CN116643842A - 虚拟机安全监控处理方法、装置、设备及介质 - Google Patents

Abstract

本申请提供一种虚拟机安全监控处理方法、装置、设备及介质，该方法包括：将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统；实时监测所述第二操作系统的状态；若监测到所述第二操作系统的状态正常，则继续保持监测；若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务，通过上述对虚拟的第二操作系统进行实时监控，一旦发生异常，可使用第一操作系统接管当前车辆智能驾驶或/和智能仪表所对应的预期任务，不仅满足车辆必需的基础功能，也极大提高了车辆操作系统的安全性。

Description

虚拟机安全监控处理方法、装置、设备及介质

技术领域

本申请涉及车辆安全监控领域，具体涉及一种虚拟机安全监控处理方法、装置、设备及介质。

背景技术

随着智能汽车电子电气架构从传统的分布式向域集中式演进，各种功能模块都集中到少数几个计算能力强大的域控制器中，不同的功能模块对功能安全等级要求不一样，不同的功能模块对实时性的要求不一样。比如，根据ISO26262标准，智能仪表和娱乐系统属于不同的安全等级。

例如，根据ISO26262标准，智能仪表和娱乐系统属于不同的安全等级。智能仪表和动力系统密切相关，对实时性，可靠性和安全性有更高要求，以QNX系统为主；而汽车娱乐系统主要关注人机交互体验，更多关注应用生态多样化和用户体验，以linux和android系统为主。

目前，在车辆中芯片集成度越来越高和硬件成本压力越来越大的情况下，域控制器的一颗SOC芯片集成多种操作系统的Hypervisor虚拟化技术方案，越来越收到整车厂和汽车供应商的关注。然而，如何确保车辆中Hypervisor虚拟化的多个操作系统之间协同分工、系统隔离和运行稳定，是Hypervisor虚拟化技术方案迫在眉睫需要解决的技术问题。

申请内容

鉴于以上所述现有技术的缺点，本申请提供一种虚拟机安全监控处理方法、装置、设备及介质产品，以解决现有Hypervisor虚拟化操作系统一旦发生异常，无法确保车辆当前继续执行所述当前业务。

在第一方面，本申请提供的一种虚拟机安全监控处理方法，包括：

将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全标准高于所述第二操作系统，且所述第一操作系统为实时操作系统；

实时监测所述第二操作系统的状态；

若监测到所述第二操作系统的状态正常，则继续保持监测；

若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

于本申请的一实施例中，将车辆计算设备进行虚拟化处理，划分为第一操作系统与第二操作系统，还包括：

基于虚拟机管理程序将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统；所述第一操作系统与第二操作系统基于所述车辆计算设备共享的资源进行分区；待分区完成后，对所述第一操作系统与第二操作系统各自所需的硬件资源进行配置，以使所述第一操作系统与第二操作系统之间在进程间通信。

于本申请的一实施例中，对所述第一操作系统与第二操作系统各自所需的硬件资源进行配置，还包括：

获取所述第一操作系统与第二操作系统当前配置信息，所述配置信息包括内存、处理器、磁盘、进程、网络与外围设备；确定所述第一操作系统与第二操作系统待执行的目标任务，根据所述第一操作系统与第二操作系统待执行的目标任务对各所述操作系统的配置信息进行调节，以使得所述第一操作系统与第二操作系统执行目标任务。

于本申请的一实施例中，实时监测所述第二操作系统的状态，还包括：

第一操作系统通过数据分发服务订阅所述第二操作系统的待测主题，实时监测所述第二操作系统待测主题所对应的性能指标，所述性能指标包括内存、处理器、磁盘、进程、网络、外围设备以及心跳中的至少之一；

若检测到所述性能指标与类型匹配的预设性能指标不符，确定与预设性能指标不符的所述性能指标为异常指标，统计并显示所述异常指标；

若监测到任一所述异常指标，则确定所述第二操作系统的状态异常；若未监测到所述异常指标，则确定所述第二操作系统的状态正常。

于本申请的一实施例中，若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务，还包括：

所述第一操作系统和所述第二操作系统分别与车辆计算设备之间形成冗余通信，且所述第一操作系统和所述第二操作系统各进程之间相互通信；若监测到所述第二操作系统的状态异常，根据引发状态异常的性能指标的类型发出不同的告警信号；确定所述第二操作系统在异常状态时当前所处理的业务，暂停当前业务，使得所述第一操作系统根据所述第二操作系统当前业务处理进程接管所述第二操作系统当前业务，通过降低当前业务要求以使所述车辆继续执行所述当前业务。

于本申请的一实施例中，所述第一操作系统和所述第二操作系统能够在所述车辆计算设备所对应的硬件层上并行运行，其中，在所述第一操作系统上能够实施至少一种第一应用程序，并且在所述第二操作系统上能够实施至少一种第二应用程序，其中，所述第一应用程序比所述第二应用程序具有更高的安全标准；若所述第二操作系统状态异常，使得所述第一操作系统上能够实施至少一种第二应用程序。

于本申请的一实施例中，所述第一操作系统与所述第二操作系统，还包括：根据业务需求不同装配有不同业务类型的应用程序，将所述应用程序发出的业务请求通过中间件进行处理，确定服务请求，将所述服务请求进行封装，得到符合预设格式的请求指令；调用相匹配的操作系统执行所述请求指令进行响应。

于本申请的一实施例中，所述中间件包括以下至少之一：通讯管理、电源管理、安全监控、数据诊断、日志管理、执行管理与网络管理。

于本申请的一实施例中，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统之后，还包括：

部署于所述车辆计算设备所对应操作系统外部的安全监控系统，所述安全监控系统用于监测外部设备的第一状态信息，并将所述第一状态信息同步至所述第一操作系统进行监测，同时，所述安全监控系统接收所述第一操作系统的第二状态信息并进行监测；

