11月22日，智能汽車安全守護(hù)者大會在上海嘉定舉辦，當(dāng)日智能汽車網(wǎng)絡(luò)與數(shù)據(jù)安全論壇。此次大會圍繞智能網(wǎng)聯(lián)汽車背景下的網(wǎng)絡(luò)安全、信息安全、數(shù)據(jù)安全、功能安全等行業(yè)熱門護(hù)體，探討行業(yè)細(xì)分領(lǐng)域的技術(shù)熱點、推動行業(yè)的技術(shù)創(chuàng)新和發(fā)展。艾拉比解決方案總監(jiān)楊森應(yīng)邀參加，并發(fā)表題為“艾拉比汽車軟件升級協(xié)同和風(fēng)險管理”的主題演講，為行業(yè)提供軟件管理及運營解決方案。

以下為演講實錄：

產(chǎn)業(yè)、技術(shù)、市場多重因素驅(qū)動汽車軟件管理體系變革

在汽車“新四化”背景下，汽車將加速向高度數(shù)字化、信息化、智能化的方向發(fā)展，軟件將成為新的核心竟?fàn)廃c。從技術(shù)發(fā)展趨勢上來看，隨著智能制造、OTA 診斷等技術(shù)正全面融入車企全生命周期運營體系，深度重構(gòu)了汽車研發(fā)體系。從市場角度來看，數(shù)字化、個性化、體驗化將成為汽車消費者的主要考量因素，進(jìn)一步挖據(jù)用戶的個性化需求和持續(xù)打造迭代的軟件升級體系將成為關(guān)鍵。上一代EE架構(gòu)衍生的以工程研發(fā)為導(dǎo)向的軟件管理體系無法適應(yīng)現(xiàn)階段軟件定義汽車的新需求，因此在產(chǎn)業(yè)、技術(shù)、市場三駕馬車的共同驅(qū)動下，汽車軟件管理體系必須面向運營轉(zhuǎn)變。

汽車軟件從單體管理向協(xié)同管理、軟件運營轉(zhuǎn)型

縱觀汽車軟件管理十年發(fā)展歷程，與汽車電子電器架構(gòu)密不可分，伴隨著隨著汽車電子電器架構(gòu)從分布式—域控—中央計算的發(fā)展演進(jìn)，汽車軟件管理體系也經(jīng)歷了四個發(fā)展階段。第一階段，在OTA技術(shù)還未大規(guī)模應(yīng)用的情況下，車輛軟件的升級訴求較少，軟件管理更多作為一個固件軟件包的存儲及下載，在應(yīng)用場景上也只是為了解決出廠配置和售后質(zhì)量問題，軟件管理表現(xiàn)出信息和文件實體分離的特點。在第二個階段，隨著OTA技術(shù)的普及，智能件的升級訴求逐步增多，為了實現(xiàn)OTA運營需求，構(gòu)建了低維度的軟件管理，管理特點轉(zhuǎn)變?yōu)楦鱾€需要OTA升級的軟件的從PLM等研發(fā)系統(tǒng)同步到OTA系統(tǒng)，在OTA系統(tǒng)上建立以車型零件為基礎(chǔ)的軟件管理模塊。第三個階段，隨著電子電器架構(gòu)的升級，整車OEM開始構(gòu)建面向企業(yè)級的整車OTA升級能力，在這個階段ECU軟件數(shù)量及復(fù)雜程度呈指數(shù)上升，由于軟硬解耦，軟件管理的內(nèi)容明顯增多，包括固件包、應(yīng)用包、功能配置及服務(wù)等均納入了軟件管理的范疇，另一方面從升級的場景也覆蓋到研發(fā)測試、生產(chǎn)制造、售后運營等業(yè)務(wù)線上，部分OEM也建立了整車基線大版本的管理模式來支持軟件升級的運營。第四個階段，我們把他定義成軟件運營階段，我們把軟件管理中不同的軟件及內(nèi)容對接到應(yīng)用商店的生態(tài)體系實現(xiàn)軟件的增值變現(xiàn)，同時基于用戶的個性化需求實現(xiàn)千人千面的內(nèi)容推送。這個階段不僅需要考慮軟件運營，在合規(guī)體系上，也需要為符合《R156》,《汽車軟件升級通用技術(shù)要求》等法規(guī)要求提供系統(tǒng)支撐。

汽車被軟件“精裝”，催生了軟件統(tǒng)一管理的強烈需求

隨著車輛軟件數(shù)量的驟增，軟件刷寫場景的復(fù)雜多變，以及軟件敏捷開發(fā),合規(guī)體系等場景出現(xiàn)，汽車行業(yè)中存在多年的軟件管理等系統(tǒng)已經(jīng)逐漸成為了軟件升級運營的限制因素。諸多痛點成為汽車發(fā)展的桎梏，目前我們總結(jié)下來主要有如下幾點因素：

