智能網(wǎng)聯(lián)的發(fā)展態(tài)勢(shì)下，軟件功能安全和信息安全的重要性也與日俱增，如何防止軟件故障對(duì)汽車系統(tǒng)的整體運(yùn)行產(chǎn)生影響？？如何阻止外界對(duì)系統(tǒng)的網(wǎng)絡(luò)攻擊，防止用戶隱私泄露？為了解決以上問(wèn)題，Vector可以為車企提供全面的網(wǎng)絡(luò)安全與功能安全服務(wù)，包括咨詢服務(wù)、測(cè)試服務(wù)、培訓(xùn)服務(wù)和軟件解決方案服務(wù)，以幫助車企確保其系統(tǒng)的安全性，將現(xiàn)有的標(biāo)準(zhǔn)和安全概念進(jìn)行拆分，具體到操作層面為用戶提供幫助。

2023年3月14-16日，2023第四屆軟件定義汽車論壇暨AUTOSAR中國(guó)日上，維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert表示，汽車從封閉的載人工具轉(zhuǎn)向智能終端，開(kāi)放的生態(tài)一方面帶給用戶便利，另一方面也增加了網(wǎng)絡(luò)風(fēng)險(xiǎn)，更容易受到攻擊，也就使得軟件適配相關(guān)問(wèn)題的處理更加迫在眉睫。

Dr. Christof Ebert表示：“我們需要新的預(yù)期安全的方法論，需要讓軟件的供應(yīng)鏈具有可追溯性，需要完整的、系統(tǒng)性的新測(cè)試方法學(xué)，不同于線性測(cè)試的嶄新測(cè)試環(huán)境，從而降低成本，提高效率，更快速地找到缺陷和漏洞?！?/p>

維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert

以下是演講內(nèi)容整理：

維克多是一家全球領(lǐng)先的汽車電子和軟件開(kāi)發(fā)工具供應(yīng)商，總部設(shè)在德國(guó)斯圖加特。我們擁有先進(jìn)的辦公設(shè)施和技術(shù)團(tuán)隊(duì)，為全球汽車行業(yè)提供高質(zhì)量的解決方案和服務(wù)，涵蓋汽車電子和軟件開(kāi)發(fā)工具、網(wǎng)絡(luò)安全、功能安全、嵌入式軟件、自動(dòng)駕駛、測(cè)試與測(cè)量等領(lǐng)域，我們的目標(biāo)是幫助客戶提高汽車質(zhì)量和性能，滿足市場(chǎng)需求和法規(guī)標(biāo)準(zhǔn)。

發(fā)展趨勢(shì)與行業(yè)挑戰(zhàn)

在本次演講中，我將向大家介紹汽車行業(yè)面臨的主要挑戰(zhàn)，以及維克多如何應(yīng)對(duì)這些挑戰(zhàn)，并保持自身的競(jìng)爭(zhēng)力和創(chuàng)新力。

汽車行業(yè)正處于一個(gè)快速變化和激烈競(jìng)爭(zhēng)的環(huán)境中。無(wú)論是短期還是長(zhǎng)期來(lái)看，汽車廠商都需要不斷適應(yīng)市場(chǎng)變化，提升產(chǎn)品質(zhì)量和效率，降低成本和風(fēng)險(xiǎn)，同時(shí)也要關(guān)注環(huán)保和社會(huì)責(zé)任。為了實(shí)現(xiàn)這些目標(biāo)，汽車廠商需要借助先進(jìn)的解決方案來(lái)保證產(chǎn)品的可靠性和安全性。

在我看來(lái)，未來(lái)汽車行業(yè)面臨的主要風(fēng)險(xiǎn)是核心能力不足，這是我們面臨的巨大挑戰(zhàn)。造成這一挑戰(zhàn)的原因之一就在于產(chǎn)品IT和企業(yè)IT的融合，新架構(gòu)的出現(xiàn)，軟件定義革命的興起。車載代碼量呈指數(shù)級(jí)的上升，這意味著面向服務(wù)SOA架構(gòu)的推廣和使用。要提高核心生產(chǎn)能力，必然需要產(chǎn)品、技術(shù)、企業(yè)的相互配合，維克多也為推動(dòng)這一進(jìn)程打造了諸多產(chǎn)品，大多數(shù)開(kāi)發(fā)者和汽車工程師都可以運(yùn)用維克多的產(chǎn)品提升效率，獲得更多收益。

