智能網(wǎng)聯(lián)是我國汽車產(chǎn)業(yè)重大戰(zhàn)略方向,軟件定義汽車成為行業(yè)發(fā)展方向的重要特征。智能網(wǎng)聯(lián)汽車軟件在線升級(jí)可實(shí)現(xiàn)全新功能導(dǎo)入、產(chǎn)品性能迭代、用戶體驗(yàn)改善,具備經(jīng)濟(jì)、高效的顯著特征。近年來,在應(yīng)用規(guī)模、范圍等方面均大幅提升。但是,汽車軟件在線升級(jí)涉及升級(jí)前、升級(jí)中、升級(jí)后過程狀態(tài),對原有汽車管理模式帶來新的挑戰(zhàn),需要綜合分析國內(nèi)外汽車創(chuàng)新管理經(jīng)驗(yàn),針對智能網(wǎng)聯(lián)汽車軟件在線升級(jí)潛在的安全風(fēng)險(xiǎn),從管理方面提出針對性對策建議。
1 引言
遠(yuǎn)程在線升級(jí)(Over-The-Air,OTA)是基于移動(dòng)通信網(wǎng)絡(luò)接口完成對移動(dòng)終端產(chǎn)品的軟件數(shù)據(jù)升級(jí)管理的技術(shù),包含軟件遠(yuǎn)程升級(jí)(Software Over The Air, SOTA)和固件遠(yuǎn)程升級(jí)(Firmware Over The Air,FOTA),主要用于智能手機(jī)行業(yè)[1]。對于汽車行業(yè)而言,2000年后,日本汽車制造廠商開始對配置T-BOX車載控制單元的汽車進(jìn)行T-BOX系統(tǒng)的OTA遠(yuǎn)程升級(jí)。在此以后,部分汽車制造廠商開始對具備遠(yuǎn)程通信功能的車載信息娛樂系統(tǒng)(In-Vehicle Infotainment,IVI)進(jìn)行OTA遠(yuǎn)程升級(jí),如導(dǎo)航地圖、應(yīng)用音樂等,從OTA遠(yuǎn)程升級(jí)的功能內(nèi)容范圍分析,此時(shí)汽車行業(yè)主要針對車載信息娛樂系統(tǒng)和簡單的電器部件控制功能,屬于SOTA 的范疇。從汽車OTA 遠(yuǎn)程升級(jí)更新內(nèi)容上分析,特斯拉Model S是一款真正搭載FOTA技術(shù)的汽車,通過遠(yuǎn)程升級(jí)修復(fù)安全漏洞、提升產(chǎn)品性能、改善用戶體驗(yàn)[2]。自2018年以來,國內(nèi)汽車OTA遠(yuǎn)程升級(jí)在功能搭載率、升級(jí)內(nèi)容等方面均實(shí)現(xiàn)快速提升,OTA 遠(yuǎn)程升級(jí)發(fā)展逐漸擴(kuò)大化,并催生一批功能選裝、硬件免費(fèi)+軟件收費(fèi)等新型商業(yè)模式。由于智能化、網(wǎng)聯(lián)化技術(shù)的賦能,OTA 遠(yuǎn)程升級(jí)技術(shù)將成為未來汽車產(chǎn)品軟件數(shù)據(jù)更新的主要方式,逐漸成為汽車智能化、網(wǎng)聯(lián)化的標(biāo)準(zhǔn)配置,汽車產(chǎn)業(yè)將迎來“越用越新”的時(shí)代。
本文主要從汽車軟件在線升級(jí)架構(gòu)、流程、最新管理實(shí)踐方面,研究汽車軟件在線升級(jí)的潛在風(fēng)險(xiǎn)和發(fā)展重點(diǎn)。
2 國內(nèi)外汽車軟件在線升級(jí)管理最新進(jìn)展
