本文約12000字，建議收藏閱讀

近年來隨著智能網聯汽車的普及，智駕安全事故也不斷頻發，面對如此嚴峻的智能汽車安全形勢，我們迫切需要一本專業的書籍，為我們剖析智能汽車安全的深層邏輯，讓從業者迅速了解該行業及其相關技術。《一本書讀懂智能汽車安全》應運而生，它系統講解了汽車研發全流程的功能安全、預期功能安全和網絡安全，以及三者在汽車研發中的融合之道，為智能汽車安全構建了一個全方位、多層次的保障體系。

本書由 SASETECH 汽車安全社區組織編寫，磐時創始人邊俊、博世汽車曲元寧以及吉林大學張玉新教授主導，匯聚了博世、蔚來、小鵬、磐時、卓馭、地平線、上汽、吉林大學等業界和學界在汽車安全領域的實踐經驗和研究成果。這些來自頭部企業的安全專家，憑借著豐富的實戰經驗，為本書注入了強大的生命力。他們在智能汽車安全領域的深耕細作，使得書中的內容既具有理論深度，又具有實際可操作性。

以下內容節選自《一本書讀懂智能汽車安全》：

汽車開發中涉及的安全概念包含被動安全、主動安全、數據安全、功能安全、網絡安全 （信息安全）、預期功能安全等。

被動安全和主動安全屬于傳統的安全領域。從整車安全的發展歷程來看，在過去傳統汽 車車內環境相對封閉的狀態下，被動安全是安全的基礎和最后屏障，能在事故發生時最大限 度地減輕人身傷害，主動安全則是監測并避免車輛失控及交通事故的發生。

隨著汽車電子電氣安全技術的發展，系統逐漸從封閉向智能化、開放化演進。為避免系 統功能性故障導致的不可接受風險，功能安全應運而生。隨著 ADAS（高級駕駛輔助系統）的 復雜化，功能安全逐漸延伸至預期功能安全（SOTIF）。汽車網聯化和智能化的演進，如增加 了 LTE 、藍牙、WiFi 等對外通信接口，以及娛樂應用、遠程升級、遠程控制、V2X 等聯網功 能，使得網絡安全越來越受到關注和重視，保護相關的安全資產及功能免受威脅變得尤為重 要。此外，車輛運行數據、交互數據、采集數據等帶來了大數據的爆發，數據成為用戶和企 業的重要安全資產。智能汽車的數據安全問題也進入了監管視野，要求堅持車內處理、匿名 化、最小保存期限、精度范圍適用和默認不收集的處理原則。保障汽車重要數據及個人數據 的全生命周期安全，成為整個產業面臨的新挑戰。

整車的安全開發要秉承安全第一的理念，構建健全的安全業務體系及管理體系，采用先進的安全防護技術，通過充分驗證把好產品安全關口，確保安全運維與運營，實現整車產品 全維度、全生命周期的安全防護。主動被動安全由原有的傳統安全部門負責開發，企業級的 數據、信息安全由 IT 部門負責管理，系統安全由新的系統安全部門負責開發和運維管理。

在本節中，我們將通過行業內經典的安全 案例引出三類安全：功能安全、預期功能安全和網絡安全然后介紹這三類安全的關系，讓讀者對智能汽車安全有更全面的認識。

PART

#01

三類安全的案例

隨著電子信息技術的快速發展和汽車制造業的不斷變革，電子控制、計算機、通信等技術日新月異，汽車的電子化程度逐年加深。在電動化、網聯化、智能化等趨勢的驅動下，汽車電子化水平不斷提高，汽車電子在整車制造成本中的占比逐年上升，預計到 2030 年將接 近 50%。

近年來，中國汽車電子市場規模一直保持穩定增長。根據公開數據，2020 年和 2021 年市場規模分別達到 1029 億美元和 1104 億美元。2020 年全球汽車電子市場規模約為 2180 億美元預計到 2028 年將達到 4000 億美元。

2020 年 10 月，國務院辦公廳印發了《新能源汽車產業發展規劃（2021—2035 年）》，提出 堅持電動化、網聯化、智能化發展方向，以融合創新為重點，突破關鍵核心技術，優化產業 發展環境，推動我國新能源汽車產業高質量可持續發展，加快建設汽車強國。到 2025 年，新 能源汽車新車銷量占比將達到 20%，高度自動駕駛汽車將在限定區域和特定場景實現商業化 應用。在國家有關政策的大力支持下，新能源汽車與智能網聯汽車將進入發展的快車道。同 時，自動駕駛技術也在日新月異地發展。據統計，2021 年 L0 自動駕駛汽車滲透率超過 50%， L1 自動駕駛汽車滲透率為 25%，L2 自動駕駛汽車滲透率為 20%，預計 2030 年 L2 自動駕駛 汽車滲透率將達到 57%，L3 自動駕駛汽車滲透率和 L4 自動駕駛汽車滲透率分別增長至 7.0% 和 3.0%。