智能汽車在未來(lái)發(fā)展的過(guò)程中的必然挑戰(zhàn)就在于指數(shù)級(jí)增長(zhǎng)的數(shù)據(jù)，這些數(shù)據(jù)能給汽車帶來(lái)巨大的發(fā)展?jié)摿?，但也?huì)帶來(lái)更多的功能安全和網(wǎng)絡(luò)安全問(wèn)題，而網(wǎng)絡(luò)安全和功能安全往往是緊密聯(lián)系的。維克多注重汽車安全問(wèn)題，我們清晰地意識(shí)到，如果數(shù)據(jù)可以被更改，如果端口可以受到攻擊，如果不能夠保證車載系統(tǒng)的軟件安全，那就會(huì)讓每一個(gè)乘客置身危險(xiǎn)之中。然而，產(chǎn)品安全是建立在工程師對(duì)于所部署軟件及其功能的深度了解上的，沒(méi)有功能安全就沒(méi)有網(wǎng)絡(luò)安全。

具體而言，功能安全主要是為了保護(hù)人或環(huán)境免受自動(dòng)化系統(tǒng)故障的影響，而網(wǎng)絡(luò)安全是為了保護(hù)汽車系統(tǒng)免受外界攻擊，進(jìn)而避免危及道路使用者或周圍環(huán)境。

圖片來(lái)源：嘉賓演講材料

針對(duì)這些安全隱患和網(wǎng)絡(luò)攻擊進(jìn)行分析時(shí)，我們意識(shí)到，百分之九十的網(wǎng)絡(luò)襲擊是針對(duì)IT和軟件系統(tǒng)的，軟件的日趨復(fù)雜和數(shù)據(jù)量的快速增加也讓智能網(wǎng)聯(lián)汽車的攻擊面不斷增多，比如針對(duì)車隊(duì)層面的攻擊，這種攻擊不僅僅會(huì)影響一輛車的軟件系統(tǒng)，更會(huì)波及到軟件所在的網(wǎng)絡(luò)環(huán)境，甚至軟件到汽車的整體供應(yīng)鏈條。

汽車網(wǎng)絡(luò)安全方面的法規(guī)和標(biāo)準(zhǔn)

因此，我們必須從軟件開(kāi)發(fā)的維度入手，在考慮安全問(wèn)題時(shí)將軟件相關(guān)供應(yīng)鏈的安全需求考慮在內(nèi)。以下是目前所使用的行業(yè)安全標(biāo)準(zhǔn)：最底部是產(chǎn)品開(kāi)發(fā)過(guò)程所用到的安全標(biāo)準(zhǔn)，比如ISO 9001，ISO/TS 16949，這些是產(chǎn)品開(kāi)發(fā)的地基；倒數(shù)第二層則是流程成熟度標(biāo)準(zhǔn)，比如ASPICE：用于改進(jìn)汽車行業(yè)軟件開(kāi)發(fā)過(guò)程和提升軟件能力的標(biāo)準(zhǔn)化流程管理，這屬于高等級(jí)質(zhì)量標(biāo)準(zhǔn)；倒數(shù)第三層就是功能安全、網(wǎng)絡(luò)安全和認(rèn)證標(biāo)準(zhǔn)；它們共同支撐起了產(chǎn)品責(zé)任。

圖片來(lái)源：嘉賓演講材料

當(dāng)然，標(biāo)準(zhǔn)和標(biāo)準(zhǔn)之間是不同的，我們必須知道在哪里可以找到適用于自身產(chǎn)品的標(biāo)準(zhǔn)，達(dá)到效率，質(zhì)量，安全之間的最優(yōu)解。

近日，在軟件開(kāi)發(fā)領(lǐng)域中出現(xiàn)了許多令人深思的案例。例如，在產(chǎn)品需求與軟件測(cè)試之間缺乏有效地溝通與反饋機(jī)制，缺乏可追溯性；軟件功能模塊的大部分內(nèi)容要么過(guò)度檢測(cè)，要么不經(jīng)檢測(cè)；對(duì)于汽車用戶進(jìn)行了大量冗余而無(wú)效果的單元測(cè)試等等。事實(shí)上，只進(jìn)行單元測(cè)試并不能保證軟件的質(zhì)量和性能，只有在完成整體的、系統(tǒng)的、集成式的測(cè)試之后，才能真正驗(yàn)證軟件的可靠性和安全性。

此外，由于一部分細(xì)分領(lǐng)域的軟件生產(chǎn)商對(duì)于安全保障的標(biāo)準(zhǔn)并沒(méi)有全面的認(rèn)識(shí)，這就造成了測(cè)試策略的很多盲區(qū)，由于測(cè)試策略不足進(jìn)而造成了不同領(lǐng)域的資源浪費(fèi)：底層部分的測(cè)試太多，集成與系統(tǒng)層的則遠(yuǎn)遠(yuǎn)不夠。

了解了這一點(diǎn)，我們就可以進(jìn)入到中間層，也就是功能安全、網(wǎng)絡(luò)安全和合規(guī)標(biāo)準(zhǔn)領(lǐng)域了。