智能網(wǎng)聯(lián)汽車OTA 遠(yuǎn)程升級(jí)的軟件數(shù)據(jù)內(nèi)容不僅包含智能座艙、車聯(lián)網(wǎng),還擴(kuò)展到汽車行車系統(tǒng)控制層和自動(dòng)駕駛(圖1)[3]。OTA 遠(yuǎn)程升級(jí)將深度變革汽車產(chǎn)品定義、開發(fā)、驗(yàn)證、銷售、服務(wù)全過程。當(dāng)前,汽車OTA遠(yuǎn)程升級(jí)范圍,已從信息娛樂系統(tǒng)逐漸擴(kuò)展至制動(dòng)能量回收系統(tǒng)、電池管理系統(tǒng)、智能座艙、輔助駕駛功能等領(lǐng)域,不同功能域的性能參數(shù)均發(fā)生變更,產(chǎn)品缺陷修復(fù)方式更加靈活多樣[4-5]。從一定程度來看,屬于汽車“再造”屬性,升級(jí)后的汽車產(chǎn)品如何滿足生產(chǎn)一致性管理要求,如何進(jìn)行汽車安全影響評估,如何界定消除汽車產(chǎn)品缺陷和性能改進(jìn)的邊界等,均對傳統(tǒng)汽車靜態(tài)固化的管理模式帶來新的挑戰(zhàn)。
圖1 智能網(wǎng)聯(lián)汽車應(yīng)用軟件[3]
國外以聯(lián)合國和日本為代表,已出臺(tái)具體法規(guī)要求對汽車OTA進(jìn)行管理。目前,聯(lián)合國世界車輛法規(guī)協(xié)調(diào)論壇發(fā)布3項(xiàng)涉及智能網(wǎng)聯(lián)汽車信息安全的重要法規(guī)UN Regulation No.155、UN Regulation No.156、UN Regulation No.157,其 中UN Regulation No.155 和UN Regulation No.156 法規(guī)要求銷售到58 協(xié)約國的汽車制造企業(yè)必須獲得政府監(jiān)管部門的汽車信息安全管理認(rèn)證和汽車軟件升級(jí)管理體系認(rèn)證,汽車軟件升級(jí)管理體系認(rèn)證要求汽車制造企業(yè)從軟件更新過程,軟件更新的安全性要求、已安裝軟件的標(biāo)識(shí)等方面建立軟件升級(jí)管理體系,政府監(jiān)管部門會(huì)保持認(rèn)證結(jié)果不定期復(fù)審。
日本對于汽車OTA遠(yuǎn)程升級(jí)管理處于領(lǐng)先位置,為促進(jìn)自動(dòng)駕駛產(chǎn)業(yè)的快速落地,先后出臺(tái)或修訂了《道路車輛運(yùn)輸法》《車輛特定改造許可制度》《道路運(yùn)輸車輛保安基準(zhǔn)》《審查事務(wù)規(guī)程》等文件,從上位法、管理制度、法規(guī)要求等維度,對汽車OTA 在線升級(jí)申請、審查、驗(yàn)證、許可等關(guān)鍵環(huán)節(jié)構(gòu)建了較為完善的管理體系[6-8]。日本將汽車OTA 遠(yuǎn)程升級(jí)作為汽車制造企業(yè)對已銷售車型改裝應(yīng)用的一種技術(shù)方式,針對具備OTA 遠(yuǎn)程升級(jí)改裝的汽車制造企業(yè),其需要建立軟件升級(jí)和網(wǎng)絡(luò)安全等制度管理體系,并且國家監(jiān)管部門不定期審查已建立的軟件升級(jí)和網(wǎng)絡(luò)安全等制度管理體系的執(zhí)行狀態(tài),此外汽車制造企業(yè)在OTA 升級(jí)前需向日本國土交通部提交汽車軟件升級(jí)申請材料,經(jīng)國土交通部批準(zhǔn)后方可執(zhí)行汽車OTA遠(yuǎn)程升級(jí)。
