本文约12000字,建议收藏阅读
近年来随着智能网联汽车的普及,智驾安全事故也不断频发,面对如此严峻的智能汽车安全形势,我们迫切需要一本专业的书籍,为我们剖析智能汽车安全的深层逻辑,让从业者迅速了解该行业及其相关技术。《一本书读懂智能汽车安全》应运而生,它系统讲解了汽车研发全流程的功能安全、预期功能安全和网络安全,以及三者在汽车研发中的融合之道,为智能汽车安全构建了一个全方位、多层次的保障体系。
本书由 SASETECH 汽车安全社区组织编写,磐时创始人边俊、博世汽车曲元宁以及吉林大学张玉新教授主导,汇聚了博世、蔚来、小鹏、磐时、卓驭、地平线、上汽、吉林大学等业界和学界在汽车安全领域的实践经验和研究成果。这些来自头部企业的安全专家,凭借着丰富的实战经验,为本书注入了强大的生命力。他们在智能汽车安全领域的深耕细作,使得书中的内容既具有理论深度,又具有实际可操作性。
以下内容节选自《一本书读懂智能汽车安全》:
汽车开发中涉及的安全概念包含被动安全、主动安全、数据安全、功能安全、网络安全 (信息安全)、预期功能安全等。
被动安全和主动安全属于传统的安全领域。从整车安全的发展历程来看,在过去传统汽 车车内环境相对封闭的状态下,被动安全是安全的基础和最后屏障,能在事故发生时最大限 度地减轻人身伤害,主动安全则是监测并避免车辆失控及交通事故的发生。
随着汽车电子电气安全技术的发展,系统逐渐从封闭向智能化、开放化演进。为避免系 统功能性故障导致的不可接受风险,功能安全应运而生。随着 ADAS(高级驾驶辅助系统)的 复杂化,功能安全逐渐延伸至预期功能安全(SOTIF)。汽车网联化和智能化的演进,如增加 了 LTE 、蓝牙、WiFi 等对外通信接口,以及娱乐应用、远程升级、远程控制、V2X 等联网功 能,使得网络安全越来越受到关注和重视,保护相关的安全资产及功能免受威胁变得尤为重 要。此外,车辆运行数据、交互数据、采集数据等带来了大数据的爆发,数据成为用户和企 业的重要安全资产。智能汽车的数据安全问题也进入了监管视野,要求坚持车内处理、匿名 化、最小保存期限、精度范围适用和默认不收集的处理原则。保障汽车重要数据及个人数据 的全生命周期安全,成为整个产业面临的新挑战。
整车的安全开发要秉承安全第一的理念,构建健全的安全业务体系及管理体系,采用先进的安全防护技术,通过充分验证把好产品安全关口,确保安全运维与运营,实现整车产品 全维度、全生命周期的安全防护。主动被动安全由原有的传统安全部门负责开发,企业级的 数据、信息安全由 IT 部门负责管理,系统安全由新的系统安全部门负责开发和运维管理。
在本节中,我们将通过行业内经典的安全 案例引出三类安全:功能安全、预期功能安全和网络安全然后介绍这三类安全的关系,让读者对智能汽车安全有更全面的认识。
PART
#01
三类安全的案例
随着电子信息技术的快速发展和汽车制造业的不断变革,电子控制、计算机、通信等技术日新月异,汽车的电子化程度逐年加深。在电动化、网联化、智能化等趋势的驱动下,汽车电子化水平不断提高,汽车电子在整车制造成本中的占比逐年上升,预计到 2030 年将接 近 50%。
近年来,中国汽车电子市场规模一直保持稳定增长。根据公开数据,2020 年和 2021 年市场规模分别达到 1029 亿美元和 1104 亿美元。2020 年全球汽车电子市场规模约为 2180 亿美元预计到 2028 年将达到 4000 亿美元。
2020 年 10 月,国务院办公厅印发了《新能源汽车产业发展规划(2021—2035 年)》,提出 坚持电动化、网联化、智能化发展方向,以融合创新为重点,突破关键核心技术,优化产业 发展环境,推动我国新能源汽车产业高质量可持续发展,加快建设汽车强国。到 2025 年,新 能源汽车新车销量占比将达到 20%,高度自动驾驶汽车将在限定区域和特定场景实现商业化 应用。在国家有关政策的大力支持下,新能源汽车与智能网联汽车将进入发展的快车道。同 时,自动驾驶技术也在日新月异地发展。据统计,2021 年 L0 自动驾驶汽车渗透率超过 50%, L1 自动驾驶汽车渗透率为 25%,L2 自动驾驶汽车渗透率为 20%,预计 2030 年 L2 自动驾驶 汽车渗透率将达到 57%,L3 自动驾驶汽车渗透率和 L4 自动驾驶汽车渗透率分别增长至 7.0% 和 3.0%。
