从互联网巨头们涉足汽车产业开始,“软件定义汽车”便成了行业中的一个前沿方向。有数据显示,在目前的量产车中,软件代码多达1亿5000万行,随着智能化功能的逐步叠加,代码数量还会呈几何数增长。
然而,随着软件在整车中占比越来越大,原本以硬件为主的机械产品变得越发复杂,软件故障频率增加,正逐渐演变成为汽车召回主因。如何降低甚至避免汽车软件故障、提高汽车可靠性是整个汽车行业需要深思的问题。
软件故障渐成汽车召回主因
2019年11月,国家市场监管总局缺陷产品管理中心汽车召回管理部主任肖凌云分享的一组数据显示,在2013-2018年的汽车召回案例中,与汽车智能系统和功能相关的召回共有20次,涉及20.69万辆;涉及软件的召回次数109次,召回车辆191万辆,召回次数及数量均明显上升。
另据盖世汽车统计,2019年因软件问题引起的召回次数及数量不减。该年度,我国汽车市场因软件问题共展开22批次召回,涉及缺陷车辆累计39.46万辆。值得注意的是,以上数据并不包括因软件对硬件安装环境等高要求而引起的召回。
全国乘用车市场信息联席会秘书长崔东树此前预测称,汽车产品仍在不断进化,在颠覆传统机械的变革途中,问题也正在一点点露出水面,或将逐渐成为未来召回的“重灾区”。
那么从目前来看,软件问题都出在哪?
盖世汽车通过对2019年软件相关问题召回详情整理发现,其中有30%的召回与碰撞风险有关,其余则多与潜在损伤后果相关,涉及动力传动系统、车辆控制系统、座椅系统等。
具体来看,造成较大比例召回的原因包括:车身控制模块和LED驱动模块之间的诊断软件设置不正确、组合仪表软件错误、发动机控制模块软件标定存在问题、电子助力转向控制模块的软件程序存在问题、发动机控制单元的控制程序在发动机停止时的控制不合理、电子制动控制模块软件诊断逻辑不够完善、发动机控制电脑中的充电控制程序设定不完善等。
再看2020年一季度,软件问题更多聚焦于AEB故障。据盖世汽车统计,一季度中排在前三位的分别是电器设备、燃油系统及发动机故障,分别占比31.1%、17.7%及13.1%。其中,在电器设备故障中,仅沃尔沃因AEB潜在故障展开的预防性召回总数便占据了7成。
据沃尔沃汽车公告,因供应商原因,其ASDM(主动安全主控模块)软件可能无法与2019年第四周起引入的ASDM硬件完全兼容。ASDM的微处理器可能无法从内存中读取正确的温度状态,导致ASDM摄像头的低信任值,从摄像头得到的可靠数据可能会被ASDM抑制,导致AEB和/或碰撞警示信息、制动辅助功能受限,增加车辆发生碰撞的风险。
为此,沃尔沃汽车将在中国范围内召回15万辆进口、国产在内的9款在售车型。据了解,此前因AEB存在故障,沃尔沃汽车已经对外宣布将在全球范围内召回近74万辆汽车,其中美国的召回总量为12.16万辆,瑞典为6.67万辆,德国为5.86万辆。
值得一提的是,尽管2019-2020汽车召回事件中并未涉及因信息网络安全问题而进行的召回,但这一问题显然不应被忽略。
2015年,菲亚特克莱斯勒公司宣布,由于存在软件故障,黑客可以通过这些漏洞控制汽车的关键功能。为修复这些软件故障,公司将召回140万辆汽车。这是首起因信息安全问题引发的汽车召回。
尽管在此之后,此类案例极少,但随着汽车的互联化和智能化,汽车正越来越多地融入到互联网中,也将面临更多被攻击的可能性,因信息安全问题而导致的召回事件或因此增加。美国独立研究机构波莱蒙此前公布的一项有关汽车网络安全的调查结果甚至指出,“未来将有60%-70%的车辆将因为软件安全问题被召回。”
解决软件问题需多方合力