若监测到所述第一操作系统的状态异常，根据预设状态信息分析所述状态异常以确定所述第一操作系统的故障类型，基于所述故障类型判断所述安全监控系统是否能接管当前业务；若所述安全监控系统能接管当前业务，则利用所述安全监控系统执行所述当前业务，其中，若所述第一操作系统的故障类型为预设故障类型，则重启所述第一操作系统进行复位以待恢复；若所述安全监控系统不能接管当前业务，则发出告警信息通知驾驶员；

于本申请的一实施例中，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统之后，还包括：

部署于所述车辆计算设备所对应操作系统外部的安全监控系统，所述安全监控系统用于监测外部设备的第一状态信息，并将所述第一状态信息同步至所述第一操作系统进行监测，同时，所述安全监控系统接收所述第一操作系统的第二状态信息并进行监测；

若监测到所述安全监控系统的状态异常，根据预设状态信息分析所述状态异常以确定所述安全监控系统的故障类型，基于所述故障类型判断所述第一操作系统是否能接管当前业务；若所述第一操作系统能接管当前业务，则利用所述第一操作系统执行所述当前业务，其中，若所述安全监控系统的故障类型为预设故障类型，则重启所述安全监控系统进行复位以待恢复；若所述第一操作系统不能接管当前业务，则发出告警信息通知驾驶员。

于本申请的一实施例中，所述第二操作系统包括Linux操作系统、Qnx操作系统与Android操作系统中的至少之一。

在第二方面，本申请提供的一种虚拟机安全监控处理装置，包括：

系统划分模块，用于将车辆计算设备进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全等级高于所述第二操作系统，且所述第一操作系统为实时操作系统；

安全监控模块，用于实时监测所述第二操作系统的状态；

第一执行模块，用于若监测到所述第二操作系统的状态正常，则继续保持监测；

第二执行模块，用于若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

在第三方面，本申请提供的一种电子设备，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现上述的虚拟机安全监控处理方法。

在第四方面，本申请提供的一种车辆设备，包括上述的电子设备。

在第五方面，本申请提供的一种计算机可读存储介质，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行上述的虚拟机安全监控处理方法。

本申请的有益效果：本申请将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统，实时监测所述第二操作系统的状态，若监测到所述第二操作系统的状态正常，则继续保持监测，若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务，基于Hypervisor虚拟化的多个操作系统之间协同分工、相互隔离，对虚拟的第二操作系统进行实时监控，一旦发生异常，通过冗余操作系统可使用第一操作系统接管当前车辆智能驾驶、智能仪表以及智能座舱所对应的预期任务，不仅满足车辆必需的基础功能，特别是车辆行驶过程中，通过车辆继续执行当前业务，还极大确保车辆行驶安全性。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本申请。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术者来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1是本申请的一示例性实施例示出的虚拟机安全监控处理装置的实施环境示意图；

图2是本申请的一示例性实施例示出的虚拟机安全监控处理方法的流程图；

图3是本申请的一示例性实施例示出的虚拟机安全监控处理方法中检测流程图；

图4是本申请的一示例性实施例示出的虚拟机安全监控处理方法中实时监测流程图；

图5是本申请的一示例性实施例示出的虚拟机安全监控处理装置的结构框图；

图6是本申请的一示例性实施例示出的虚拟机安全监控处理装置中操作系统结构框图；

图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图；

图8是本申请的一示例性实施例示出的虚拟机安全监控处理方法中一安全监控流程图；

图9是本申请的一示例性实施例示出的虚拟机安全监控处理方法中另一安全监控流程图。

具体实施方式

以下将参照附图和优选实施例来说明本申请的实施方式，本领域技术人员可由本说明书中所揭露的内容轻易地了解本申请的其他优点与功效。本申请还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本申请的精神下进行各种修饰或改变。应当理解，优选实施例仅为了说明本申请，而不是为了限制本申请的保护范围。

需要说明的是，以下实施例中所提供的图示仅以示意方式说明本申请的基本构想，遂图式中仅显示与本申请中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制，其实际实施时各组件的型态、数量及比例可为一种随意的改变，且其组件布局型态也可能更为复杂。

在下文描述中，探讨了大量细节，以提供对本申请实施例的更透彻的解释，然而，对本领域技术人员来说，可以在没有这些具体细节的情况下实施本申请的实施例是显而易见的，在其他实施例中，以方框图的形式而不是以细节的形式来示出公知的结构和设备，以避免使本申请的实施例难以理解。

请参阅图1，是本申请的一示例性实施例示出的虚拟机安全监控处理装置的实施环境示意图。如图1所示，包括车辆101与虚拟机安全监控处理装置102。

其中，车辆101包括但不限于三轮车、燃油车、新能源汽车(即，插电混动汽车、增程式电动车、混动汽车、纯电汽车、氢能源汽车、乙醇汽车等)。虚拟机安全监控处理装置102配置在车辆计算设备，虚拟机安全监控处理装置102包括第一硬件层，其具有第一操作系统，第一操作系统设计成用于在安全性上关键的第一功能/应用，即，用于车辆中具有高的安全标准的应用。

此外，虚拟机安全监控处理装置102包括第二硬件层，其具有第二操作系统。第二操作系统设计成用于非关键的第二功能/应用，即，用于车辆中具有低的安全标准的应用。

在此，硬件层中的每个硬件层优选地包括至少一个微处理器、基本输入输出系统(BIOS)、工作存储器(RAM)和/或闪存、时钟发生器以及各种接口和多个总线。

此外，硬件层可具有起动/引导存储单元或启动/引导ROM存储器，其例如作为闪存或OTP存储器，在里面存储有负责启动过程的程序元素。

硬件层在物理上彼此分离，例如，它们在不同的集成电路上。

在此，第一操作系统设计成用于在安全性上关键的功能或在安全性上关键的应用，并且第二操作系统设计成用于非关键的功能或非关键的应用。

第二硬件层具有高级OS(操作系统)作为用于非关键的功能/应用的第二操作系统。第二操作系统例如可为Linux、Qnx、Windows或Android。非关键的功能例如通过车辆信息娱乐系统来提供。在此，车辆信息娱乐系统可具有用于车载无线电或多媒体系统、导航系统和/或免提通话装置的功能。