电动化、智能化、网联化、自动化的趋势给用户带来了更好的体验,同时也给汽车安全 带来了严峻的挑战。汽车安全涉及的内容非常广泛,本书聚焦于功能安全、预期功能安全以 及网络安全,即汽车电子电气方面引起的安全。在介绍这三类安全的基本概念之前,我们通 过一些有影响力的案例来引出三类安全,以说明这三类安全对汽车的重要性。
功能安全案例
2016 年,丰田汽车因电子油门控制系统故障在全球范围内召回数百万辆汽车,这一事件 被称为“丰田刹车门”。该事件引发了公众对智能汽车安全的广泛关注和讨论。
丰田刹车门事件始于 2009 年,当时多起车辆失控事故引起了公众的广泛关注。美国国家公路交通安全管理局(NHTSA)编撰的一份报告显示,该机构收到了超过 3000 份针对丰田汽车突然加速问题的投诉,其中一些投诉日期要回溯到 2000 年初。这些事故中包括导致 93 人死亡的 75 次致命性撞车。根据 NHTSA 提交给美国国家科学院(National Academy of Sciences) 的信息,这些致命性撞车事件中的一次事故是由丰田汽车的问题引起的。该事故发生在 2009 年 8 月 28 日,一份时长仅 49s 的 911 报警录音显示,一辆雷克萨斯汽车(丰田汽车公司旗下品牌)在美国加利福尼亚州圣地亚哥附近的高速公路上行驶时加速踏板被卡住。录音的结尾部 分传出惊恐的尖叫声,之后这辆雷克萨斯车毁人亡。这场车祸夺去了高速公路巡警马克 ·塞勒及其妻子、女儿和妻弟共 4 条生命。尽管一些声称丰田和雷克萨斯汽车失控的案例里可能是汽车司机想踩刹车时错误地踩上了加速器,但这并不能排除丰田在汽车突然加速方面存在的两个问题:油门踏板卡壳以及脚垫会使油门踏板卡在车厢底板上。这一事故进一步引发了丰田汽车大规模召回事件。自此,美国联邦检察官办公室以及 NHTSA 等相关机构对此事件 展开了长时间的调查,调查内容包括电子控制技术是否存在明显缺陷而导致了其中一些事故的发生。该研究的重点之一即本书所述的三类安全之一:面向电子电气系统功能失效的功能安全。
预期功能安全案例
功能安全分析是基于电子电气系统功能的失效进行安全分析,简单来说,考察其安全相 关的失效率以及失效后的安全设计是否达到要求。随着 ADAS 的日益复杂,比如引入了各种 复杂的感知系统(如毫米波雷达、激光雷达、摄像头)和自动驾驶算法(如深度学习)等,即 便这些系统功能不发生失效,也存在安全隐患,如这些感知系统在执行预期功能时因其环境 感知能力的不足和算法的缺陷在某些情况下会产生危害,从而影响行车安全。
据公开信息,2018 年 3 月 18 日晚上 10 点左右,Uber 的一辆自动驾驶汽车在 Tempe 市与 一名过马路的行人相撞,该行人后来在医院不治身亡。
预期功能安全主要关注系统在没有故障时,可能因功能不足、性能限制或用户操作错误 而产生的危害。这起事故与预期功能安全有着紧密的关系,主要表现在以下几个方面。
· 传感器的局限性:Uber 车辆装备有摄像头、激光雷达等多种传感系统。这些传感系统 在理想条件下能够检测到周围的物体。然而,事故发生时,由于行人处于暗处,传感 系统虽然收集到了行人的数据,但在撞击前 6s 内将其解读为未知物体、车辆和自行 车。这表明,传感系统在特定环境下的识别能力存在局限性。
·算法的解读与反应:即使传感系统正常工作,如果算法不能正确解读传感系统数据并 做出适当的反应,也可能导致安全事故发生。在此案例中,即使传感系统识别出了行 人,也显然没有采取足够的措施来避免撞击,这指向了算法在态势感知和决策方面的 不足。
