基于智能網聯汽車質量與安全要求的全融合研發體系研究

【歡迎引用】 蔡叢. 基于智能網聯汽車質量與安全要求的全融合研發體系研究[J]. 汽車文摘，2025（XX）： X-XX.

【Cite this paper】 CAI C， Research on Integrated Ramp;D System Based on Quality and Safety Requirements of Intelligent and Connected Vehicles[J]. Automotive Digest （Chinese）， 2025（XX）： X-XX.

【摘要】智能網聯汽車質量和安全問題增加了汽車研發難度。為了滿足車規級質量與安全要求，同時降低實施質量和安全流程體系的復雜度和研發成本，探討了基于汽車軟件開發全過程，融合實施汽車軟件過程改進及能力評定、功能安全、預期功能安全、信息安全等研發體系的方法，提出了一種基于智能網聯汽車質量與安全要求的全融合研發體系方法，采用該方法可以降低智能網聯汽車質量與安全開發難度和成本。

關鍵詞：質量；ASPICE；功能安全；預期功能安全；信息安全；軟件工程

中圖分類號：U461.91 " 文獻標志碼：A "DOI： 10.19822/j.cnki.1671-6329.20240251

Research on Integrated Ramp;D System Based on Quality and Safety Requirements of Intelligent and Connected Vehicles

Cai Cong

（School of Computer Science and Technology， Nanjing University of Aeronautics and Astronautics， Nanjing 210012）

【Abstract】 At present， the quality and safety problems of intelligent connected vehicles are prominent， which increases the difficulty and cost pressure of research and development of automobile enterprises. In order to meet the requirements of vehicle quality and safety， and reduce the complexity and Ramp;D cost of implementing quality and safety process system， this paper discusses the method of integrated implementation of Automotive Software Process Improvement and Capability Determination（ASPICE）， Functional safety， Safety of the intended functionality， Security and other Ramp;D systems based on the whole process of automotive software development. A fully integrated research and development system method based on the quality and safety requirements of intelligent networked vehicles is proposed. It reduces the difficulty and cost of quality and safety development of intelligent networked vehicles.

Key words： Quality， ASPICE， Functional safety， Safety of the intended functionality， Security， Software engineering

0 引言

隨著智能網聯汽車的發展，汽車電子系統日益復雜，單臺車輛可能包含超過1億行代碼，配備多達100個電子控制單元[1-2]。汽車代碼量的增加和軟件復雜度的提升，顯著增高了產品的質量和安全風險。當前集中化和域融合的智能網聯汽車行業發展趨勢進一步加劇了汽車軟件復雜度，對智能網聯汽車的質量與安全性提出了更為嚴峻的挑戰[3-4]。此外，汽車高度智能化、網聯化帶來新的安全要求，功能安全、預期功能安全、信息安全和網絡安全成為智能網聯汽車安全性的關鍵要素[5-7]。

我國工業和信息化部明確智能網聯汽車生產企業及產品準入的安全保障能力要求包括功能安全保障、預期功能安全保障、網絡安全保障、數據安全保障、軟件升級管理、風險與突發事件管理[8]。我國正加快建設智能網聯汽車標準體系，2025年，系統修訂智能網聯汽車相關標準超過100項，貫穿功能安全、預期功能安全、網絡安全和數據安全等安全標準，滿足智能網聯汽車技術、產業發展和政府管理對標準化的需求[9-10]。在汽車質量與安全融合方面，主要為面向被動安全技術、新能源安全技術、主動安全技術及其相關的功能安全、預期功能安全融合關系的研究[11]，以及面向單個開發過程如軟件單元測試、或配置管理等，將汽車軟件開發流程與功能安全融合實施的研究[12-13]，但是面向汽車軟件開發全過程的、全體系的質量與安全標準融合方法研究較少。本文探討了汽車軟件過程改進及能力評定（Automotive Software Process Improvement and Capacity Determination，ASPICE）、功能安全、預期功能安全、信息安全等研發標準體系融合方法，以期對智能網聯汽車滿足繁雜的質量與安全標準研發要求，降低研發成本，提供指導與支持。

