智能网联的发展态势下,软件功能安全和信息安全的重要性也与日俱增,如何防止软件故障对汽车系统的整体运行产生影响??如何阻止外界对系统的网络攻击,防止用户隐私泄露?为了解决以上问题,Vector可以为车企提供全面的网络安全与功能安全服务,包括咨询服务、测试服务、培训服务和软件解决方案服务,以帮助车企确保其系统的安全性,将现有的标准和安全概念进行拆分,具体到操作层面为用户提供帮助。
2023年3月14-16日,2023第四届软件定义汽车论坛暨AUTOSAR中国日上,维克多咨询服务总经理Dr. Christof Ebert表示,汽车从封闭的载人工具转向智能终端,开放的生态一方面带给用户便利,另一方面也增加了网络风险,更容易受到攻击,也就使得软件适配相关问题的处理更加迫在眉睫。
(资料图片)
Dr. Christof Ebert表示:“我们需要新的预期安全的方法论,需要让软件的供应链具有可追溯性,需要完整的、系统性的新测试方法学,不同于线性测试的崭新测试环境,从而降低成本,提高效率,更快速地找到缺陷和漏洞。”
维克多咨询服务总经理Dr. Christof Ebert
以下是演讲内容整理:
维克多是一家全球领先的汽车电子和软件开发工具供应商,总部设在德国斯图加特。我们拥有先进的办公设施和技术团队,为全球汽车行业提供高质量的解决方案和服务,涵盖汽车电子和软件开发工具、网络安全、功能安全、嵌入式软件、自动驾驶、测试与测量等领域,我们的目标是帮助客户提高汽车质量和性能,满足市场需求和法规标准。
发展趋势与行业挑战
在本次演讲中,我将向大家介绍汽车行业面临的主要挑战,以及维克多如何应对这些挑战,并保持自身的竞争力和创新力。
汽车行业正处于一个快速变化和激烈竞争的环境中。无论是短期还是长期来看,汽车厂商都需要不断适应市场变化,提升产品质量和效率,降低成本和风险,同时也要关注环保和社会责任。为了实现这些目标,汽车厂商需要借助先进的解决方案来保证产品的可靠性和安全性。
在我看来,未来汽车行业面临的主要风险是核心能力不足,这是我们面临的巨大挑战。造成这一挑战的原因之一就在于产品IT和企业IT的融合,新架构的出现,软件定义革命的兴起。车载代码量呈指数级的上升,这意味着面向服务SOA架构的推广和使用。要提高核心生产能力,必然需要产品、技术、企业的相互配合,维克多也为推动这一进程打造了诸多产品,大多数开发者和汽车工程师都可以运用维克多的产品提升效率,获得更多收益。
智能汽车在未来发展的过程中的必然挑战就在于指数级增长的数据,这些数据能给汽车带来巨大的发展潜力,但也会带来更多的功能安全和网络安全问题,而网络安全和功能安全往往是紧密联系的。维克多注重汽车安全问题,我们清晰地意识到,如果数据可以被更改,如果端口可以受到攻击,如果不能够保证车载系统的软件安全,那就会让每一个乘客置身危险之中。然而,产品安全是建立在工程师对于所部署软件及其功能的深度了解上的,没有功能安全就没有网络安全。
具体而言,功能安全主要是为了保护人或环境免受自动化系统故障的影响,而网络安全是为了保护汽车系统免受外界攻击,进而避免危及道路使用者或周围环境。
图片来源:嘉宾演讲材料
针对这些安全隐患和网络攻击进行分析时,我们意识到,百分之九十的网络袭击是针对IT和软件系统的,软件的日趋复杂和数据量的快速增加也让智能网联汽车的攻击面不断增多,比如针对车队层面的攻击,这种攻击不仅仅会影响一辆车的软件系统,更会波及到软件所在的网络环境,甚至软件到汽车的整体供应链条。
汽车网络安全方面的法规和标准
因此,我们必须从软件开发的维度入手,在考虑安全问题时将软件相关供应链的安全需求考虑在内。以下是目前所使用的行业安全标准:最底部是产品开发过程所用到的安全标准,比如ISO 9001,ISO/TS 16949,这些是产品开发的地基;倒数第二层则是流程成熟度标准,比如ASPICE:用于改进汽车行业软件开发过程和提升软件能力的标准化流程管理,这属于高等级质量标准;倒数第三层就是功能安全、网络安全和认证标准;它们共同支撑起了产品责任。
图片来源:嘉宾演讲材料
当然,标准和标准之间是不同的,我们必须知道在哪里可以找到适用于自身产品的标准,达到效率,质量,安全之间的最优解。
近日,在软件开发领域中出现了许多令人深思的案例。例如,在产品需求与软件测试之间缺乏有效地沟通与反馈机制,缺乏可追溯性;软件功能模块的大部分内容要么过度检测,要么不经检测;对于汽车用户进行了大量冗余而无效果的单元测试等等。事实上,只进行单元测试并不能保证软件的质量和性能,只有在完成整体的、系统的、集成式的测试之后,才能真正验证软件的可靠性和安全性。
此外,由于一部分细分领域的软件生产商对于安全保障的标准并没有全面的认识,这就造成了测试策略的很多盲区,由于测试策略不足进而造成了不同领域的资源浪费:底层部分的测试太多,集成与系统层的则远远不够。
了解了这一点,我们就可以进入到中间层,也就是功能安全、网络安全和合规标准领域了。