·整体系统的设计与评估:在设计和评估阶段,预期功能安全要求考虑各种可能的操作 场景,包括传感系统可能无法完全识别的情况。这意味着需要对自动驾驶汽车的整体 安全性进行全面分析,以确保在各种复杂环境下都能保持安全行驶。
·人为因素:尽管事故中的安全驾驶员被指控有过失,但这也反映了在自动驾驶系统中, 人类驾驶员的作用和责任仍需明确界定。预期功能安全不仅涉及技术层面,还涉及人 机交互以及安全驾驶员的培训和准备情况。
·法律与伦理责任:此类事故还引发了关于自动驾驶汽车法律责任的讨论。如何分配责 任、如何制定标准以及如何通过立法和保险制度来处理事故,都是预期功能安全需要 考虑的问题。
综上所述,Uber 的这起事故凸显了预期功能安全在自动驾驶汽车研发和部署中的重要性。这就引出了本书关注的第二个安全话题——预期功能安全,即电子电气系统是否能够执行预 期功能,或者在执行预期功能时是否存在因功能不足、性能受限或者合理可预见的人员误用 引起的安全风险。例如,传感系统在暴雨、积雪等天气情况下,本身并未发生故障,但可能 已无法执行预期的功能。
网络安全案例
网络安全事件中最著名的无疑是 2015 年的吉普切诺基黑客攻击演示。安全研究专家 Charlie Miller 和 Chris Valasek 展示了一次引人注目的汽车黑客攻击实验,他们成功地远程控 制了一辆 2014 年款的吉普切诺基。这一事件不仅震惊了整个汽车行业,也引起了广泛的关 注,并最终导致对车辆大规模召回,以进行软件安全更新。
Miller 和 Valasek 的研究集中在利用联网汽车的漏洞进行远程攻击方面。他们首先通过汽 车的 Uconnect 系统——一个连接到互联网的车载娱乐系统——找到了进入汽车控制系统的方 法。他们发现,Uconnect 系统中存在的漏洞能让任何知道汽车 IP地址的人从全国任何地方 进入该系统。利用这个漏洞,Miller 和 Valasek 能够向汽车的内部控制器局域网络( Controller Area Network ,CAN)发送指令。CAN 总线负责在车辆的各种电子控制单元(ECU)之间传递 信息,ECU 控制着许多关键功能,如自适应巡航控制、电子刹车、停车辅助和转向柱控制。
在实验中,Miller 和 Valasek 演示了如何完全控制汽车的音乐播放器,设置收音机的频道 和音量,以及追踪汽车。更重要的是,他们还能够远程控制汽车的方向盘、引擎、变速器和 刹车系统。这表明,现代联网汽车中的网络安全漏洞可能导致严重的安全问题。
这次攻击后,菲亚特召回了 140 万辆吉普切诺基,并发布了一个补丁来关闭这个漏洞。这是第一次因软件安全问题而对大规模生产的产品进行物理召回。Miller 和 Valasek 的研究强 调,汽车制造商需要在生产周期的早期提高汽车的网络安全性,因为在实验室阶段解决问题 远比召回或发布补丁更容易。
Miller 和 Valasek 的这次实验不仅展示了现代汽车网络安全的脆弱性,还揭示了随着更多 的计算机和网络组件被集成到车辆中汽车安全研究的重要性。他们的研究结果和使用的工具被公开发布,以鼓励其他人深入研究汽车的安全性。
这个案例是对汽车行业的一个重要警告,表明在车辆设计和生产过程中,解决网络安全 问题迫在眉睫。随着汽车逐渐变为复杂的网络化智能系统,联网不仅提供了便利和新功能,也为黑客提供了新的攻击面和途径。比如,勒索软件导致汽车制造商生产业务中断,黑帽黑 客的攻击以及安全研究员对车辆系统的测试等,都表明了网络安全对现代汽车行业的重要性。目前,大约四分之一的车辆以某种方式接入网络,预计到 2025 年,每八辆汽车中将有七辆是 联网汽车。
人们逐渐意识到车辆网络安全漏洞可能带来的严重影响,确保车辆网络安全已成为汽车 制造商和相关行业的重中之重。
PART
#02
三类安全的概念和关系
