自動(dòng)化系統(tǒng)和網(wǎng)關(guān)的安全與保障

大部分汽車創(chuàng)新和特性相關(guān)新聞中都開(kāi)始提及全球三大趨勢(shì)。這三大趨勢(shì)塑造著當(dāng)前大環(huán)境，主要包括汽車的互聯(lián)化、電氣化和自動(dòng)化。這三大趨勢(shì)在創(chuàng)新和財(cái)務(wù)回報(bào)方面為企業(yè)提供了千載難逢的機(jī)遇，更重要的是，這些趨勢(shì)還創(chuàng)造了一項(xiàng)重大的使命。類似最初在瑞典提出的“Vision Zero”等項(xiàng)目旨在減少因交通事故造成的傷亡，并在全球多個(gè)轄區(qū)作為一種模式進(jìn)行推廣。另一個(gè)類似的項(xiàng)目是由美國(guó)國(guó)家安全委員會(huì)提出的“Road To Zero”，旨在將每年130萬(wàn)的道路交通死亡人數(shù)降至零。互聯(lián)化和自動(dòng)化技術(shù)為保障安全無(wú)憂出行奠定了基礎(chǔ) (National  Safety Council, 2018)。

讓車輛成為“車輪上的服務(wù)器”，這不僅關(guān)系到新型車輛的車載計(jì)算水平，而且還關(guān)系到車輛與車輛外部各種系統(tǒng)間的連接。最基本的系統(tǒng)之一就是全球?qū)Ш叫l(wèi)星系統(tǒng)(GNSS)，包括GPS定位、DSRC或基于移動(dòng)網(wǎng)絡(luò)的車輛對(duì)車輛(V2V)和車輛對(duì)基礎(chǔ)設(shè)施(V2I)技術(shù)，它們?cè)试S車輛與其他車輛和基礎(chǔ)設(shè)施通信，如用于狀況感知的交通信號(hào)燈以及用于信息娛樂(lè)的數(shù)據(jù)連接。  互聯(lián)性對(duì)于軟件維護(hù)和更新也十分重要。美國(guó)的普通駕駛員平均每天在車?yán)锎?個(gè)小時(shí) (AAA Foundation for Traffic  Safety, 2019)，在車?yán)锏拇蟛糠謺r(shí)間里，互聯(lián)性對(duì)于提供娛樂(lè)和效用來(lái)說(shuō)必不可少。 

一個(gè)安全的系統(tǒng)需要可靠的設(shè)備，以防因設(shè)備故障發(fā)生事故；需要功能安全，以防因系統(tǒng)故障導(dǎo)致事故；還需要安全防護(hù)，以防因系統(tǒng)遭到黑客攻擊發(fā)生事故。這些功能的有機(jī)結(jié)合有效防范了人為錯(cuò)誤，從而提高了車輛的總體安全性。

圖1 安全系統(tǒng)的要素

安全防護(hù)對(duì)于互聯(lián)車輛和自動(dòng)駕駛車輛來(lái)說(shuō)不可或缺，否則其功能安全性就會(huì)受到損害。自2015年以來(lái)，已發(fā)生超過(guò)25起車輛黑客事故，最嚴(yán)重的一次公開(kāi)事故影響了140萬(wàn)輛汽車 (Drozhzhin, 2015)。到2030年，汽車所產(chǎn)生數(shù)據(jù)估值將達(dá)到7500億美元 (McKinsey & Company, 2016)。汽車系統(tǒng)十分復(fù)雜，每輛車有100多個(gè)ECU和1億多行代碼，高復(fù)雜性可能會(huì)造成更多無(wú)法預(yù)見(jiàn)的漏洞，就像大規(guī)模召回的情況一樣。隨著無(wú)線接口的廣泛應(yīng)用，允許不對(duì)車輛進(jìn)行物理訪問(wèn)即可修復(fù)安全漏洞。