这种车辆信息娱乐系统通常具有NAND存储单元，其需要复杂的启用过程。

第一硬件层具有用于在安全性上关键的功能/应用的可认证的、实时的、可快速启动的第一操作系统来作为第一操作系统。

因此，操作系统和其应用彼此独立地实施，即，操作系统彼此独立地运行以及退出运行。在此，需要说明的是，第一操作系统的安全标准高于所述第二操作系统，且第一操作系统为实时操作系统。

以如下方式执行车辆操作系统的启用：

整个车辆所有操作系统被重启和初始化。针对所有独立的操作系统、优化启动性能。

接下来，对本申请实施例提供的虚拟机安全监控处理方法进行介绍。

目前，在车辆中芯片集成度越来越高和硬件成本压力越来越大的情况下，域控制器的一颗SOC芯片集成多种操作系统的Hypervisor虚拟化技术方案，越来越收到整车厂和汽车供应商的关注。然而，如何确保车辆中Hypervisor虚拟化的多个操作系统之间协同分工、系统隔离和运行稳定，是Hypervisor虚拟化技术方案迫在眉睫需要解决的问题。

为解决这些问题，本申请的实施例分别提出一种虚拟机安全监控处理方法、一种虚拟机安全监控处理装置、一种电子设备以及一种计算机可读存储介质，以下将对这些实施例进行详细描述。

请参阅图2，为本申请的一示例性实施例示出的虚拟机安全监控处理方法的流程图。该方法可以应用于图1所示的实施环境，并由该实施环境中的智能终端具体执行。应理解的是，该方法也可以适用于其它的示例性实施环境，并由其它实施环境中的设备具体执行，本实施例不对该方法所适用的实施环境进行限制。

请参阅图2，是本申请的一示例性实施例示出的虚拟机安全监控处理方法的流程图，详述如下：

步骤S210，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全标准高于所述第二操作系统，且所述第一操作系统为实时操作系统；

具体地，基于虚拟机管理程序将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统；

第一操作系统与第二操作系统基于车辆计算设备共享的资源进行分区；

待分区完成后，对第一操作系统与第二操作系统各自所需的硬件资源进行配置，以使第一操作系统与第二操作系统之间在进程间通信。

其中，需要说明的是，利用Hypervisor技术同时搭载RTOS(Real Time OperatingSystem)实时操作系统(即，第一操作系统)和LINUX(LINUX操作系统)/QNX操作系统(即，第二操作系统)/ANDROID(即，安卓操作系统)，正常情况下，由LINUX/QNX操作系统实现业务功能(比如，智能驾驶，智能仪表显示)，RTOS实时监控LINUX操作系统/QNX操作系统的健康状态，一旦检测到LINUX/QNX操作系统出现异常，RTOS主动接管部分必需的自动驾驶和仪表显示功能，确保行车安全。需要注意的是，搭载的RTOS实时操作系统必须通过Safety领域最高等级功能安全认证(ISO 26262ASIL D)。

应当理解的是，hypervisor为一种运行在物理服务器和操作系统之间的中间层软件，可以允许多个操作系统和应用共享一套基础物理硬件，可以将hypervisor当作是虚拟环境中的“元”操作系统，可以协调访问服务器上的所有物理设备和虚拟机，又称为，虚拟机监视器(virtual machine monitor)。

步骤S220，实时监测所述第二操作系统的状态；

具体地，第一操作系统通过数据分发服务订阅第二操作系统的待测主题，实时监测第二操作系统待测主题所对应的性能指标，性能指标包括内存、处理器、磁盘、进程、网络、外围设备以及心跳中的至少之一；

若检测到性能指标与类型匹配的预设性能指标不符，确定与预设性能指标不符的性能指标为异常指标，统计并显示异常指标；

若监测到任一异常指标，则确定第二操作系统的状态异常；若未监测到异常指标，则确定第二操作系统的状态正常。

步骤S230，若监测到所述第二操作系统的状态正常，则继续保持监测；

具体地，若监测到第二操作系统的状态正常，则不操作，继续保持监测。

步骤S240，若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

具体地，第一操作系统和第二操作系统分别与车辆计算设备之间形成冗余通信，且第一操作系统和第二操作系统各进程之间相互通信；

若监测到第二操作系统的状态异常，根据引发状态异常的性能指标的类型发出不同的告警信号；确定第二操作系统在异常状态时当前所处理的业务，暂停当前业务，使得第一操作系统根据第二操作系统当前业务处理进程接管第二操作系统当前业务，通过降低当前业务要求以使车辆继续执行当前业务。

在本实施例中，基于LINUX/QNX操作系统开发的自动驾驶和仪表显示功能，对于功能安全有很高要求，为了确保LINUX/QNX操作系统自身的安全性，引入RTOS实时操作系统对LINUX/QNX操作系统实时监控变得越来越有必要。

RTOS实时操作系统和LINUX/QNX操作系统之间通过基于VSOCK/VIRTIO-UART的DDS服务进行通信，以确定当前LINUX/QNX操作系统是否处于正常工作状态，检测的内容包括内存检测，CPU检测，磁盘检测，进程检测，网络检测，外设检测和心跳机制。以上每个检测项都有对应的识别、决策、执行逻辑。针对预期可能出现的故障异常，RTOS操作系统适时做相应的业务处理。

