網路安全

智慧製造的核心主要在於連結與優化，前者連接生產過程感知層的人、事、物等資料，後者則是藉採集的所有資料，透過分析轉為資訊，提供相關單位進行不同決策，包含：製造現場的作業管理、業務規畫與運籌以及整體企業日常應用之管理等。 在5G助力之下，近程而言，可提供單一應用服務更高的規格表現，如即時監控的毫秒級反應；遠程而言，在5G的架構下，則更容易將過去分散的資料整合為單一整體系統。整體來看，預估2023年全球5G智慧製造的應用服務市場僅有2.52億美元；而隨著5G通訊技術成熟，帶動需求與供給上升，預期2026年全球5G智慧製造下的應用服務市場可達約420億美元。 根據5G特性及相關智慧製造應用需求觀察，結合智慧製造應用產值與成長率，資策會MIC認為設備監測、AR/VR、無人搬運車(AGV)/自主移動機器人(AMR)、數位分身、人工智慧、網路安全，將會在未來六年內的智慧製造場景中優先被實現。 5G進入工業製造場域 2019德國漢諾威自動化工業展、2019上海工業博覽會，相繼展出5G於數位分身的應用。中國移動電信與上海菸草機械公司合作，在2019工博會現場展示5G+數位分身，兩個螢幕中右側顯示一個工廠產線的監控畫面，左側則是3D建模後生成的虛擬模型，為透過技術「1:1」還原的產線模型。 動畫中所有內容，如設備艙門的開關和真實世界中都是同步的，任何工件發生故障，模擬的視角也都能看到細節。其中使用許多不同種類的感測器，能把設備的運作狀態等數據傳到數位平台上，進而監控生產過程。 德國工業巨頭博世(Bosch)提出建立5G工廠的願景，該工廠的生產環境(地板、牆壁和天花板除外)都是移動的。機台、設備和AGV將就生產需求藉5G傳輸移動，並透過基於邊緣和雲端的分析實現智慧化，進而使工廠能根據需求更改生產線。博世認為AGV移動採用無線是必然的，而5G通訊技術才是最佳選擇。 傳統以工業無線網路(工業Wi-Fi)控制AGV訊號，然而，AGV驅動控制訊號需要穩定傳輸，整個網路的傳輸延遲不得超過50毫秒；否則系統將判定AGV數據不健康，導致車輛運作效率低。但工業級Wi-Fi在覆蓋率、移動性、抗干擾、換手以及眾多AGV同時接入的表現並不理想，致整套AGV自動駕駛方案效能不如預期。 而5G可連接上萬至上億台設備，除了博世外，高通(Qualcomm)也表示AGV若結合機器人以每1m/s的速度移動1mm，則系統需每1毫秒計算一次。尤其當廠區內AGV/AMR數量龐大時，由於各自都相當接近，更需要精準移動。 此外，協作型機器人重複精準度多為0.1mm，AGV必須要有精準移動能力，才能搭配機器人進行生產活動，否則AMR僅能從事低階搬運動作(如半導體廠內AGV及協作型機器人僅能提供搬運工作)，無法協助有效帶動整體產線升級。 為了解台灣產業對5G智慧製造需求的想法，本文針對台灣製造業者進行深度訪談，包含石化業、鋼鐵業、機械業、光學業、半導體業、汽車製造業、機車製造業、電子製造業、智慧製造系統整合商等(圖1)。 圖1　臺灣5G×智慧製造三大潛力應用 無人巡檢降低人為疏失 近幾年，無人機作為新興的巡檢工具，憑藉其機動靈活性、成本逐漸降低、不受地形限制等諸多優勢，已逐漸成為產業界日常巡檢。 在無人巡檢部分，特別是石化業者由於園區廣大，管線必須例行性巡檢，並且頻率通常為一天一次，面對數公里的管線，目前多以人力方式每日重複檢查，未來若結合5G與無人車技術，將可透過相機、紅外線、微波等感測方式，進行無人化巡檢，例如管線巡檢、電力巡檢等，除了減少人力負擔外，也可降低人為疏忽造成的意外。 尤其是石化產業特別重視安全，一旦意外發生，不只波及生命、財物損失，甚至是企業形象及衍生成本影響(股票下跌、徵才不易、社會觀感不佳、其他廠房停機受檢等)。 惟石化產業所採用之設備，須符合防爆規格要求，因此在設備本身的強化上都須更勝於其他產業設備。 AR/VR協助工業維修/教育訓練 普遍而言業者認同在製造場景中，為符合移動力與頻寬需求，AR/VR確實需要5G搭配，然而業者同時亦考量即便有需求，內容部分仍待開發，如教育訓練內容、維修操作程序等。 