汽车安全和安保需要认证改革

安全、安保和信任是确保互联和自动驾驶汽车被消费者接受所需的三个最重要的因素。对于汽车行业来说，要实现这三个关键要素，必须进行最全面的车辆认证，才能考虑车辆，并在汽车的整个生命周期内保持道路性能。

如今，汽车制造商获得车辆认证的方式因地区而异。在北美，汽车制造商根据美国国家公路交通安全管理局（NHTSA）提供的指南进行“自我认证”。在欧洲、亚洲和其他地区，认证过程由独立认证机构负责。这些地区的认证过程称为型式认可或认可。

车辆认证并不新鲜;然而，随着车载软件数量的增加，它变得越来越复杂。所有地区的认证指南都需要反映不断变化的车辆构成，并认识到需要深入了解软件行为才能在汽车的生命周期内实现全面认证。

车载软件的复杂性 目前，软件

占车辆物料清单 （BOM） 的 10%。预计这一数字将以11%的复合年增长率增长，到2030年将占车辆BOM的30%。除了汽车代码的数量增加之外，运行此代码的电子控制单元（ECU）之间的依赖关系也增加了。

高级驾驶辅助系统（ADAS）为讨论车载软件管理的复杂性提供了良好的背景。首先，汽车制造商在一系列车辆中购买并安装ADAS系统。该ADAS系统由来自不同供应商的多个ECU组成。例如，摄像头、传感器和处理器由具有独特ECU的不同一级供应商开发，所有这些都成为ADAS ECU集群的一部分。此集群中的 ECU 是相互依赖的，因此更改一个 ECU 上的一行代码将影响集群内其他 ECU 上的代码。

这种代码更改可能来自汽车制造商或一级供应商，导致需要管理一个过程以了解组件之间的相互依赖关系。组件之间的依赖性越强，对一个ECU上的软件进行更改导致对依赖ECU进行更改的可能性就越高。

无线更新和UNECE WP.29 对软件

进行更改是通过OTA更新执行的 - 这一过程不仅被汽车制造商认可为重要，而且被认为是竞争和成功的必要条件。今年早些时候，通用汽车和宝马都成为头条新闻，讨论将OTA更新作为战略解决方案的计划，以区分其产品并保持新特性和功能的竞争力。最近，福特宣布新款福特野马Mach-E电动SUV将配备无线软件更新交付系统。

车辆认证机构现在正在质疑如何最好地维持通过OTA更新不断发展的车辆的认证。联合国欧洲经济委员会（UNECE）已经讨论了这一主题，并推荐了全球法规，其中包括来自欧洲，北美和亚洲的成员。这些建议预计将于2020年获得批准并成为法律。

根据欧洲经委会WP.29 GRVA立场文件，所有软件功能更新都需要对车辆的型式批准认证进行修订更新，除非软件更新只是修复错误或对现有的预认证功能应用安全补丁。WP.29还指出，如果新的软件功能仅影响有限数量的已安装车辆软件，则获得修订型式认可认证所需的测试也将受到限制。

这一建议的法规促使汽车制造商利用OTA技术来确保不受消费者控制并驻留在车辆核心系统中的软件始终安全可靠。

透明度

代码行数的增长，汽车中的每个组件都需要出于安全和安保目的进行认证的事实，这些组件之间存在相互依赖性的事实，以及需要 OTA 更新以保持这些组件在汽车生命周期内安全、可靠和功能丰富，所有这些都有助于这样一个事实，即对汽车软件行为具有透明度和可见性至关重要。软件透明度的最终目标是为消费者创造安全可靠的体验。首先要帮助行业 - OEM、一级供应商和监管机构 - 了解软件功能的行为，以便更智能、更高效地工作。

一旦确定了软件功能，就可以将影响受管制功能的软件更改与不影响受管制功能或根本不改变功能的更改区分开来，例如错误修复。这使监管机构能够在测试和特定功能之间关联起来，并仅测试正在审查的功能，而不是盲目地对完整的软件映像运行所有测试。简化流程可以节省时间和金钱。

需要考虑的软件质量测试和软件法规测试的另一个方面是增量更新文件对测试过程的影响。如果测试的是软件映像而不是软件功能，则需要考虑软件映像和更新增量文件的所有可能组合，从而产生所需的测试的巨大开销。但是，如果对软件功能进行调节、监控和测试，则可以避免额外的测试开销并加快调节过程。

结论

重要的是要在全球范围内认真对待认证指南，包括仔细研究有关批准OTA更新的建议，以确保车辆安全，可靠和值得信赖。需要技术和系统来简化持续的软件认证，特别是因为汽车制造商面临着不断发布新的软件特性和功能以保持竞争力的巨大压力。

所有地区的认证指南都需要反映不断变化的车辆构成，并认识到汽车制造商需要深入了解软件功能和行为，以便在汽车的生命周期内实现全面认证。

审核编辑：郭婷