張曉先:讓操作系統賦能智能網聯汽車融合安全

版權聲明:本文版權爲本站汽車所有,轉載請註明出處。

本站汽車11月20日報道

11月10日-12日,“2023中國汽車供應鏈大會暨第二屆中國新能源智能網聯汽車生態大會”在武漢召開。本屆供應鏈大會以“踔厲奮發,攻堅克難——打造安全、韌性、綠色汽車供應鏈”爲主題,圍繞供應鏈安全與佈局、新型汽車供應鏈打造、傳統供應鏈升級、全球化發展等熱點話題進行深入交流與探討,尋找構建世界一流汽車供應鏈的對策、方法和路徑。

在11月11日上午舉辦的“大會論壇”上,普華基礎軟件股份有限公司副總經理、戰略研究院院長 張曉先發表了主題演講。

以下爲嘉賓演講實錄:

各位專家,各位領導,各位業界同仁大家好,非常高興代表普華基礎軟件參加今天的活動,我的演講題目是《操作系統賦能智能網聯汽車融合安全》,這個題目裡的關鍵詞是融合安全,實際上這是今年普華基礎軟件和我們的生態合作伙伴一起提出來的在汽車安全方面新的技術方向。我們知道汽車已經發展了有100多年的歷史,自1886年第一輛汽車問世以來,安全一直是汽車行業永恆的主題。三年前,我們在首屆汽車功能安全日上,分享的一個理念就是“讓技術尊重生命”。那一天,普華基礎軟件從德國萊茵接過了普華車用操作系統的功能安全最高等級ASIL D的產品認證證書。

我們大家知道功能安全ASIL D的產品,在國內有很多,但是這是第一張車用操作系統獲得的證書,這很不容易,這樣一張小小的安全證書,我們工程師團隊付出了1000多個日夜的努力,有1069個文檔的編寫,4869次代碼的修改,215次文檔的評審。爲什麼付出那麼多的努力?因爲操作系統上做安全很不容易,但是很重要,汽車的安全不止影響到生命安全,還影響到經濟損失,甚至國家安全。今天我們要聊的融合安全主題在全球範圍內還在起步探索的階段,希望借今天的平臺同大家共享分享,共同探討。

這是電影《速度與激情8》裡的一個片段,這個片段當中汽車變成了武器,網絡被破解之後,可以實現對汽車的遠程操控,這是一種新型的汽車安全的危險,這樣的一些場景在汽車機械時代是不可能發生的,智能化和網聯化帶給我們更多便利的同時,也帶來更多新的挑戰。根據工信部車聯網動態檢測情況顯示,2020年以來,發現針對整車企業,以及車聯網信息服務商等相關企業的惡意攻擊,累計達到了280餘萬次。這些攻擊不僅影響到車輛的信息服務質量,同時可能更直接導致車輛的控制失效。這張圖大家都很熟悉,這是我們自動駕駛等級的一個展開,我們現在處在從L2級到L3級的階段,隨着智能化和車路雲的協同發展,我們會需要更多的網絡連接,這些連接不僅打開了原本封閉的車內網絡,同時也產生了大量的數據,對安全的需求不斷提升。

所以在下面這個層次,我們可以看到目前有三種安全的技術,一種是功能安全,一種是網絡信息安全,還有一種是預期功能安全。這張圖是現有的三大安全體系和安全標準,第一部分最左側2011年發佈的ISO 26262定義了在V模型開發過程中如何融入功能安全,強調的是開發過程當中的風險管理和安全性評估,就是說功能安全的定義是說我們的系統上一定會有失效點,無論是硬件還是軟件,不可能完全沒有錯誤,也不可能沒有損耗。所以長期而言,在這個失效發生的情況下,如何保障安全,我覺得非常有趣的一點,我剛纔聽前面供應鏈安全的報告,一個是我認爲這個非常有價值,但是我覺得特別巧合的一點是說在供應鏈安全上,它的方法論和功能安全上有類似之處,就是說我們找到了斷點,我們找到了短板,那我們用什麼方法去彌補,去解決它,這是很重要的因素。功能安全就是認爲在確定有失效情況下,我們如何採取安全措施防範它,解決它,其中備份也是一種方法,還有其他很多各種的方法。

第二個安全體系是2019年發佈的叫ISO 21448預期功能安全標準,是考慮到汽車行駛過程中可能發生的未知場景,着力解決因系統功能不足、性能侷限、誤操作等因素產生的風險,也就是說對未知安全因素進行的管理。

