张晓先：让操作系统赋能智能网联汽车融合安全

版权声明：本文版权为网易汽车所有，转载请注明出处。

网易汽车11月20日报道

11月10日-12日，“2023中国汽车供应链大会暨第二届中国新能源智能网联汽车生态大会”在武汉召开。本届供应链大会以“踔厉奋发，攻坚克难——打造安全、韧性、绿色汽车供应链”为主题，围绕供应链安全与布局、新型汽车供应链打造、传统供应链升级、全球化发展等热点话题进行深入交流与探讨，寻找构建世界一流汽车供应链的对策、方法和路径。

在11月11日上午举办的“大会论坛”上，普华基础软件股份有限公司副总经理、战略研究院院长 张晓先发表了主题演讲。

以下为嘉宾演讲实录：

各位专家，各位领导，各位业界同仁大家好，非常高兴代表普华基础软件参加今天的活动，我的演讲题目是《操作系统赋能智能网联汽车融合安全》，这个题目里的关键词是融合安全，实际上这是今年普华基础软件和我们的生态合作伙伴一起提出来的在汽车安全方面新的技术方向。我们知道汽车已经发展了有100多年的历史，自1886年第一辆汽车问世以来，安全一直是汽车行业永恒的主题。三年前，我们在首届汽车功能安全日上，分享的一个理念就是“让技术尊重生命”。那一天，普华基础软件从德国莱茵接过了普华车用操作系统的功能安全最高等级ASIL D的产品认证证书。

我们大家知道功能安全ASIL D的产品，在国内有很多，但是这是第一张车用操作系统获得的证书，这很不容易，这样一张小小的安全证书，我们工程师团队付出了1000多个日夜的努力，有1069个文档的编写，4869次代码的修改，215次文档的评审。为什么付出那么多的努力？因为操作系统上做安全很不容易，但是很重要，汽车的安全不止影响到生命安全，还影响到经济损失，甚至国家安全。今天我们要聊的融合安全主题在全球范围内还在起步探索的阶段，希望借今天的平台同大家共享分享，共同探讨。

这是电影《速度与激情8》里的一个片段，这个片段当中汽车变成了武器，网络被破解之后，可以实现对汽车的远程操控，这是一种新型的汽车安全的危险，这样的一些场景在汽车机械时代是不可能发生的，智能化和网联化带给我们更多便利的同时，也带来更多新的挑战。根据工信部车联网动态检测情况显示，2020年以来，发现针对整车企业，以及车联网信息服务商等相关企业的恶意攻击，累计达到了280余万次。这些攻击不仅影响到车辆的信息服务质量，同时可能更直接导致车辆的控制失效。这张图大家都很熟悉，这是我们自动驾驶等级的一个展开，我们现在处在从L2级到L3级的阶段，随着智能化和车路云的协同发展，我们会需要更多的网络连接，这些连接不仅打开了原本封闭的车内网络，同时也产生了大量的数据，对安全的需求不断提升。

所以在下面这个层次，我们可以看到目前有三种安全的技术，一种是功能安全，一种是网络信息安全，还有一种是预期功能安全。这张图是现有的三大安全体系和安全标准，第一部分最左侧2011年发布的ISO 26262定义了在V模型开发过程中如何融入功能安全，强调的是开发过程当中的风险管理和安全性评估，就是说功能安全的定义是说我们的系统上一定会有失效点，无论是硬件还是软件，不可能完全没有错误，也不可能没有损耗。所以长期而言，在这个失效发生的情况下，如何保障安全，我觉得非常有趣的一点，我刚才听前面供应链安全的报告，一个是我认为这个非常有价值，但是我觉得特别巧合的一点是说在供应链安全上，它的方法论和功能安全上有类似之处，就是说我们找到了断点，我们找到了短板，那我们用什么方法去弥补，去解决它，这是很重要的因素。功能安全就是认为在确定有失效情况下，我们如何采取安全措施防范它，解决它，其中备份也是一种方法，还有其他很多各种的方法。

第二个安全体系是2019年发布的叫ISO 21448预期功能安全标准，是考虑到汽车行驶过程中可能发生的未知场景，着力解决因系统功能不足、性能局限、误操作等因素产生的风险，也就是说对未知安全因素进行的管理。

