久久久91精品国产一区麻豆,久久综合中文字幕,久久精品国产麻豆产毛片能回酒店

“磐時，做汽車企業的安全智庫”

好書分享/ 《一本書讀懂智能汽車安全》

三大安全危害分析和風險評估

本文摘選自SASETECH汽車安全社區編撰的《一本書讀懂智能汽車安全》，此書由磐時創始人邊俊、博世汽車曲元寧、吉林大學教授張玉新牽頭主導，集合了博世、蔚來、小鵬、磐時、卓馭、地平線、上汽及吉林大學等行業與學界在汽車安全領域的實踐積累和研究成果。

它以V模型為基座，圍繞功能安全、網絡安全和預期功能安全展開，系統講解了概念開發，系統開發、硬件開發、軟件開發、驗證與確認各階段全流程的安全實踐。書中以深厚的理論經驗與豐富的實踐經驗，為行業的創新研究提供了寶貴的參考資料，是推動汽車安全技術進步和創新的重要力量。

以下內容節選自《一本書讀懂智能汽車安全》：

三大安全體系都是從危害分析開始的，本質上都是為了避免危害和威脅造成的風險。在功能安全中，危害分析和風險評估的目的是識別相關項目中故障引起的危害并進行歸類，從而制定防止危害事件發生或減輕危害程度的安全目標，以避免不合理的風險；在預期功能安全中，危害分析和風險評估要避免的是功能和性能不足而導致的危害；在網絡安全中，威脅分析和風險評估要避免的是外部攻擊導致的人員和財產損失。因此，三者在風險的起源點上有本質的不同，但目的是讓整個系統更加安全可靠。在不同的安全分析及安全策略中，我們可以采用不同的分析方法去識別所關注的安全。

01.

功能安全方面

危害分析和風險評估（HARA）是功能安全開發過程中極為重要的一步。GB/T 34590 在術語中首先對其做出了定義，即為了避免不合理的風險，對相關項的危害事件進行識別和歸類的方法，以及防止和減輕相關危害的安全目標和 ASIL 等級的方法。從定義中可以看到，危害分析和風險評估應基于相關項定義進行。在此過程中，應對不含內部安全機制的相關項進行評估，即在危害分析和風險評估過程中不應考慮將要實施或已經在相關項中實施的安全機制。

安全機制是技術層面的事情，HARA 只是概念階段的問題，針對的是功能。而且我們做 HARA 分析的目的就是找到合適的安全措施，如果提前加入對于安全措施的考量，很容易降低實際 ASIL 的等級，最終甚至會導致安全措施的不合理配置。

危害事件通常是由運行場景和危害的相關組合來確定的。

◆ 場景分析：所有的失效分析都是針對特定場景進行的。分析場景的目的是找到功能失效時導致最危險事件的原因，并對該危險事件發生時的運行場景及運行模式進行描述。既要考慮車輛的正確使用情況，也要考慮可預見的車輛不當操作，例如：在高速駕駛情況下，副駕乘員誤觸電子駐車開關。

◆危害識別：可以通過不同的技術手段系統地確定危害，如利用頭腦風暴、檢查列表、歷史質量記錄、FMEA 和現場研究等方法提取相關項層面的危害，應以能在整車層面觀察到的條件或行為來定義危害。通常，每一個危害有多種與相關項的功能實現相關的潛在原因，但在危害分析和風險評估中對危害的條件或行為進行定義時，不需要考慮這些原因，這些原因是從相關項的功能行為得出的。

對于危害事件導致的后果，我們可以通過以下三個參數進行評級：潛在傷害的嚴重度（S）、每個運行場景的暴露概率（E），以及基于某個確定理由預估的駕駛員或其他潛在的處于風險中的人員對于該危害的可控性（C）。根據這三個參數，我們可以確定ASIL等級，如表3-4 所示。如果對于分級存在疑問，應給出較高的 ASIL等級，而不是較低的。

