智能網聯的發展態勢下，軟件功能安全和信息安全的重要性也與日俱增，如何防止軟件故障對汽車系統的整體運行產生影響？？如何阻止外界對系統的網絡攻擊，防止用戶隱私泄露？為了解決以上問題，Vector可以為車企提供全面的網絡安全與功能安全服務，包括咨詢服務、測試服務、培訓服務和軟件解決方案服務，以幫助車企確保其系統的安全性，將現有的標準和安全概念進行拆分，具體到操作層面為用戶提供幫助。

2023年3月14-16日，2023第四屆軟件定義汽車論壇暨AUTOSAR中國日上，維克多咨詢服務總經理Dr. Christof Ebert表示，汽車從封閉的載人工具轉向智能終端，開放的生態一方面帶給用戶便利，另一方面也增加了網絡風險，更容易受到攻擊，也就使得軟件適配相關問題的處理更加迫在眉睫。

Dr. Christof Ebert表示：“我們需要新的預期安全的方法論，需要讓軟件的供應鏈具有可追溯性，需要完整的、系統性的新測試方法學，不同于線性測試的嶄新測試環境，從而降低成本，提高效率，更快速地找到缺陷和漏洞。”

維克多咨詢服務總經理Dr. Christof Ebert

以下是演講內容整理：

維克多是一家全球領先的汽車電子和軟件開發工具供應商，總部設在德國斯圖加特。我們擁有先進的辦公設施和技術團隊，為全球汽車行業提供高質量的解決方案和服務，涵蓋汽車電子和軟件開發工具、網絡安全、功能安全、嵌入式軟件、自動駕駛、測試與測量等領域，我們的目標是幫助客戶提高汽車質量和性能，滿足市場需求和法規標準。

發展趨勢與行業挑戰

在本次演講中，我將向大家介紹汽車行業面臨的主要挑戰，以及維克多如何應對這些挑戰，并保持自身的競爭力和創新力。

汽車行業正處于一個快速變化和激烈競爭的環境中。無論是短期還是長期來看，汽車廠商都需要不斷適應市場變化，提升產品質量和效率，降低成本和風險，同時也要關注環保和社會責任。為了實現這些目標，汽車廠商需要借助先進的解決方案來保證產品的可靠性和安全性。

在我看來，未來汽車行業面臨的主要風險是核心能力不足，這是我們面臨的巨大挑戰。造成這一挑戰的原因之一就在于產品IT和企業IT的融合，新架構的出現，軟件定義革命的興起。車載代碼量呈指數級的上升，這意味著面向服務SOA架構的推廣和使用。要提高核心生產能力，必然需要產品、技術、企業的相互配合，維克多也為推動這一進程打造了諸多產品，大多數開發者和汽車工程師都可以運用維克多的產品提升效率，獲得更多收益。

智能汽車在未來發展的過程中的必然挑戰就在于指數級增長的數據，這些數據能給汽車帶來巨大的發展潛力，但也會帶來更多的功能安全和網絡安全問題，而網絡安全和功能安全往往是緊密聯系的。維克多注重汽車安全問題，我們清晰地意識到，如果數據可以被更改，如果端口可以受到攻擊，如果不能夠保證車載系統的軟件安全，那就會讓每一個乘客置身危險之中。然而，產品安全是建立在工程師對于所部署軟件及其功能的深度了解上的，沒有功能安全就沒有網絡安全。

具體而言，功能安全主要是為了保護人或環境免受自動化系統故障的影響，而網絡安全是為了保護汽車系統免受外界攻擊，進而避免危及道路使用者或周圍環境。

圖片來源：嘉賓演講材料

針對這些安全隱患和網絡攻擊進行分析時，我們意識到，百分之九十的網絡襲擊是針對IT和軟件系統的，軟件的日趨復雜和數據量的快速增加也讓智能網聯汽車的攻擊面不斷增多，比如針對車隊層面的攻擊，這種攻擊不僅僅會影響一輛車的軟件系統，更會波及到軟件所在的網絡環境，甚至軟件到汽車的整體供應鏈條。