此外,國際相關(guān)標(biāo)準(zhǔn)組織為減少汽車OTA遠(yuǎn)程升級(jí)質(zhì)量問題,先后發(fā)布了SAE J3061(2016)、Uptane IEEE-ISTO 6100.1.0.0(2018)、ISO/SAE 21434(2021)等行業(yè)標(biāo)準(zhǔn),從信息安全工程體系建設(shè)、安全測試技術(shù)和汽車安全防護(hù)框架等方面提供標(biāo)準(zhǔn)化OTA 遠(yuǎn)程升級(jí)產(chǎn)品解決方案。另外,國際標(biāo)準(zhǔn)化組織為支撐UN Regulation No.156- Software update and software update management system 法規(guī)在企業(yè)體系的實(shí)施,ISO 24089《道路車輛軟件升級(jí)工程》已正式立項(xiàng),旨在提出車載軟件更新所涉及的功能安全和信息安全方面的要求,明確軟件升級(jí)管理系統(tǒng)、車輛、電子電氣架構(gòu)和軟件包的設(shè)計(jì)開發(fā)流程,支撐相關(guān)法規(guī)的實(shí)施。綜合來看,國際上已出臺(tái)的法規(guī)和標(biāo)準(zhǔn)從OTA遠(yuǎn)程升級(jí)前對車況的正確感知,到OTA 遠(yuǎn)程升級(jí)結(jié)果完整性、功能性驗(yàn)證、升級(jí)內(nèi)容防篡改機(jī)制,再到升級(jí)失敗后車輛自動(dòng)還原到可用狀態(tài)、更新內(nèi)容和過程可追溯,以及完備的安全監(jiān)控和審計(jì)機(jī)制、告知車主更新內(nèi)容及保護(hù)措施等方面,對汽車OTA遠(yuǎn)程升級(jí)安全均強(qiáng)化了管理要求。
我國行業(yè)主管部門高度重視汽車OTA 遠(yuǎn)程升級(jí)管理。總體來看,我國以備案方式開展汽車OTA 管理,對汽車OTA 升級(jí)進(jìn)行規(guī)范管理。具體來看,從新車準(zhǔn)入和在用車管理角度先后出臺(tái)了《市場監(jiān)管總局辦公廳關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級(jí)(OTA)技術(shù)召回監(jiān)管的通知》《關(guān)于開展汽車軟件在線升級(jí)備案的通知》等管理政策。其中,《市場監(jiān)管總局辦公廳關(guān)于進(jìn)一步加強(qiáng)汽車遠(yuǎn)程升級(jí)(OTA)技術(shù)召回監(jiān)管的通知》提出對OTA 遠(yuǎn)程升級(jí)追溯、對OTA 遠(yuǎn)程升級(jí)技術(shù)服務(wù)活動(dòng)和OTA 遠(yuǎn)程升級(jí)召回備案進(jìn)行管理。《關(guān)于開展汽車軟件在線升級(jí)備案的通知》對企業(yè)遠(yuǎn)程升級(jí)過程進(jìn)行管理,主要體現(xiàn)在OTA 遠(yuǎn)程升級(jí)過程管理、安全應(yīng)急響應(yīng)、升級(jí)版本、信息記錄等。此外,工信部發(fā)布的《關(guān)于加強(qiáng)智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準(zhǔn)入管理的意見》也提到準(zhǔn)入測試應(yīng)開展OTA 遠(yuǎn)程升級(jí)安全測試和升級(jí)過程測試。《關(guān)于開展汽車數(shù)據(jù)安全、網(wǎng)絡(luò)安全等自查工作的通知》提出要對OTA 遠(yuǎn)程升級(jí)安全和網(wǎng)絡(luò)安全狀態(tài)進(jìn)行評估檢驗(yàn)。市場監(jiān)管總局等部委聯(lián)合發(fā)布的《關(guān)于試行汽車安全沙盒監(jiān)管制度的通告》,提出對使用遠(yuǎn)程升級(jí)等新功能模式的車輛開展深度測試,更早發(fā)現(xiàn)質(zhì)量安全問題,保障安全底線。