危害事件的風險評估中潛在傷害的嚴重度（S）關注的是潛在的處于風險中的每個人受到的傷害情況，包括引起危害事件的車輛的駕駛員或乘客，以及其他潛在的處于風險中的人員，如騎自行車的人員、行人或其他車輛上的人員。基于功能安全標準 GB/T 34590，我們可以將危害事件的潛在傷害的嚴重度分為 S0、S1 、S2 、S3 四個等級，對照的可以參考簡明損傷定級（AIS）的描述。其中，S0 等級代表只有物品材料損害，而沒有人員傷害，所以不需要 ASIL 的分配。對于可控性的評估，一種是通過頭腦風暴，另一種是通過大數據。隨著 ADAS 功能的發展以及人工智能的廣泛應用，基于大數據的開發越來越普及，理論上來說，傷害的分析也完全可以基于大數據進行。通常，各個國家和地區都有每年交通事故的統計數據，包括事故發生的時間、地點、原因及結果。基于這些交通事故數據的統計結果，配合對功能所做的場景分析，功能故障所導致危害事件的傷害嚴重程度的評級結果變得更加可靠。

GB/T 34590中的功能安全定義是：不存在電子電氣系統的功能異常表現引起的危害而導致不合理的風險。通常，風險可以理解為包含兩個部分：一部分是傷害的嚴重等級，另一部分是發生這種傷害的概率或頻次。傷害的嚴重等級已經可以被上面提到的 S 所覆蓋，而概率或頻次則涉及另外兩個參數E（每個運行場景的暴露概率）和C（可控性等級）。

功能安全涉及的傷害是功能異常表現所引起的傷害，但并非每一個異常表現都會引起傷害。例如，當車輛停靠在停車場內的平地上時，如果駐車系統發生故障，由于車輛在平地上，并不會發生移動，因此不會帶來任何傷害。但是，如果車輛停靠在斜坡上，此時駐車系統發生故障，車輛會溜坡并可能撞到周邊行人，從而造成傷害。這種情況下，停靠在斜坡上就是一個會帶來傷害的場景，而它在整個行車過程中的曝光概率就是風險評估需要的 E 值。GB/T 34590 定義了 E0、E1 、E2 、E3 、E4 五個等級，并對一些通用場景的 E 值基于行業共識進行了歸類，以作為日常分析的參考。其中， E0 等級的場景通常認為是不可思議的，沒有進一步探討的必要，記錄相應的理由后，可以不進行 ASIL 的分配。除此之外，德國的 VDA 牽頭德國的 OEM 和供應商訂立了 VDA-702 標準，目的也是希望對不同場景的劃分達成更多共識，為日常開發提供參考。

由于每個功能的使用場景有所不同，很難羅列出所有的場景，因此，很多時候我們可以通過一些基礎場景的組合來達成共識。另外，E 的評價本身有兩種標準：一種是基于場景發生的頻次，另一種是基于場景發生的時長，以適配不同的場景進行分析。如果功能只能基于一種維度做評價，不太容易帶來異議，但是某些功能在兩種評價維度都可以使用的時候，不同企業之間溝通會變得復雜，因為不同評價維度會導致評價結果出現本質差別。在 VDA-702 中也可以發現，對于某些場景，基于不同的標準，得到的評價結果會差一個量級。例如：對于超車場景，在 GB/T 34590—2022 的附錄 B 中，表 B.2 將基于運行場景持續時間的暴露概率劃分在 E2 等級，而表 B.3 又將基于運行場景頻率的暴露概率劃分在 E3 等級。

現實分析中如何選擇 E 的評價標準呢？SAE J2980 和 ISO 26262 中都提到了，如果故障行為伴隨著車輛運行情況直接導致危害事件的發生，那么可以根據車輛的運行場景的持續時間來選擇暴露概率。例如，車輛在高速公路上行駛中，轉向系統發出了錯誤轉向指令使得車輛開出車道線導致危害事件的發生，那么行駛在高速公路上這個場景的暴露概率就基于時長選擇為 E4。如果已經存在的系統故障在相關運行場景發生后非常短的時間內導致危害事件的發生，那么可以根據該場景發生的頻次來選擇暴露概率。例如，車輛的倒車燈壞了，當車輛進入倒車狀態的時候，后面的人沒有及時察覺車輛要倒車而導致危害事件的發生。因為燈壞掉已經是預先存在的故障，所以這種倒車場景的暴露概率可以基于頻次選擇為 E4。