汽車功能安全的經(jīng)典標(biāo)準(zhǔn)是ISO 26262，AI領(lǐng)域的主要是ISO 21448（SOTIF）、自動(dòng)駕駛ISO TS5083等等；汽車網(wǎng)絡(luò)安全中的經(jīng)典標(biāo)準(zhǔn)是ISO 21434，SAE J3061（網(wǎng)絡(luò)安全過(guò)程和全生命周期）；合規(guī)領(lǐng)域主要是UNECE聯(lián)合國(guó)歐洲經(jīng)濟(jì)委員會(huì)于2021年推出的CSMS和SUMS兩種車輛法規(guī)，分別代表車輛網(wǎng)絡(luò)安全管理系統(tǒng)和軟件更新管理系統(tǒng)，根據(jù)UNECE的車輛法規(guī)，自2022年7月起，所有新型號(hào)的汽車都必須滿足法規(guī)的相關(guān)要求，并且在2024年7月之前，所有已經(jīng)上市的汽車也必須完成合規(guī)。

圖片來(lái)源：嘉賓演講材料

接下來(lái)具體看功能安全標(biāo)準(zhǔn)ISO 26262的架構(gòu)和涉及細(xì)節(jié)，ISO 26262新版適用范圍擴(kuò)展延伸到卡車、公共汽車和摩托車等所有車型，標(biāo)準(zhǔn)共分12個(gè)部分，新舊版本對(duì)比來(lái)看，原本啟動(dòng)安全生命周期，啟動(dòng)系統(tǒng)層面產(chǎn)品開(kāi)發(fā)，啟動(dòng)硬件層面產(chǎn)品開(kāi)發(fā)、啟動(dòng)軟件層面產(chǎn)品開(kāi)發(fā)的章節(jié)內(nèi)容，都轉(zhuǎn)移到新版第2部分第6章功能安全管理中，原版第4部分的功能安全評(píng)估和產(chǎn)品發(fā)布章節(jié)內(nèi)容也轉(zhuǎn)移到新版第2部分，并且將原本第4部分的第6章技術(shù)安全要求與第7章系統(tǒng)設(shè)計(jì)進(jìn)行了合并。

圖片來(lái)源：嘉賓演講材料

相比ISO 26262，ISO 21434給出了一些指導(dǎo)，比如如何在供應(yīng)商之間達(dá)成協(xié)議，具體的產(chǎn)品要求和面向生命周期的標(biāo)準(zhǔn)要素……但在標(biāo)準(zhǔn)的周密程度上，ISO 21434無(wú)法與ISO 26262相比，因?yàn)榍罢吒嗍翘峁┠繕?biāo)，而非方法。但換個(gè)角度看，ISO 21434會(huì)給企業(yè)更高的自由度，這有時(shí)也會(huì)助推企業(yè)的管理和技術(shù)方法革新，相反，由于ISO 26262標(biāo)準(zhǔn)繁復(fù)厚重，很多企業(yè)會(huì)直接復(fù)制其內(nèi)部的辦法到開(kāi)發(fā)中去，這看起來(lái)是高效的做法，但無(wú)助于技術(shù)的創(chuàng)新和效率的進(jìn)一步提升。

最后，我們要說(shuō)的是ASPICE：用于改進(jìn)汽車行業(yè)軟件開(kāi)發(fā)過(guò)程和提升軟件能力的標(biāo)準(zhǔn)化流程管理的質(zhì)量標(biāo)準(zhǔn)，它不涉及功能安全、網(wǎng)絡(luò)安全和系統(tǒng)安全，這一標(biāo)準(zhǔn)主要為流程工藝提供要求。當(dāng)我回顧過(guò)去幾年該領(lǐng)域的行業(yè)發(fā)展時(shí)，我發(fā)現(xiàn)，2010年以前，行業(yè)的流程成熟度是相當(dāng)高的，但是這一水平在逐步下降。

這主要由于兩個(gè)原因：第一，行業(yè)環(huán)境在不斷變化，新的要求越來(lái)越多；第二，汽車的架構(gòu)在發(fā)生變化，尤其軟件架構(gòu)，如何更好的融合IT和汽車企業(yè)，好的軟件架構(gòu)非常重要。

圖片來(lái)源：嘉賓演講材料

實(shí)踐指南部分

接下來(lái)進(jìn)入第三部分，應(yīng)急系統(tǒng)特性：可用性，安全性和安保性。

面對(duì)越來(lái)越多的未知場(chǎng)景，我們?nèi)绾谓㈩A(yù)期功能安全？首先，SOTIF（道路車輛 預(yù)期功能安全）所關(guān)注的是外部觸發(fā)事件造成的危害，不是系統(tǒng)內(nèi)失效引起的危害。讓我們用安全和已知這兩個(gè)維度劃分一個(gè)四象限圖：可以劃分為已知的安全場(chǎng)景，已知的不安全場(chǎng)景，未知的安全場(chǎng)景，未知的不安全場(chǎng)景四部分。