汽車網絡安全方面的法規和標準

因此，我們必須從軟件開發的維度入手，在考慮安全問題時將軟件相關供應鏈的安全需求考慮在內。以下是目前所使用的行業安全標準：最底部是產品開發過程所用到的安全標準，比如ISO 9001，ISO/TS 16949，這些是產品開發的地基；倒數第二層則是流程成熟度標準，比如ASPICE：用于改進汽車行業軟件開發過程和提升軟件能力的標準化流程管理，這屬于高等級質量標準；倒數第三層就是功能安全、網絡安全和認證標準；它們共同支撐起了產品責任。

圖片來源：嘉賓演講材料

當然，標準和標準之間是不同的，我們必須知道在哪里可以找到適用于自身產品的標準，達到效率，質量，安全之間的最優解。

近日，在軟件開發領域中出現了許多令人深思的案例。例如，在產品需求與軟件測試之間缺乏有效地溝通與反饋機制，缺乏可追溯性；軟件功能模塊的大部分內容要么過度檢測，要么不經檢測；對于汽車用戶進行了大量冗余而無效果的單元測試等等。事實上，只進行單元測試并不能保證軟件的質量和性能，只有在完成整體的、系統的、集成式的測試之后，才能真正驗證軟件的可靠性和安全性。

此外，由于一部分細分領域的軟件生產商對于安全保障的標準并沒有全面的認識，這就造成了測試策略的很多盲區，由于測試策略不足進而造成了不同領域的資源浪費：底層部分的測試太多，集成與系統層的則遠遠不夠。

了解了這一點，我們就可以進入到中間層，也就是功能安全、網絡安全和合規標準領域了。

汽車功能安全的經典標準是ISO 26262，AI領域的主要是ISO 21448（SOTIF）、自動駕駛ISO TS5083等等；汽車網絡安全中的經典標準是ISO 21434，SAE J3061（網絡安全過程和全生命周期）；合規領域主要是UNECE聯合國歐洲經濟委員會于2021年推出的CSMS和SUMS兩種車輛法規，分別代表車輛網絡安全管理系統和軟件更新管理系統，根據UNECE的車輛法規，自2022年7月起，所有新型號的汽車都必須滿足法規的相關要求，并且在2024年7月之前，所有已經上市的汽車也必須完成合規。

圖片來源：嘉賓演講材料

接下來具體看功能安全標準ISO 26262的架構和涉及細節，ISO 26262新版適用范圍擴展延伸到卡車、公共汽車和摩托車等所有車型，標準共分12個部分，新舊版本對比來看，原本啟動安全生命周期，啟動系統層面產品開發，啟動硬件層面產品開發、啟動軟件層面產品開發的章節內容，都轉移到新版第2部分第6章功能安全管理中，原版第4部分的功能安全評估和產品發布章節內容也轉移到新版第2部分，并且將原本第4部分的第6章技術安全要求與第7章系統設計進行了合并。

圖片來源：嘉賓演講材料

相比ISO 26262，ISO 21434給出了一些指導，比如如何在供應商之間達成協議，具體的產品要求和面向生命周期的標準要素……但在標準的周密程度上，ISO 21434無法與ISO 26262相比，因為前者更多是提供目標，而非方法。但換個角度看，ISO 21434會給企業更高的自由度，這有時也會助推企業的管理和技術方法革新，相反，由于ISO 26262標準繁復厚重，很多企業會直接復制其內部的辦法到開發中去，這看起來是高效的做法，但無助于技術的創新和效率的進一步提升。

最后，我們要說的是ASPICE：用于改進汽車行業軟件開發過程和提升軟件能力的標準化流程管理的質量標準，它不涉及功能安全、網絡安全和系統安全，這一標準主要為流程工藝提供要求。當我回顧過去幾年該領域的行業發展時，我發現，2010年以前，行業的流程成熟度是相當高的，但是這一水平在逐步下降。

