本文約12000字，建議收藏閱讀

近年來隨著智能網(wǎng)聯(lián)汽車的普及，智駕安全事故也不斷頻發(fā)，面對如此嚴(yán)峻的智能汽車安全形勢，我們迫切需要一本專業(yè)的書籍，為我們剖析智能汽車安全的深層邏輯，讓從業(yè)者迅速了解該行業(yè)及其相關(guān)技術(shù)。《一本書讀懂智能汽車安全》應(yīng)運而生，它系統(tǒng)講解了汽車研發(fā)全流程的功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全，以及三者在汽車研發(fā)中的融合之道，為智能汽車安全構(gòu)建了一個全方位、多層次的保障體系。

本書由 SASETECH 汽車安全社區(qū)組織編寫，磐時創(chuàng)始人邊俊、博世汽車曲元寧以及吉林大學(xué)張玉新教授主導(dǎo)，匯聚了博世、蔚來、小鵬、磐時、卓馭、地平線、上汽、吉林大學(xué)等業(yè)界和學(xué)界在汽車安全領(lǐng)域的實踐經(jīng)驗和研究成果。這些來自頭部企業(yè)的安全專家，憑借著豐富的實戰(zhàn)經(jīng)驗，為本書注入了強(qiáng)大的生命力。他們在智能汽車安全領(lǐng)域的深耕細(xì)作，使得書中的內(nèi)容既具有理論深度，又具有實際可操作性。

以下內(nèi)容節(jié)選自《一本書讀懂智能汽車安全》：

汽車開發(fā)中涉及的安全概念包含被動安全、主動安全、數(shù)據(jù)安全、功能安全、網(wǎng)絡(luò)安全 （信息安全）、預(yù)期功能安全等。

被動安全和主動安全屬于傳統(tǒng)的安全領(lǐng)域。從整車安全的發(fā)展歷程來看，在過去傳統(tǒng)汽 車車內(nèi)環(huán)境相對封閉的狀態(tài)下，被動安全是安全的基礎(chǔ)和最后屏障，能在事故發(fā)生時最大限 度地減輕人身傷害，主動安全則是監(jiān)測并避免車輛失控及交通事故的發(fā)生。

隨著汽車電子電氣安全技術(shù)的發(fā)展，系統(tǒng)逐漸從封閉向智能化、開放化演進(jìn)。為避免系 統(tǒng)功能性故障導(dǎo)致的不可接受風(fēng)險，功能安全應(yīng)運而生。隨著 ADAS（高級駕駛輔助系統(tǒng)）的 復(fù)雜化，功能安全逐漸延伸至預(yù)期功能安全（SOTIF）。汽車網(wǎng)聯(lián)化和智能化的演進(jìn)，如增加 了 LTE 、藍(lán)牙、WiFi 等對外通信接口，以及娛樂應(yīng)用、遠(yuǎn)程升級、遠(yuǎn)程控制、V2X 等聯(lián)網(wǎng)功 能，使得網(wǎng)絡(luò)安全越來越受到關(guān)注和重視，保護(hù)相關(guān)的安全資產(chǎn)及功能免受威脅變得尤為重 要。此外，車輛運行數(shù)據(jù)、交互數(shù)據(jù)、采集數(shù)據(jù)等帶來了大數(shù)據(jù)的爆發(fā)，數(shù)據(jù)成為用戶和企 業(yè)的重要安全資產(chǎn)。智能汽車的數(shù)據(jù)安全問題也進(jìn)入了監(jiān)管視野，要求堅持車內(nèi)處理、匿名 化、最小保存期限、精度范圍適用和默認(rèn)不收集的處理原則。保障汽車重要數(shù)據(jù)及個人數(shù)據(jù) 的全生命周期安全，成為整個產(chǎn)業(yè)面臨的新挑戰(zhàn)。

