智能網(wǎng)聯(lián)的發(fā)展態(tài)勢下���,軟件功能安全和信息安全的重要性也與日俱增,如何防止軟件故障對汽車系統(tǒng)的整體運行產(chǎn)生影響�??如何阻止外界對系統(tǒng)的網(wǎng)絡(luò)攻擊����,防止用戶隱私泄露?為了解決以上問題���,Vector可以為車企提供全面的網(wǎng)絡(luò)安全與功能安全服務(wù)��,包括咨詢服務(wù)��、測試服務(wù)���、培訓(xùn)服務(wù)和軟件解決方案服務(wù),以幫助車企確保其系統(tǒng)的安全性�����,將現(xiàn)有的標(biāo)準(zhǔn)和安全概念進(jìn)行拆分����,具體到操作層面為用戶提供幫助。
2023年3月14-16日����,2023第四屆軟件定義汽車論壇暨AUTOSAR中國日上,維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert表示,汽車從封閉的載人工具轉(zhuǎn)向智能終端�,開放的生態(tài)一方面帶給用戶便利,另一方面也增加了網(wǎng)絡(luò)風(fēng)險��,更容易受到攻擊�,也就使得軟件適配相關(guān)問題的處理更加迫在眉睫。
Dr. Christof Ebert表示:“我們需要新的預(yù)期安全的方法論�,需要讓軟件的供應(yīng)鏈具有可追溯性,需要完整的��、系統(tǒng)性的新測試方法學(xué)���,不同于線性測試的嶄新測試環(huán)境�����,從而降低成本���,提高效率,更快速地找到缺陷和漏洞�����?����!?/p>
維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert
以下是演講內(nèi)容整理:
維克多是一家全球領(lǐng)先的汽車電子和軟件開發(fā)工具供應(yīng)商,總部設(shè)在德國斯圖加特�����。我們擁有先進(jìn)的辦公設(shè)施和技術(shù)團(tuán)隊��,為全球汽車行業(yè)提供高質(zhì)量的解決方案和服務(wù)���,涵蓋汽車電子和軟件開發(fā)工具、網(wǎng)絡(luò)安全�、功能安全、嵌入式軟件��、自動駕駛�、測試與測量等領(lǐng)域,我們的目標(biāo)是幫助客戶提高汽車質(zhì)量和性能����,滿足市場需求和法規(guī)標(biāo)準(zhǔn)。
發(fā)展趨勢與行業(yè)挑戰(zhàn)
在本次演講中����,我將向大家介紹汽車行業(yè)面臨的主要挑戰(zhàn)����,以及維克多如何應(yīng)對這些挑戰(zhàn)����,并保持自身的競爭力和創(chuàng)新力。
汽車行業(yè)正處于一個快速變化和激烈競爭的環(huán)境中����。無論是短期還是長期來看,汽車廠商都需要不斷適應(yīng)市場變化�,提升產(chǎn)品質(zhì)量和效率,降低成本和風(fēng)險�,同時也要關(guān)注環(huán)保和社會責(zé)任。為了實現(xiàn)這些目標(biāo)�,汽車廠商需要借助先進(jìn)的解決方案來保證產(chǎn)品的可靠性和安全性。
在我看來�,未來汽車行業(yè)面臨的主要風(fēng)險是核心能力不足,這是我們面臨的巨大挑戰(zhàn)���。造成這一挑戰(zhàn)的原因之一就在于產(chǎn)品IT和企業(yè)IT的融合���,新架構(gòu)的出現(xiàn),軟件定義革命的興起�。車載代碼量呈指數(shù)級的上升�,這意味著面向服務(wù)SOA架構(gòu)的推廣和使用���。要提高核心生產(chǎn)能力���,必然需要產(chǎn)品、技術(shù)����、企業(yè)的相互配合�����,維克多也為推動這一進(jìn)程打造了諸多產(chǎn)品�����,大多數(shù)開發(fā)者和汽車工程師都可以運用維克多的產(chǎn)品提升效率����,獲得更多收益。
智能汽車在未來發(fā)展的過程中的必然挑戰(zhàn)就在于指數(shù)級增長的數(shù)據(jù)�,這些數(shù)據(jù)能給汽車帶來巨大的發(fā)展?jié)摿Γ矔砀嗟墓δ馨踩途W(wǎng)絡(luò)安全問題���,而網(wǎng)絡(luò)安全和功能安全往往是緊密聯(lián)系的���。維克多注重汽車安全問題�����,我們清晰地意識到���,如果數(shù)據(jù)可以被更改,如果端口可以受到攻擊�,如果不能夠保證車載系統(tǒng)的軟件安全,那就會讓每一個乘客置身危險之中����。然而,產(chǎn)品安全是建立在工程師對于所部署軟件及其功能的深度了解上的���,沒有功能安全就沒有網(wǎng)絡(luò)安全���。