请参阅图3，是本申请的一示例性实施例示出的虚拟机安全监控处理方法中检测流程图，包括：

第一步，Hypervisor系统启动，分别为RTOS实时操作系统和Linux/Qnx操作系统配置底层硬件资源，包括中央处理器，内存，磁盘等等。

第二步，分别启动Linux/Qnx/Android操作系统和RTOS实时操作系统。

第三步，在Linux/Qnx/Android操作系统，启动智能驾驶和智能仪表相关的任务。同时，和RTOS实时操作系统建立心跳机制，将自身的状态信息同步给RTOS，即，第二操作系统的状态同步至第一操作系统。

第四步，在RTOS实时操作系统，定时监控Linux操作系统/Qnx操作系统的健康状态，监控的内容包括中央处理器检测、磁盘检测、进程检测、网络检测、外设检测和心跳机制。

第五步，如果RTOS实时操作系统，未检测到Linux/Qnx/Android操作系统状态异常，则延时等待，下一次循环检测；如果检测到Linux/Qnx/Android操作系统状态异常，则发出告警提示，并且开始接管部分Linux/Qnx/Android操作系统的任务，启动降级智能驾驶和降级智能仪表的任务。

通过上述方式，避免因为Linux/Qnx状态异常导致智能驾驶和智能仪表功能瘫痪而引起严重的交通事故，以符合ISO26262汽车功能安全的要求，提高了车辆操作系统控制车辆各个功能/应用的安全性。

请参阅图4，是本申请的一示例性实施例示出的虚拟机安全监控处理方法中实时监测流程图，包括：

第一步，RTOS系统和LINUX/QNX/ANDROID系统都基于虚拟机的VSOCK/VIRTIO-UART通信部署DDS协议栈。

第二步，LINUX/QNX/ANDROID系统作为服务端通过DDS服务发布自身系统健康状态相关的TOPIC(待测主题)。

第三步，RTOS系统作为客户端通过DDS服务一一订阅这些TOPIC，实时监控LINXU/QNX/ANDROID系统的健康状态，监控的内容包括但不限于以下TOPIC：

TOPIC1内存检测：LINUX/QNX/ANDROID系统内核监控堆栈溢出，内存泄漏，总物理内存，已分配内存，未分配内存，共享内存等信息。

TOPIC2 CPU(中央处理器)检测：LINUX/QNX/ANDROID系统内核检测CPU占用率，CPU主频，中断次数，上下文切换次数。

TOPIC3磁盘监控：LINUX/QNX/ANDROID系统内核检测磁盘总容量，已使用容量，未使用容量，文件系统和挂载点等。

TOPIC4进程检测：LINUX/QNX/ANDROID系统内核检测进程数量，进程运行状态，进程运行时间，进程占用的内存大小和进程调度。

TOPIC5网络检测：LINUX/QNX/ANDROID系统内核检测网络延时，阻塞，丢包。

TOPIC6外设检测：LINUX/QNX/ANDROID系统内核检测外设的状态和错误故障查询。

TOPIC7心跳机制：LINUX/QNX/ANDROID系统会主动周期性发出心跳通讯协议。如果RTOS在超时时间内没有检测到LINUX/QNX/ANDROID的心跳通讯协议，则认为LINUX/QNX操作系统运行有问题，会对LINUX/QNX/ANDROID操作做相关的处理。

第四步，一旦RTOS系统检测到订阅的TOPIC有异常，则触发相应的机制，接管部分智能驾驶/智能仪表的必要功能业务，确保安全行车。

在本实施例中，通过对虚拟的第二操作系统进行实时监控，按照上述维度一一对各个方面性能指标进行检测，一旦发生异常，可使用第一操作系统接管当前车辆智能驾驶、智能仪表以及智能座舱所对应的预期任务，不仅满足车辆必需的基础功能，也极大提高了车辆操作系统的安全性。

在一些实施例中，对所述第一操作系统与第二操作系统各自所需的硬件资源进行配置，还包括：

获取所述第一操作系统与第二操作系统当前配置信息，所述配置信息包括内存、处理器、磁盘、进程、网络与外围设备，其中，第二操作系统至少为一个；确定所述第一操作系统与第二操作系统待执行的目标任务，根据所述第一操作系统与第二操作系统待执行的目标任务对各所述操作系统的配置信息进行调节，以使得所述第一操作系统与第二操作系统执行目标任务。

例如，Hypervisor层启动多个操作系统之前，先配置好第一操作系统和第二操作系统所属的CPU以及占用的比例，分别启动多个操作系统，同时对各个操作系统的CPU使用情况进行监控(即，获取第一操作系统和第二操作系统的任务情况)。

当第一操作系统和第二操作系统任务都不繁忙，占用的CPU资源在配置比例以内时，维持当前的运行环境；当第一操作系统有多余的CPU资源空闲，而第二操作系统任务繁忙CPU资源不够用时，把第一操作系统当前空闲的CPU资源提供给第二操作系统使用；

当第二操作系统有多余的CPU资源空闲，而第一操作系统任务繁忙CPU资源不够用时，把第二操作系统当前空闲的CPU资源提供给第一操作系统使用；当第一操作系统和第二操作系统运行任务都很繁忙，且都占用了前期配置的顶格比例时，维持当前的运行环境。

由此，通过Hypervisor层来调度协调各个操作系统的CPU资源，使得CPU资源可以合理有效的利用，提高程序运行的稳定性，从而提升系统性能。

在一些实施例中，所述第一操作系统和所述第二操作系统能够在所述车辆计算设备所对应的硬件层上并行运行，其中，在所述第一操作系统上能够实施至少一种第一应用程序，并且在所述第二操作系统上能够实施至少一种第二应用程序，其中，所述第一应用程序比所述第二应用程序具有更高的安全标准；若所述第二操作系统状态异常，使得所述第一操作系统上能够实施至少一种第二应用程序。