整車的安全開發(fā)要秉承安全第一的理念，構(gòu)建健全的安全業(yè)務(wù)體系及管理體系，采用先進(jìn)的安全防護(hù)技術(shù)，通過充分驗證把好產(chǎn)品安全關(guān)口，確保安全運維與運營，實現(xiàn)整車產(chǎn)品 全維度、全生命周期的安全防護(hù)。主動被動安全由原有的傳統(tǒng)安全部門負(fù)責(zé)開發(fā)，企業(yè)級的 數(shù)據(jù)、信息安全由 IT 部門負(fù)責(zé)管理，系統(tǒng)安全由新的系統(tǒng)安全部門負(fù)責(zé)開發(fā)和運維管理。

在本節(jié)中，我們將通過行業(yè)內(nèi)經(jīng)典的安全 案例引出三類安全：功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全然后介紹這三類安全的關(guān)系，讓讀者對智能汽車安全有更全面的認(rèn)識。

PART

#01

三類安全的案例

隨著電子信息技術(shù)的快速發(fā)展和汽車制造業(yè)的不斷變革，電子控制、計算機(jī)、通信等技術(shù)日新月異，汽車的電子化程度逐年加深。在電動化、網(wǎng)聯(lián)化、智能化等趨勢的驅(qū)動下，汽車電子化水平不斷提高，汽車電子在整車制造成本中的占比逐年上升，預(yù)計到 2030 年將接 近 50%。

近年來，中國汽車電子市場規(guī)模一直保持穩(wěn)定增長。根據(jù)公開數(shù)據(jù)，2020 年和 2021 年市場規(guī)模分別達(dá)到 1029 億美元和 1104 億美元。2020 年全球汽車電子市場規(guī)模約為 2180 億美元預(yù)計到 2028 年將達(dá)到 4000 億美元。

2020 年 10 月，國務(wù)院辦公廳印發(fā)了《新能源汽車產(chǎn)業(yè)發(fā)展規(guī)劃（2021—2035 年）》，提出 堅持電動化、網(wǎng)聯(lián)化、智能化發(fā)展方向，以融合創(chuàng)新為重點，突破關(guān)鍵核心技術(shù)，優(yōu)化產(chǎn)業(yè) 發(fā)展環(huán)境，推動我國新能源汽車產(chǎn)業(yè)高質(zhì)量可持續(xù)發(fā)展，加快建設(shè)汽車強(qiáng)國。到 2025 年，新 能源汽車新車銷量占比將達(dá)到 20%，高度自動駕駛汽車將在限定區(qū)域和特定場景實現(xiàn)商業(yè)化 應(yīng)用。在國家有關(guān)政策的大力支持下，新能源汽車與智能網(wǎng)聯(lián)汽車將進(jìn)入發(fā)展的快車道。同 時，自動駕駛技術(shù)也在日新月異地發(fā)展。據(jù)統(tǒng)計，2021 年 L0 自動駕駛汽車滲透率超過 50%， L1 自動駕駛汽車滲透率為 25%，L2 自動駕駛汽車滲透率為 20%，預(yù)計 2030 年 L2 自動駕駛 汽車滲透率將達(dá)到 57%，L3 自動駕駛汽車滲透率和 L4 自動駕駛汽車滲透率分別增長至 7.0% 和 3.0%。

電動化、智能化、網(wǎng)聯(lián)化、自動化的趨勢給用戶帶來了更好的體驗，同時也給汽車安全 帶來了嚴(yán)峻的挑戰(zhàn)。汽車安全涉及的內(nèi)容非常廣泛，本書聚焦于功能安全、預(yù)期功能安全以 及網(wǎng)絡(luò)安全，即汽車電子電氣方面引起的安全。在介紹這三類安全的基本概念之前，我們通 過一些有影響力的案例來引出三類安全，以說明這三類安全對汽車的重要性。

功能安全案例

2016 年，豐田汽車因電子油門控制系統(tǒng)故障在全球范圍內(nèi)召回數(shù)百萬輛汽車，這一事件 被稱為“豐田剎車門”。該事件引發(fā)了公眾對智能汽車安全的廣泛關(guān)注和討論。