從標(biāo)準(zhǔn)法規(guī)來看,我國在2022年6月已發(fā)布了強(qiáng)制性國家標(biāo)準(zhǔn)《汽車軟件升級(jí)通用技術(shù)要求》(征求意見稿),該標(biāo)準(zhǔn)規(guī)定了汽車軟件升級(jí)的管理體系要求、車輛要求、試驗(yàn)方法、車輛型式的變更和擴(kuò)展、說明書要求等,從技術(shù)法規(guī)角度進(jìn)一步完善汽車OTA遠(yuǎn)程升級(jí)管理要求。
3 汽車軟件在線升級(jí)存在的主要安全問題
汽車OTA 遠(yuǎn)程升級(jí)系統(tǒng)架構(gòu)主要由遠(yuǎn)程升級(jí)云服務(wù)器端、云端數(shù)據(jù)傳輸和汽車產(chǎn)品應(yīng)用終端組成[9-10]。遠(yuǎn)程升級(jí)云服務(wù)器端和汽車產(chǎn)品應(yīng)用終端采用一對多的方式,部署在汽車制造企業(yè)數(shù)據(jù)中心的私有云服務(wù)平臺(tái)為遠(yuǎn)程升級(jí)云服務(wù)器端,利用公有云的內(nèi)容分發(fā)技術(shù)(Content Delivery Network,CDN)實(shí)現(xiàn)位于不同地區(qū)的不同汽車同時(shí)更新[11]。遠(yuǎn)程升級(jí)系統(tǒng)架構(gòu)見圖2。
圖2 汽車OTA系統(tǒng)架構(gòu)[11]
通過功能測試的汽車軟件遠(yuǎn)程升級(jí)數(shù)據(jù)包,在OTA遠(yuǎn)程升級(jí)云服務(wù)器完成刷寫驗(yàn)證流程,經(jīng)遠(yuǎn)程升級(jí)云服務(wù)器工程設(shè)計(jì)人員在遠(yuǎn)程升級(jí)云服務(wù)器部署車端控制器的軟件數(shù)據(jù)包,建立遠(yuǎn)程升級(jí)任務(wù),利用車載遠(yuǎn)程升級(jí)主控單元執(zhí)行端與遠(yuǎn)程升級(jí)服務(wù)器的無線通信鏈路,匹配和下載遠(yuǎn)程升級(jí)軟件數(shù)據(jù)文件,實(shí)現(xiàn)待升級(jí)車載控制單元的遠(yuǎn)程軟件數(shù)據(jù)下載、軟件數(shù)據(jù)安裝過程[12-14],OTA遠(yuǎn)程升級(jí)主要流程見圖3。
圖3 汽車OTA升級(jí)流程
從汽車OTA遠(yuǎn)程升級(jí)的系統(tǒng)框架分析,在遠(yuǎn)程升級(jí)的每個(gè)流程中均存在安全風(fēng)險(xiǎn),常見的安全風(fēng)險(xiǎn)包含遠(yuǎn)程在線升級(jí)云服務(wù)器風(fēng)險(xiǎn)、軟件數(shù)據(jù)傳輸風(fēng)險(xiǎn)、遠(yuǎn)程在線升級(jí)服務(wù)器與車載遠(yuǎn)程在線升級(jí)控制單元之間的通訊協(xié)議風(fēng)險(xiǎn)、車內(nèi)通信網(wǎng)絡(luò)風(fēng)險(xiǎn)、軟件在線升級(jí)數(shù)據(jù)包被篡改風(fēng)險(xiǎn)[15-16]。據(jù)統(tǒng)計(jì),利用OTA 遠(yuǎn)程升級(jí)端口的攻擊方式已成為汽車產(chǎn)品當(dāng)前面臨的最高風(fēng)險(xiǎn),如果出現(xiàn)安全事件,其影響范圍包含汽車運(yùn)行狀態(tài)、車主隱私數(shù)據(jù)泄露、車主財(cái)務(wù)損失,更為嚴(yán)重的安全事件會(huì)涉及到車主的人身傷亡[17]。如何在軟件快速迭代進(jìn)程中確保軟件質(zhì)量和升級(jí)成功率、如何準(zhǔn)確評估識(shí)別復(fù)雜電子電器系統(tǒng)升級(jí)必要性和升級(jí)軟件準(zhǔn)確性、如何確保軟件在線升級(jí)合規(guī)等關(guān)鍵問題,均對程序可靠性、數(shù)據(jù)完整性、系統(tǒng)安全性和傳輸連通性方面提出了更高要求。