具體而言,功能安全主要是為了保護(hù)人或環(huán)境免受自動化系統(tǒng)故障的影響�����,而網(wǎng)絡(luò)安全是為了保護(hù)汽車系統(tǒng)免受外界攻擊,進(jìn)而避免危及道路使用者或周圍環(huán)境�����。
圖片來源:嘉賓演講材料
針對這些安全隱患和網(wǎng)絡(luò)攻擊進(jìn)行分析時��,我們意識到�,百分之九十的網(wǎng)絡(luò)襲擊是針對IT和軟件系統(tǒng)的,軟件的日趨復(fù)雜和數(shù)據(jù)量的快速增加也讓智能網(wǎng)聯(lián)汽車的攻擊面不斷增多��,比如針對車隊層面的攻擊��,這種攻擊不僅僅會影響一輛車的軟件系統(tǒng)�,更會波及到軟件所在的網(wǎng)絡(luò)環(huán)境�����,甚至軟件到汽車的整體供應(yīng)鏈條�����。
汽車網(wǎng)絡(luò)安全方面的法規(guī)和標(biāo)準(zhǔn)
因此��,我們必須從軟件開發(fā)的維度入手�����,在考慮安全問題時將軟件相關(guān)供應(yīng)鏈的安全需求考慮在內(nèi)。以下是目前所使用的行業(yè)安全標(biāo)準(zhǔn):最底部是產(chǎn)品開發(fā)過程所用到的安全標(biāo)準(zhǔn)�����,比如ISO 9001��,ISO/TS 16949�,這些是產(chǎn)品開發(fā)的地基;倒數(shù)第二層則是流程成熟度標(biāo)準(zhǔn)����,比如ASPICE:用于改進(jìn)汽車行業(yè)軟件開發(fā)過程和提升軟件能力的標(biāo)準(zhǔn)化流程管理,這屬于高等級質(zhì)量標(biāo)準(zhǔn)���;倒數(shù)第三層就是功能安全�����、網(wǎng)絡(luò)安全和認(rèn)證標(biāo)準(zhǔn)���;它們共同支撐起了產(chǎn)品責(zé)任。
圖片來源:嘉賓演講材料
當(dāng)然,標(biāo)準(zhǔn)和標(biāo)準(zhǔn)之間是不同的���,我們必須知道在哪里可以找到適用于自身產(chǎn)品的標(biāo)準(zhǔn)����,達(dá)到效率����,質(zhì)量,安全之間的最優(yōu)解���。
近日�����,在軟件開發(fā)領(lǐng)域中出現(xiàn)了許多令人深思的案例����。例如�,在產(chǎn)品需求與軟件測試之間缺乏有效地溝通與反饋機(jī)制�����,缺乏可追溯性;軟件功能模塊的大部分內(nèi)容要么過度檢測�,要么不經(jīng)檢測;對于汽車用戶進(jìn)行了大量冗余而無效果的單元測試等等�����。事實上�����,只進(jìn)行單元測試并不能保證軟件的質(zhì)量和性能����,只有在完成整體的、系統(tǒng)的����、集成式的測試之后,才能真正驗證軟件的可靠性和安全性����。
此外,由于一部分細(xì)分領(lǐng)域的軟件生產(chǎn)商對于安全保障的標(biāo)準(zhǔn)并沒有全面的認(rèn)識��,這就造成了測試策略的很多盲區(qū)�,由于測試策略不足進(jìn)而造成了不同領(lǐng)域的資源浪費:底層部分的測試太多,集成與系統(tǒng)層的則遠(yuǎn)遠(yuǎn)不夠。
了解了這一點����,我們就可以進(jìn)入到中間層,也就是功能安全��、網(wǎng)絡(luò)安全和合規(guī)標(biāo)準(zhǔn)領(lǐng)域了����。