豐田剎車門事件始于 2009 年，當(dāng)時多起車輛失控事故引起了公眾的廣泛關(guān)注。美國國家公路交通安全管理局（NHTSA）編撰的一份報告顯示，該機(jī)構(gòu)收到了超過 3000 份針對豐田汽車突然加速問題的投訴，其中一些投訴日期要回溯到 2000 年初。這些事故中包括導(dǎo)致 93 人死亡的 75 次致命性撞車。根據(jù) NHTSA 提交給美國國家科學(xué)院（National Academy of Sciences） 的信息，這些致命性撞車事件中的一次事故是由豐田汽車的問題引起的。該事故發(fā)生在 2009 年 8 月 28 日，一份時長僅 49s 的 911 報警錄音顯示，一輛雷克薩斯汽車（豐田汽車公司旗下品牌）在美國加利福尼亞州圣地亞哥附近的高速公路上行駛時加速踏板被卡住。錄音的結(jié)尾部 分傳出驚恐的尖叫聲，之后這輛雷克薩斯車毀人亡。這場車禍奪去了高速公路巡警馬克 ·塞勒及其妻子、女兒和妻弟共 4 條生命。盡管一些聲稱豐田和雷克薩斯汽車失控的案例里可能是汽車司機(jī)想踩剎車時錯誤地踩上了加速器，但這并不能排除豐田在汽車突然加速方面存在的兩個問題：油門踏板卡殼以及腳墊會使油門踏板卡在車廂底板上。這一事故進(jìn)一步引發(fā)了豐田汽車大規(guī)模召回事件。自此，美國聯(lián)邦檢察官辦公室以及 NHTSA 等相關(guān)機(jī)構(gòu)對此事件 展開了長時間的調(diào)查，調(diào)查內(nèi)容包括電子控制技術(shù)是否存在明顯缺陷而導(dǎo)致了其中一些事故的發(fā)生。該研究的重點之一即本書所述的三類安全之一：面向電子電氣系統(tǒng)功能失效的功能安全。

預(yù)期功能安全案例

功能安全分析是基于電子電氣系統(tǒng)功能的失效進(jìn)行安全分析，簡單來說，考察其安全相 關(guān)的失效率以及失效后的安全設(shè)計是否達(dá)到要求。隨著 ADAS 的日益復(fù)雜，比如引入了各種 復(fù)雜的感知系統(tǒng)（如毫米波雷達(dá)、激光雷達(dá)、攝像頭）和自動駕駛算法（如深度學(xué)習(xí)）等，即 便這些系統(tǒng)功能不發(fā)生失效，也存在安全隱患，如這些感知系統(tǒng)在執(zhí)行預(yù)期功能時因其環(huán)境 感知能力的不足和算法的缺陷在某些情況下會產(chǎn)生危害，從而影響行車安全。

據(jù)公開信息，2018 年 3 月 18 日晚上 10 點左右，Uber 的一輛自動駕駛汽車在 Tempe 市與 一名過馬路的行人相撞，該行人后來在醫(yī)院不治身亡。

預(yù)期功能安全主要關(guān)注系統(tǒng)在沒有故障時，可能因功能不足、性能限制或用戶操作錯誤 而產(chǎn)生的危害。這起事故與預(yù)期功能安全有著緊密的關(guān)系，主要表現(xiàn)在以下幾個方面。

· 傳感器的局限性：Uber 車輛裝備有攝像頭、激光雷達(dá)等多種傳感系統(tǒng)。這些傳感系統(tǒng) 在理想條件下能夠檢測到周圍的物體。然而，事故發(fā)生時，由于行人處于暗處，傳感 系統(tǒng)雖然收集到了行人的數(shù)據(jù)，但在撞擊前 6s 內(nèi)將其解讀為未知物體、車輛和自行 車。這表明，傳感系統(tǒng)在特定環(huán)境下的識別能力存在局限性。

·算法的解讀與反應(yīng)：即使傳感系統(tǒng)正常工作，如果算法不能正確解讀傳感系統(tǒng)數(shù)據(jù)并 做出適當(dāng)?shù)姆磻?yīng)，也可能導(dǎo)致安全事故發(fā)生。在此案例中，即使傳感系統(tǒng)識別出了行 人，也顯然沒有采取足夠的措施來避免撞擊，這指向了算法在態(tài)勢感知和決策方面的 不足。