從用戶使用來看,OTA遠(yuǎn)程升級(jí)可涉及產(chǎn)品技術(shù)參數(shù)和控制策略調(diào)整,安全風(fēng)險(xiǎn)有待評估,一定程度上影響用車安全;部分OTA遠(yuǎn)程升級(jí)并未明確告知車主遠(yuǎn)程在線升級(jí)的理由,以及遠(yuǎn)程在線升級(jí)的內(nèi)容和升級(jí)后對汽車的影響,侵犯用戶合法權(quán)益;OTA 遠(yuǎn)程升級(jí)過程中還可獲取智能網(wǎng)聯(lián)汽車位置信息和汽車使用數(shù)據(jù)等個(gè)人隱私數(shù)據(jù),面臨著數(shù)據(jù)安全風(fēng)險(xiǎn)及車主隱私數(shù)據(jù)保護(hù)問題。
從汽車產(chǎn)品來看,頻繁的OTA遠(yuǎn)程升級(jí)導(dǎo)致先期投發(fā)車型配置與不斷自動(dòng)升級(jí)的軟件系統(tǒng)不相匹配,車載控制單元的硬件能力不足,軟件系統(tǒng)運(yùn)行速度慢,將影響產(chǎn)品正常運(yùn)行,不利于可持續(xù)發(fā)展。
從產(chǎn)業(yè)生態(tài)來看,智能網(wǎng)聯(lián)汽車OTA遠(yuǎn)程升級(jí)產(chǎn)品的使用條件和環(huán)境十分復(fù)雜,OTA遠(yuǎn)程升級(jí)升級(jí)生態(tài)系統(tǒng)涉及實(shí)體包括智能網(wǎng)聯(lián)汽車、OTA遠(yuǎn)程升級(jí)云服務(wù)器、手機(jī)、汽車制造商、備件OEM、軟件經(jīng)銷商、車主、汽車服務(wù)中心、保險(xiǎn)公司、執(zhí)法人員等,明確各方權(quán)責(zé)利弊是一項(xiàng)系統(tǒng)工程,需要各方持續(xù)探索行業(yè)解決方案。
4 對策與建議
總體來看,OTA遠(yuǎn)程升級(jí)的發(fā)展與汽車的智能化和網(wǎng)聯(lián)化推進(jìn)息息相關(guān),未來在自動(dòng)駕駛域、底盤域及動(dòng)力域的OTA遠(yuǎn)程升級(jí)將不斷增多,需要政府機(jī)構(gòu)、整車企業(yè)、關(guān)鍵零部件供應(yīng)商與IT、生產(chǎn)制造、市場和相關(guān)測試機(jī)構(gòu)協(xié)同配合[18],打造完整的OTA遠(yuǎn)程升級(jí)生態(tài)系統(tǒng),共同保障智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)高質(zhì)量發(fā)展。
4.1 完善OTA遠(yuǎn)程升級(jí)管理體系
OTA 遠(yuǎn)程升級(jí)涉及后市場車輛的再設(shè)計(jì)更新過程。建議在現(xiàn)有備案管理基礎(chǔ)上,進(jìn)一步建立汽車OTA遠(yuǎn)程升級(jí)技術(shù)審查和測試機(jī)制,具體建設(shè)如下。
(1)開展升級(jí)包一致性比對分析,發(fā)現(xiàn)對升級(jí)包內(nèi)容不一致的情況,開展功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全測試。
(2)對企業(yè)因OTA遠(yuǎn)程升級(jí)后產(chǎn)生重大安全問題或?qū)囕v一致性產(chǎn)生較大影響的,建議對企業(yè)相關(guān)能力開展核實(shí),并對該類企業(yè)后續(xù)涉及安全或重要參數(shù)變更等OTA遠(yuǎn)程升級(jí)活動(dòng),重點(diǎn)開展升級(jí)過程及升級(jí)后的測試驗(yàn)證,確保產(chǎn)品生產(chǎn)一致性[19]。