汽車功能安全的經(jīng)典標(biāo)準(zhǔn)是ISO 26262,AI領(lǐng)域的主要是ISO 21448(SOTIF)��、自動駕駛ISO TS5083等等��;汽車網(wǎng)絡(luò)安全中的經(jīng)典標(biāo)準(zhǔn)是ISO 21434�����,SAE J3061(網(wǎng)絡(luò)安全過程和全生命周期)���;合規(guī)領(lǐng)域主要是UNECE聯(lián)合國歐洲經(jīng)濟(jì)委員會于2021年推出的CSMS和SUMS兩種車輛法規(guī)���,分別代表車輛網(wǎng)絡(luò)安全管理系統(tǒng)和軟件更新管理系統(tǒng)�,根據(jù)UNECE的車輛法規(guī),自2022年7月起,所有新型號的汽車都必須滿足法規(guī)的相關(guān)要求���,并且在2024年7月之前��,所有已經(jīng)上市的汽車也必須完成合規(guī)�。
圖片來源:嘉賓演講材料
接下來具體看功能安全標(biāo)準(zhǔn)ISO 26262的架構(gòu)和涉及細(xì)節(jié)�,ISO 26262新版適用范圍擴(kuò)展延伸到卡車、公共汽車和摩托車等所有車型��,標(biāo)準(zhǔn)共分12個部分�����,新舊版本對比來看��,原本啟動安全生命周期���,啟動系統(tǒng)層面產(chǎn)品開發(fā)����,啟動硬件層面產(chǎn)品開發(fā)���、啟動軟件層面產(chǎn)品開發(fā)的章節(jié)內(nèi)容�����,都轉(zhuǎn)移到新版第2部分第6章功能安全管理中���,原版第4部分的功能安全評估和產(chǎn)品發(fā)布章節(jié)內(nèi)容也轉(zhuǎn)移到新版第2部分��,并且將原本第4部分的第6章技術(shù)安全要求與第7章系統(tǒng)設(shè)計進(jìn)行了合并�����。
圖片來源:嘉賓演講材料
相比ISO 26262����,ISO 21434給出了一些指導(dǎo)�,比如如何在供應(yīng)商之間達(dá)成協(xié)議,具體的產(chǎn)品要求和面向生命周期的標(biāo)準(zhǔn)要素……但在標(biāo)準(zhǔn)的周密程度上��,ISO 21434無法與ISO 26262相比����,因為前者更多是提供目標(biāo),而非方法�����。但換個角度看,ISO 21434會給企業(yè)更高的自由度�,這有時也會助推企業(yè)的管理和技術(shù)方法革新��,相反���,由于ISO 26262標(biāo)準(zhǔn)繁復(fù)厚重�����,很多企業(yè)會直接復(fù)制其內(nèi)部的辦法到開發(fā)中去��,這看起來是高效的做法�,但無助于技術(shù)的創(chuàng)新和效率的進(jìn)一步提升���。
最后�����,我們要說的是ASPICE:用于改進(jìn)汽車行業(yè)軟件開發(fā)過程和提升軟件能力的標(biāo)準(zhǔn)化流程管理的質(zhì)量標(biāo)準(zhǔn)���,它不涉及功能安全、網(wǎng)絡(luò)安全和系統(tǒng)安全����,這一標(biāo)準(zhǔn)主要為流程工藝提供要求��。當(dāng)我回顧過去幾年該領(lǐng)域的行業(yè)發(fā)展時����,我發(fā)現(xiàn)���,2010年以前�,行業(yè)的流程成熟度是相當(dāng)高的�,但是這一水平在逐步下降。
這主要由于兩個原因:第一����,行業(yè)環(huán)境在不斷變化,新的要求越來越多�����;第二����,汽車的架構(gòu)在發(fā)生變化,尤其軟件架構(gòu)���,如何更好的融合IT和汽車企業(yè)�����,好的軟件架構(gòu)非常重要��。
圖片來源:嘉賓演講材料
實踐指南部分
接下來進(jìn)入第三部分���,應(yīng)急系統(tǒng)特性:可用性,安全性和安保性��。
面對越來越多的未知場景�����,我們?nèi)绾谓㈩A(yù)期功能安全����?首先,SOTIF(道路車輛 預(yù)期功能安全)所關(guān)注的是外部觸發(fā)事件造成的危害��,不是系統(tǒng)內(nèi)失效引起的危害��。讓我們用安全和已知這兩個維度劃分一個四象限圖:可以劃分為已知的安全場景��,已知的不安全場景,未知的安全場景���,未知的不安全場景四部分�����。
ISO 26262和其他典型的功能安全的方法專注于已知的情況��,那么未知場景就是SOTIF的負(fù)責(zé)部分����,這適用于不同的行業(yè)���,也就是說我們可以不僅僅談?wù)撈?����,還可以談?wù)撐锫?lián)網(wǎng)���、汽車發(fā)展等其他領(lǐng)域的預(yù)期安全需求。為什么要做這么多延申��?這主要是由于融合趨勢下,AI���,5G�,IT都和汽車行業(yè)發(fā)生了交叉��,這就需要我們擺脫傳統(tǒng)的限制����,站在汽車未來發(fā)展的角度預(yù)判標(biāo)準(zhǔn)的發(fā)展。