第三个标准是2021年发布的ISO 21434信息安全标准，通过对网络、数据、应用和物理安全的措施，保证汽车的信息系统不受攻击，目前是防范外来网络侵入所导致的风险。

这三类安全技术是现存的安全体系和安全标准。

然而，今天我们的新技术日新月异，当云计算、大数据、大模型这些新技术与汽车产业深度融合，多网络接入、多实体互联、多功能集成成为发展趋势，难以预知的“功能×网络”的耦合风险，和基于软硬件漏洞和隐蔽后门的未知网络攻击风险，成为智能驾驶安全防护的主要挑战，就是单点的安全措施不足以防范这样耦合性的风险。

联合国和我国“十四五”规划里都已经开展要求在功能安全的基础上，引入网络安全，建立以感知、决策、执行为核心的层级体系，满足L3级以上智能驾驶安全需求，同时在安全控制、故障管理、数据安全等方面进行规划，以应对物理技术和信息技术之间，功能重叠区的安全风险。安全在智能网联汽车上不是孤立存在的，刚才讲过的这个概念，单点的故障是容易处理的，但是融合性的、综合性的故障目前是难以处理的。那些安全问题会相互耦合，相互影响，甚至特定条件下会相互转化，依靠单一的安全机制，无法真正保障系统安全，我们需要新的安全体系，充分考虑功能安全和信息安全之间的相互影响，那么其实我们看到当功能安全单一的技术去保障的时候，如果没有防范到信息安全的威胁，那么外部入侵可能会把整个功能安全的体系破坏掉，同时反过来也一样，如果信息安全的安全措施没有采用功能安全的这个方法论去设计开发，那它也是不可靠的，这只是融合的一个点。

新的安全体系需要充分考虑功能安全和信息安全之间的相互影响，将HARA危害分析和风险评估与TARA威胁分析和风险评估进行融合，形成新的融合安全方法论。融合安全不是简单的叠加和交叉，需要打破或者重新审视独立体系下各种假设与前提，构建面向高阶自动驾驶的安全体系。这张图简单介绍了融合安全所包含的研究范畴，简单来说，融合安全不仅涉及到功能安全和信息安全，危害、威胁两类分析模型和分析方法的融合，还需要考虑产品定义、研发、生产等全生命周期流程管理的融合，以及车路云多层级、多维度，软硬件整体的技术融合等等。

在智能网联汽车的体系架构当中，操作系统负责管理与协调汽车软硬件，是承上启下的重要组成部分，也是汽车安全的基石。要实现汽车的融合安全，首先要确保底层操作系统自身的安全，并且提供安全功能的保障。例如：支持对应用算法的安全识别、检测、响应和恢复；实现安全事件检测、上报、存储、处理；实现静态配置、动态演进，实时分析与恢复等等。面向高阶自动驾驶的安全体系，普华基础软件也在和整车企业、芯片企业、安全公司等产业生态合作伙伴联合研发，共同探索新技术。

最后简单介绍一下普华基础软件。普华基础软件隶属于中国电子科技集团，专注于操作系统15年，我们和200多家生态伙伴一起共同为国内整车和一级供应商提供车用基础软件平台，从2010年起，普华基础软件推出国内第一个车用操作系统开始，我们先后服务国内外近300家企业。在操作系统的安全方面，我们是国家车联网身份认证和安全信任试点项目的入围企业，也是信创政务产品安全漏洞专业库的技术集成单位。今年5月份我们响应中汽协会中国车用操作系统开源计划，把我们自主研发的普华EasyAda安全微内核开源，目前已经有包括一汽、长安、理想、国创中心等近20家产业链伙伴签约共建。我们希望通过开源共建，来促进行业协作。刚才有专家提到了行业协作可能就是全栈可控，要比全栈自研更好，所以行业协作非常重要。但行业协作的一种方式就是开源共建，所以我们希望通过这个方式推动行业的合作。

最后，还是回到我刚才讲的普华基础软件在三年前提出的理念，让技术来尊重生命。未来我们希望能够贡献操作系统能力，与大家一起协同攻关，共同打造融合安全的综合方案，让汽车软件开发变得简单，为软件定义汽车提供更好的服务，谢谢大家！