具体地，虚拟机安全监控处理装置包括管理程序，其如此配置，即，由管理程序安装在硬件层上的、具有用于非关键的第二应用的第二操作系统的虚拟机可同时在硬件层上实施。在此，第一操作系统可创建虚拟机，在该虚拟机上托管第二操作系统。第一操作系统例如可借助于API(Anwendungsprogrammschnittstelle，应用程序接口)、例如Hypercall-API创建这种虚拟机。为此使用Type-2管理程序。这种Type-2管理程序集成在完整的主操作系统中，该主操作系统承担虚拟机请求的资源、例如CPU的最终分配。因此，根据现有技术各个操作系统在具有单个存储器的相同的硬件层上运行。但是，应用在不同的操作系统中实施：关键的第一应用在ASIL(AutomotiveSafety Integrity Level，汽车安全完整性等级)认证的操作系统(OS)、在此，为第一操作系统上运行，并且非关键性的第二应用，在高级操作系统(OS)、在此为第二操作系统(例如Android/Linux/Windows)上运行，其中，通过管理程序确保分开。

在一些实施例中，所述第一操作系统与所述第二操作系统，还包括：在业务应用层根据业务需求不同装配有不同业务类型的应用程序，将所述应用程序发出的业务请求通过中间件进行处理，确定服务请求，通过基础协议将所述服务请求传输至抽象层进行封装，得到符合预设格式的请求指令；调用相匹配的操作系统执行所述请求指令，使得硬件层进行响应。

具体地，所述中间件包括以下至少之一：通讯管理、电源管理、安全监控、数据诊断、日志管理、执行管理与网络管理。

在一些实施例中，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统之后，还包括：

部署于所述车辆计算设备所对应操作系统外部的安全监控系统，所述安全监控系统用于监测外部设备的第一状态信息，并将所述第一状态信息同步至所述第一操作系统进行监测，同时，所述安全监控系统接收所述第一操作系统的第二状态信息并进行监测；

从安全监控系统侧来讲，若监测到所述第一操作系统的状态异常，根据预设状态信息分析所述状态异常以确定所述第一操作系统的故障类型，基于所述故障类型判断所述安全监控系统是否能接管当前业务；若所述安全监控系统能接管当前业务，则利用所述安全监控系统执行所述当前业务，其中，若所述第一操作系统的故障类型为预设故障类型，则重启所述第一操作系统进行复位以待恢复；若所述安全监控系统不能接管当前业务，则发出告警信息通知驾驶员；

从第一操作系统侧来讲，若监测到所述安全监控系统的状态异常，根据预设状态信息分析所述状态异常以确定所述安全监控系统的故障类型，基于所述故障类型判断所述第一操作系统是否能接管当前业务；若所述第一操作系统能接管当前业务，则利用所述第一操作系统执行所述当前业务，其中，若所述安全监控系统的故障类型为预设故障类型，则重启所述安全监控系统进行复位以待恢复；若所述第一操作系统不能接管当前业务，则发出告警信息通知驾驶员。

在本实施例中，安全监控系统与第一操作系统之间互相监测对方状态信息，通过实时监测第一状态信息与第二状态信息能够确定两者中是否存在状态异常，一旦发生异常，通过相互隔离的操作系统之间独立性，能够及时监管对方当前业务，一点也不妨碍业务的正常执行，极大确保车辆业务的执行能力，即使处理车辆行驶中，也会因为某些智能驾驶相关业务或智能座舱控制域业务，影响车辆安全正常行驶，以及车辆正常仪表显示。

请参阅图8，为本申请的一示例性实施例示出的虚拟机安全监控处理方法中一安全监控流程图，详述如下：

第一步，整个系统上电，多核SOC芯片初始化配置Hypervisor，基于Hypervisor的初始化后，划分成Rtos，Linux/Qnx、Android系统并启动。

第二步，Linux/Qnx、Android和Hypervisor系统初始化后为一级安全监控，周期性(按预设时间间隔)检测并发布一级安全监控信息；Rtos系统初始化后为二级安全监控，周期性检测并发布二级安全监控信息；外部MCU初始化后为三级安全监控(即，安全监控系统)，周期性检测并发布三级安全监控信息；

在此，需要说明的是，Linux/Qnx系统执行的是驾驶业务，Android系统执行的是座舱业务。

第三步，Rtos系统接收并处理一级安全监控信息，外部MCU接收并处理二级级安全监控信息；

第四步，Linux/Qnx、Android和Hypervisor系统出现偶发异常故障，一级安全监控将故障信息发布出去；

第五步，Rtos系统收到一级安全监控的异常故障信息，查询异常故障表，判断一级安全监控的故障级别(包括一般故障、系统故障、严重故障)，使用二级安全监控执行相应的故障处理；如果二级安全监控出现严重故障，部署在Rtos系统的二级安全监控则将故障信息发布出去。

第六步，外部MCU芯片接收到二级安全监控的严重故障信息，进行故障处理，某些极端情况下，对整个多核SOC芯片复位。

在本实施例中，基于Hypervisor虚拟化的多个操作系统之间协同分工、相互隔离，对虚拟的第二操作系统、第一操作系统与安全监控系统进行实时监控，一旦发生异常，通过操作系统接管之间协同分工、且相互独立，接管车辆当前故障的智能驾驶、智能仪表以及智能座舱所对应的预期任务，不仅满足车辆必需的基础功能，特别是车辆行驶过程中，通过车辆继续执行当前业务，还极大确保车辆行驶安全性。

