点击上方蓝字谈思实验室
获取更多汽车网络安全资讯
01
背景
随着智能化的发展,智能驾驶功能表现由之前的硬件定义逐步发展为由软件、AI模型定义。汽车智驾功能、人工智能、机器人等行业的发展,都离不开软件。汽车智能化的时代提出了软件定义汽车的口号,由此可见软件在汽车智能化时代、机器人AI智能化时代的重要性。而伴随智能化“双生”的一个关键属性是安全性,不安全的智能是不可能发展和被行业接受的。因此,软件代码、AI模型的安全与质量成为了汽车智能化发展的关键环节之一。
软件的安全与质量与硬件会受到随机失效不同,其更多受到是软件开发的过程失效的影响,如需求理解不一致、软件设计bug、软件代码不规范等这样的系统性失效。为了做好软件安全性能,做好软件开发的安全管理是不可缺少的环节。行业内在这方面的标准如APISCE,ISO26262-Part6都对软件开发过程提出了相应要求。
软件开发工程的不同形式
汽车电子电气系统的发展逐步朝向高度集成化、域控系统方向,更多的功能特征集成在一个域控硬件平台中。这样的趋势下,软件开发也从单控制器实现逐渐上移到域控制器实现,进而软件开发过程也衍生出多种形式,以传统的autosar软件架构作为示例,一个完整软件功能的实现过程可能会分为如下3类软件模块,如下图所示。
•I 类:自研软件模块。如应用功能软件模块,实现系统的关键功能特征。
•II类:软件模块由第三方软件供应商开发,以黑盒或白盒代码形式提供。这类软件模块与I类软件模块类似,同样是实现系统某些关键功能特征,又不是标准软件模块。
•III类:软件模块采购第三方供应商的COST软件包。这类软件模块一般是标准软件模块如vector autosar BSW/OS/RTE模块,与芯片硬件强绑定的MCAL,实现芯片安全机制的SafetyLib等
不同软件开发形式的安全管理要求
•I类软件模块
该类软件模块承担了系统功能特征实现,属于定制化软件功能,多数是自研为主,因此该类软件模块的安全管理需要满足ISO26262-Part6标准要求的过程、安全措施即可。
•II类软件模块
该类软件模块与I类软件模块类似,会承担系统中安全相关的功能特征,多数不是通用软件模块而是需要进行定制化软件开发。因此,该类软件模块需要第三方软件供应商进行单独设计和实现。
这样情况,该类软件模块的开发形式可以认为是分布式开发,其安全管理要求需要满足ISO26262-Part8,Clause5的要求,软件使用方(简称SW-OEM)需要与第三方软件供应商(简称SW-Tiler1)签署DIA,规定双方的软件开发接口、职责等内容。SW-Tiler1需要按照ISO26262-Part6要求开发II类软件模块,SW-OEM则需要对SW-Tiler1开发过程进行定期的功能安全评审。
SW-OEM和SW-Tiler1的职责划分如下表描述。职责中A-Approval,R-Responsible,S-Support。相比自研模块的安全管理,需要额外考虑TSR&TSC、SW-OEM与SW-Tiler1之间的软件接口定义、software release report内容。
在实际应用过程中,比较容易忽略的内容有如下条目,需要重点关注:
SW-Tiler1的overall safety management活动,如safety plan是否符合满足SW-OEM整体软件的安全释放节点,SW-Tiler1本身是否满足ISO26262开发流程,software development environment是否满足等。
software architecture design活动之后,增加sw-sw interface definition活动,SW-OEM和SW-Tiler1都是负责人,而不是SW-OEM负责,SW-Tiler1支持的方式。这是因为软件分布式开发需要清晰定义双方开发功能范围、软件接口信息,避免软件在后期集成过程因接口不匹配或功能遗漏而出现软件系统性失效。另外,在software integration and test活动之前对sw-sw interface完成接口一致性的测试验证。
在完成SW-Tiler软件集成测试或合格测试活动之后,增加software release report活动,而SW-OEM需要对SW-Tiler1发布的software release report进行评审、确认。这样做的目的也是确保两者之间拆解的功能实现是匹配、没有遗漏的。
总结起来,对于SW-OEM而言,II类软件模块的安全管理要比I类软件模块自研过程要更复杂。软件的分布式开发的好处是降低了实际开发人力资源,但相对增加了软件管理方面的人力资源,换言之增加了软件开发的过程失效路径,因此对于II类软件模块的开发管理,建议是单独设立软件功能安全负责人,对SW-Tiler1软件模块开发过程进行管理和监控。软件功能安全负责人最好是熟悉ISO26262 Part6和软件开发的人员担任。
•III类软件模块
该类软件模块多数属于通用或标准软件模块如autosar bsw/os/e2elib等,也有与芯片硬件强绑定的软件模块如芯片硬件驱动mcal,芯片安全机制safetylib等。该类模块不需要进行定制化开发,SW-OEM可以直接采购行业中商业成熟软件包进行配置和集成。