除曝光概率 E 的表征外，車輛的可控性 C 對于危害發生的概率也有一定表征。GB/T 34590 將可控性分為 C0、C1 、C2 、C3 四個等級，并做了簡單的分類和給出了一些示例。其中，C0 等級通常代表事故可通過駕駛員常規操作來避免，且不影響車輛的安全運行，不必進行 ASIL 的分配。但對于大多數功能和場景來說，無法直接使用這些信息，而且這部分的主觀評價也很容易產生爭議。這時，可控性測試是一個選擇。GB/T 34590 標準中有此描述：對于 C2 ，一個符合 RESPONSE3 的合理測試場景是足夠的。實際的測試經驗表明，每個場景中 20個有效的數據包能提供基本的有效性說明。如果這 20 個數據包中的每一個都符合測試的通過標準，能夠證明 85%的可控性水平（達到通常人工測試能夠接受的 95%的置信度）。這為 C2 預估的合理性提供了適當的證據。這是基于統計學的評價方式，即如果在某一個預設的場景下，有20個測試人員進行測試，且測試結果都有效，我們就能將這個場景評估為 C2。這里有幾點要注意：

◆ 20 個測試人員通過測試，且測試結果需要有效。這里并不是說從 100 個測試人員中選 20 個通過測試，而是盡可能 20 個測試人員都通過測試。考慮到實驗中測試人員可能會出現一些不確定因素，對于沒有通過測試的人員也需要給出強有力的合理解釋，作為例外排除在外。

◆為保證測試的有效性，測試人員應該在不知情的情況下測試，也就是盲測。

◆測試結果只能證明C2，而不能證明 C1。如果要證明 C1，可能需要一個非常龐大的測試數據，這在目前不太現實。因此，一般情況下，從 C2 到 C1 只能通過一些理論模型或專家評定來達成。

總的來說，HARA 是一種較為主觀的分析方法。不同的群體可能會根據他們對嚴重度、暴露概率和可控性的看法來定義不同的值。這可能是地理或文化因素造成的，因此在項目中需要花費較多時間和精力來達成一致意見。

我們以自動緊急剎車（AEB）為例來闡述 HARA 分析的過程，如表 3-5 所示。

在上面的示例中，不期望的制動扭矩會導致后車無法及時剎車，從而發生追尾；而在需要緊急制動的時候卻沒有進行制動，則會導致本車與前車發生追尾。考慮到高速公路上行駛的速度很快，因此 S 的評價都是 S3。對于 E 的評估，一般來說，在高速公路上行駛時我們考慮的是 E4 ，但是如果車輛之間保持合理的車距，理論上可以認為應該能夠避免任何碰撞。現實中有不少情況是車距并沒有達到規定的要求，導致來不及剎車，所以這里可以把 E 降到E3。當然，這里可以基于數據進行不同的評級。

對于不期望的制動，駕駛員無法阻止這一行為，因此可控性自然是 C3。而對于沒有制動扭矩響應的情況，因為 AEB 是一個輔助功能，假設駕駛員有責任和義務識別前車突然剎車并對車輛進行干預，所以評定為 C0。基于 S 、E 、C 的評價，自然得出了兩個不同的 ASIL 等級，不期望的制動扭矩對應 ASIL C 等級，而沒有制動扭矩響應則對應 QM 等級。此外，基于 ASIL C 對應的危害，可以導出一個安全目標：避免在行駛過程中 AEB 的誤觸發。

02.

預期功能安全方面

和功能安全不同，預期功能安全關注的不是電子電氣系統的功能異常表現引起的危害導致的不合理風險，而是關注由于預期功能或其實現的不足引起的危害導致的不合理風險。因此，從分析方法的角度來說，對于預期功能安全的危害風險和風險評估可以通過 GB/T 34590中功能安全所采用的方法（例如 HARA分析法）進行，并在一定程度上參考其結果。當然，對于功能約束范圍內的危害，我們還需要進行額外的 SOTIF 分析。圖 3-4 展示了利用 HARA 分析法開展預期功能安全分析的流程。

在整個 HARA 分析過程中，功能安全和預期功能安全分析的主要差別如下：

功能安全專注于電子電氣的失效，而預期功能安全則專注于導致功能異常的觸發條件。觸發條件的發生率和危害導致傷害所處場景的暴露概率有重要區別。因此，我們不能繼續使用功能安全中的暴露概率 E，這也直接導致在預期功能安全中不會有 ASIL 等級這樣的分級。