·整體系統(tǒng)的設(shè)計與評估：在設(shè)計和評估階段，預(yù)期功能安全要求考慮各種可能的操作 場景，包括傳感系統(tǒng)可能無法完全識別的情況。這意味著需要對自動駕駛汽車的整體 安全性進(jìn)行全面分析，以確保在各種復(fù)雜環(huán)境下都能保持安全行駛。

·人為因素：盡管事故中的安全駕駛員被指控有過失，但這也反映了在自動駕駛系統(tǒng)中， 人類駕駛員的作用和責(zé)任仍需明確界定。預(yù)期功能安全不僅涉及技術(shù)層面，還涉及人 機(jī)交互以及安全駕駛員的培訓(xùn)和準(zhǔn)備情況。

·法律與倫理責(zé)任：此類事故還引發(fā)了關(guān)于自動駕駛汽車法律責(zé)任的討論。如何分配責(zé) 任、如何制定標(biāo)準(zhǔn)以及如何通過立法和保險制度來處理事故，都是預(yù)期功能安全需要 考慮的問題。

綜上所述，Uber 的這起事故凸顯了預(yù)期功能安全在自動駕駛汽車研發(fā)和部署中的重要性。這就引出了本書關(guān)注的第二個安全話題——預(yù)期功能安全，即電子電氣系統(tǒng)是否能夠執(zhí)行預(yù) 期功能，或者在執(zhí)行預(yù)期功能時是否存在因功能不足、性能受限或者合理可預(yù)見的人員誤用 引起的安全風(fēng)險。例如，傳感系統(tǒng)在暴雨、積雪等天氣情況下，本身并未發(fā)生故障，但可能 已無法執(zhí)行預(yù)期的功能。

網(wǎng)絡(luò)安全案例

網(wǎng)絡(luò)安全事件中最著名的無疑是 2015 年的吉普切諾基黑客攻擊演示。安全研究專家 Charlie Miller 和 Chris Valasek 展示了一次引人注目的汽車黑客攻擊實驗，他們成功地遠(yuǎn)程控 制了一輛 2014 年款的吉普切諾基。這一事件不僅震驚了整個汽車行業(yè)，也引起了廣泛的關(guān) 注，并最終導(dǎo)致對車輛大規(guī)模召回，以進(jìn)行軟件安全更新。

Miller 和 Valasek 的研究集中在利用聯(lián)網(wǎng)汽車的漏洞進(jìn)行遠(yuǎn)程攻擊方面。他們首先通過汽 車的 Uconnect 系統(tǒng)——一個連接到互聯(lián)網(wǎng)的車載娛樂系統(tǒng)——找到了進(jìn)入汽車控制系統(tǒng)的方 法。他們發(fā)現(xiàn)，Uconnect 系統(tǒng)中存在的漏洞能讓任何知道汽車 IP地址的人從全國任何地方 進(jìn)入該系統(tǒng)。利用這個漏洞，Miller 和 Valasek 能夠向汽車的內(nèi)部控制器局域網(wǎng)絡(luò)（ Controller Area Network ，CAN）發(fā)送指令。CAN 總線負(fù)責(zé)在車輛的各種電子控制單元（ECU）之間傳遞 信息，ECU 控制著許多關(guān)鍵功能，如自適應(yīng)巡航控制、電子剎車、停車輔助和轉(zhuǎn)向柱控制。

在實驗中，Miller 和 Valasek 演示了如何完全控制汽車的音樂播放器，設(shè)置收音機(jī)的頻道 和音量，以及追蹤汽車。更重要的是，他們還能夠遠(yuǎn)程控制汽車的方向盤、引擎、變速器和 剎車系統(tǒng)。這表明，現(xiàn)代聯(lián)網(wǎng)汽車中的網(wǎng)絡(luò)安全漏洞可能導(dǎo)致嚴(yán)重的安全問題。

這次攻擊后，菲亞特召回了 140 萬輛吉普切諾基，并發(fā)布了一個補(bǔ)丁來關(guān)閉這個漏洞。這是第一次因軟件安全問題而對大規(guī)模生產(chǎn)的產(chǎn)品進(jìn)行物理召回。Miller 和 Valasek 的研究強(qiáng) 調(diào)，汽車制造商需要在生產(chǎn)周期的早期提高汽車的網(wǎng)絡(luò)安全性，因為在實驗室階段解決問題 遠(yuǎn)比召回或發(fā)布補(bǔ)丁更容易。

