隨著越來越多的智能化汽車的量產(chǎn)上市，在業(yè)內(nèi)看來，軟件驅(qū)動汽車的時代已經(jīng)到來。但軟件驅(qū)動的關(guān)鍵作用越來越突出的情況下，軟件安全也需要列入汽車安全評級的目錄中，甚至應(yīng)該被視為“第六星級”。

根據(jù)此前數(shù)年的汽車召回案例統(tǒng)計數(shù)據(jù)，軟件故障導(dǎo)致的汽車召回頻率正在快速增加。有數(shù)據(jù)顯示，在所有汽車召回中，軟件故障比列的達(dá)到了15%，而且在未來數(shù)年，這樣的比例還有可能快速上升。

在目前的量產(chǎn)車中，軟件代碼多達(dá)1億5000萬行，而且隨著智能化功能的逐步疊加，代碼數(shù)量還會呈幾何數(shù)增長。按照目前業(yè)內(nèi)普遍的觀點，平均每1000行業(yè)代碼中會存在15-50處錯誤，而目前普遍使用的標(biāo)準(zhǔn)QA測試至少會忽略其中大約15%的錯誤代碼。

目前，在汽車軟件安全領(lǐng)域，還沒有出現(xiàn)絕對的市場領(lǐng)導(dǎo)者，相比傳統(tǒng)汽車時代，各家汽車OEM廠商在硬件領(lǐng)域的安全口碑并未在智能汽車時代延續(xù)。

在過去的一年時間里，由于軟件故障，從發(fā)動機管理程序、穩(wěn)定性控制問題、制動控制系統(tǒng)以及車載信息娛樂系統(tǒng)，經(jīng)歷了數(shù)次召回事件。

美國市場在過去五年中共發(fā)生189次汽車軟件問題致使的召回事件，涉及1300多萬輛汽車。這些召回中，有141次召回與碰撞風(fēng)險有關(guān)，44次召回與潛在損傷后果相關(guān)，涉及動力傳動系統(tǒng)、電氣系統(tǒng)、發(fā)動機冷卻系統(tǒng)和車輛控制系統(tǒng)方面。

但這也給了汽車OEM廠商新的市場機會和新車營銷賣點，那就是像過去標(biāo)榜自己的硬件配置及安全性的基礎(chǔ)上，如何把自己的軟件安全提升為一個新的營銷賣點。正如傳統(tǒng)汽車時代，消費者不會考慮購買沒有配置更多安全氣囊的新車。

這其中，首先是ISO 26262（道路車輛功能安全標(biāo)準(zhǔn)）是根據(jù)汽車行業(yè)特點而產(chǎn)生的功能安全應(yīng)用標(biāo)準(zhǔn)，它從可編程電子電器系統(tǒng)的功能安全標(biāo)準(zhǔn)IEC 61508發(fā)展而來。

以ISO 26262-6中的軟件級產(chǎn)品開發(fā)為例，這部分的核心內(nèi)容包括：軟件級產(chǎn)品開發(fā)初始化軟件安全需求規(guī)范軟件架構(gòu)設(shè)計軟件單元設(shè)計和實現(xiàn)軟件單元測試軟件集成和測試軟件安全需求驗證。

在目前的自動駕駛開發(fā)策略中，硬件冗余是行業(yè)內(nèi)普遍認(rèn)可的方式之一，但軟件冗余似乎并沒有成為重點的一環(huán)。同時，硬件冗余通常非常復(fù)雜，而且會產(chǎn)生間接成本，是對資源的不合理使用。

“不同階段自動駕駛功能的實現(xiàn)，要結(jié)合不同路況、天氣等因素，從感知、定位、規(guī)劃、執(zhí)行等多方面進行冗余設(shè)計。”博世底盤控制系統(tǒng)中國區(qū)銷售總監(jiān)段勇在2017高工智能汽車年會上發(fā)表演講表示。

比如，不同級別的自動駕駛功能還要進行不同的冗余設(shè)計，如果自動駕駛功能一旦失效，最好的是能把車駕駛到安全地帶并舒適停車。

與此同時，不同的標(biāo)準(zhǔn)體系反應(yīng)安全等級的方法也各不相同，但其主要目的是直觀的反映功能的關(guān)鍵性。

IEC 61508將安全完整性等級（SIL）分成4級，第4級為最高完整性。與之相似，ISO 26262提出了汽車安全完整性等級（ASIL），最低為ASIL A，最高為ASIL D。

其中，車載診斷系統(tǒng)、OTA軟件升級等等，正在成為汽車OEM廠商和眾多初創(chuàng)公司的“營銷重點”。尤其是去年開始，OTA成為了標(biāo)榜“互聯(lián)網(wǎng)汽車”的重要標(biāo)簽之一。

但這都是事后安全機制。當(dāng)然，對于信息娛樂系統(tǒng)來說，OTA的確是很好的手段來迭代功能的用戶體驗。但對于汽車的駕駛功能安全來說，汽車出了bug，可能是要以生命為代價的。

傳統(tǒng)車企都有一整套完善的開發(fā)流程，保證嚴(yán)謹(jǐn)和安全，而“新進入”企業(yè)，特別是互聯(lián)網(wǎng)車企和自動駕駛初創(chuàng)公司，往往追求小步快跑，快速迭代，開發(fā)時間短，測試過程還不夠嚴(yán)謹(jǐn)和周全。

同時，由于量產(chǎn)車本身要考慮成本問題，因為很難在硬件配置上做過多的冗余性能。

以特斯拉早期車型為例，由于早期車型的配置相對較低，隨著軟件不斷的自動升級，系統(tǒng)開始變得越來越慢了，并且會經(jīng)常死機，而特斯拉的答復(fù)是，要車主自費升級硬件。

當(dāng)然，迫于市場競爭壓力的傳統(tǒng)汽車OEM廠商，也在不斷犯錯。

今年早些時候，外媒報道寶馬在英國市場召回超過30萬輛問題車輛，這些車輛被指可能會在正常行駛過程中突然失速。此前，豐田汽車意外加速問題引發(fā)全球范圍內(nèi)超過1000萬輛汽車被召回。

越來越多的汽車制造商使用軟件電子控制機制及人工智能技術(shù)，造成駕駛者對車輛的直接操控越來越少。這對車輛軟件系統(tǒng)提出了越來越高的要求。