(3)基于缺陷線索收集,對于OTA 遠(yuǎn)程升級(jí)后投訴較多車型,開展OTA遠(yuǎn)程升級(jí)后的車輛的功能抽檢驗(yàn)證,包括不限于升級(jí)日志讀取以及功能測試。
4.2 建立健全OTA遠(yuǎn)程升級(jí)管理標(biāo)準(zhǔn)體系
在已有OTA遠(yuǎn)程升級(jí)技術(shù)要求基礎(chǔ)上,可參考傳統(tǒng)數(shù)據(jù)安全和網(wǎng)絡(luò)安全體系架構(gòu),梳理目前已有的智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全和網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn),以標(biāo)準(zhǔn)屬性作為主要分類維度的標(biāo)準(zhǔn)體系框架(圖4),從規(guī)范類、技術(shù)類、管理類3 個(gè)方面建設(shè)面向汽車OTA 遠(yuǎn)程升級(jí)監(jiān)管流程的標(biāo)準(zhǔn)體系,堅(jiān)持標(biāo)準(zhǔn)體系適度超前,逐步起到發(fā)展引領(lǐng)作用。其中,規(guī)范類標(biāo)準(zhǔn)包括基本術(shù)語、缺陷判定、OTA遠(yuǎn)程升級(jí)分類等標(biāo)準(zhǔn),基于OTA遠(yuǎn)程升級(jí)的行業(yè)術(shù)語、OTA遠(yuǎn)程升級(jí)的缺陷定義以及OTA遠(yuǎn)程升級(jí)的分類標(biāo)準(zhǔn)等方面,規(guī)范OTA遠(yuǎn)程升級(jí)的行業(yè)術(shù)語和行業(yè)流程標(biāo)準(zhǔn),推進(jìn)OTA遠(yuǎn)程升級(jí)管理過程專業(yè)化。技術(shù)類標(biāo)準(zhǔn)包含安全測試(測試用例、測試流程、測試機(jī)構(gòu)資質(zhì)要求、測試場地等環(huán)境要求)、風(fēng)險(xiǎn)評估等標(biāo)準(zhǔn),并將標(biāo)準(zhǔn)內(nèi)容劃分為終端、網(wǎng)絡(luò)、業(yè)務(wù)場景等測試、評估對象。針對OTA 遠(yuǎn)程升級(jí)過程中的多場景、多產(chǎn)品的安全測試方法、測試流程以及漏洞等級(jí)判定方法等測試技術(shù)方面進(jìn)行系統(tǒng)化、標(biāo)準(zhǔn)化的管理,為企業(yè)開展檢測業(yè)務(wù)或第三方實(shí)驗(yàn)室檢測單位提供基本標(biāo)準(zhǔn)依據(jù)。管理類標(biāo)準(zhǔn)則包括漏洞庫標(biāo)準(zhǔn)規(guī)范、應(yīng)急處置和追溯管理(包括OTA 升級(jí)管理標(biāo)準(zhǔn)等),從OTA 遠(yuǎn)程升級(jí)產(chǎn)品漏洞庫的建設(shè)管理、企業(yè)應(yīng)急處理管理機(jī)制和質(zhì)量缺陷可追溯的開發(fā)流程開展標(biāo)準(zhǔn)化建設(shè),讓汽車制造企業(yè)將重點(diǎn)聚焦在技術(shù)研發(fā)和產(chǎn)品設(shè)計(jì)上,提高企業(yè)核心競爭力。其次,現(xiàn)行法規(guī)(如UN Regulation No.156、ISO 24089 標(biāo)準(zhǔn))均是從整車角度出發(fā),部件系統(tǒng)供應(yīng)商需要完全適應(yīng)下游主機(jī)廠要求,溝通成本和后期維護(hù)成本大大增加。