台灣系統整合商在全球占有重要地位，客戶遍及全球各地，其中有廠商考量面對客戶的合約中，常有限定時間內(幾小時或幾日)赴現場進行維修與障礙排除，目前對策是將維修廠商派駐於當地服務，或是派遣附近人員飛到當地。因此系統整合業者認為，如果透過AR/VR的應用，能快速協助客戶障礙排除，或是遠端即時了解障礙問題，將有助於維修保養效率，對客戶和業者都是雙贏。 相較於維修保養，教育訓練需求為其次，生產成本高的業者較有需求，原因是生產成本低者，業者傾向讓新進人員實地操練、訓練手感，或直接透過影片方式進行教育訓練。反之，面對生產成本高者，業者面對教育訓練造成的報廢成本承擔壓力較大，因此樂於採用教育訓練的方式代替現場訓練。 5G實時監測促進產能 在設備監測部分，無論是機台維護或是生產優化，由於涉及核心生產，因此一直是企業關注的課題。事實上設備監測應用已行之有年，只是多用於蒐集歷史數據再進行機台或生產情形的推估，進而實施應對措施。然而企業對於高價值的產品，如前述所提BLISKS的航空器零件，由於生產成本極高，所以期望能透過5G以實時監測的能力，倘若涉及大量連結生產設備，則看中5G低延遲、大連結的特性。 以更換刀具為例，產線實際上有現場人員根據經驗判斷，過早更換造成刀具的浪費墊高生產成本，而過晚更換則衍生不良品的機率提升，同樣為墊高生產成本。因此企業仍期待透過科學、數據的方式，提供現場人員機台維護、零件更新的資料作為決策依據，以降低停機風險，達成生產效能最佳化。 智慧製造連結人員、資料和資產間的流暢溝通，透過持續改善生產流程，穩定生產過程、降低生產成本、提高產品品質。製造資訊是以數據分析改善作業基礎，存取諸如溫度、濕度、壓力、轉速、震動等即時參數，有助建立並優化生產模型。對於工業物聯網來說，保持低延遲、同步尤其重要，5G在3GPP R16版本中，已具備TSN標準。隨著R16最終版本底定在即，R17標準逐漸具備制定方向，在乙太網路TSN風潮下，預期5G互通性將有助於其落實到工廠通訊技術中。 3GPP R16規範預計2020年初完成後，該版本支援更多URLLC應用，並增強URLLC對應IIoT的挑戰。供應端將逐步推出5G設備與5G解決方案，在設備與環境逐漸完備下，將有助於5G智慧製造整體發展。現階段主要是周邊環境尚未成熟，企業不易評估所需投入的資源，使其態度相對保守。業者應建構協助企業快速評估ROI的模式，以加速企業導入5G意願。 工廠營運首要是安全、可靠，當前智慧製造尚未有非5G不可的應用服務，因此大幅削弱5G對智慧製造的影響力道，因此未來5G將針對應用服務提供更高規格要求為主，如設備監測、人工智慧、數位分身。此外，對於生產環境具有高風險者，在工安意識抬頭當下，也是5G導入解決方案之機會，如AR/VR、即時安全警示、虛擬圍籬。  

然而，每項多樣化產品都會對接受治療的患者有著不同程度的風險影響，這促使美國食品藥品監督管理局(FDA)和歐盟(EU)醫療器材指令(MDD)CE標籤工作組，要求器材製造商通過各種產品設計來管理此風險。 醫療器材設計考量 工程團隊在設計醫療器材時，不僅應考慮開發出能在臨床應用中發揮效用的器材，還需保護患者的安全(如符合硬體電氣設計的IEC-60601-1、1-4與符合軟體生命週期流程的IEC-62304)、確保能順暢地在系統中傳遞資料(如符合HIPAA)以及包含日誌記錄和產品更新方法的器材生命週期(如符合FDA CFR 21)。 這些對安全與預期運作的考量並非僅針對醫療器材產業，它們也適用於人們與用於提高自動化水準的機器設備協作的其他產業。在工業領域，機器人已不再只是操作人員的奴僕，而是正日漸成為真正的獨立合作方，不過它們的宗旨還是以人類的安全為首。例如在汽車領域，隨著車輛自動化水準不斷提高，人類駕駛也迅速對日益增強的安全功能產生依賴。 在工業自動化領域，能直接影響系統安全的機器設備設計屬於「功能安全」範疇。