電動化、智能化、網聯化、自動化的趨勢給用戶帶來了更好的體驗，同時也給汽車安全 帶來了嚴峻的挑戰。汽車安全涉及的內容非常廣泛，本書聚焦于功能安全、預期功能安全以 及網絡安全，即汽車電子電氣方面引起的安全。在介紹這三類安全的基本概念之前，我們通 過一些有影響力的案例來引出三類安全，以說明這三類安全對汽車的重要性。

功能安全案例

2016 年，豐田汽車因電子油門控制系統故障在全球范圍內召回數百萬輛汽車，這一事件 被稱為“豐田剎車門”。該事件引發了公眾對智能汽車安全的廣泛關注和討論。

豐田剎車門事件始于 2009 年，當時多起車輛失控事故引起了公眾的廣泛關注。美國國家公路交通安全管理局（NHTSA）編撰的一份報告顯示，該機構收到了超過 3000 份針對豐田汽車突然加速問題的投訴，其中一些投訴日期要回溯到 2000 年初。這些事故中包括導致 93 人死亡的 75 次致命性撞車。根據 NHTSA 提交給美國國家科學院（National Academy of Sciences） 的信息，這些致命性撞車事件中的一次事故是由豐田汽車的問題引起的。該事故發生在 2009 年 8 月 28 日，一份時長僅 49s 的 911 報警錄音顯示，一輛雷克薩斯汽車（豐田汽車公司旗下品牌）在美國加利福尼亞州圣地亞哥附近的高速公路上行駛時加速踏板被卡住。錄音的結尾部 分傳出驚恐的尖叫聲，之后這輛雷克薩斯車毀人亡。這場車禍奪去了高速公路巡警馬克 ·塞勒及其妻子、女兒和妻弟共 4 條生命。盡管一些聲稱豐田和雷克薩斯汽車失控的案例里可能是汽車司機想踩剎車時錯誤地踩上了加速器，但這并不能排除豐田在汽車突然加速方面存在的兩個問題：油門踏板卡殼以及腳墊會使油門踏板卡在車廂底板上。這一事故進一步引發了豐田汽車大規模召回事件。自此，美國聯邦檢察官辦公室以及 NHTSA 等相關機構對此事件 展開了長時間的調查，調查內容包括電子控制技術是否存在明顯缺陷而導致了其中一些事故的發生。該研究的重點之一即本書所述的三類安全之一：面向電子電氣系統功能失效的功能安全。

預期功能安全案例

功能安全分析是基于電子電氣系統功能的失效進行安全分析，簡單來說，考察其安全相 關的失效率以及失效后的安全設計是否達到要求。隨著 ADAS 的日益復雜，比如引入了各種 復雜的感知系統（如毫米波雷達、激光雷達、攝像頭）和自動駕駛算法（如深度學習）等，即 便這些系統功能不發生失效，也存在安全隱患，如這些感知系統在執行預期功能時因其環境 感知能力的不足和算法的缺陷在某些情況下會產生危害，從而影響行車安全。

據公開信息，2018 年 3 月 18 日晚上 10 點左右，Uber 的一輛自動駕駛汽車在 Tempe 市與 一名過馬路的行人相撞，該行人后來在醫院不治身亡。

預期功能安全主要關注系統在沒有故障時，可能因功能不足、性能限制或用戶操作錯誤 而產生的危害。這起事故與預期功能安全有著緊密的關系，主要表現在以下幾個方面。

· 傳感器的局限性：Uber 車輛裝備有攝像頭、激光雷達等多種傳感系統。這些傳感系統 在理想條件下能夠檢測到周圍的物體。然而，事故發生時，由于行人處于暗處，傳感 系統雖然收集到了行人的數據，但在撞擊前 6s 內將其解讀為未知物體、車輛和自行 車。這表明，傳感系統在特定環境下的識別能力存在局限性。

·算法的解讀與反應：即使傳感系統正常工作，如果算法不能正確解讀傳感系統數據并 做出適當的反應，也可能導致安全事故發生。在此案例中，即使傳感系統識別出了行 人，也顯然沒有采取足夠的措施來避免撞擊，這指向了算法在態勢感知和決策方面的 不足。