1 國際國內智能網聯汽車研發體系

汽車質量和安全問題是汽車研究研發體系領域關注的重點，為了確保軟件產品的可靠性，國際國內制定了ASPICE、功能安全、信息安全以及預期功能安全標準體系。（1）ASPICE。ASPICE是一種滿足高質量開發要求的汽車軟件過程改進及能力評定的過程參考模型和過程評估模型，其起源于1994年的ISO/IEC 15504《信息技術-軟件過程評估》（Information technology-Software Process Assessment）系列標準[14]。2005年，由德國汽車行業聯合會針對汽車行業，從ISO體系中分離，獨立運營并發展成為現在的ASPICE。ASPICE為奧迪、寶馬、大眾以及通用等歐美主要汽車制造商對軟件供應商的準入要求。供應商必須達到ASPICE二級水平才可以進入其供應商體系。最新版本的ASPICE于2023年發布，在原有基礎上擴展了硬件和人工智能等領域過程要求。（2）功能安全。功能安全旨在管理由電子電氣系統失效導致的危害，以減少不合理風險。該概念貫穿茶品整個聲明周期，包括需求設計、生產、運行、維修和報廢階段，目的是最大程度降低由軟件、硬件和系統導致的安全隱患。ISO26262《道路車輛-功能安全》（Road vehicles - Functional safety）系列標準[15]已成為歐洲主要汽車制造商以及國內大型主機廠對安全強相關的軟件和硬件產品的準入要求。在新能源電子電氣與輔助駕駛等領域，ISO26262趨于強制應用，國內對應標準為GB/T 34590《道路車輛-功能安全》[16]。（3）信息安全。信息安全是指保護車輛和車輛中的電子系統免受未經授權的訪問、使用、披露、干擾和破壞的威脅，目標保護財產、隱私信息以及生命安全，其所需應對的威脅和攻擊具有不可預測及動態的特性。ISO/SAE 21434《道路車輛-網絡安全工程》（Road vehicles-Cybersecurity engineering）標準[17]于2021年正式發布，對應的全局性標準為2005年正式發布的ISO/IEC 15408《信息安全 網絡安全和隱私保護 信息技術安全評估準則》（Information security-Cybersecurity and privacy protection-Evaluation Criteria for IT Security）系列標準[18]。（4）預期功能安全。預期功能安全是指不存在由于預期功能不足或人為的合理可預見的誤用所引起的危害造成的不合理風險。預期功能安全關注系統功能的可靠性，確保系統在發生故障或異常情況時仍保持安全，其強調在充滿變量的環境中，系統執行其預期功能時保持安全的能力。ISO21448《道路車輛-預期功能安全》（Road vehicles- Safety of The Intended Functionality）標準[19]于2022年發布。

ASPICE、功能安全、信息安全以及預期功能安全構成了國際汽車行業廣泛認可的智能汽車軟硬件研發流程標準近年來我國汽車企業得到了大力推廣和應用。

2 智能網聯汽車質量與安全風險分析

由于面向問題場景和發展歷程存在差異，ASPICE、功能安全、信息安全以及預期功能安全標準形成了相對獨立的標準體系，本節將基于智能網聯汽車產品內部和外部質量安全風險對上述標準進行詳細分析。

