​新能源汽车国家大数据联盟微课堂自2022年底推出安全系列化课程，围绕网络安全、数据安全、车辆安全邀请专家大咖分享课程和观点，旨在服务国家数据安全治理体系的构建，促进数字经济的健康持续发展。

2023年7月27日联盟微课堂安全系列化课程第九次课程上，合众新能源汽车系统安全高级总监毕先改分享了《智能网联汽车系统安全开发探索》的主题授课，对智能网联汽车系统安全概览、整车系统安全开发融合与实践、系统安全技术热点与挑战、车企系统安全开发思考及展望四方面进行了分析，以下为课程回顾。

联盟公众号后台回复关键词“系统安全开发”，获取完整课件内容。

 

汽车开发中的安全概念包括主动安全、被动安全、功能安全、预期功能安全、车辆网络安全、信息安全、数据安全等。随着电子电气技术、ADAS的发展，汽车从封闭系统逐步演变成智能开放系统。功能安全重点解决系统性故障、随机硬件故障，预期功能安全重点解决功能不足、驾乘人员误用问题，车辆网络安全重点解决车辆网络安全漏洞，功能安全、预期功能安全、车辆网络安全构成了智能网联汽车系统安全“铁三角”。

随着整车功能的集成化、区域化，电子电气架构由传统的分布式加速向中央集成式（中央+区域）方向发展，导致系统性失效和随机硬件失效风险逐日增加。哪吒汽车推荐工程开发采用瀑布式开发与敏捷开发深度融合的流程方式，经过预研、架构及子系统开发、产品开发、产品验证、生产运维五个阶段，结合用户需求，持续迭代产品开发。

对于系统安全的技术热点与挑战，毕先改指出，高阶智能驾驶功能对系统的安全架构设计提出了更高的要求，重点采用双通道冗余方案，在主通道出现故障后，辅助通道能够及时接管车辆控制，保证车辆的安全运行。

对于近期较火的大模型安全性问题，毕先改认为，从智能网联汽车系统安全开发角度有以下问题需要考虑：首先，数据集的不完整性或存在误导性可能导致AI理解的偏差，同时AI算法难以完全理解人类的交通规则和文化；第二，算法模型决策过程难以解释，影响算法的可信度和可接受性，与功能安全理念相违背；第三，AI算法训练需要的数据可能包含个人隐私信息，易造成数据泄露和滥用风险；第四，深度学习模型容易受到对抗性攻击，导致模型产生错误预测。

针对智能网联汽车系统安全开发所面临的挑战，毕先改表示，首先要重视整车系统工程的重要地位，重视系统工程和软件工程的需求详细设计，兼顾考虑故障时系统的可操作性；第二要考虑安全开发与成本的平衡，持续优化安全设计，避免过安全设计，结合整车构架优化系统解决方案；第三是工具链的使用和维护，打通开发、验证、管理全生命周期工具链，保证开发过程的快速响应；第四是OEM要与Tier1/2紧密结合，全生命周期的开发过程中提升沟通效率，做好生态共赢。

除此之外，产品的系统安全开发很大程度上取决于公司自上而下的安全文化。合众新能源智能网联汽车安全委员会由决策层、管理层、执行层组成，确保逐步形成完善的智能网联汽车安全组织架构和人才体系。

 

1、智能驾驶域控制器系统方案设计需要考虑哪些预期功能安全和功能安全，SOTIF安全分析用哪种方式更好一点？

首先是FFI的合理性问题，资源的隔离以保障安全独立性，外围电路供电、电源轨、板内、板级通信也要保证独立性；另外SoC功耗会带来热管理设计的问题，要考虑分级报警方案设计及监控等。在汽车行业中，SOTIF采用一种方法做完所有分析的比较少，很多采用FEMA分析、FTA分析方法，也会结合某些功能的特殊性采用STPA分析导出安全风险和安全需求。

2、网络安全和功能安全在技术方面有没有可以融合的考虑点？

融合考虑的技术点也比较多，比如ISO/SAE 21434提到了采用TARA定义一些安全等级，在安全机制方面，如何处理好safety和security的冲突，做好安全启动顺序，也是重点考虑的问题。

3、基于SOA的开发，会带来哪些新的安全问题？

一是功能安全方面要更多地考虑服务治理问题，涉及到限流、降级、熔断等安全策略统一的部署；另外采用基于SOME/IP协议的以太网通信，未来采用TSN、DDS的通信协议做相关的安全开发也要解决相应的时延问题；在网络安全方面，会导致大量的基础服务暴露给客户端，更容易被外界攻击，如何保障通信过程中相关资源的安全属性也很重要。