第三個標準是2021年發佈的ISO 21434信息安全標準,通過對網絡、數據、應用和物理安全的措施,保證汽車的信息系統不受攻擊,目前是防範外來網絡侵入所導致的風險。

這三類安全技術是現存的安全體系和安全標準。

然而,今天我們的新技術日新月異,當雲計算、大數據、大模型這些新技術與汽車產業深度融合,多網絡接入、多實體互聯、多功能集成成爲發展趨勢,難以預知的“功能×網絡”的耦合風險,和基於軟硬件漏洞和隱蔽後門的未知網絡攻擊風險,成爲智能駕駛安全防護的主要挑戰,就是單點的安全措施不足以防範這樣耦合性的風險。

聯合國和我國“十四五”規劃裡都已經開展要求在功能安全的基礎上,引入網絡安全,建立以感知、決策、執行爲核心的層級體系,滿足L3級以上智能駕駛安全需求,同時在安全控制、故障管理、數據安全等方面進行規劃,以應對物理技術和信息技術之間,功能重疊區的安全風險。安全在智能網聯汽車上不是孤立存在的,剛纔講過的這個概念,單點的故障是容易處理的,但是融合性的、綜合性的故障目前是難以處理的。那些安全問題會相互耦合,相互影響,甚至特定條件下會相互轉化,依靠單一的安全機制,無法真正保障系統安全,我們需要新的安全體系,充分考慮功能安全和信息安全之間的相互影響,那麼其實我們看到當功能安全單一的技術去保障的時候,如果沒有防範到信息安全的威脅,那麼外部入侵可能會把整個功能安全的體系破壞掉,同時反過來也一樣,如果信息安全的安全措施沒有采用功能安全的這個方法論去設計開發,那它也是不可靠的,這只是融合的一個點。

新的安全體系需要充分考慮功能安全和信息安全之間的相互影響,將HARA危害分析和風險評估與TARA威脅分析和風險評估進行融合,形成新的融合安全方法論。融合安全不是簡單的疊加和交叉,需要打破或者重新審視獨立體系下各種假設與前提,構建面向高階自動駕駛的安全體系。這張圖簡單介紹了融合安全所包含的研究範疇,簡單來說,融合安全不僅涉及到功能安全和信息安全,危害、威脅兩類分析模型和分析方法的融合,還需要考慮產品定義、研發、生產等全生命週期流程管理的融合,以及車路雲多層級、多維度,軟硬件整體的技術融合等等。

在智能網聯汽車的體系架構當中,操作系統負責管理與協調汽車軟硬件,是承上啓下的重要組成部分,也是汽車安全的基石。要實現汽車的融合安全,首先要確保底層操作系統自身的安全,並且提供安全功能的保障。例如:支持對應用算法的安全識別、檢測、響應和恢復;實現安全事件檢測、上報、存儲、處理;實現靜態配置、動態演進,實時分析與恢復等等。面向高階自動駕駛的安全體系,普華基礎軟件也在和整車企業、芯片企業、安全公司等產業生態合作伙伴聯合研發,共同探索新技術。

最後簡單介紹一下普華基礎軟件。普華基礎軟件隸屬於中國電子科技集團,專注於操作系統15年,我們和200多家生態夥伴一起共同爲國內整車和一級供應商提供車用基礎軟件平臺,從2010年起,普華基礎軟件推出國內第一個車用操作系統開始,我們先後服務國內外近300家企業。在操作系統的安全方面,我們是國家車聯網身份認證和安全信任試點項目的入圍企業,也是信創政務產品安全漏洞專業庫的技術集成單位。今年5月份我們響應中汽協會中國車用操作系統開源計劃,把我們自主研發的普華EasyAda安全微內核開源,目前已經有包括一汽、長安、理想、國創中心等近20家產業鏈夥伴簽約共建。我們希望通過開源共建,來促進行業協作。剛纔有專家提到了行業協作可能就是全棧可控,要比全棧自研更好,所以行業協作非常重要。但行業協作的一種方式就是開源共建,所以我們希望通過這個方式推動行業的合作。

最後,還是回到我剛纔講的普華基礎軟件在三年前提出的理念,讓技術來尊重生命。未來我們希望能夠貢獻操作系統能力,與大家一起協同攻關,共同打造融合安全的綜合方案,讓汽車軟件開發變得簡單,爲軟件定義汽車提供更好的服務,謝謝大家!