自動化系統(tǒng)和網(wǎng)關的安全與保障
大部分汽車創(chuàng)新和特性相關新聞中都開始提及全球三大趨勢。這三大趨勢塑造著當前大環(huán)境,主要包括汽車的互聯(lián)化、電氣化和自動化。這三大趨勢在創(chuàng)新和財務回報方面為企業(yè)提供了千載難逢的機遇,更重要的是,這些趨勢還創(chuàng)造了一項重大的使命。類似最初在瑞典提出的“Vision Zero”等項目旨在減少因交通事故造成的傷亡,并在全球多個轄區(qū)作為一種模式進行推廣。另一個類似的項目是由美國國家安全委員會提出的“Road To Zero”,旨在將每年130萬的道路交通死亡人數(shù)降至零?;ヂ?lián)化和自動化技術為保障安全無憂出行奠定了基礎 (National Safety Council, 2018)。
本文引用地址:http://m.butianyuan.cn/article/201910/406299.htm讓車輛成為“車輪上的服務器”,這不僅關系到新型車輛的車載計算水平,而且還關系到車輛與車輛外部各種系統(tǒng)間的連接。最基本的系統(tǒng)之一就是全球導航衛(wèi)星系統(tǒng)(GNSS),包括GPS定位、DSRC或基于移動網(wǎng)絡的車輛對車輛(V2V)和車輛對基礎設施(V2I)技術,它們允許車輛與其他車輛和基礎設施通信,如用于狀況感知的交通信號燈以及用于信息娛樂的數(shù)據(jù)連接。 互聯(lián)性對于軟件維護和更新也十分重要。美國的普通駕駛員平均每天在車里待1個小時 (AAA Foundation for Traffic Safety, 2019),在車里的大部分時間里,互聯(lián)性對于提供娛樂和效用來說必不可少。
一個安全的系統(tǒng)需要可靠的設備,以防因設備故障發(fā)生事故;需要功能安全,以防因系統(tǒng)故障導致事故;還需要安全防護,以防因系統(tǒng)遭到黑客攻擊發(fā)生事故。這些功能的有機結合有效防范了人為錯誤,從而提高了車輛的總體安全性。
圖1 安全系統(tǒng)的要素
安全防護對于互聯(lián)車輛和自動駕駛車輛來說不可或缺,否則其功能安全性就會受到損害。自2015年以來,已發(fā)生超過25起車輛黑客事故,最嚴重的一次公開事故影響了140萬輛汽車 (Drozhzhin, 2015)。到2030年,汽車所產(chǎn)生數(shù)據(jù)估值將達到7500億美元 (McKinsey & Company, 2016)。汽車系統(tǒng)十分復雜,每輛車有100多個ECU和1億多行代碼,高復雜性可能會造成更多無法預見的漏洞,就像大規(guī)模召回的情況一樣。隨著無線接口的廣泛應用,允許不對車輛進行物理訪問即可修復安全漏洞。
與其他非汽車應用的安全嵌入式電子系統(tǒng)類似,業(yè)內(nèi)通過在汽車設計中采用先進的核心安全原則來解決這些安全性挑戰(zhàn)。 汽車的外部接口不但需要抵御物理攻擊,還需要保持通信的完整性和保密性。這就需要安全的域隔離,并且系統(tǒng)也需要能夠抵御邏輯攻擊。車輛內(nèi)部通信,以及各種ECU和汽車MCU的軟件操作,都需要得到保障。 需要車輛網(wǎng)關來安全可靠地互連和處理這些異構車載網(wǎng)絡中的數(shù)據(jù)。 網(wǎng)關提供物理隔離和協(xié)議轉換,用于在功能域(動力傳動、底盤與安全系統(tǒng)、車身控制、信息娛樂、遠程信息處理、ADAS)之間路由數(shù)據(jù)。功能域通過共享數(shù)據(jù)實現(xiàn)新功能。通過網(wǎng)關,工程師可設計出更穩(wěn)健、功能性更強的車載網(wǎng)絡,從而增強駕駛體驗 (Simacsek, 2019)。
圖2 核心安全原則
車輛制造商(OEM)積極致力于研發(fā)新功能,以期從競爭中脫穎而出。自動駕駛需要安全連接和功能域ECU之間的高帶寬通信,因此要想實現(xiàn)自動駕駛,網(wǎng)關必不可少。 網(wǎng)關作為車載網(wǎng)絡的核心,也非常適合用來支持全車范圍的應用,如無線(OTA)更新和車輛數(shù)據(jù)分析,以及與OEM服務器(云)的安全通信。
圖3 網(wǎng)關具有對車輛數(shù)據(jù)的中央訪問權
機器學習(ML)技術在自動駕駛系統(tǒng)中的應用創(chuàng)造了其他潛在的攻擊手段。系統(tǒng)需要能夠避免機器學習模型可能被盜的情況,或者提供識別被盜機器學習模型的方法。系統(tǒng)需要防止用戶生物識別信息等與隱私相關的信息丟失,如果車輛具有用戶識別功能,那就可以用對抗性的方法保護系統(tǒng)免受這些系統(tǒng)的欺騙。機器學習還可以通過檢測異常情況來防范這些攻擊,或用于建立更強大的防御機制。
安全性是一種法律責任,因此對于汽車市場來說至關重要。用戶需要能夠相信他們的車輛會做它應該做的事情。安全性還可以實現(xiàn)平臺合并和系統(tǒng)一致性。隨著自動化等級超過SAE 2級(L2),持續(xù)監(jiān)控駕駛環(huán)境的責任也從人類駕駛員轉移到了自動駕駛系統(tǒng)。
圖4 安全概念的演變
傳統(tǒng)的汽車安全,如ISO 26262等標準的功能安全定義,根據(jù)風險的嚴重性、暴露率和可控性提供汽車安全完整性等級(ASIL)。這項標準還定義了V開發(fā)模型,要求完全指定組件特性及其相應的規(guī)范和可追蹤性,按照其規(guī)范所做的修改也應可檢測。利用數(shù)據(jù)庫訓練機器學習模型,累積的訓練會違背初始時組件特性均已指定的假設。此外,自動駕駛系統(tǒng)利用機器學習時,將軟件組件的層級架構實施成端到端的解決方案,這違背了ISO 26262標準的模塊化方案 (Salay & Czarnecki, 2018)。
評論