在软件开发过程中,该类软件模块被当作第三方软件组件,其安全管理需要按照ISO26262-Part8,Clause12内容进行第三方软件组件合格性评估。软件组件合格性评估步骤如下:
a.制定软件组件评估计划。根据软件架构,确定需要哪些软件模块需要进行第三方软件组件合格性评估;同时分配各项活动的责任人和时间节点等内容。
b.定义软件组件的要求。对于第三方软件组件,根据软件需求和软件架构设计,定义分配到该软件组件的要求,至少包括:
软件组件的功能要求,包括安全相关要求和非安全相关的要求、处理时间、资源等方面
软件组件的输入、输出接口
软件组件的配置参数
c.收集第三方软件组件的相关信息。第三方供应商的软件组件材料包括但不限于:1)软件应用手册,包括safety manual,application manual,technical reference specification等;2)软件集成指南;3)已知软件的故障行为;4)软件模块应用使用假设;5)第三方软件组件符合ISO26262要求的证据,如safety case,认证证书,软件工具认证证书,测试报告等。
d.分析评估第三方软件组件的符合性。根据上一步骤收集的第三方软件组件相关信息,并对其与上述软件组件的要求进行匹配性分析和评估,并输出集成要求。活动至少包括:
功能匹配性,尤其是哪些功能使用,哪些功能不使用。如芯片安全机制Safetylib中分析并给出哪些安全机制是可以不用配置的。
输入、输出接口的一致性。
集成要求的可行性。如软件工具版本、编译器版本等要求。
应用使用假设的符合性。如OS要求具备芯片外部的独立看门狗,需要确定系统架构环境是否满足应用假设要求。
软件组件符合ISO26262要求的评估。
e.对第三方软件组件进行合格性测试。目的是通过测试确认:1)软件组件满足其要求的功能;2)软件组件没有未定义的非预期的功能或其他行为特征。测试方法包括:
基于需求测试。需求覆盖达到100%。
接口一致性测试。
故障注入测试。覆盖正常运行条件和异常运行条件两种情况。
结构覆盖测试。
总结起来,III类软件模块的安全管理要求虽然降低了过程管理要求,但增加对软件模块对使用要求的技术符合性分析、评估和测试过程。因此在实际应用过程,是需要提前对III类软件组件进行计划和资源配置的。
02
总结
智能驾驶领域中,软件安全性和质量至关重要。随着智能软件集成化的趋势,软件开发可分为自研、第三方开发和采购标准模块三种形式,软件模块也划分成I类自研模块、II类第三方定制化模块和III类第三方标准模块。为满足软件开发的安全性和质量,I类软件模块需遵循ISO26262-Part6标准;II类软件模块需满足分布式开发要求,其安全管理更为复杂,需关注整体安全、接口定义和发布报告;III类软件模块则需进行第三方软件组件合格性评估,虽减少过程管理,但需增加技术符合性分析和测试。因此软件开发安全和质量需要整体思考和规划,尽可能避免因过程管理不足而遗漏或忽略掉某些环节引入的系统性失效。
来源:汽车功能安全
end
精品活动推荐
专业社群
部分入群专家来自:
新势力车企:
特斯拉、合众新能源-哪吒、理想、极氪、小米、宾理汽车、极越、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯......
外资传统主流车企代表:
大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚......
内资传统主流车企:
吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用......
全球领先一级供应商:
博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、赢彻科技、潍柴集团、地平线、紫光同芯、字节跳动、......
二级供应商(500+以上):
Upstream、ETAS、Synopsys、NXP、TUV、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信大捷安、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、软安科技、浙江大学......
人员占比
公司类型占比
更多文章
关于涉嫌仿冒AutoSec会议品牌的律师声明
一文带你了解智能汽车车载网络通信安全架构
网络安全:TARA方法、工具与案例
汽车数据安全合规重点分析
浅析汽车芯片信息安全之安全启动
域集中式架构的汽车车载通信安全方案探究
系统安全架构之车辆网络安全架构
车联网中的隐私保护问题
智能网联汽车网络安全技术研究
AUTOSAR 信息安全框架和关键技术分析
AUTOSAR 信息安全机制有哪些?
信息安全的底层机制
汽车网络安全
Autosar硬件安全模块HSM的使用
首发!小米雷军两会上就汽车数据安全问题建言:关于构建完善汽车数据安全管理体系的建议