·整體系統的設計與評估：在設計和評估階段，預期功能安全要求考慮各種可能的操作 場景，包括傳感系統可能無法完全識別的情況。這意味著需要對自動駕駛汽車的整體 安全性進行全面分析，以確保在各種復雜環境下都能保持安全行駛。

·人為因素：盡管事故中的安全駕駛員被指控有過失，但這也反映了在自動駕駛系統中， 人類駕駛員的作用和責任仍需明確界定。預期功能安全不僅涉及技術層面，還涉及人 機交互以及安全駕駛員的培訓和準備情況。

·法律與倫理責任：此類事故還引發了關于自動駕駛汽車法律責任的討論。如何分配責 任、如何制定標準以及如何通過立法和保險制度來處理事故，都是預期功能安全需要 考慮的問題。

綜上所述，Uber 的這起事故凸顯了預期功能安全在自動駕駛汽車研發和部署中的重要性。這就引出了本書關注的第二個安全話題——預期功能安全，即電子電氣系統是否能夠執行預 期功能，或者在執行預期功能時是否存在因功能不足、性能受限或者合理可預見的人員誤用 引起的安全風險。例如，傳感系統在暴雨、積雪等天氣情況下，本身并未發生故障，但可能 已無法執行預期的功能。

網絡安全案例

網絡安全事件中最著名的無疑是 2015 年的吉普切諾基黑客攻擊演示。安全研究專家 Charlie Miller 和 Chris Valasek 展示了一次引人注目的汽車黑客攻擊實驗，他們成功地遠程控 制了一輛 2014 年款的吉普切諾基。這一事件不僅震驚了整個汽車行業，也引起了廣泛的關 注，并最終導致對車輛大規模召回，以進行軟件安全更新。

Miller 和 Valasek 的研究集中在利用聯網汽車的漏洞進行遠程攻擊方面。他們首先通過汽 車的 Uconnect 系統——一個連接到互聯網的車載娛樂系統——找到了進入汽車控制系統的方 法。他們發現，Uconnect 系統中存在的漏洞能讓任何知道汽車 IP地址的人從全國任何地方 進入該系統。利用這個漏洞，Miller 和 Valasek 能夠向汽車的內部控制器局域網絡（ Controller Area Network ，CAN）發送指令。CAN 總線負責在車輛的各種電子控制單元（ECU）之間傳遞 信息，ECU 控制著許多關鍵功能，如自適應巡航控制、電子剎車、停車輔助和轉向柱控制。

在實驗中，Miller 和 Valasek 演示了如何完全控制汽車的音樂播放器，設置收音機的頻道 和音量，以及追蹤汽車。更重要的是，他們還能夠遠程控制汽車的方向盤、引擎、變速器和 剎車系統。這表明，現代聯網汽車中的網絡安全漏洞可能導致嚴重的安全問題。

這次攻擊后，菲亞特召回了 140 萬輛吉普切諾基，并發布了一個補丁來關閉這個漏洞。這是第一次因軟件安全問題而對大規模生產的產品進行物理召回。Miller 和 Valasek 的研究強 調，汽車制造商需要在生產周期的早期提高汽車的網絡安全性，因為在實驗室階段解決問題 遠比召回或發布補丁更容易。

Miller 和 Valasek 的這次實驗不僅展示了現代汽車網絡安全的脆弱性，還揭示了隨著更多 的計算機和網絡組件被集成到車輛中汽車安全研究的重要性。他們的研究結果和使用的工具被公開發布，以鼓勵其他人深入研究汽車的安全性。

這個案例是對汽車行業的一個重要警告，表明在車輛設計和生產過程中，解決網絡安全 問題迫在眉睫。隨著汽車逐漸變為復雜的網絡化智能系統，聯網不僅提供了便利和新功能， 也為黑客提供了新的攻擊面和途徑。比如，勒索軟件導致汽車制造商生產業務中斷，黑帽黑 客的攻擊以及安全研究員對車輛系統的測試等，都表明了網絡安全對現代汽車行業的重要性。目前，大約四分之一的車輛以某種方式接入網絡，預計到 2025 年，每八輛汽車中將有七輛是 聯網汽車。