建議未來將主機(jī)廠和零部件廠商資源進(jìn)行有效整合,構(gòu)建符合行業(yè)發(fā)展需求、涵蓋云-管-端[20-21]全要素的OTA遠(yuǎn)程升級(jí)標(biāo)準(zhǔn)體系。最后,圍繞標(biāo)準(zhǔn)中難點(diǎn)、熱點(diǎn)問題,協(xié)調(diào)各標(biāo)委會(huì)和相關(guān)科研機(jī)構(gòu)組織力量開展OTA遠(yuǎn)程升級(jí)標(biāo)準(zhǔn)化的研究工作,針對不同標(biāo)委會(huì)所覆蓋的相關(guān)技術(shù)標(biāo)準(zhǔn)進(jìn)行歸口管理,指導(dǎo)和支撐汽車OTA遠(yuǎn)程升級(jí)監(jiān)管工作。
圖4 智能網(wǎng)聯(lián)汽車OTA安全監(jiān)管標(biāo)準(zhǔn)體系框架
4.3 完善汽車OTA遠(yuǎn)程升級(jí)安全測試體系
首先,基于網(wǎng)絡(luò)安全和數(shù)據(jù)安全風(fēng)險(xiǎn)評估理論基礎(chǔ)、汽車網(wǎng)絡(luò)安全和數(shù)據(jù)安全領(lǐng)域現(xiàn)有的威脅分析以及實(shí)踐經(jīng)驗(yàn),結(jié)合汽車本身的復(fù)雜特性,建立以資產(chǎn)為核心的汽車OTA遠(yuǎn)程升級(jí)安全風(fēng)險(xiǎn)評估模型,包括資產(chǎn)識(shí)別、脆弱性分析,威脅分析、影響評估、攻擊路徑分析、攻擊可行性分析、風(fēng)險(xiǎn)值判斷等方面。
其次,汽車OTA遠(yuǎn)程升級(jí)系統(tǒng)本身是完整的生態(tài)系統(tǒng),檢測方向包括汽車遠(yuǎn)程升級(jí)車載終端安全檢測、車載終端-遠(yuǎn)程升級(jí)云服務(wù)器平臺(tái)-移動(dòng)設(shè)備App間通信,以及與遠(yuǎn)程升級(jí)業(yè)務(wù)交互安全檢測、移動(dòng)設(shè)備App 安全檢測以及遠(yuǎn)程升級(jí)云服務(wù)器云平臺(tái)安全檢測,為此定期針對以上5部分內(nèi)容進(jìn)行安全檢測非常必要。
再次,汽車OTA 遠(yuǎn)程升級(jí)是一個(gè)復(fù)雜的系統(tǒng)工程,涉及到的安全包括網(wǎng)絡(luò)安全、數(shù)據(jù)安全、功能安全等多方面,重點(diǎn)推動(dòng)軟件數(shù)據(jù)模擬仿真驗(yàn)證測試,網(wǎng)絡(luò)安全和數(shù)據(jù)安全的合規(guī)檢測等服務(wù)。從模擬仿真測試體系、測試評價(jià)體系以及功能安全驗(yàn)證體系方面制定汽車遠(yuǎn)程在線升級(jí)測試規(guī)范。
最后,梳理并匯集OTA 遠(yuǎn)程升級(jí)監(jiān)管技術(shù)需求,梳理共性和核心關(guān)鍵技術(shù),圍繞技術(shù)需求通過部際會(huì)商、設(shè)立產(chǎn)業(yè)基金等形式,以重點(diǎn)研發(fā)計(jì)劃、國家自然科學(xué)基金、國際合作項(xiàng)目等為牽引,匯聚國內(nèi)外創(chuàng)新資源形成合力,特別是針對智能網(wǎng)聯(lián)汽車快速迭代發(fā)展形勢下,建立常態(tài)化的關(guān)鍵技術(shù)協(xié)同攻關(guān)模式,有效打破壁壘,形成從基礎(chǔ)理論-共性關(guān)鍵技術(shù)-集成示范應(yīng)用全鏈條、一體化的創(chuàng)新群體。
4.4 強(qiáng)化OTA遠(yuǎn)程升級(jí)安全基礎(chǔ)保障能力