「功能安全」旨用於滿足這些要求的一套特定標準和設計方法。雖然功能安全設計方法規定了預期運作路徑和失效路徑，但我們必須意識到有人可能會蓄意修改系統的預期運作，這使網路安全威脅不斷提升。 因此，當今要全面解決開發生產醫療器材的風險管理問題，功能安全和網路安全都必須被視為患者總體安全內在組成的一部分。系統設計可以有網路安全而沒有功能安全，但不可以只有功能安全卻不考慮網路安全。本文分兩個主題進行討論，即功能安全和網路安全： 1.功能安全概述和可用於達到不同安全完整性等級(SIL)的常見設計方法。 2.實施安全等級(SL)可能產生之威脅的網路安全評估概述。 功能安全旨在降低風險 功能安全旨在運用相關標準中規定的實踐(Practice)與規則監督設備的主要功能，減輕對人和/或環境危害風險的系統。一般來說，功能安全會持續監控受控設備(EUC)，當機器設備運作發生異常(例如機器故障)或外力導致的危險狀態時就會啟動。設備製造商在設計時會進行危險與風險評估，確認需要採取何種風險緩解措施。 功能安全系統可用簡單的設計，譬如加裝在電源上的限位開關(Limit Switch)，也可用複雜的設計，像是在製造場域內監控是否有人穿越黃色安全線的光達(LiDAR)系統(例如在組裝產線上太靠近移動中的卡車底盤)。足球是可以用來形容功能安全的一個貼切比喻，包括美式和英式足球在內。球員是受控設備(EUC)，裁判是安全相關系統。裁判掌握比賽規則並控制比賽，根據各種發生的情況停止和再次開始比賽，更重要的是對犯規的賽隊或球員進行處罰。 醫療器材設計功能安全不可缺 在美國，聯邦法規要求醫療器材製造商在有預備上市的醫療器材產品時必需通知FDA。根據「美國聯邦食品、藥品和化妝品法(FFDCA)」的規定，這被稱為「售前通知」或「510(K)通知」。根據該條款，FDA可依據具體應用，援引先前已在市場上合法銷售的器材，以實質等同(Substantial Equivalence)為由放行新器材的銷售。 然而，實質等同性在功能安全方面有些問題，因為設計本身及用於建構實質等同功能的器材物理屬性均有其獨特性。對於那些不屬於FDA控制範圍的器材和機器設備，當地政府要求製造商需從UL(前身為保險商實驗室)等獨立機構取得認證以符合安全標準。這種獨立性能讓標準在技術和市場力量的作用下發展演進，將利益衝突降到最低。 功能安全系統的目的在於降低風險。在機器設備功能異常時，功能安全系統有責任讓機器設備進入「安全狀態」。這意味著安全系統的可用性(系統在未來仍可運作的機率)是降低風險的重要因素。若功能安全系統在需要時發生故障是嚴重的事情，為了讓功能安全系統能在一天24小時可全天候的使用，功能安全系統的設計測試受到國際標準控制，並由獨立認證機構驗證。 圖1呈現的是受控設備(EUC，深灰色)和功能安全系統(淺灰色)之間的關係。功能安全系統隨時觀察EUC的運行。在圖1中，安全狀態指斷開致動器的電源。如果EUC的動作超出可能導致危險狀況的邊界，功能安全系統就會切斷致動器的電力。安全功能可以被視為一個獨立安全網：如果安全功能失效，EUC還是可以繼續工作，但它是在沒有安全網的情況下運作。 圖1　安全功能(淺灰色)與受控設備(深灰色)之間的關係 安全功能三個模組 安全功能本身通常由三個模組構成(圖2)，其中包含：感測器驅動邏輯控制器的輸入，然後由邏輯控制器驅動致動器。由這三個模組共同構成安全功能，有時也稱為「安全迴路」。此外，這三個模組也用於確定安全完整性等級(SIL)或安全迴路品質。 圖2　安全功能的三個模組 失效/降低風險與安全完整性等級 「失效(Failure)」在產業中被定義為終止正確的服務，其中「故障」(Fault)為導致功能失效的異常狀態，「誤差(Error)」指預期/正確值與實際值之間的落差。失效可分為兩大類型，安全失效不影響安全迴路的運作，也不會將設備過渡到「安全狀態」。危險失效則會影響「安全迴路」運作，也就是故障造成的誤差會引發失效。 