對傷害的嚴重度 S 和危害事件的可控性 C 的評估可以參考 GB/T 34590 中的功能安全分析方法。預期功能安全主要針對自動駕駛及輔助駕駛功能。與功能安全不同，預期功能安全中的危害事件無法被系統識別，因為沒有類似功能安全的報警機制，更多的是功能信息的一些交互。因此，預期功能安全的可控性評估應包括相關人員對危害控制的無反應或延遲反應。這些反應可能是由合理可預見的間接誤用，或者駕駛員對交互信息的誤解引發的。

功能安全 HARA 分析中的一部分危害事件可能與預期功能安全無關，例如：轉向執行器失效。這類危害事件可以在后續的預期功能安全分析中移除，以減少我們后續分析的工作量。

除功能安全分析中的危害事件外，預期功能安全也有自己特有的危害事件。例如：車輛功能在限定范圍外自動觸發，可能是駕駛員或用戶與系統的交互（包括合理可預見的誤用）導致的問題。這些問題可以作為原有 HARA 的擴展，也可以作為預期功能安全特有的危害事件進行分析。

為了減少工作量，預期功能安全的 HARA 分析可以和功能安全的 HARA 分析合并在一起進行。不過，在分析過程中，最好標注出是功能安全相關還是預期功能安全相關，以便后續的開發工作。

我們仍然以 AEB 功能為例，表 3-6 展示了 AEB 功能的 HARA 分析示例。

在上面的示例中，不期望的制動扭矩可以是制動器失效引起的，這屬于功能安全相關的話題。但這種危害也可能是 ADAS 的感知和控制系統對前方目標識別不清導致的誤觸發，這屬于預期功能安全的話題。因此，同樣的安全目標會同時分配給功能安全和預期功能安全，并且需要在兩者的安全概念和安全設計中考慮對應的措施。然而，危害分析和風險評估是可以相互借鑒的。

03.

網絡安全方面

網絡安全的風險一般通過兩個維度來衡量：遭受攻擊的可能性以及遭受攻擊后產生的影響。威脅分析與風險評估（Threat AnalysisandRisk Assessment，TARA）的目的是通過系統性的方法量化這兩個因素，從而確定針對特定攻擊的風險大小。

TARA 方法基于風險評級及對應的威脅場景，最終得出網絡安全目標，作為后續網絡安全概念設計的輸入。

TARA 方法源自傳統的 IT 領域，不同的領域或組織也建立過不同的評估方法。標準 GB/T 20984—2007《信息安全技術信息安全風險評估規范》中確定了我國推薦的評估方法。

ISO/SAE 21434 作為第一個汽車網絡安全的國際標準，被汽車行業廣泛采用或參考，也定義了自己的 TARA方法。本書后續介紹將主要依據 ISO/SAE 21434 標準介紹的方法，以指導讀者在汽車行業中的實踐。

3.1TARA分析過程

基于 ISO/SAE 21434 的 TARA 分析過程如圖 3-5 所示。

（1）安全資產識別

和許多風險分析方法一樣，汽車領域的 TARA 分析也從資產識別開始。資產是指具有價值或對價值有貢獻的事物，例如集成在 ECU 中的固件或存儲在車內的個人信息等。資產通常具有一個或多個網絡安全屬性，對這些屬性的侵害會導致不同程度的破壞。因此，在開始資產識別之前，我們需要了解什么是資產的網絡安全屬性。

對于安全屬性，我們會考慮在傳統信息安全行業中頻繁出現的CIA三元組，即機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。這三個屬性一般被認為是網絡安全的基本屬性。

◆機密性：信息對未授權的個人、實體或過程不可用或不泄露的特性。該特性的目標是確保除預期接收方外的任何角色都不會接收或讀取信息，例如存儲在 ECU 中的個人敏感信息。

◆完整性：完備的特性，通常需要確保數據準確、未被替換，且僅由授權的主體按照預期方式進行修改。例如，需要刷寫進車輛中的軟件通常會要求考慮該特性。

◆可用性：根據授權實體的要求可訪問和可使用的特性。該特性的目標是為主體提供重置的帶寬或實時處理的能力，比如車內的實時通信。

當然，有些組織也會在此基礎上進行擴展。例如，微軟的 STRIDE 威脅建模方法論針對了六種基礎威脅，包括欺詐（Spoofing）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務（Denial of Service）、權限提升（Elevation ofPrivilege）。除了 CIA 三個基礎安全屬性外，該方法論還拓展了認證（Authenticity）、不可抵賴性（Non-repudiability）和授權（Authorization）三個屬性。在具體評估中，網絡安全采用哪種方式沒有統一的規定，取決于公司自身的策略。