與其他非汽車應(yīng)用的安全嵌入式電子系統(tǒng)類似，業(yè)內(nèi)通過(guò)在汽車設(shè)計(jì)中采用先進(jìn)的核心安全原則來(lái)解決這些安全性挑戰(zhàn)。  汽車的外部接口不但需要抵御物理攻擊，還需要保持通信的完整性和保密性。這就需要安全的域隔離，并且系統(tǒng)也需要能夠抵御邏輯攻擊。車輛內(nèi)部通信，以及各種ECU和汽車MCU的軟件操作，都需要得到保障。  需要車輛網(wǎng)關(guān)來(lái)安全可靠地互連和處理這些異構(gòu)車載網(wǎng)絡(luò)中的數(shù)據(jù)。  網(wǎng)關(guān)提供物理隔離和協(xié)議轉(zhuǎn)換，用于在功能域（動(dòng)力傳動(dòng)、底盤與安全系統(tǒng)、車身控制、信息娛樂(lè)、遠(yuǎn)程信息處理、ADAS）之間路由數(shù)據(jù)。功能域通過(guò)共享數(shù)據(jù)實(shí)現(xiàn)新功能。通過(guò)網(wǎng)關(guān)，工程師可設(shè)計(jì)出更穩(wěn)健、功能性更強(qiáng)的車載網(wǎng)絡(luò)，從而增強(qiáng)駕駛體驗(yàn) (Simacsek, 2019)。

圖2 核心安全原則

車輛制造商(OEM)積極致力于研發(fā)新功能，以期從競(jìng)爭(zhēng)中脫穎而出。自動(dòng)駕駛需要安全連接和功能域ECU之間的高帶寬通信，因此要想實(shí)現(xiàn)自動(dòng)駕駛，網(wǎng)關(guān)必不可少。  網(wǎng)關(guān)作為車載網(wǎng)絡(luò)的核心，也非常適合用來(lái)支持全車范圍的應(yīng)用，如無(wú)線(OTA)更新和車輛數(shù)據(jù)分析，以及與OEM服務(wù)器（云）的安全通信。

圖3 網(wǎng)關(guān)具有對(duì)車輛數(shù)據(jù)的中央訪問(wèn)權(quán)

機(jī)器學(xué)習(xí)(ML)技術(shù)在自動(dòng)駕駛系統(tǒng)中的應(yīng)用創(chuàng)造了其他潛在的攻擊手段。系統(tǒng)需要能夠避免機(jī)器學(xué)習(xí)模型可能被盜的情況，或者提供識(shí)別被盜機(jī)器學(xué)習(xí)模型的方法。系統(tǒng)需要防止用戶生物識(shí)別信息等與隱私相關(guān)的信息丟失，如果車輛具有用戶識(shí)別功能，那就可以用對(duì)抗性的方法保護(hù)系統(tǒng)免受這些系統(tǒng)的欺騙。機(jī)器學(xué)習(xí)還可以通過(guò)檢測(cè)異常情況來(lái)防范這些攻擊，或用于建立更強(qiáng)大的防御機(jī)制。

安全性是一種法律責(zé)任，因此對(duì)于汽車市場(chǎng)來(lái)說(shuō)至關(guān)重要。用戶需要能夠相信他們的車輛會(huì)做它應(yīng)該做的事情。安全性還可以實(shí)現(xiàn)平臺(tái)合并和系統(tǒng)一致性。隨著自動(dòng)化等級(jí)超過(guò)SAE 2級(jí)(L2)，持續(xù)監(jiān)控駕駛環(huán)境的責(zé)任也從人類駕駛員轉(zhuǎn)移到了自動(dòng)駕駛系統(tǒng)。

圖4 安全概念的演變

傳統(tǒng)的汽車安全，如ISO 26262等標(biāo)準(zhǔn)的功能安全定義，根據(jù)風(fēng)險(xiǎn)的嚴(yán)重性、暴露率和可控性提供汽車安全完整性等級(jí)(ASIL)。這項(xiàng)標(biāo)準(zhǔn)還定義了V開(kāi)發(fā)模型，要求完全指定組件特性及其相應(yīng)的規(guī)范和可追蹤性，按照其規(guī)范所做的修改也應(yīng)可檢測(cè)。利用數(shù)據(jù)庫(kù)訓(xùn)練機(jī)器學(xué)習(xí)模型，累積的訓(xùn)練會(huì)違背初始時(shí)組件特性均已指定的假設(shè)。此外，自動(dòng)駕駛系統(tǒng)利用機(jī)器學(xué)習(xí)時(shí)，將軟件組件的層級(jí)架構(gòu)實(shí)施成端到端的解決方案，這違背了ISO 26262標(biāo)準(zhǔn)的模塊化方案 (Salay & Czarnecki, 2018)。