针对汽车软件问题,相关企业近些年一直在寻求解救之法,比较常见的方式包括通过车载自动诊断系统及时发现软件问题以及通过OTA(空中下载技术)升级修复软件故障。
车载自动诊断系统可在汽车运行过程中实时监测发动机电控系统和车辆的其它功能模块的工作状况。如果发现异常,会马上发出警示,同时根据特定的算法判断出具体的故障,并将故障信息存储在存储器内,通过一定的程序可以将故障码读出。根据故障码的提示,维修人员能迅速准确地确定故障的性质和部位。简言之,车载自动诊断系统使用户可以随时观察、监控、调整汽车的运行状态。
近几年,此类产品层出不穷,特色不一。2019年8月消息,Thinkcar推出了汽车诊断工具——Thinkcar OBD(车载自动诊断系统),可将智能手机变成专业的诊断工具。该扫描工具可通过蓝牙与移动设备相连,传输车载计算机上的故障代码和数据。使用Thinkcar应用程序的维修人员无论距离远近,都可在任何地方访问车辆数据。今年2月消息,初创公司Aurora Labs宣布研发了一款“自愈”汽车软件,一个主动式远程系统,可以检测和修复潜在车辆故障。
图片来源:Aurora Labs
OTA则是指通过GSM/CDMA/LTE等无线通信方式远程升级软件或固件系统的一种技术。通过OTA技术,不仅可以升级功能配置,赋予消费者更多个性化、人性化的服务选择,还可以修复软件故障,降低汽车安全。
举例来说,特斯拉的OTA升级技术不只是简单地把软件升级包从云端下发至车内的T-Box(Telematics Box,负责汽车无线通讯),来升级地图等车机内嵌的 APP 应用。它还能够直接把补丁直接发送至相关的、独立的 ECU,实现对汽车主被动、网络安全甚至是关键控制功能的升级。
由此来看,要减少甚至避免软件缺陷,车载自动诊断系统、OTA不可或缺。不过,这些都是事后安全机制,远没有事前的预防重要,毕竟汽车一旦出了问题,代价可能是惨重的。最好的方式是,在汽车推出市场前,也即在开发或是验证阶段就尽量避免软件缺陷。
在软件生命周期的早期识别、修复漏洞和设计缺陷,可以节省企业后期补救的时间和成本,因此在软件开发过程中就需要充分强调软件安全性。
就自动驾驶汽车而言,一业内人士表示,不同阶段自动驾驶功能的实现,要结合不同路况、天气等因素,从感知、定位、规划、执行等多方面进行冗余设计。如果自动驾驶功能一旦失效,最好的是能把车驾驶到安全地带并舒适停车。
不过,波莱蒙发布的调研显示,汽车行业仍存在汽车主机厂底层软件开发安全保障经验不足,开发人员缺乏应对汽车网络安全威胁的技能和措施,以及缺乏在系统底层软件开发过程中进行安全性建设的前沿技术和方法等问题。
尽管目前这一情况已经有所改善,但这仍然是相关车企面临的一个长期课题。业内人士建议,随着智能互联汽车发展趋势的日渐火热,无论车企还是供应商,应首先具备打造安全底层软件系统的意识,其次可以向IT行业的经验人士学习甚至可以雇佣具有丰富经验的网络安全人员作指导。
除企业层面的措施之外,解决软件问题同样离不开行业层面的整体推进。肖凌云认为,面向智能网联汽车,要升级质量管理体系和市场应急处置体系;传统车企要主动与IT企业的全面深度合作;整车企业要关注数据平台和数据安全,建议尝试建立企业私有云平台。
此外,国家层面也需给予更多支持。一方面,国家应尽快制定相应的检验检测标准。在汽车产品的“硬件”安全方面,国内有C-NCAP,国外有E-NCAP和IISH碰撞测试,但软件安全则缺乏相应标准。肖凌云建议,政府层面应该提供安全设计、生产与质量提升的评价规程、缺陷判定方法、基础数据等。另一方面,国家应强化软件缺陷调查力度,倒逼整车厂主动提升软件质量管理水平,强化对软件供应商的质量把控。