请参阅图9，为本申请的一示例性实施例示出的虚拟机安全监控处理方法中另一安全监控流程图，详述如下：

第一步，整个系统上电，多核SOC芯片初始化配置Hypervisor，基于Hypervisor划分为Rtos系统并启动。

第二步，Rtos系统初始化二级安全监控，周期性检测并发布二级安全监控信息；外部MCU初始化三级安全监控，周期性检测并发布三级安全监控信息；

第三步，Rtos系统接收并处理三级安全监控信息；

第四步，外部MCU出现偶发异常故障，三级安全监控将故障信息发布出去。

第五步，Rtos系统收到三级安全监控的异常故障信息，查询异常故障表，判断故障级别，执行相应的故障处理。必要时，会接管外部MCU芯片(即，安全监控系统)的部分业务功能，实现芯片冗余，甚至是对MCU芯片进行复位操作。

在本实施例中，通过外部MCU芯片与多核SOC芯片之间相互配合，一方面，从架构层面来讲，提高了系统级芯片可靠性，一旦发生故障，可顺利接管系统级芯片执行的当前故障业务；另一方面，若外部MCU芯片发生故障，也能接管外部MCU芯片的当前故障业务，提高了系统容错性。

图5是本申请的一示例性实施例示出的虚拟机安全监控处理装置的结构框图。该装置可以应用于图1所示的实施环境，并具体配置在智能终端、车辆。该装置也可以适用于其它的示例性实施环境，并具体配置在其它设备中，本实施例不对该装置所适用的实施环境进行限制。

如图5所示，该示例性的虚拟机安全监控处理装置500，包括：

系统划分模块501，用于将车辆计算设备进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全等级高于所述第二操作系统，且所述第一操作系统为实时操作系统；

安全监控模块502，用于实时监测所述第二操作系统的状态；

第一执行模块503，用于若监测到所述第二操作系统的状态正常，则继续保持监测；

第二执行模块504，用于若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

请参阅图6，是本申请的一示例性实施例示出的虚拟机安全监控处理装置中操作系统结构框图，从下到上包括硬件层，汽车操作系统层和应用层，详述如下：

第一层是硬件层，包括但不限于处理器、内存、磁盘、以太网、外围设备，例如，多核SOC(系统级芯片)、USB(Universal Serial Bus，通用串行总线)、DSP(Digital SignalProcessing，数字信号处理器)、SPI(Serial Peripheral Interfac，串行外设接口)、emmc(Embedded Multi Media Card，嵌入式多媒体卡)、flash(存储芯片)等外设资源。

第二层，是Hypervisor层，包括CPU虚拟化，内存虚拟化，中断虚拟化，设备虚拟化，通信虚拟化，调度服务，虚拟机生命周期管理，资源配置，BSP包，调试测试服务和一级安全监控等。Hypervisor直接对硬件资源进行分配管理，Hypervisor实现了狭义操作系统和硬件资源之间的隔离，这样可以减少软件对硬件设备以及驱动的依赖性，是实现软硬件解耦的重要环节。

第三层，是狭义操作系统层，比如，RTOS实时操作系统用于健康状态监控，LIUNX，QNX操作系统用于智能驾驶域，ANDROID系统用于智能座舱域。

第四层，是OSAL(Operating System Abstraction Layer，操作系统抽象层)，对不同狭义操作系统的接口做统一的封装，屏蔽不同狭义操作系统的接口调用差异，有利于狭义操作系统之上的软件平台化。

第五层，是软件平台层，为业务功能应用提供运行的环境。主要包括通讯管理，电源管理，一级安全监控，数据诊断，日志管理，执行管理，网络管理，通信管理，基础库，数据抽象，数据采集，安全监控，OTA，设备管理，通信协议栈等模块，可以根据业务场景需要灵活做裁剪。

其中，基础协议栈，集成UDS(Unified Diagnostic Services，统一诊断服务)，DOIP(Diagnosticon IP，诊断通信)，HTTP(Hyper Text Transfer Protocol，超文本传输协议)，DDS(Data Distribution Service，数据分发服务)，SOMEIP(Scalable service-Oriented Middleware over IP，SOA架构最核心的通信协议)，MQTT(Message QueuingTelemetry Transport，消息队列遥测传输)等协议。

第六层，是业务应用层，智能驾驶域的应用包括盲点检测，疲劳预警，紧急制动，自适应巡航，智能泊车，车道保持等；智能座舱的应用包括人机交互，音乐播放，车辆设置，语音识别，车载TKV，蓝牙电话等；RTOS实时操作系统上部署的应用业务有安全停车，紧急提醒等冗余功能。

在本实施例中，整个方案的安全监控分为三个等级，分别是一级安全监控，二级安全监控和三级安全监控。其中，Linux/Qnx/Android系统和Hypervisor系统部署一级安全监控，Rtos系统部署二级安全监控，外部MCU(微处理器)芯片部署三级安全监控。三个等级的安全监控的功能职责如下：

一级安全监控：

部署在Linux/Qnx/Android系统，监控系统自身的关键程序，例如，内核状态，cpu占用率，内存状态，通信负载，通信延迟，上下文切换时间/次数，中断延迟，调度延迟，设备状态，心跳状态等。并将这些信息通过基于VIRTIO(即，半虚拟化hypervisor中位于设备之上的抽象层)的dds(Data Distribution Service，数据分发服务)协议栈发给二级安全监控。

部署在Hypervisor系统，监控Hypervisor系统关键程序，例如，虚拟化生命周期，虚拟化设备状态，虚拟化内存状态，虚拟化通信状态，驱动设备状态，中断延迟，调度延迟，心跳状态等。并将这些信息通过dds协议栈发给二级安全监控。

二级安全监控：

部署在Rtos系统，检测Rtos系统自身的关键程序，例如，内核状态，cpu占用率，内存状态，通信负载，通信延迟，上下文切换时间/次数，中断延迟，调度延迟，设备状态，心跳状态等等。并将这些信息通过dds协议栈发给外部MCU芯片的三级安全监控。