在了解了以上關于資產及其網絡安全屬性的概念后，我們便可以開始資產識別了。這通常包括三個步驟。首先，要找出需要保護的資產；其次，對于這些資產，確認需要保護的網絡安全屬性；最后，確認對這些資產及其網絡安全屬性的破壞會導致的損害場景。例如，駕駛員的個人信息作為資產，具有保密性的安全屬性。如果保密性被破壞，那么所導致的損害場景就是個人信息的泄露。如果完整性被破壞，可能導致的損害場景是對車輛安全的影響或者對汽車某些功能的限制。

（2）威脅場景識別

識別了資產及其網絡安全屬性，并確定了相應的損害場景后，我們下一步需要挖掘這些導致損害場景出現的原因。實際上，這一步就是對威脅場景的識別。例如，破壞駕駛員個人信息的保密性會導致個人數據泄露。再如，篡改車內通信信號可能會導致車輛的安全功能失效。

（3）影響評級

在第一步中，我們已經識別出多種損害場景，影響評級則是針對這些損害場景的嚴重程度進行打分。

ISO/SAE 21434 標準中要求嚴重程度的評級至少從安全（Safety）、經濟（Financial）、操控（Operational）和隱私（Privacy）四個方面綜合考慮。除此之外，我們還可以增加其他方面的考慮，例如公司違反法律法規造成的聲譽影響等。

首先需要對以上各個方面的影響進行單獨評級，一般分為四級：十分嚴重、嚴重、中等、可忽略。然后綜合各個方面的評級結果，得出最終評級。每個影響等級的劃分如表 3-7 所示。ISO/SAE 21434 中沒有定義各方面評級對于最終評級結果的影響權重。這可以由各組織自行定義，一般可直接取各項最高評級，或者采取打分制，最終評級以各項得分之和為準。

其中，安全影響的 S3 ～ S0 評分標準參考了功能安全標準 ISO 26262-3：2018 中對嚴重度 S 的評分標準，分別對應致命傷害、嚴重傷害、輕度或中度傷害、無害。操控影響和安全影響可能會有聯系，但是有操控影響未必會有安全影響。

（4）攻擊路徑分析

接下來需要針對各個威脅場景找出可行的攻擊路徑。攻擊路徑應該關聯到其可以實現的威脅場景。

攻擊路徑的分析可以基于下面的方式：

1 ）自上而下的方式。分析能夠實現威脅場景的不同方法（攻擊樹、攻擊圖等），以此來推導出攻擊路徑。

在實際操作中，通常可以用畫圖的方式進行攻擊路徑分析。舉一個常見的威脅場景：“篡改制動系統的控制 CAN 信號，導致威脅 CAN 信號的完整性，從而對制動功能造成安全影響。”下面以攻擊樹的圖示（圖 3-6）為例，分析如何實現篡改制動系統的控制 CAN 信號。可以通過圖 3-6 所示的 1.1 、1.2 、1.3 三種方式，其中為了實現 1.2 的攻擊路徑，又可以延展到 1.2.1 、1.2.2 兩種方式。當然，實現 1.3 的攻擊路徑也可以近似地繼續向下分解可能的攻擊方式，顆粒度按實際需要來把握。這種自上而下的分析方法與功能安全中使用的故障樹分析（FTA）非常相似。

2 ）自下而上的方法。這種方法常見于已知或者發現某個漏洞或脆弱點。通過這種方法構建攻擊路徑，可以判別是否與威脅場景相關。當然，在某些情況下，通過不斷地向上推演，可能發現并不會出現企業所關心的威脅場景，那么這條路徑的分析就可以中止。

（5）攻擊可行性評級

找到了攻擊路徑以后，需要確定通過各個攻擊路徑實施攻擊的可行性。攻擊可行性的評級有很多不同的方法。ISO/SAE 21434 中推薦了三種可用的方法，包括基于攻擊潛力的方法、 CVSS 方法以及基于攻擊向量的方法。