首先,深入研究汽車產(chǎn)品安全風(fēng)險(xiǎn)評估/缺陷研判等關(guān)鍵技術(shù),健全安全評價(jià)和缺陷研究機(jī)制,為國家監(jiān)管機(jī)構(gòu)監(jiān)管汽車產(chǎn)品安全方面提供有效技術(shù)支持。整合行業(yè)資源,構(gòu)建安全基線,基于大數(shù)據(jù)有效識(shí)別安全漏洞,提升安全缺陷識(shí)別能力,持續(xù)開展產(chǎn)品信息安全缺陷安全測試、風(fēng)險(xiǎn)評估,利用技術(shù)和檢驗(yàn)手段分析判斷缺陷,并對標(biāo)準(zhǔn)符合性問題進(jìn)行調(diào)查。
其次,針對具備OTA遠(yuǎn)程升級(jí)配置的汽車產(chǎn)品及相關(guān)零部件系統(tǒng)的關(guān)鍵軟件數(shù)據(jù),針對其功能可靠安全方面進(jìn)行檢測認(rèn)證,建立多層級(jí)的遠(yuǎn)程升級(jí)檢測認(rèn)證服務(wù)體系。
再次,由于升級(jí)車輛的控制器芯片和操作系統(tǒng)、零部件和車型的差異較大,由此造成了具體車型適配分散化難題,亟需構(gòu)建一套統(tǒng)一、通用的測試驗(yàn)證平臺(tái)和測試工具,解決軟件落地中的標(biāo)準(zhǔn)化問題。進(jìn)一步保障不同車型的OTA 遠(yuǎn)程升級(jí)體系標(biāo)準(zhǔn)化過程的穩(wěn)定性和高效性。
建議以高校、科研院所等“第三方”,建立“共研、共建、共享、共營”的技術(shù)支撐平臺(tái),服務(wù)于OTA 遠(yuǎn)程升級(jí)監(jiān)管,提供有效的技術(shù)保障。最后,促進(jìn)汽車OTA 遠(yuǎn)程升級(jí)行業(yè)構(gòu)建自律規(guī)范。目前,由于時(shí)間、成本、功能、安全風(fēng)險(xiǎn)等綜合因素考量,大部分主機(jī)廠將考慮直接向OTA遠(yuǎn)程升級(jí)供應(yīng)商購買服務(wù),OTA遠(yuǎn)程升級(jí)供應(yīng)商通過多種方式實(shí)現(xiàn)軟件刷寫,但是由于是新興模式和新興技術(shù),行業(yè)內(nèi)存在OTA遠(yuǎn)程升級(jí)產(chǎn)品質(zhì)量參差不齊等現(xiàn)象,建議由行業(yè)第三方機(jī)構(gòu)牽頭,聯(lián)合主要生態(tài)要素主體,共同建立智能網(wǎng)聯(lián)汽車OTA 遠(yuǎn)程升級(jí)創(chuàng)新聯(lián)盟,構(gòu)建統(tǒng)一評價(jià)標(biāo)準(zhǔn),探索行業(yè)領(lǐng)跑者機(jī)制,鼓勵(lì)優(yōu)勝劣汰,規(guī)范行業(yè)自律發(fā)展。
綜上所述,汽車OTA遠(yuǎn)程升級(jí)是智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)的重要趨勢,即將迎來大規(guī)模應(yīng)用。但在OTA遠(yuǎn)程升級(jí)的每個(gè)流程中均存在安全風(fēng)險(xiǎn),影響車輛性能、安全和用戶權(quán)益,如不加以妥善管理,不利于行業(yè)可持續(xù)發(fā)展。汽車OTA遠(yuǎn)程升級(jí)需要在檢測認(rèn)證、一致性抽查、分級(jí)備案、數(shù)據(jù)化監(jiān)管、測評技術(shù)、缺陷研判、風(fēng)險(xiǎn)評估、標(biāo)準(zhǔn)制定等方面進(jìn)一步強(qiáng)化和健全管理體系。
轉(zhuǎn)自智能汽車設(shè)計(jì)