部署在Rtos系统，接收一级安全监控发布的周期性信息，并对一级安全监控信息进行分析，如果发现异常，则根据异常故障表进行故障级别分类，故障记录，故障处理；如果出现验证故障，会将一级安全监控异常信息通过dds协议栈通知外部MCU芯片的三级安全监控，外部MCU芯片根据异常故障表做相应的故障处理。

部署在Rtos系统，接收三级安全监控发布的周期性信息，并对三级安全监控信息进行分析，如果发现异常，则根据异常故障表进行故障级别分类，故障记录，故障处理；必要时，会接管外部MCU芯片的部分业务功能，实现芯片冗余，甚至是对MCU芯片进行复位操作。

三级安全监控：

部署在外部MCU芯片，检测MCU系统自身的关键程序，例如，内核状态，cpu占用率，内存状态，通信负载，通信延迟，上下文切换时间/次数，中断延迟，调度延迟，设备状态，心跳状态等等。并将这些信息通过dds协议栈发给Rtos系统的二级安全监控。

部署在外部MCU芯片，接收二级安全监控发布的周期性信息，并对二级安全监控信息进行分析，如果发现异常，则根据异常故障表进行故障级别分类，故障记录，故障处理，某些极端情况下，对整个多核SOC芯片复位。

在本实施例中，第一操作系统与第二操作系统，在业务应用层根据业务需求不同装配有不同业务类型的应用程序，将应用程序发出的业务请求通过中间件进行处理，确定服务请求，通过基础协议将服务请求传输至抽象层进行封装，得到符合预设格式的请求指令；调用相匹配的操作系统执行请求指令，使得硬件层进行响应。

具体地，中间件包括以下至少之一：通讯管理、电源管理、安全监控、数据诊断、日志管理、执行管理与网络管理。

在该示例性的虚拟机安全监控处理装置将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统；实时监测第二操作系统的状态；若监测到第二操作系统的状态正常，则继续保持监测；若监测到第二操作系统的状态异常，则发出告警信号，利用第一操作系统接管第二操作系统当前业务，以使车辆继续执行当前业务，基于Hypervisor虚拟化的多个操作系统之间协同分工、相互隔离，对虚拟的第二操作系统进行实时监控，一旦发生异常，可使用第一操作系统接管当前车辆智能驾驶、智能仪表以及智能座舱所对应的预期任务，不仅满足车辆必需的基础功能，也极大提高了车辆操作系统的安全性。

需要说明的是，上述实施例所提供的虚拟机安全监控处理与上述实施例所提供的虚拟机安全监控处理方法属于同一构思，其中各个模块和单元执行操作的具体方式已经在方法实施例中进行了详细描述，此处不再赘述。上述实施例所提供的虚拟机安全监控处理装置在实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能，本处也不对此进行限制。

本申请的实施例还提供了一种电子设备，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现上述各个实施例中提供的虚拟机安全监控处理方法。

图7示出了适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。需要说明的是，图7示出的电子设备的计算机系统700仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图7所示，计算机系统700包括中央处理单元(Central Processing Unit，CPU)701，其可以根据存储在只读存储器(Read-Only Memory，ROM)702中的程序或者从储存部分708加载到随机访问存储器(Random Access Memory，RAM)703中的程序而执行各种适当的动作和处理，例如执行上述实施例中所述虚拟机安全监控处理方法。在RAM703中，还存储有系统操作所需的各种程序和数据。CPU701、ROM702以及RAM703通过总线704彼此相连。输入/输出(Input/Output，I/O)接口705也连接至总线704。

以下部件连接至I/O接口705：包括键盘、鼠标等的输入部分706；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分707；包括硬盘等的储存部分708；以及包括诸如LAN(Local Area Network，局域网)卡、调制解调器等的网络接口卡的通信部分709。通信部分709经由诸如因特网的网络执行通信处理。驱动器710也根据需要连接至I/O接口705。可拆卸介质711，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器710上，以便于从其上读出的计算机程序根据需要被安装入储存部分708。

特别地，根据本申请的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的计算机程序。在这样的实施例中，该计算机程序可以通过通信部分709从网络上被下载和安装，和/或从可拆卸介质711被安装。在该计算机程序被中央处理单元(CPU)701执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的计算机程序。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的计算机程序可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

本申请还提供了一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如前所述虚拟机安全监控处理方法。该计算机可读存储介质可以是上述实施例中描述的电子设备中所包含的，也可以是单独存在，而未装配入该电子设备中。

上述实施例仅示例性说明本申请的原理及其功效，而非用于限制本申请。任何熟悉此技术的人士皆可在不违背本申请的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本申请所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本申请的权利要求所涵盖。

Claims (15)

1.一种虚拟机安全监控处理方法，其特征在于，包括：

将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全标准高于所述第二操作系统，且所述第一操作系统为实时操作系统；

实时监测所述第二操作系统的状态；

若监测到所述第二操作系统的状态正常，则继续保持监测；

若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

2.根据权利要求1所述的虚拟机安全监控处理方法，其特征在于，将车辆计算设备进行虚拟化处理，划分为第一操作系统与第二操作系统，还包括：

基于虚拟机管理程序将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统；

所述第一操作系统与第二操作系统基于所述车辆计算设备共享的资源进行分区；

待分区完成后，对所述第一操作系统与第二操作系统各自所需的硬件资源进行配置，以使所述第一操作系统与第二操作系统之间在进程间通信。

3.根据权利要求2所述的虚拟机安全监控处理方法，其特征在于，对所述第一操作系统与第二操作系统各自所需的硬件资源进行配置，还包括：

获取所述第一操作系统与第二操作系统当前配置信息，所述配置信息包括内存、处理器、磁盘、进程、网络与外围设备；

确定所述第一操作系统与第二操作系统待执行的目标任务，根据所述第一操作系统与第二操作系统待执行的目标任务对各所述操作系统的配置信息进行调节，以使得所述第一操作系统与第二操作系统执行目标任务。

