出第一安全监控模块的处理范围时，通过第一安全监控模块将第一异常信息发送至第三层级，并由第三层级对第一异常信息进行安全处理，其中第三层级为第一层
级的上一层级。
132.示例性车辆
133.图9是本技术一示例性实施例提供的车辆900的框图。
134.参见图9，车辆900包括安全监控装置910，其中关于该安全监控装置910的具体描述，详情请参见上述图7实施例的记载。
135.图10是本技术另一示例性实施例提供的车辆1000的框图。
136.参见图10，车辆1000包括电子设备1010，其中关于该电子设备1010的具体描述，详情请参见上述图8实施例的记载。
137.上述所有可选技术方案，可采用任意结合形成本技术的可选实施例，在此不再一一赘述。
138.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
139.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
140.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
141.所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
142.另外，在本技术各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
143.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序校验码的介质。
144.需要说明的是，在本技术的描述中，术语“第一”、“第二”、“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本技术的描述中，除非另有说明，“多个”的含义是两个或两个以上。
145.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换等，均应包含在本技术的保护范围之内。