人們逐漸意識到車輛網絡安全漏洞可能帶來的嚴重影響，確保車輛網絡安全已成為汽車 制造商和相關行業的重中之重。

PART

#02

三類安全的概念和關系

功能安全、預期功能安全和網絡安全是本書重點闡述的三個安全體系。三者既相互關聯， 又各自有不同的側重點。電子電氣系統的安全通常需要綜合三個維度考慮。

在汽車行業中，功能安全、預期功能安全和網絡安全標準共同構成了汽車安全的框架。功能安全關注的是由于電子電氣系統故障而引起的危害，預期功能安全則關注系統功能不足 或用戶誤操作而產生的風險。相比之下，網絡安全專注于人為惡意攻擊給整車及相關系統帶 來的危害，涵蓋了針對威脅場景的防御措施和關鍵敏感信息保護。

在這三類安全中，功能安全和預期功能安全的關系更為接近（如圖 1-1 所示），因為二者 都關注車輛內部原因對人身安全的影響，威脅來自車輛本身。功能安全旨在防止電子電氣故 障引起的（對人的）危害，其核心在于規避故障，因此解決的是電子電氣系統的故障問題。對 于電子電氣系統而言，主要存在兩類故障：一類是隨機性故障（硬件故障隨機發生，不可避 免和消除，只能控制），另一類是系統性故障（人為錯誤導致，可通過流程和異構冗余機制避 免）。從字面上理解，預期功能安全主要強調功能的預期性，防止因功能與預期不一致引起的 風險，并對預期不一致的原因（功能不足、性能局限、用戶誤操作）進行限定。性能局限如超 出傳感器的標稱精度導致的感知不準確，用戶誤操作即人為對功能的錯誤使用。這時，系統 并未出現故障，仍處于正常運行狀態。因此，預期功能安全側重于解決系統在非故障狀態下 可能面臨的風險。

網絡安全的英文為 Cyber Security，其含義很廣泛，包括人身安全、隱私安全，甚至國家安全。之所以翻譯為網絡安全或信息安全，是因為其關注的對象是網絡空間的安全。這里的 網絡空間不應簡單理解為互聯網，而是涵蓋車內網絡、車外云端網絡、汽車相關交通設施， 以及汽車開發、生產、售后管理等網絡。網絡安全主要是防止重要的控制系統和通信設備對 外開放了控制接口而導致的蓄意 / 惡意攻擊，避免人身受傷害、隱私泄露、財產損失等安全風 險。網絡安全強調保護車輛系統（無論產品還是設備的數字資產）免受外部威脅。

功能安全、預期功能安全和網絡安全三者之間的關系可以通過表 1-1 來呈現。

由此可見，一個安全相關的電子電氣系統的安全問題需要從功能安全、預期功能安全和 網絡安全三個層面共同解決，缺一不可。任何一個層面出現短板，都會導致其他兩個層面的 努力功虧一簣。例如，一個系統即便在功能安全和預期功能安全層面設計的機制近乎完美， 但如果系統與外部連接的安全沒有保障機制，也達不到應有的安全要求。

預期功能安全的發展晚于功能安全的發展，但隨著汽車智能化以及輔助駕駛和自動駕駛技術的發展，預期功能安全越來越重要。預期功能安全與功能安全在開發方法和流程上有 眾多相似之處，行業內提出了將二者結合起來的開發方法，以提高開發效率。圖 1-2 為 ISO 21448 中介紹的二者相融合的方法。

從開發體系上來看，不僅功能安全和預期功能安全可以融合，三類安全有全方位融合的 趨勢，如圖 1-3 所示。

智能網聯的快速發展對安全性提出了更高的要求，這對從事汽車安全工作的人員全面利好。新的技術和業務帶來的新體系是未來汽車安全的主要發展方向。如何有效地將安全體系與企業的產品開發、運營管理、質量管理體系相結合是一個挑戰，另一個挑戰在于售后的安全響應，即安全運營體系。除了同安全體系的融合之外，同產品開發流程（GVDP/APQP）、軟件質量體系（ASPICE/CMMI）、質量管理體系（ IATF 16949）、信息安全相關體系（ ISO 27001/ TISAX）等的結合也是非常重要的。

一位全面的汽車功能安全從業者應該注意到，汽車功能安全也在經歷跨界。相信在未來 的幾年，汽車安全行業會更加切實地探索出一條與業務融合的道路。

為了幫助讀者更高效地掌握智能汽車安全的核心知識，《一本書讀懂智能汽車安全》精心構建了結構化知識圖譜，通過理論聯系實際的形式，以方法論加案例闡釋的邏輯，為讀者展現了一幅汽車安全技術全景。