2.1 內部風險分析

產品內部面臨的主要風險來自功能失效和功能不足。功能失效是指汽車整車、主要系統或零部件在規定的條件下和規定的時間內，因某種原因（如損壞、老化和設計缺陷）喪失原定功能。功能失效風險可分為產品系統性失效風險和硬件隨機失效風險。系統性失效可以通過設計變更消除，其涉及的對象既包括硬件也包括軟件。軟件中的缺陷、硬件元器件的參數設計或選擇錯誤均屬于系統性失效范疇。該失效模式與產品設計、制造或操作中的錯誤緊密相關，因此，通過改進設計、優化流程等措施，可以有效降低系統性失效的風險。硬件隨機失效是指在硬件要素的生命周期中，非預期發生并服從概率分布的失效，其具有偶發性且不可避免，影響對象僅限于硬件。內存數據位翻轉、電阻開路、短路或阻值漂移等現象均屬于硬件隨機失效。該類失效主要由物理因素導致（如腐蝕、熱應力和老化），難以完全避免，但可以通過加強質量控制或采用可靠性工程的方法降低發生概率。系統性失效和硬件隨機失效是軟件開發和硬件設計中必須考慮的重要因素。通過深入理解上述失效模式并采取相應措施可以降低風險，顯著提高產品質量和可靠性。

功能不足風險主要是指由于系統設計或性能局限性，系統可能無法在所有預期的工作環境和條件下正常運作，進而可能引發安全事故。盡管系統在大多數情況下可以正常運行，但在某些特定情況下（如極端天氣條件、特殊的交通流場景或其他非尋常的操作環境中），系統可能表現出無法做出正確判斷或響應的缺陷。該局限性不僅可能降低系統整體效能，還可能直接導致潛在安全風險，對人身和財產安全構成威脅。為確保系統功能完備性，最大限度地降低功能不足風險并保障預期功能安全，在設計和開發階段必須綜合考慮并測試系統在預期和非預期情況下的表現，有效識別并緩解潛在功能不足問題，確保系統維持其安全性和可靠性。

2.2 外部風險分析

產品外部風險主要可以分為有意攻擊風險和誤用風險。有意攻擊風險包括受未經授權的訪問、使用、披露、干擾和破壞的威脅，造成的網絡攻擊風險和數據泄露風險。網絡攻擊風險方面，黑客可能通過網絡攻擊對智能網聯汽車進行惡意操控（如惡意啟動汽車或緊急制動等行為），威脅車輛和駕駛者的安全。此類攻擊利用了智能網聯汽車與外部網絡通信的特性，通過滲透系統安全防護，實現對車輛的非法控制。數據泄露風險方面，智能網聯汽車在運行過程中將產生大量用戶數據，包括位置信息、駕駛習慣等敏感信息。若這些數據未得到妥善保護，將面臨被黑客獲取和濫用的風險。為了應對風險，可以采取以下安全措施：（1）加強智能網聯汽車的網絡安全防護，包括使用防火墻、入侵檢測系統等技術手段，防止黑客的滲透和攻擊。（2）對用戶數據進行加密存儲和傳輸，確保即使數據被竊取也無法被輕易解密和利用。（3）定期進行安全漏洞掃描和修復，及時更新系統和應用程序，以修補已知的安全漏洞，降低被攻擊的風險。

誤用風險是指由于駕駛人員以制造商不期望的方式使用汽車系統可能引發的危害和不合理風險。這種誤用可能源于對系統性能的過度信心，或者未按照系統的指定要求來操作車輛。誤用風險涉及用戶或操作人員對系統的誤操作。例如，若用戶在駕駛過程中錯誤地激活了自動駕駛模式，而在該模式下車輛無法應對當前的交通狀況或道路環境，將有可能引發交通事故。同樣，若用戶在不了解系統限制和條件的情況下，過度依賴自動駕駛系統的某些功能，也可能會在遇到突發情況時無法做出正確的判斷和應對，進而危及行車安全。為了降低誤用風險，提高預期功能安全性，可以采取以下措施：（1）加強用戶培訓和教育，提高用戶對系統的理解和操作能力。（2）優化系統設計，使其更加符合用戶的認知習慣和操作邏輯。（3）加強系統監控和預警機制，及時發現和糾正用戶的誤操作行為。通過實施以上措施，可以有效降低誤用風險，提升系統整體安全性。

