维克多：应对软件定义汽车下的质量与安全挑战

2024年3月12日，在2024第五届软件定义汽车论坛暨AUTOSAR中国日上，维克多咨询服务产品线总监（大中华区）王振谈到，在应对软件定义汽车下的质量与安全挑战时，除了技术层面，行业还应关注流程与体系，要建立系统化的解决方案。比如借助ASPICE建立开发层面的横向与纵向的可追溯性和一致性，要关注网络安全与功能安全的融合，还要特别关注网络安全对汽车全生命周期的影响及其带来的复杂度，在面对复杂度加大，风险增高的趋势时，除了技术和流程上的创新，也要注重工具链的引入，以提供交付质量与交付效率。 

王振 | 维克多咨询服务产品线总监（大中华区）

以下为演讲内容整理：

维克多及咨询业务

维克多除了做汽车嵌入式软件以及各个阶段测试的工具和方案，我们也有咨询业务，咨询业务是维克多集团全资的子公司，成立20年来一直在全球不同国家和地区为不同行业的客户提供解决方案，我们主要关注在四个方面：

图源：维克多

第一，转型。帮客户引入ASPICE，以及敏捷开发和降本提效的方案。第二，可信，关注功能安全和网络安全的解决方案。第三，关注新技术、工具链管理和生命周期管理。第四，提供培训、指导，帮助企业进行能力规划。我们的客户主要是汽车行业的国内外整车厂和供应商，以及像空客、汉莎、沃达丰等非汽车行业的客户。

维克多咨询的亮点有几个方面：第一，经验丰富。维克多20多年来一直主要在从事汽车方面咨询的工作，咨询顾问也都有工程技术背景。第二，全球资源共享。我们在国际OEM和供应商的实践可以作为本地项目的参考，同时国外专家也可以应需求服务于本地项目。第三，方案具有可落地性。维克多是工程技术公司，在咨询与工具和软件等其它产品线间有非常好的跨产品线互动与合作，这对于客户来说我们的方案是有可落地性、可验证性的。第四，我们始终重视产品质量和口碑。第五，我们提供高性价比的技术转移，比如基于维克多CANoe工具等。

在SDV环境下遇到的风险和挑战   

维克多每年年底都会做调查，在全球范围内联系一些行业的专家来看看大家近年来关注的焦点。2024年对能力的关注特别多，这体现出不管在短期还是长期大家都在关注我们的能力，能力不仅仅是代码写的好，或者工具用的好，它其实是关注到整个系统化的能力、工程能力、沟通能力和系统架构能力。

图源：维克多

再看SDV。维克多有自己的定义，SDV主要是扩展车的性能或功能，它的阶段主要是在售后，在车出厂之后怎么在商业上、时间上获得有价值的点，不管是对企业来说还是对用户来说。

每件事情都有两面性，SDV也有它的两面性。一是对买车消费者来说，会喜欢自己的车有更多的功能，有更多的智能化、多样化、个性化，这是SDV带给消费者好的方面。作为行业从业者来说，会面临一些挑战，比如要更灵活的电子电气架构，更复杂的软件和硬件设计和频繁的沟通。以前的车没有OTA，现在OTA是大部分车的标配，这时候它增加了很多的风险，比如会增加网络安全的攻击风险。因为车更新的多，对外开通的通道频次就增多，受攻击的潜在风险也会增大。

面临这样的问题我们怎么办？大家首先想到的是从技术上采取措施，比如电子电气架构要做调整，从域控到方位域做转变，以及在提升硬件性能的同时要解决软件问题。这些大家都可以想到，那么只有这些就是足够的吗？很显然不是，因为不管是架构变化还是软硬件置办，都是行业里大家已经共识的问题。还要保证产品的交付能力，一是交付的速度，二是交付的质量。交付速度和质量取决于什么？取决于技术以及流程和体系。

解决问题之前有哪些技术的共识呢？首先产品责任是消费者在买车时本能的对汽车安全功能各方面的需求，从开发者而言，怎么满足这样的要求？就要关注标准和法规，比如功能安全、网络安全以及国内外的法规，这些构成我们做开发的参考和起点，有参考和起点之后做开发，在开发层面除了技术和新攻关以外，更多的是关注流程，怎么样把这些不同的工程师集合在一起，快速高质量地产生出保证交付的产品，这是ASPICE所关注的点。再往下是生产环节，大家熟知的ISO9001和ISO16949。以上这些，共同构成我们对客户针对产品责任期待的落实。