IEC 61508 根據電氣/電子/可編程電子系統功能安全標準(IEC 61508)，共有從SIL1到SIL4的四種安全完整性等級，其為依據對監控受控設備的功能安全系統或安全迴路的風險降低能力而客觀定義的標準，細節請詳見表1。 有兩個因素決定安全完整性等級。首先是系統能力，它是一個品質指標，透過質化測量設計中由人為失誤所引發的潛在缺陷之數量。該指標是由提供證據證明標準中規定的流程得到遵循而決定。第二個因素是採用診斷指標減少隨機硬體故障，系統的安全完整性等級由兩個指標間的最低者決定。 醫療器材須定義安全狀態 設備製造商有責任根據設備的運作方式及製造商對危險和風險的評估，定義什麼是安全狀態。在某些情況下，安全狀態可以切斷馬達主電源或是機器設備主電源，讓內置的被動措施接手消除系統中的能量。具體情況取決於危險的類型。 像MRI這類的醫療器材，由於切斷電源後患者能離開該設備，因此這可以算是一種安全狀態。但對於重症加護病房的病患監護儀等其他類型的醫療器材，將切斷器材電源作為安全狀態可能會提升患者的風險。對於人工心肺機或生命支援呼吸器等重症加護設備，這個問題就更加嚴重，若將斷電當作安全狀態很可能造成患者身故或重傷。 有兩個條件可能導致系統進入安全狀態。第一個條件是安全功能檢測到受控設備或某種外部活動導致危險狀況；第二個條件是安全功能本身發現安全迴路中的系統故障。在EUC發生失效，造成安全迴路驅動EUC進入安全狀態的情況下，EUC設計本身需具備冗餘，才能被繼續使用。對於器材無法過渡到安全狀態且安全迴路失效的情況，安全迴路本身需要使用冗餘架構。這樣可提升安全迴路的可用性，進而提升受其保護的EUC的可用性。 遵循上級功能安全標準確保可用性 隨著時間推移，所有系統失效的機率都十分的高，而這一點對安全迴路而言更是重要的考量點。系統失效的兩個主要原因是隨機硬體故障和系統性失效。因為硬體故障的發生是隨機的，所以設計用於檢測系統失效的功能安全系統必須具有高可用性。 為了協助這些系統的設計，上級功能安全標準「IEC 61508：電氣/電子/可編程設計電子安全相關系統」羅列出設計這些系統的建議架構清單。該標準介紹了檢測安全迴路運作失效的措施，並針對依據安全功能所需之故障運作狀態的情況添加冗餘。 系統性失效可以採用標準中所提出的，經完善測試且先進的措施，透過設計流程得以減輕；該流程必須獨立管理，以避免受到系統製造商內部利益衝突的影響。現今有大量此類流程被投入使用，圖3所示的是IEC 61508標準提出的V模型，而圖4所示的是ISO 26262中業界一流的軟體設計流程。 圖3　摘自IEC 61508:2010第3部分的軟體設計流程 圖4　摘自ISO 26262:2018第6部分的設計流程 每個流程中，左邊為設計程序，右邊為驗證程序。V模型左側顯示的是專案定義與設計，右側顯示的是使用V模型底部的單元編碼進行的專案測試與整合。在測試基礎完整前不得開始實際的單元編碼。 該流程的第一步是全面理解最終狀態的面貌。這個層面的設計會產生需求列表。在這些需求完成審核且被接受後，就會產生架構規格，再根據架構規格創建功能模組(工作分工)和支援需求的介面。在完成對架構的定義、細化並經同行審核後，就會產生為每個模組及其介面的測試需求。在同行完成測試需求的審核和驗證後，就會開始進行測試台編碼。 此時，設計團隊可能已經用掉時程表上一半的時間，但卻連一行應用代碼都還沒有開始編寫。剩下的時程是為測試台進行編碼。測試台完成後基本上就已成功在望，因為設計團隊現在很有把握其編寫的功能代碼在設計上是正確的。最後就是單元編碼、驗證和確認，在這個流程中產生缺陷的可能性已經很低，但仍取決於當初設定的需求是否夠全面。擁有越完善的需求設定和與需求對應的測試台，發生缺陷的機率就越低。 第二個考量是隨機硬體故障。檢測和在某些情況下糾正隨機硬體故障的措施取決於電子裝置的故障方式。就位元化積體電路而言，故障原因包括製造差錯、外部粒子撞擊或元件的金屬遷移耗損。