功能安全、预期功能安全和网络安全是本书重点阐述的三个安全体系。三者既相互关联, 又各自有不同的侧重点。电子电气系统的安全通常需要综合三个维度考虑。
在汽车行业中,功能安全、预期功能安全和网络安全标准共同构成了汽车安全的框架。功能安全关注的是由于电子电气系统故障而引起的危害,预期功能安全则关注系统功能不足 或用户误操作而产生的风险。相比之下,网络安全专注于人为恶意攻击给整车及相关系统带 来的危害,涵盖了针对威胁场景的防御措施和关键敏感信息保护。
在这三类安全中,功能安全和预期功能安全的关系更为接近(如图 1-1 所示),因为二者 都关注车辆内部原因对人身安全的影响,威胁来自车辆本身。功能安全旨在防止电子电气故 障引起的(对人的)危害,其核心在于规避故障,因此解决的是电子电气系统的故障问题。对 于电子电气系统而言,主要存在两类故障:一类是随机性故障(硬件故障随机发生,不可避 免和消除,只能控制),另一类是系统性故障(人为错误导致,可通过流程和异构冗余机制避 免)。从字面上理解,预期功能安全主要强调功能的预期性,防止因功能与预期不一致引起的 风险,并对预期不一致的原因(功能不足、性能局限、用户误操作)进行限定。性能局限如超 出传感器的标称精度导致的感知不准确,用户误操作即人为对功能的错误使用。这时,系统 并未出现故障,仍处于正常运行状态。因此,预期功能安全侧重于解决系统在非故障状态下 可能面临的风险。
网络安全的英文为 Cyber Security,其含义很广泛,包括人身安全、隐私安全,甚至国家安全。之所以翻译为网络安全或信息安全,是因为其关注的对象是网络空间的安全。这里的 网络空间不应简单理解为互联网,而是涵盖车内网络、车外云端网络、汽车相关交通设施, 以及汽车开发、生产、售后管理等网络。网络安全主要是防止重要的控制系统和通信设备对 外开放了控制接口而导致的蓄意 / 恶意攻击,避免人身受伤害、隐私泄露、财产损失等安全风 险。网络安全强调保护车辆系统(无论产品还是设备的数字资产)免受外部威胁。
功能安全、预期功能安全和网络安全三者之间的关系可以通过表 1-1 来呈现。
由此可见,一个安全相关的电子电气系统的安全问题需要从功能安全、预期功能安全和 网络安全三个层面共同解决,缺一不可。任何一个层面出现短板,都会导致其他两个层面的 努力功亏一篑。例如,一个系统即便在功能安全和预期功能安全层面设计的机制近乎完美, 但如果系统与外部连接的安全没有保障机制,也达不到应有的安全要求。
预期功能安全的发展晚于功能安全的发展,但随着汽车智能化以及辅助驾驶和自动驾驶技术的发展,预期功能安全越来越重要。预期功能安全与功能安全在开发方法和流程上有 众多相似之处,行业内提出了将二者结合起来的开发方法,以提高开发效率。图 1-2 为 ISO 21448 中介绍的二者相融合的方法。
从开发体系上来看,不仅功能安全和预期功能安全可以融合,三类安全有全方位融合的 趋势,如图 1-3 所示。
智能网联的快速发展对安全性提出了更高的要求,这对从事汽车安全工作的人员全面利好。新的技术和业务带来的新体系是未来汽车安全的主要发展方向。如何有效地将安全体系与企业的产品开发、运营管理、质量管理体系相结合是一个挑战,另一个挑战在于售后的安全响应,即安全运营体系。除了同安全体系的融合之外,同产品开发流程(GVDP/APQP)、软件质量体系(ASPICE/CMMI)、质量管理体系( IATF 16949)、信息安全相关体系( ISO 27001/ TISAX)等的结合也是非常重要的。
一位全面的汽车功能安全从业者应该注意到,汽车功能安全也在经历跨界。相信在未来 的几年,汽车安全行业会更加切实地探索出一条与业务融合的道路。
为了帮助读者更高效地掌握智能汽车安全的核心知识,《一本书读懂智能汽车安全》精心构建了结构化知识图谱,通过理论联系实际的形式,以方法论加案例阐释的逻辑,为读者展现了一幅汽车安全技术全景。