綜上所述，包含功能失效、功能不足、誤用以及有意攻擊在內的產品內、外部風險是智能網聯汽車產品必需解決的問題。為滿足智能網聯汽車安全與質量要求，建立解決上述問題的研發體系不可或缺。由于智能網聯汽車的標準體系的多樣性和差異性，企業在實施過程中需投入專業團隊和研發資源，增加了企業研發成本負擔。為滿足車規級質量與安全要求，建立融合執行質量與安全研發體系已成為智能網聯汽車行業的必然需求與重大挑戰。

4 智能網聯汽車質量與安全研發體系框架

功能安全體系旨在解決產品由于系統性失效和隨機硬件失效引起的功能失效風險，預期功能安全體系旨在解決產品的功能不足風險和誤用風險，信息安全體系旨在解決包含網絡攻擊風險和數據泄露風險的有意攻擊風險，包含ASPICE在內的質量體系是以上體系實施的基礎。ASPICE、功能安全、信息安全、預期功能安全標準體系分別針對各類風險提出了系統的理論框架和方法論。在此基礎上，本研究提出了一套滿足車規級要求的智能網聯研發體系框架，如圖1所示。

5 基于智能網聯汽車質量與安全要求的全融合研發體系架構

ASPICE包含264條基本實踐，ISO 26262系列標準需求超1 000條。此外考慮到信息安全和預期功能安全的實施，整體工作量巨大。通過對比分析ISOV26262和ASPICE流程過程概覽，發現ASPICE與功能安全流程均基于軟件工程和系統工程的V模型開發流程。最新發布的ASPICE加入硬件工程過程后，其在系統工程過程、軟件工程過程、硬件工程過程、支持過程以及確認過程，均支持ISO 26262流程過程的實施，覆蓋了ISO 26262總流程過程的70%以上。

基于軟件工程和系統工程的V模型開發流程，對ASPICE、功能安全、信息安全流程和預期功能安全流程進行融合，通過實踐驗證，提出基于ASPICE、功能安全、信息安全以及預期功能安全等全體系融合架構，如圖2所示。

基于ASPICE，將開發過程分為4個階段：系統設計階段、軟件硬件設計階段、軟件硬件測試階段以及系統測試階段。在系統設計階段，對于功能安全開發和信息安全開發，開展安全目標定義和安全概念設計工作。對于預期功能安全開發，開展功能規范定義設計與危害識別評估工作。在軟件硬件設計階段，對于功能安全開發和信息安全開發開展技術安全概念設計和組件安全需求定義工作。對于預期功能安全開發，開展功能不足與觸發條件識別及評估工作。在軟件硬件測試階段，對于功能安全開發和信息安全開發，開展組件安全需求驗證和技術安全概念驗證工作，對于預期功能安全開發，開展已知場景評估工作。在系統測試階段，對于功能安全開發和信息安全開發，開展安全概念驗證和安全目標確認工作，對于預期功能安全開發，開展未知場景評估工作。

V模型開發流程基礎主要包括管理過程（項目管理、風險管理、度量、復用管理）、支持過程（質量保證、配置管理、問題解決管理、變更管理、數據管理）、獲取過程（供應商監控）、安全分析過程（功能安全分析、預期功能安全分析、信息安全分析）、生產運行服務報廢過程以及過程改進。上述過程共同支撐V模型開發流程的各階段運行，確保產品質量。

該融合體系已應用于某智能制動系統產品開發項目。項目軟件測試分析報告表明，軟件靜態分析遵循了國際機動車工業軟件可靠性聯盟（The Motor Industry Software Reliability Association，MISRA）的C語言編碼規范，其中強制性及必需類別的測試缺陷數量為0。在軟件測試階段，測試通過率為100%，并且軟件分支覆蓋率、修正判定條件覆蓋率、函數覆蓋率與函數調用覆蓋率均達到功能安全汽車安全完整性等級（Automotive Safety Integrity Level，ASIL）最高等級D級要求。此外，該產品公司內部評審滿足ASPICE L2級要求，研發周期縮短了4個月。同時該項目還通過了第三方認證機構評審，獲得了功能安全ASIL最高等級D級產品認證，產品質量與安全性能明顯提高，市場競爭力大幅提升。