隨機硬體故障可能是永久性或暫時性的，根據故障的性質，它們可能對機器設備行為造成影響，可能導致危險失效，也可能不會對機器設備的運作造成影響。後者這種情況被視為「安全失效」；而被稱為「診斷功能」的措施是被設計用於檢測這些故障並在某些情況下糾正它們。最常用的診斷功能有： ．湧泉碼： 在現今所有的手機通訊系統中用於重組和糾正手機在基地台和設備間發生隨機訊號干擾時遇到的傳輸故障。 ．記憶體保護： 在現今運作的每台運算伺服器中用糾錯代碼(ECC)檢測和糾正受損記憶體資料。 ．冗餘： 安排一套與主要功能平行運作的額外資源。 在這三者中，冗餘是最完善的可用診斷功能，但也是成本最高的。參考圖5和圖6，最常見的冗餘類型包括「二取一」(1oo2)和「三取二」(2oo3)兩種術語。 圖5　「二取一」(1oo2)安全架構 圖6　「三取二」(2oo3)安全架構 全盤了解安全架構實現高穩定性方案 圖7所示的例子之中，1oo2安全架構用於診斷功能強化，形成能確定兩個通道中哪一個有故障情況的「二取一」診斷架構(1oo2D)，而此一架構能用於代替2oo3架構。 圖7　使用交叉通道診斷(1oo2D)的1oo2安全架構示例 在這個例子中有兩個安全通道：深灰色的安全通道A，淺灰色的安全通道B。每個通道都有自己的電源和時脈。而賽靈思的Zynq UltraScale+提供可配置在獨立場域中的功耗監測器和系統監控(Watchdog)計時器，用於監測設備中的其他場域。這些監測器是標準認證中的必備條件。最後，每個通道擁有大於98%的診斷機率，且每個通道使用不同的CPU和設計架構以增加多樣性。這種多樣化的環境運用不同的架構強化系統功能。 從整體架構來看，通過在各個通道間比較結果，能以大於99%的診斷機率檢測出單一故障(例如一個電源、一個時脈生成器或記憶體失效等)。一旦檢測到故障，依據通道狀態得到的診斷結果將通知正常通道和Voter發生故障，Voter隨即遵循正常運作通道所得的結果。 IEC 60601 60601標準用於規範可能導致危害的潛在有害排放，但沒有充分說明安全迴路品質(SIL)的系統性方法，以及如何將導致危害的設備置於安全狀態。風險管理流程留給醫療OEM廠商自行處理並使用ISO14971標準的文件進行調整。雖然這是個好的開始，但問題仍然存在，也就是用於減輕風險的安全迴路應具備怎樣的品質。 IEC 61508標準提出的準則和流程可用於任何電氣/電子或可編程設計的電子系統，毋須考慮安全迴路的最終應用。這意味著通過使用用於滿足特定標準的SIL水準的安全迴路設計，就可以被認為針對特定風險已達到風險降低的要求。 ISO 26262 ISO26262規格採取截然不同的做法，要求將機器設備本身設計為天生具備安全性。例如，當今較為新型的汽車採用了電子緊急剎車。這種剎車裝置取代了老式的機械剎車系統，完全獨立於用於在正常駕駛條件下讓汽車停止的主剎車裝置。這種新型的電子緊急剎車系統已經被整合進車內的安全功能，當汽車在危險速度下行駛時，不允許系統發揮作用。所以當速度高於5mph/8kph(安全作用極限)，系統會發出警告並且不發揮作用。其原理如下： 1.主剎車系統擁有冗餘液壓線路。 2.驅動液壓系統的致動器故障率極低。 鑒於歷史上總故障率很低，所以能夠移除完整的冗餘緊急剎車裝置，以內建安全功能的電子手剎車取代。這種根據預期功能評估危害的理念被稱為「安全目標」。隨後使用驅動此架構的各種診斷措施和失效模式(失效安全與失效運作)達到每一個安全目標。主要功能透過設計提供內在安全性。「手剎車」的安全目標是： 1.系統應阻止不利的剎車。 2.系統應在完全喪失主動力後持續運作。 3.系統應阻止導致失控的剎車。 設計隨後通盤考慮這些安全目標，採用各種方法和措施確保達成這些目標。為此，半導體業者如賽靈思，在設計旗下產品Zynq UltraScale+ MPSoC時就考慮到功能安全和安全需求，從而幫助設備開發者打造高穩定性的解決方案，用於實施安全高效的醫療設備。