這主要由于兩個原因：第一，行業環境在不斷變化，新的要求越來越多；第二，汽車的架構在發生變化，尤其軟件架構，如何更好的融合IT和汽車企業，好的軟件架構非常重要。

圖片來源：嘉賓演講材料

實踐指南部分

接下來進入第三部分，應急系統特性：可用性，安全性和安保性。

面對越來越多的未知場景，我們如何建立預期功能安全？首先，SOTIF（道路車輛 預期功能安全）所關注的是外部觸發事件造成的危害，不是系統內失效引起的危害。讓我們用安全和已知這兩個維度劃分一個四象限圖：可以劃分為已知的安全場景，已知的不安全場景，未知的安全場景，未知的不安全場景四部分。

ISO 26262和其他典型的功能安全的方法專注于已知的情況，那么未知場景就是SOTIF的負責部分，這適用于不同的行業，也就是說我們可以不僅僅談論汽車，還可以談論物聯網、汽車發展等其他領域的預期安全需求。為什么要做這么多延申？這主要是由于融合趨勢下，AI，5G，IT都和汽車行業發生了交叉，這就需要我們擺脫傳統的限制，站在汽車未來發展的角度預判標準的發展。

比如，在未來，汽車之間可能會使用通信系統甚至通過云架構互相交流，正如智能手機，真正有趣的系統一定是軟件定義的部分。此前，工程師只關注硬件的內容，并盡量讓硬件保持穩定的發展態勢，但軟件定義汽車是非常重要的一個趨勢，它將真正改變汽車產業生態和各種產品形態，也將帶來各種各樣的安全性沖突：比如出車禍之后，系統可能在緊急情況下拒絕打開車門的需求。

就像我說的，沒有功能安全就沒有網絡安全，為了讓汽車更好地理解人的指令，我們必須要思考如何將功能安全的每個階段都同網絡安全緊密聯系在一起，因此，我們需要更多地使用基于模型的算法來解決項目中的問題，通過連接不同的抽象層，我們不僅能夠識別未知數，還能夠按照順序做正確的事情，安全性、可追蹤性和確定性是我們需要考慮的因素。

在談論網絡安全時，我們需要考慮缺少了什么。例如，我們可能缺少靜態代碼分析、軟件質量保證技術、體系結構分析和高水平系統測試等方面的經驗。因此，在測試過程中，我們需要考慮如何確保更新管理不會被破壞。在網絡安全領域，我們需要更加務實地將不同的安全測試技術結合起來。從靜態分析到動態分析等等，每個工具都是必要的，且各有長處和弱點，我們需要將它們結合起來以制定更好的測試策略。

總結與展望

汽車從封閉的載人工具轉向智能終端，開放的生態一方面帶給用戶便利，另一方面也增加了網絡風險，更容易受到攻擊，也就使得軟件適配相關問題的處理更加迫在眉睫（，我們需要新的預期安全的方法論，需要讓軟件的供應鏈具有可追溯性，需要完整的、系統性的新測試方法學，不同于線性測試的嶄新測試環境，從而降低成本，提高效率，更快速地找到缺陷和漏洞。

圖片來源：嘉賓演講材料

未來已來，我們需要更安全、更完善的供應鏈管理策略，需要針對軟件的整個生命周期進行監測和更新，正如以上提到的，我們缺乏核心能力，我也將其稱為自主能力。在產品IT和企業IT的融合趨勢下找到新的商機，未來的工程師必須對兩個世界都有深刻的理解，并確保將專業領域的知識落實到汽車這一載體上，讓汽車越來越自主，越來越智能，成為賦予人們便利的生活伙伴。

（以上內容來自維克多咨詢服務總經理Dr. Christof Ebert于2023年3月14日-16日在2023第四屆軟件定義汽車論壇暨AUTOSAR中國日發表的《Safety and Security: Technology and Trends》主題演講。）

返回第一電動網首頁 >