比如�����,在未來��,汽車之間可能會使用通信系統(tǒng)甚至通過云架構(gòu)互相交流�,正如智能手機(jī)���,真正有趣的系統(tǒng)一定是軟件定義的部分�。此前��,工程師只關(guān)注硬件的內(nèi)容����,并盡量讓硬件保持穩(wěn)定的發(fā)展態(tài)勢��,但軟件定義汽車是非常重要的一個趨勢����,它將真正改變汽車產(chǎn)業(yè)生態(tài)和各種產(chǎn)品形態(tài)�����,也將帶來各種各樣的安全性沖突:比如出車禍之后����,系統(tǒng)可能在緊急情況下拒絕打開車門的需求。
就像我說的���,沒有功能安全就沒有網(wǎng)絡(luò)安全���,為了讓汽車更好地理解人的指令,我們必須要思考如何將功能安全的每個階段都同網(wǎng)絡(luò)安全緊密聯(lián)系在一起��,因此����,我們需要更多地使用基于模型的算法來解決項目中的問題���,通過連接不同的抽象層,我們不僅能夠識別未知數(shù)���,還能夠按照順序做正確的事情����,安全性�����、可追蹤性和確定性是我們需要考慮的因素�。
在談?wù)摼W(wǎng)絡(luò)安全時,我們需要考慮缺少了什么��。例如���,我們可能缺少靜態(tài)代碼分析、軟件質(zhì)量保證技術(shù)��、體系結(jié)構(gòu)分析和高水平系統(tǒng)測試等方面的經(jīng)驗�。因此,在測試過程中�����,我們需要考慮如何確保更新管理不會被破壞。在網(wǎng)絡(luò)安全領(lǐng)域�,我們需要更加務(wù)實地將不同的安全測試技術(shù)結(jié)合起來。從靜態(tài)分析到動態(tài)分析等等���,每個工具都是必要的��,且各有長處和弱點���,我們需要將它們結(jié)合起來以制定更好的測試策略。
總結(jié)與展望
汽車從封閉的載人工具轉(zhuǎn)向智能終端���,開放的生態(tài)一方面帶給用戶便利����,另一方面也增加了網(wǎng)絡(luò)風(fēng)險����,更容易受到攻擊,也就使得軟件適配相關(guān)問題的處理更加迫在眉睫(��,我們需要新的預(yù)期安全的方法論��,需要讓軟件的供應(yīng)鏈具有可追溯性,需要完整的�、系統(tǒng)性的新測試方法學(xué),不同于線性測試的嶄新測試環(huán)境��,從而降低成本�����,提高效率��,更快速地找到缺陷和漏洞�。
圖片來源:嘉賓演講材料
未來已來,我們需要更安全��、更完善的供應(yīng)鏈管理策略����,需要針對軟件的整個生命周期進(jìn)行監(jiān)測和更新,正如以上提到的�,我們?nèi)狈诵哪芰?����,我也將其稱為自主能力����。在產(chǎn)品IT和企業(yè)IT的融合趨勢下找到新的商機(jī)��,未來的工程師必須對兩個世界都有深刻的理解��,并確保將專業(yè)領(lǐng)域的知識落實到汽車這一載體上�,讓汽車越來越自主���,越來越智能��,成為賦予人們便利的生活伙伴�。
(以上內(nèi)容來自維克多咨詢服務(wù)總經(jīng)理Dr. Christof Ebert于2023年3月14日-16日在2023第四屆軟件定義汽車論壇暨AUTOSAR中國日發(fā)表的《Safety and Security: Technology and Trends》主題演講���。)
來源:蓋世汽車
作者:唐吉
本文地址:http://ewshbmdt.cn/news/qiye/199035
返回第一電動網(wǎng)首頁 >
以上內(nèi)容轉(zhuǎn)載自蓋世汽車����,目的在于傳播更多信息��,如有侵僅請聯(lián)系admin#d1ev.com(#替換成@)刪除�����,轉(zhuǎn)載內(nèi)容并不代表第一電動網(wǎng)(ewshbmdt.cn)立場�。
文中圖片源自互聯(lián)網(wǎng)�����,如有侵權(quán)請聯(lián)系admin#d1ev.com(#替換成@)刪除����。
京公網(wǎng)安備
11010502033163號