4.根据权利要求1所述的虚拟机安全监控处理方法，其特征在于，实时监测所述第二操作系统的状态，还包括：

通过数据分发服务订阅所述第二操作系统的待测主题，实时监测所述第二操作系统待测主题所对应的性能指标，所述性能指标包括内存、处理器、磁盘、进程、网络、外围设备以及心跳中的至少之一；

若检测到所述性能指标与类型匹配的预设性能指标不符，确定与预设性能指标不符的所述性能指标为异常指标，统计并显示所述异常指标；

若监测到任一所述异常指标，则确定所述第二操作系统的状态异常；若未监测到所述异常指标，则确定所述第二操作系统的状态正常。

5.根据权利要求4任一所述的虚拟机安全监控处理方法，其特征在于，若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务，还包括：

所述第一操作系统和所述第二操作系统分别与车辆计算设备之间形成冗余通信，且所述第一操作系统和所述第二操作系统各进程之间相互通信；

若监测到所述第二操作系统的状态异常，根据引发状态异常的性能指标的类型发出不同的告警信号；确定所述第二操作系统在异常状态时当前所处理的业务，暂停当前业务，使得所述第一操作系统根据所述第二操作系统当前业务处理进程接管所述第二操作系统当前业务，通过降低当前业务要求以使所述车辆继续执行所述当前业务。

6.根据权利要求4所述的虚拟机安全监控处理方法，其特征在于，所述第一操作系统和所述第二操作系统能够在所述车辆计算设备所对应的硬件层上并行运行，其中，在所述第一操作系统上能够实施至少一种第一应用程序，并且在所述第二操作系统上能够实施至少一种第二应用程序，其中，所述第一应用程序比所述第二应用程序具有更高的安全标准；若所述第二操作系统状态异常，使得所述第一操作系统上能够实施至少一种第二应用程序。

7.根据权利要求1所述的虚拟机安全监控处理方法，其特征在于，所述第一操作系统与所述第二操作系统，还包括：根据业务需求不同装配有不同业务类型的应用程序，将所述应用程序发出的业务请求通过中间件进行处理，确定服务请求，将所述服务请求进行封装，得到符合预设格式的请求指令；调用相匹配的操作系统执行所述请求指令进行响应。

8.根据权利要求7所述的虚拟机安全监控处理方法，其特征在于，所述中间件包括以下至少之一：通讯管理、电源管理、安全监控、数据诊断、日志管理、执行管理与网络管理。

9.根据权利要求1所述的虚拟机安全监控处理方法，其特征在于，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统之后，还包括：

部署于所述车辆计算设备所对应操作系统外部的安全监控系统，所述安全监控系统用于监测外部设备的第一状态信息，并将所述第一状态信息同步至所述第一操作系统进行监测，同时，所述安全监控系统接收所述第一操作系统的第二状态信息并进行监测；

若监测到所述第一操作系统的状态异常，根据预设状态信息分析所述状态异常以确定所述第一操作系统的故障类型，基于所述故障类型判断所述安全监控系统是否能接管当前业务；

若所述安全监控系统能接管当前业务，则利用所述安全监控系统执行所述当前业务，其中，若所述第一操作系统的故障类型为预设故障类型，则重启所述第一操作系统进行复位以待恢复；若所述安全监控系统不能接管当前业务，则发出告警信息通知驾驶员。

10.根据权利要求1所述的虚拟机安全监控处理方法，其特征在于，将车辆计算设备所对应操作系统进行虚拟化处理，划分为第一操作系统与第二操作系统之后，还包括：

部署于所述车辆计算设备所对应操作系统外部的安全监控系统，所述安全监控系统用于监测外部设备的第一状态信息，并将所述第一状态信息同步至所述第一操作系统进行监测，同时，所述安全监控系统接收所述第一操作系统的第二状态信息并进行监测；

若监测到所述安全监控系统的状态异常，根据预设状态信息分析所述状态异常以确定所述安全监控系统的故障类型，基于所述故障类型判断所述第一操作系统是否能接管当前业务；

若所述第一操作系统能接管当前业务，则利用所述第一操作系统执行所述当前业务，其中，若所述安全监控系统的故障类型为预设故障类型，则重启所述安全监控系统进行复位以待恢复；若所述第一操作系统不能接管当前业务，则发出告警信息通知驾驶员。

11.根据权利要求1至8任一所述的虚拟机安全监控处理方法，其特征在于，所述第二操作系统包括Linux操作系统、Qnx操作系统与Android操作系统中的至少之一。

12.一种虚拟机安全监控处理装置，其特征在于，所述装置包括：

系统划分模块，用于将车辆计算设备进行虚拟化处理，划分为第一操作系统与第二操作系统，其中，所述第一操作系统的安全等级高于所述第二操作系统，且所述第一操作系统为实时操作系统；

安全监控模块，用于实时监测所述第二操作系统的状态；

第一执行模块，用于若监测到所述第二操作系统的状态正常，则继续保持监测；

第二执行模块，用于若监测到所述第二操作系统的状态异常，则发出告警信号，利用所述第一操作系统接管所述第二操作系统当前业务，以使所述车辆继续执行所述当前业务。

13.一种电子设备，其特征在于，包括：

一个或多个处理器；

存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述电子设备实现权利要求1至11中任一项所述的虚拟机安全监控处理方法。

14.一种车辆设备，其特征在于，包括权利要求12所述的电子设备。

15.一种计算机可读存储介质，其特征在于，其上存储有计算机可读指令，当所述计算机可读指令被计算机的处理器执行时，使计算机执行权利要求1至11中任一项所述的虚拟机安全监控处理方法。