具体来看前面提到的几个概念。第一，ASPICE。现在大家越来越高频次地听到这个词汇，ASPICE最初源于欧洲汽车行业通用的方法，主要用于汽车软件的开发流程优化。现在我们观察到国内的一些整车厂，不管是新势力还是传统整车厂也在慢慢增加这方面的要求。ASPICE目前有新的版本4.0，增加了软件之外关于硬件和机器学习等内容。第二，ISO26262功能安全的要求以及包括ISO21434网络安全的要求，也在影响汽车的开发与售后运维。第三，近几年来法规层面的监管力度在加大 ，比如在网络安全领域国内国外都会有强制性要求。

案例及方案分享

有了这些基础之后，我们有些方案可以跟大家分享。第一，怎么保证横向和纵向开发的可追踪性和一致性，因为这一关是非常重要的一关，不管是在应对既有的传统的技术还是在应对新的技术开发，比如我们在应对网络安全的时候，很多客户问我们测试到底测到什么样的程度算结束了？其实这是右面的问题，你要追踪到你的左边，你的需求是怎么样设计的。 

图源：维克多

第二，有客户做迭代开发时先完成中间的部分，软硬件的开发，后面完成测试和验证。但是后面补回来一个左边的流程发现，它的硬件芯片是不满足我们设计要求的，是要进行更新的。这样就说明我们在面对一个新的技术时，也要追踪到从需求到设计再到验证的整个环节，是横向和纵向的可追踪性和一致性。

除此之外，我们还要关注到保证质量和效率的重要的锚点是工具链，在不同的环节，不管是设计还是开发落地和测试环节，都要大量的应用到工具，一是提高效率，二是能够保证质量。再者，工具应用能够极大地避免人员变动带来的风险。

第三，还要注重ASPICE跟其他方面的结合。因为ASPICE是一个流程，它不能形成我们开发的结果，我们说ASPICE作为基础，可以在此基础上建立和功能安全、网络安全的互动关系。

自网络安全出来后，我们要注重网络安全和功能安全的融合，它们两个在V模型阶段有非常相似的环节，有很多可以互相沟通和借鉴。除此之外，网络安全比功能安全会更加复杂一点，它会有一个长生命周期的过程。再到功能安全细化程度来说，行业里做的比较多的是保证功能安全的完整性，完整性主要是通过OS的配置、做开门狗的应用以及对E2E通信的加持。我们说功能安全的目标是完整性只是一个方面，我们还要保证它的可用性。可用性怎么来完成？分为两个层面：一是在硬件层面，怎么样引入一些分解，通过冗余设计来达到硬件的PMHF。从软件层增强在Timing持续监控等措施，有效避免在软件系统的故障。

在网络安全引入到汽车开发后，我们目前又多了两个测试：1.模糊测试；2.渗透测试。这方面是我们在设计的过程中一定要经历的环节，我们也会基于客户现有的工具搭建一些测试的环境和帮客户建立自己的测试能力。渗透测试也会有不同的方案，从我们的十步法则说起，它是一个系统化面向风险的解决方案，是从左到右的过程。

网络安全其实是一个强标，强标对整车厂而言就会有很多的工作量在里面，它要建立整车的纵深防御和多层防御，从最外层的T-box到Getway，以及内部的大域控再到支端的节点，在不同的节点它所面临的风险是不一样的，同时我们会根据风险的高低建立相应的不同防御措施。

网络安全对比功能安全一个非常大的区别是它的长生命周期，功能安全开发大家关注最多的是V模型阶段，大部分的工作量也在这里。网络安全是一个长生命周期的，这就意味着在开发之后，也要关注生产和售后运维，这就把网络安全的维护周期大大加长了。这里的工作量一方面带给我们售后的测试工作量，还有一些在管理层面的工作，比如跟供应商和客户有上下游的管理，都会增加我们的难度，面对这样的难度我们可以采取行业通用的流程来完善整个跨生命周期的网络安全解决方案。   

维克多的整体解决方案是顺着V模型在不同的阶段有不同的工具，包括我们的软件和维克多咨询也涵盖在开发各个环节。2024年9月维克多会在上海有线下的网络安全技术日，到时候我们会在当天介绍所有的车端解决方案，不管是分析也好，还是测试和软件开发以及流程，欢迎大家参加。

（以上内容来自维克多咨询服务产品线总监（大中华区）王振于2024年3月12-14日在2024第五届软件定义汽车论坛暨AUTOSAR中国日发表的《应对软件定义汽车下的质量与安全挑战》主题演讲。）