Miller 和 Valasek 的這次實驗不僅展示了現(xiàn)代汽車網(wǎng)絡(luò)安全的脆弱性，還揭示了隨著更多 的計算機(jī)和網(wǎng)絡(luò)組件被集成到車輛中汽車安全研究的重要性。他們的研究結(jié)果和使用的工具被公開發(fā)布，以鼓勵其他人深入研究汽車的安全性。

這個案例是對汽車行業(yè)的一個重要警告，表明在車輛設(shè)計和生產(chǎn)過程中，解決網(wǎng)絡(luò)安全 問題迫在眉睫。隨著汽車逐漸變?yōu)閺?fù)雜的網(wǎng)絡(luò)化智能系統(tǒng)，聯(lián)網(wǎng)不僅提供了便利和新功能， 也為黑客提供了新的攻擊面和途徑。比如，勒索軟件導(dǎo)致汽車制造商生產(chǎn)業(yè)務(wù)中斷，黑帽黑 客的攻擊以及安全研究員對車輛系統(tǒng)的測試等，都表明了網(wǎng)絡(luò)安全對現(xiàn)代汽車行業(yè)的重要性。目前，大約四分之一的車輛以某種方式接入網(wǎng)絡(luò)，預(yù)計到 2025 年，每八輛汽車中將有七輛是 聯(lián)網(wǎng)汽車。

人們逐漸意識到車輛網(wǎng)絡(luò)安全漏洞可能帶來的嚴(yán)重影響，確保車輛網(wǎng)絡(luò)安全已成為汽車 制造商和相關(guān)行業(yè)的重中之重。

PART

#02

三類安全的概念和關(guān)系

功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全是本書重點闡述的三個安全體系。三者既相互關(guān)聯(lián)， 又各自有不同的側(cè)重點。電子電氣系統(tǒng)的安全通常需要綜合三個維度考慮。

在汽車行業(yè)中，功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)共同構(gòu)成了汽車安全的框架。功能安全關(guān)注的是由于電子電氣系統(tǒng)故障而引起的危害，預(yù)期功能安全則關(guān)注系統(tǒng)功能不足 或用戶誤操作而產(chǎn)生的風(fēng)險。相比之下，網(wǎng)絡(luò)安全專注于人為惡意攻擊給整車及相關(guān)系統(tǒng)帶 來的危害，涵蓋了針對威脅場景的防御措施和關(guān)鍵敏感信息保護(hù)。

在這三類安全中，功能安全和預(yù)期功能安全的關(guān)系更為接近（如圖 1-1 所示），因為二者 都關(guān)注車輛內(nèi)部原因?qū)θ松戆踩挠绊懀{來自車輛本身。功能安全旨在防止電子電氣故 障引起的（對人的）危害，其核心在于規(guī)避故障，因此解決的是電子電氣系統(tǒng)的故障問題。對 于電子電氣系統(tǒng)而言，主要存在兩類故障：一類是隨機(jī)性故障（硬件故障隨機(jī)發(fā)生，不可避 免和消除，只能控制），另一類是系統(tǒng)性故障（人為錯誤導(dǎo)致，可通過流程和異構(gòu)冗余機(jī)制避 免）。從字面上理解，預(yù)期功能安全主要強(qiáng)調(diào)功能的預(yù)期性，防止因功能與預(yù)期不一致引起的 風(fēng)險，并對預(yù)期不一致的原因（功能不足、性能局限、用戶誤操作）進(jìn)行限定。性能局限如超 出傳感器的標(biāo)稱精度導(dǎo)致的感知不準(zhǔn)確，用戶誤操作即人為對功能的錯誤使用。這時，系統(tǒng) 并未出現(xiàn)故障，仍處于正常運行狀態(tài)。因此，預(yù)期功能安全側(cè)重于解決系統(tǒng)在非故障狀態(tài)下 可能面臨的風(fēng)險。