傳統(tǒng)的硬件管理系統(tǒng)來管理軟件，難以適應(yīng)軟件的快速迭代體系。

軟件數(shù)據(jù)存在于研發(fā)、測試、BOM、變更、制造、售后、銷售等系統(tǒng)，造成數(shù)據(jù)冗余，質(zhì)量問題分析排查及追溯效率低下；

當(dāng)前軟件管理 BOM，無法覆蓋所有的軟件刷寫場景，且準(zhǔn)確性比較差；

軟件臨時方案過多，沒有統(tǒng)一的系統(tǒng)管理和記錄；

軟硬解耦，沒有簡單可靠的機制支撐軟件，硬件和配置等的協(xié)同變更等。

如何為每一輛車精準(zhǔn)的刷寫匹配的軟件，當(dāng)軟件出現(xiàn)質(zhì)量問題如何快速查找相關(guān)車輛的軟硬件配置信息，我們總結(jié)了當(dāng)前軟件管理的四大痛點。

軟件升級通道多需要同源管理。隨著應(yīng)用的場景增多，軟件運用到應(yīng)用商店、生產(chǎn)智造等環(huán)節(jié)，軟件通道繁多，需要對SOTA/FOTA/EOL/診斷/商店/智造/售后進(jìn)行同源管理。

軟件種類多需要統(tǒng)一的分層管理。隨著電子電氣架構(gòu)的發(fā)展，軟硬件解耦，主機廠把軟件分為固件層、應(yīng)用層、算法層、配置層、功能層、生態(tài)層、服務(wù)層等，這些復(fù)雜的軟件之間，需要統(tǒng)一的約束關(guān)系去管理。

車主觸點豐富需要統(tǒng)一體驗，要實現(xiàn)軟件訂閱、軟件升級等不同觸點的統(tǒng)一的管理。

建立汽車生命周期數(shù)字資產(chǎn)統(tǒng)一管理。對硬件、軟件、車輛數(shù)字檔案全生命的周期的進(jìn)行統(tǒng)一管理。

軟件蜂擁帶來的通道多、種類多、觸點多及數(shù)字化管理需求亟待解決，通過經(jīng)驗總結(jié)，我們提出軟件協(xié)同管理的解決方案來對癥下藥。

軟件協(xié)同管理助力整車企業(yè)全場景的良性運營

OTA作為工程化的技術(shù)通道，主要負(fù)責(zé)快速、穩(wěn)定、安全的升級車輛軟件，場景化運營能力相對薄弱，這跟OTA本身的屬性有關(guān)。從市場運營角度車主主要有兩點訴求，一是滿足他的新型功能的常用常新，二是對老功能問題的快速修復(fù)和優(yōu)化。目前對標(biāo)一些新勢力或者一些高端車型，他們其實打造的效應(yīng)是車主功能許愿的場景。市場或是用戶運營收集用戶需求，再基于用戶需求進(jìn)行版本規(guī)劃，研發(fā)團(tuán)隊進(jìn)行工程化的開發(fā)，最后把軟件版本去生成整車軟件基線進(jìn)行更新，汽車軟件協(xié)同管理系統(tǒng)可以支持整車基線的生成、發(fā)布，同時通過OTA通道推向用戶實現(xiàn)軟件的升級，如此便可打造快速的整車軟件發(fā)布體系。其實目前我們看到很多主機廠整個軟件發(fā)布的效率非常低，版本的推出要歷經(jīng)好幾個月，其中重要的原因就是沒有軟件統(tǒng)一協(xié)同研發(fā)運營的模式。從另一角度來說，軟件推向市場之后，我們通過汽車診斷以及數(shù)采的系統(tǒng)回傳軟件運行數(shù)據(jù)，然后通過軟件協(xié)同管理系統(tǒng)對該基線版本的質(zhì)量，效果分析進(jìn)行追蹤閉環(huán)，以此來提升質(zhì)量品控以及用戶對于新功能的接受程度，從而進(jìn)一步增加車企品牌用戶粘性，形成版本歸屬依賴和“品牌教主”效應(yīng)。艾拉比打造的汽車軟件升級協(xié)同管理平臺從系統(tǒng)能力上實現(xiàn)了與整車研發(fā)、生產(chǎn)制造、市場營銷、售后運營等系統(tǒng)深度集成。該系統(tǒng)的業(yè)務(wù)上游可以協(xié)同車企的軟件研發(fā)體系，從整車的功能規(guī)劃、開發(fā)過程中版本管理、到軟件基線的生成和發(fā)布。系統(tǒng)的下游也是支撐了從研發(fā)測試、生產(chǎn)制造、售后運營以及市場營銷幾種不同的場景的軟件同源支持。在研發(fā)過程中釋放的軟件小版本通過軟件的協(xié)同管理平臺推送到相關(guān)的自動化測試機柜，測試臺架系統(tǒng)中，使用軟件快速的部署以及測試驗證。在生產(chǎn)制造方面，也支持與產(chǎn)線OTA、EOL、線邊系統(tǒng)等進(jìn)行配合，據(jù)用戶的訂單在產(chǎn)線上實現(xiàn)軟件的結(jié)算以及刷寫。在售后運營服務(wù)，可以通過平臺去發(fā)布軟件推給OTA和診斷系統(tǒng)進(jìn)行軟件的升級或者售后救援的聯(lián)動。在市場營銷方面，基于基線固件版本之上，我們?nèi)ス芾硪恍┛墒鄣墓δ芎头?wù)，也是可以和企業(yè)的整個的商店體系進(jìn)行打通，實現(xiàn)整車軟件的可售的場景。