下面對基于攻擊潛力的分析方法進行舉例說明。

基于攻擊潛力的分析方法需要通過五個維度來評估，具體如下：

◆ Elapsed Time：實施攻擊需要花費的時間

◆ Specialist Expertise：攻擊者的技能水平

◆ Knowledge of the Item or Component：對攻擊項或組件所需要了解的知識程度

◆ Window of Opportunity：可以攻擊的機會窗口

◆ Equipment：攻擊所需設備的難易程度

每個維度根據需求分為不同的級別，比如攻擊時間可以分為小于或等于一天、小于或等于一周、小于或等于一個月、小于或等于六個月和大于六個月。專家級別可以分為外行、精通、專家和多個專家四個級別，企業可以參照 ISO/SAE 21434 的附錄 G 的推薦進行具體的級別定義。

對于每個找到的攻擊路徑，我們可以按照以上五個維度評級，并根據評級確定對應的評分。ISO/SAE 21434 也對各評級的分數有推薦定義，詳見表 3-8。

最終，攻擊潛力的評分是這五個維度的單項評分之和。

確定了攻擊潛力，攻擊可行性評級就可以確定下來了，如表 3-9 所示。

從表 3-9 可以看出，攻擊潛力值越小，攻擊可行性評級越高，攻擊越容易實施；攻擊潛力值越大，攻擊可行性評級越低，攻擊越難以實施。

結合攻擊潛力分析的五個要素，這個評級也很容易定性地去理解。攻擊所花的時間越短，對攻擊人員的技能需求越低，需要對被攻擊項的了解程度越低，機會窗口越沒有限制，設備越標準，說明實施攻擊的難度越低（攻擊潛力值越小），那么攻擊可行性就越高了。

（6）風險評級

網絡安全的風險一般來自兩個維度：一個是攻擊的難易程度，即攻擊的可行性；另一個是遭受攻擊后所產生的影響。如果一個事物很容易被攻擊，并且遭受攻擊后影響非常嚴重，那么它的網絡安全風險就非常高。反之，如果實施攻擊很困難，且產生的影響也不嚴重，那么它的網絡安全風險就很低。

這兩個維度在前文都有討論，各自的評級方法也在前文有所描述。評級結果在這里進行一下總結：

◆影響評級：十分嚴重、嚴重、中等、可忽略。

◆攻擊可行性評級：高、中、低、很低。

從影響評級以及攻擊可行性評級來導出風險評級，并沒有統一的規定。常見的方法是通過矩陣表格或者公式計算得出風險評級。各組織可以自行決定具體的風險評級定義。

表 3-10 是 ISO/SAE 21434 給出的風險評級例子，企業也可以據此定義自己的風險評級策略。

（7）風險處置決定

對于每個威脅場景，確定了風險以及風險評級后，我們就需要決定如何處置風險。風險處置有下面四種方式。

1 ）規避風險。例如把導致風險的源頭掐掉。

2 ）降低風險。通常需要采取一些安全措施來降低風險。在這里需要注意的是，安全措施一般是通過降低攻擊的可行性來降低風險的，攻擊產生的影響一般不會改變。

3 ）分擔風險。不是所有的風險都必須在本組織內采取安全措施來降低或規避，可通過和供應鏈的上下游分擔，或者通過保險的形式分擔。例如，通過使用專門的安全供應商的產品，將風險傳遞給供應商，由供應商來處置相應的風險。

4 ）保持風險。保持風險是指對風險不采取措施。一般來說，保持風險的決定需要有充足、合理的理由。保持風險多數情況下是對較低風險的處置方式。

這里需要特別注意，保持風險和對風險置之不理是兩種完全不同的狀態。風險處置決定中的保持風險是指對已有的風險已經關注并思考過，然后基于某些充足、合理的理由，決定不采取措施，這包含了合理的決策過程。而對風險置之不理則沒有包含合理的決策過程，更多是一種忽略的態度。在項目開發過程中，我們需要理解兩種狀態的區別，避免出現后者的情況。

3.2案例

下面以用一個自動緊急剎車系統的示例來介紹如何進行風險評估。

為簡明起見，我們把感知和決策模塊放在一起。那么，整個自動緊急剎車系統由三個部分組成。

◆感知和決策系統：判斷前方是否有緊急情況，以及車輛應該如何響應。

◆車內通信系統：負責將感知和決策系統的指令發送給剎車系統，同時接收剎車系統的狀態反饋。

◆剎車系統：根據感知和決策系統發過來的指令，執行相應的車輛緊急制動。

圖 3-7 展示了它們之間的功能關系，同時表明了風險評估的范圍。