6 結束語

本研究基于智能網聯汽車流程體系的獨特視角，深入研究智能網聯汽車研發適用的全部質量與安全標準體系，基于V模型開發全流程，提出一套滿足智能網聯汽車質量與安全要求的全融合研發體系架構，以融合實施ASPICE、功能安全、預期功能安全、信息安全等研發體系，不僅滿足了車規級質量與安全要求，還有效降低了研發成本，提高了研發效率，這是對業界研究的重要補充和發展。

然而，本研究在全融合研發體系的應用細節和優化方面仍有待進一步實踐驗證。同時，隨著智能網聯汽車技術的不斷發展，新的安全和質量挑戰將不斷涌現，如何持續更新和優化全融合研發體系以應對這些挑戰，將成為未來研究的關鍵方向。

參 考 文 獻

[1] MCCONNELL S. Code Complete： A Practical Handbook of Software Construction[M]. 電子工業出版社， 2004.

[2] KOLHAPURKAR A ， KAISERSLAUTERN U O. Functional Safety： ISO26262[J]. [2024-12-24].

[3] 董碧成， 石春， 吳剛. 基于AUTOSAR的電動汽車中央控制單元CAN通信軟件開發[J]. 儀表技術， 2021（4）： 65-67.

[4] 高慶， 陳靜， 許平， 等. 工業嵌入式軟件開發安全漏洞模式研究[J]. 信息安全研究， 2022（6）： 595-604.

[5] 李駿. 中國預期功能安全的挑戰與解決方案 [J]. 智能網聯汽車， 2021（05）： 12-13.

[6] 張云， 李茹， 焦偉赟， 等. 自動駕駛功能安全標準化研究[J]. 中國標準化， 2020（11）： 109-112.

[7] 張驍， 陳海龍， 楊思佳， 等. 自動駕駛網絡安全政策與標準化研究[J]. 中國信息安全， 2024（2）： 26-29.

[8] 工業和信息化部. 工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理的意見（工信部通裝〔2021〕103號）[J]. 科學與信息化， 2021（24）： 6-8.

[9] 劉麗亞， 宋琨， 孔曉霜， 等. 智能網聯汽車標準體系建設概述[J]. 汽車文摘， 2019（3）：13-15.

[10] 吳勝男， 朱云堯， 楊志成， 等. 我國智能網聯汽車產業管理體系與思路研究[J]. 汽車文摘， 2022（10）： 1-5.

[11] 楊帥， 張金換， 錢占偉， 等. 汽車安全多領域融合的研究與展望[J]. 汽車安全與節能學報， 2022（1）： 29-47.

[12] 王愛菲， 禹營， 劉雯. ASPICE和ISO 26262標準要求的軟件單元驗證實踐[J]. 質量與認證， 2021（11）： 57-60.

[13] 曹旭， 王璐洋. 一種適用于功能安全和ASPICE流程實施的配置管理策略[J]. 質量與認證， 2021（11）： 64-67.

[14] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information technology-Software Process Assessment： ISO/IEC 15504： 2012[S]. ISO. 2012.

[15] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Road vehicles-Functional safety： ISO 26262： 2018[S]. ISO. 2018.

[16] 中國國家標準化管理委員會. 道路車輛 功能安全： GB/T 34590-2022[S]. 北京： 中國標準出版社， 2022.

[17] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Road vehicles- Cybersecurity engineering： ISO/SAE 21434： 2021[S]. ISO. 2021.

[18] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Information security- Cybersecurity and privacy protection-Evaluation Criteria for IT Security： ISO/IEC 15408： 2022[S]. ISO.2022.

[19] INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. Road vehicles-Safety of The Intended Functionality： ISO 21448： 2022[S]. ISO.2022.

（責任編輯 梵玲）