網(wǎng)絡(luò)安全的英文為 Cyber Security，其含義很廣泛，包括人身安全、隱私安全，甚至國家安全。之所以翻譯為網(wǎng)絡(luò)安全或信息安全，是因為其關(guān)注的對象是網(wǎng)絡(luò)空間的安全。這里的 網(wǎng)絡(luò)空間不應(yīng)簡單理解為互聯(lián)網(wǎng)，而是涵蓋車內(nèi)網(wǎng)絡(luò)、車外云端網(wǎng)絡(luò)、汽車相關(guān)交通設(shè)施， 以及汽車開發(fā)、生產(chǎn)、售后管理等網(wǎng)絡(luò)。網(wǎng)絡(luò)安全主要是防止重要的控制系統(tǒng)和通信設(shè)備對 外開放了控制接口而導(dǎo)致的蓄意 / 惡意攻擊，避免人身受傷害、隱私泄露、財產(chǎn)損失等安全風(fēng) 險。網(wǎng)絡(luò)安全強(qiáng)調(diào)保護(hù)車輛系統(tǒng)（無論產(chǎn)品還是設(shè)備的數(shù)字資產(chǎn)）免受外部威脅。

功能安全、預(yù)期功能安全和網(wǎng)絡(luò)安全三者之間的關(guān)系可以通過表 1-1 來呈現(xiàn)。

由此可見，一個安全相關(guān)的電子電氣系統(tǒng)的安全問題需要從功能安全、預(yù)期功能安全和 網(wǎng)絡(luò)安全三個層面共同解決，缺一不可。任何一個層面出現(xiàn)短板，都會導(dǎo)致其他兩個層面的 努力功虧一簣。例如，一個系統(tǒng)即便在功能安全和預(yù)期功能安全層面設(shè)計的機(jī)制近乎完美， 但如果系統(tǒng)與外部連接的安全沒有保障機(jī)制，也達(dá)不到應(yīng)有的安全要求。

預(yù)期功能安全的發(fā)展晚于功能安全的發(fā)展，但隨著汽車智能化以及輔助駕駛和自動駕駛技術(shù)的發(fā)展，預(yù)期功能安全越來越重要。預(yù)期功能安全與功能安全在開發(fā)方法和流程上有 眾多相似之處，行業(yè)內(nèi)提出了將二者結(jié)合起來的開發(fā)方法，以提高開發(fā)效率。圖 1-2 為 ISO 21448 中介紹的二者相融合的方法。

從開發(fā)體系上來看，不僅功能安全和預(yù)期功能安全可以融合，三類安全有全方位融合的 趨勢，如圖 1-3 所示。

智能網(wǎng)聯(lián)的快速發(fā)展對安全性提出了更高的要求，這對從事汽車安全工作的人員全面利好。新的技術(shù)和業(yè)務(wù)帶來的新體系是未來汽車安全的主要發(fā)展方向。如何有效地將安全體系與企業(yè)的產(chǎn)品開發(fā)、運營管理、質(zhì)量管理體系相結(jié)合是一個挑戰(zhàn)，另一個挑戰(zhàn)在于售后的安全響應(yīng)，即安全運營體系。除了同安全體系的融合之外，同產(chǎn)品開發(fā)流程（GVDP/APQP）、軟件質(zhì)量體系（ASPICE/CMMI）、質(zhì)量管理體系（ IATF 16949）、信息安全相關(guān)體系（ ISO 27001/ TISAX）等的結(jié)合也是非常重要的。

一位全面的汽車功能安全從業(yè)者應(yīng)該注意到，汽車功能安全也在經(jīng)歷跨界。相信在未來 的幾年，汽車安全行業(yè)會更加切實地探索出一條與業(yè)務(wù)融合的道路。

為了幫助讀者更高效地掌握智能汽車安全的核心知識，《一本書讀懂智能汽車安全》精心構(gòu)建了結(jié)構(gòu)化知識圖譜，通過理論聯(lián)系實際的形式，以方法論加案例闡釋的邏輯，為讀者展現(xiàn)了一幅汽車安全技術(shù)全景。