此外，安全性晶片特性可透過工具流、IP和軟體解決方案加強，並成為工業和醫療物聯網解決方案堆疊的一部分。就功能安全性來說，Zynq UltraScale+ MPSoC提供以下功能： ．三個獨立的運算區域，分別採用不同的時脈和電源以減低共因故障。 ．多個溫度感測器用於檢測工作限制條件。 ．On-chip診斷(ECC)可檢測使用者和配置RAM中的隨機硬體故障。 ．即時運算區域的系統功能。 ．安全認證工具與方法。 ．安全認證Zynq UltraScale+ MPSoC晶片和軟體。 賽靈思的功能安全技術針對功能安全設計的兩大關鍵領域設計。第一大關鍵領域為系統功能，透過賽靈思認證工具鏈實現，並評估異質化產品。第二大關鍵領域為隨機硬體故障容錯，透過獨特的診斷組合實現，包括運算區域內選擇性硬體冗餘、SRAM診斷功能和異質化運算資源中的冗餘等。除On-chip診斷外，賽靈思還整合針對特定設計的獨特製造技術，可提高設備級單一故障事件(SEU)免疫性。 本文將功能安全和網路安全問題與設備製造商的產品風險評估管理連結起來。工業領域應對產品安全相關風險的一些最佳實踐(如IEC 61508)及應對網路安全防護要求的最佳實踐(如IEC 62443)在醫療設備設計時加以運用。本文概述醫療設備設計時可採用的功能安全設計實踐和賽靈思功能，以提高安全性並更佳評估風險，並一次性通過監管審查以加快產品上市時程，進而減少產品召回的風險。賽靈思認為監管機構和設計工程師能透過結構化的功能安全設計時程，對整體產品設計、整體產品成本乃至病患的安全產生積極影響。安全和保障密不可分，因為沒有適當的網路安全防護措施，系統安全就無法滿足預期的工作要求。網路安全問題既涉及數位控制產品的操作完整性，也涉及供應鏈防護，同時適用於不同的終端產業。 (本文由賽靈思提供)

是德科技(Keysight)日前宣布推出最齊備的網路安全產品，包括軟體、硬體和服務，可以全面化解車聯網的網路攻擊疑慮。 現代人的生活已離不開網路。然而，網路不只帶來娛樂和舒適的生活，同時也開始危害到汽車駕駛的安全性。網路技術的效益不言可喻，但其攻擊風險，例如惡意的駭客活動，也形成莫大的威脅。事實上，如果汽車遭受網路攻擊，其後果甚至可能致人於死。Consumer Watchdog 最新發布的報告指出連網汽車所隱含的網路安全風險。 是德科技深知這些風險，因而開發了各種解決方案，藉以測試並量測車聯網技術，例如近期發表的汽車網路安全防護服務，便可在部署車聯網元件之前和之後，驗證個別或整體元件抵擋威脅的能力。 此外，是德科技的Ixia Solutions Group(ISG)安全解決方案，提供各種可靠的驗證方式，確保車聯網4G/5G無線存取網路(RAN)基礎設施，以及支援企業營運管理之後端資料中心的安全性。ISG可視度解決方案提供經過強化的基礎設施，可增進運作中的網路安全工具套件的效率。從引擎控制單元(ECU)一直到雲端資料中心，是德科技都有相對應的測試和量測解決方案，可提供嚴密的網路安全防禦。 是德科技Ixia事業群總裁Mark Pierpoint表示，在汽車進入製造階段之前及早進行評估絕對有其必要性，如此才能為顧客提供安全耐用的汽車，否則等到生產後才發現潛在問題，不但更為勞民傷財，甚至還可能造成駕駛和乘客傷亡。 一旦連網汽車上路，除了需要保護消費者安全，還需持續偵測並消除網路安全威脅。網路安全測試早已是不可或缺的防禦措施，汽車業者須確保連網汽車具有滴水不穿的安全策略。 是德科技提供多元的解決方案，避免汽車遭到網路挾持(Cyber-hijack)，其中有汽車網路安全防護服務，可以驗證隱藏於連網汽車中的既有攻擊因素；以及汽車閘道器安全測試，可驗證車聯網的安全分區和安全狀態；和網路安全測試，驗證網路基礎設施和後端資料中心並進行壓力測試；另有應用與威脅情報(ATI)研究中心，可確保安全測試涵蓋最新的應用軟體和安全攻擊模擬；網路安全可視度，可全面洞察在車聯網中傳輸的所有訊務，進而提升安全基礎設施的效能。