汽車軟件中的風(fēng)險

在軟件管理以及協(xié)同運營整個體系中，還有比較重要的一環(huán)就是軟件的安全風(fēng)險，艾拉比通過和一些安全公司合作，在軟件版本推出之后增加了軟件版本風(fēng)險管理的模塊。一是在OTA發(fā)布之前，增加對軟件包的安全檢測，二是我們也在進(jìn)一步探索在OTA軟件推出之后，持續(xù)監(jiān)控車輛的軟件運營狀態(tài)，通過車輛運行狀態(tài)去挖掘些軟件產(chǎn)生的一些問題或者是一些優(yōu)化項。我們從行業(yè)中看到，目前軟件的安全中也存在了很多風(fēng)險，比如開源漏洞：軟件中第三方庫、開源組件中隱藏著大量漏洞；敏感信息：軟件包含的明文用戶名、密碼，引用的不安全的鏈接; 合規(guī)管制:軟件中使用了不符合規(guī)范的代碼、數(shù)據(jù)（如等保 2.0，W.P. 29，ISO21434/ISO26262...）；許可證風(fēng)險:幾乎所有的現(xiàn)代軟件都集成了開源組件，其中大多數(shù)開源組件都包含了許可證，使用許可證授權(quán)不明確的開源軟件。

汽車軟件安全風(fēng)險監(jiān)測

在軟件發(fā)布之前，會對軟件進(jìn)行整體的成分分析。目前這個功能支持自動化的方式從固件提取元信息、軟件包&組件檢測、開源許可證書分析、CVE/CNNVD漏洞檢測、CWE缺陷檢測、加密算法檢測、敏感信息檢測、用戶密碼等多個檢測維度，識別和分析固件可能存在的風(fēng)險漏洞，提前發(fā)現(xiàn)安全問題，提升軟件的安全強度，避免固件漏洞被惡意利用導(dǎo)致信息泄露、設(shè)備功能故障等。

軟件風(fēng)險檢測技術(shù)原理及流程

這個功能采用的技術(shù)為靜態(tài)分析。靜態(tài)分析-解析封裝后的固件，對其進(jìn)行反匯編，通過解包固件內(nèi)的多種組成成分(如bootloader,root-fs)，再通過二進(jìn)制程序反匯編以便找到公開可用漏洞的類別、程序脆弱點、敏感信息等, 生成一組易受攻擊的漏洞信息表，最終可生成一 份針對此固件的潛在可利用缺陷的報告。

軟件運行狀態(tài)監(jiān)測

下面我們了解軟件升級之后的運行監(jiān)測，隨著汽車智能化進(jìn)程不斷推進(jìn)，汽車內(nèi)部涉及的軟件越來越多，催生出的汽車軟件質(zhì)量問題成為新痛點，我們也不斷在思考，并和相關(guān)的整車企業(yè)，Tire1供應(yīng)商進(jìn)行深度探索。在我們整個軟件協(xié)同管理平臺中，我們基于車型平臺構(gòu)建了ECU軟硬件結(jié)構(gòu)以及版本關(guān)系，在整車基線版本生成時，我們同時去定義基線軟件的期間下數(shù)據(jù)采集以及診斷策略。通過OTA平臺對軟件升級到車輛終端后，同時協(xié)同診斷平臺更新車輛的數(shù)采以及診斷策略，通過策略腳本去持續(xù)的收集車輛軟件的運行狀態(tài)，建立軟件質(zhì)量預(yù)警能力，通過數(shù)據(jù)以及故障的分析，在軟件基線下建立軟件問題庫，以持續(xù)優(yōu)化軟件質(zhì)量，從而打造事前檢測和事后的問題監(jiān)測能力。艾拉比的汽車軟件協(xié)同系統(tǒng)管理主要是為車企打造可持續(xù)化運營的數(shù)字化的體驗。它并不是全部接管了汽車整個研發(fā)過程，它其實更主要是增強汽車當(dāng)前軟件管理的能力，彌補傳統(tǒng)軟件管理不能很好支持運營的弊端 通過這樣的一套體系為車企建立車輛，軟件全生命周期的運營管理能力，極大的改善了車企的整體的軟件研發(fā)以及推出的效率，同時也為打造就常用常新的數(shù)字體驗打下很好的鋪墊。

審核編輯 黃昊宇