ISO 26262和其他典型的功能安全的方法專注于已知的情況，那么未知場(chǎng)景就是SOTIF的負(fù)責(zé)部分，這適用于不同的行業(yè)，也就是說(shuō)我們可以不僅僅談?wù)撈?，還可以談?wù)撐锫?lián)網(wǎng)、汽車發(fā)展等其他領(lǐng)域的預(yù)期安全需求。為什么要做這么多延申？這主要是由于融合趨勢(shì)下，AI，5G，IT都和汽車行業(yè)發(fā)生了交叉，這就需要我們擺脫傳統(tǒng)的限制，站在汽車未來(lái)發(fā)展的角度預(yù)判標(biāo)準(zhǔn)的發(fā)展。

比如，在未來(lái)，汽車之間可能會(huì)使用通信系統(tǒng)甚至通過(guò)云架構(gòu)互相交流，正如智能手機(jī)，真正有趣的系統(tǒng)一定是軟件定義的部分。此前，工程師只關(guān)注硬件的內(nèi)容，并盡量讓硬件保持穩(wěn)定的發(fā)展態(tài)勢(shì)，但軟件定義汽車是非常重要的一個(gè)趨勢(shì)，它將真正改變汽車產(chǎn)業(yè)生態(tài)和各種產(chǎn)品形態(tài)，也將帶來(lái)各種各樣的安全性沖突：比如出車禍之后，系統(tǒng)可能在緊急情況下拒絕打開(kāi)車門的需求。

就像我說(shuō)的，沒(méi)有功能安全就沒(méi)有網(wǎng)絡(luò)安全，為了讓汽車更好地理解人的指令，我們必須要思考如何將功能安全的每個(gè)階段都同網(wǎng)絡(luò)安全緊密聯(lián)系在一起，因此，我們需要更多地使用基于模型的算法來(lái)解決項(xiàng)目中的問(wèn)題，通過(guò)連接不同的抽象層，我們不僅能夠識(shí)別未知數(shù)，還能夠按照順序做正確的事情，安全性、可追蹤性和確定性是我們需要考慮的因素。

在談?wù)摼W(wǎng)絡(luò)安全時(shí)，我們需要考慮缺少了什么。例如，我們可能缺少靜態(tài)代碼分析、軟件質(zhì)量保證技術(shù)、體系結(jié)構(gòu)分析和高水平系統(tǒng)測(cè)試等方面的經(jīng)驗(yàn)。因此，在測(cè)試過(guò)程中，我們需要考慮如何確保更新管理不會(huì)被破壞。在網(wǎng)絡(luò)安全領(lǐng)域，我們需要更加務(wù)實(shí)地將不同的安全測(cè)試技術(shù)結(jié)合起來(lái)。從靜態(tài)分析到動(dòng)態(tài)分析等等，每個(gè)工具都是必要的，且各有長(zhǎng)處和弱點(diǎn)，我們需要將它們結(jié)合起來(lái)以制定更好的測(cè)試策略。

總結(jié)與展望

汽車從封閉的載人工具轉(zhuǎn)向智能終端，開(kāi)放的生態(tài)一方面帶給用戶便利，另一方面也增加了網(wǎng)絡(luò)風(fēng)險(xiǎn)，更容易受到攻擊，也就使得軟件適配相關(guān)問(wèn)題的處理更加迫在眉睫（，我們需要新的預(yù)期安全的方法論，需要讓軟件的供應(yīng)鏈具有可追溯性，需要完整的、系統(tǒng)性的新測(cè)試方法學(xué)，不同于線性測(cè)試的嶄新測(cè)試環(huán)境，從而降低成本，提高效率，更快速地找到缺陷和漏洞。

圖片來(lái)源：嘉賓演講材料

未來(lái)已來(lái)，我們需要更安全、更完善的供應(yīng)鏈管理策略，需要針對(duì)軟件的整個(gè)生命周期進(jìn)行監(jiān)測(cè)和更新，正如以上提到的，我們?nèi)狈诵哪芰?，我也將其稱為自主能力。在產(chǎn)品IT和企業(yè)IT的融合趨勢(shì)下找到新的商機(jī)，未來(lái)的工程師必須對(duì)兩個(gè)世界都有深刻的理解，并確保將專業(yè)領(lǐng)域的知識(shí)落實(shí)到汽車這一載體上，讓汽車越來(lái)越自主，越來(lái)越智能，成為賦予人們便利的生活伙伴。

（以上內(nèi)容來(lái)自維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert于2023年3月14日-16日在2023第四屆軟件定義汽車論壇暨AUTOSAR中國(guó)日發(fā)表的《Safety and Security: Technology and Trends》主題演講。）

返回第一電動(dòng)網(wǎng)首頁(yè) >