汽车功能安全的经典标准是ISO 26262,AI领域的主要是ISO 21448(SOTIF)、自动驾驶ISO TS5083等等;汽车网络安全中的经典标准是ISO 21434,SAE J3061(网络安全过程和全生命周期);合规领域主要是UNECE联合国欧洲经济委员会于2021年推出的CSMS和SUMS两种车辆法规,分别代表车辆网络安全管理系统和软件更新管理系统,根据UNECE的车辆法规,自2022年7月起,所有新型号的汽车都必须满足法规的相关要求,并且在2024年7月之前,所有已经上市的汽车也必须完成合规。
图片来源:嘉宾演讲材料
接下来具体看功能安全标准ISO 26262的架构和涉及细节,ISO 26262新版适用范围扩展延伸到卡车、公共汽车和摩托车等所有车型,标准共分12个部分,新旧版本对比来看,原本启动安全生命周期,启动系统层面产品开发,启动硬件层面产品开发、启动软件层面产品开发的章节内容,都转移到新版第2部分第6章功能安全管理中,原版第4部分的功能安全评估和产品发布章节内容也转移到新版第2部分,并且将原本第4部分的第6章技术安全要求与第7章系统设计进行了合并。
图片来源:嘉宾演讲材料
相比ISO 26262,ISO 21434给出了一些指导,比如如何在供应商之间达成协议,具体的产品要求和面向生命周期的标准要素……但在标准的周密程度上,ISO 21434无法与ISO 26262相比,因为前者更多是提供目标,而非方法。但换个角度看,ISO 21434会给企业更高的自由度,这有时也会助推企业的管理和技术方法革新,相反,由于ISO 26262标准繁复厚重,很多企业会直接复制其内部的办法到开发中去,这看起来是高效的做法,但无助于技术的创新和效率的进一步提升。
最后,我们要说的是ASPICE:用于改进汽车行业软件开发过程和提升软件能力的标准化流程管理的质量标准,它不涉及功能安全、网络安全和系统安全,这一标准主要为流程工艺提供要求。当我回顾过去几年该领域的行业发展时,我发现,2010年以前,行业的流程成熟度是相当高的,但是这一水平在逐步下降。
这主要由于两个原因:第一,行业环境在不断变化,新的要求越来越多;第二,汽车的架构在发生变化,尤其软件架构,如何更好的融合IT和汽车企业,好的软件架构非常重要。
图片来源:嘉宾演讲材料
实践指南部分
接下来进入第三部分,应急系统特性:可用性,安全性和安保性。
面对越来越多的未知场景,我们如何建立预期功能安全?首先,SOTIF(道路车辆 预期功能安全)所关注的是外部触发事件造成的危害,不是系统内失效引起的危害。让我们用安全和已知这两个维度划分一个四象限图:可以划分为已知的安全场景,已知的不安全场景,未知的安全场景,未知的不安全场景四部分。
ISO 26262和其他典型的功能安全的方法专注于已知的情况,那么未知场景就是SOTIF的负责部分,这适用于不同的行业,也就是说我们可以不仅仅谈论汽车,还可以谈论物联网、汽车发展等其他领域的预期安全需求。为什么要做这么多延申?这主要是由于融合趋势下,AI,5G,IT都和汽车行业发生了交叉,这就需要我们摆脱传统的限制,站在汽车未来发展的角度预判标准的发展。
比如,在未来,汽车之间可能会使用通信系统甚至通过云架构互相交流,正如智能手机,真正有趣的系统一定是软件定义的部分。此前,工程师只关注硬件的内容,并尽量让硬件保持稳定的发展态势,但软件定义汽车是非常重要的一个趋势,它将真正改变汽车产业生态和各种产品形态,也将带来各种各样的安全性冲突:比如出车祸之后,系统可能在紧急情况下拒绝打开车门的需求。
就像我说的,没有功能安全就没有网络安全,为了让汽车更好地理解人的指令,我们必须要思考如何将功能安全的每个阶段都同网络安全紧密联系在一起,因此,我们需要更多地使用基于模型的算法来解决项目中的问题,通过连接不同的抽象层,我们不仅能够识别未知数,还能够按照顺序做正确的事情,安全性、可追踪性和确定性是我们需要考虑的因素。
在谈论网络安全时,我们需要考虑缺少了什么。例如,我们可能缺少静态代码分析、软件质量保证技术、体系结构分析和高水平系统测试等方面的经验。因此,在测试过程中,我们需要考虑如何确保更新管理不会被破坏。在网络安全领域,我们需要更加务实地将不同的安全测试技术结合起来。从静态分析到动态分析等等,每个工具都是必要的,且各有长处和弱点,我们需要将它们结合起来以制定更好的测试策略。
总结与展望
汽车从封闭的载人工具转向智能终端,开放的生态一方面带给用户便利,另一方面也增加了网络风险,更容易受到攻击,也就使得软件适配相关问题的处理更加迫在眉睫(,我们需要新的预期安全的方法论,需要让软件的供应链具有可追溯性,需要完整的、系统性的新测试方法学,不同于线性测试的崭新测试环境,从而降低成本,提高效率,更快速地找到缺陷和漏洞。
图片来源:嘉宾演讲材料
未来已来,我们需要更安全、更完善的供应链管理策略,需要针对软件的整个生命周期进行监测和更新,正如以上提到的,我们缺乏核心能力,我也将其称为自主能力。在产品IT和企业IT的融合趋势下找到新的商机,未来的工程师必须对两个世界都有深刻的理解,并确保将专业领域的知识落实到汽车这一载体上,让汽车越来越自主,越来越智能,成为赋予人们便利的生活伙伴。
(以上内容来自维克多咨询服务总经理Dr. Christof Ebert于2023年3月14日-16日在2023第四届软件定义汽车论坛暨AUTOSAR中国日发表的《Safety and Security: Technology and Trends》主题演讲。)