智能汽車的信息網(wǎng)絡(luò)、功能及預期概述一汽車信息網(wǎng)絡(luò)安全系統(tǒng)二汽車功能安全系統(tǒng)三汽車預期功能安全系統(tǒng)四工程實踐五智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.1概述

信息網(wǎng)絡(luò)系統(tǒng)旨在將智能技術(shù)與汽車領(lǐng)域相結(jié)合，實現(xiàn)車輛內(nèi)部各個子系統(tǒng)之間的高效通訊和數(shù)據(jù)交換，以及車輛與外部系統(tǒng)（如道路基礎(chǔ)設(shè)施、其他車輛和云平臺）之間的連接和互操作。這樣的通信系統(tǒng)為車輛提供了實時的信息交流和智能化的功能支持，使得車輛能夠更加智能、高效地運行。

在智能汽車安全領(lǐng)域，功能安全（Functionsafety）和預期功能安全（SafetyofTheIntendedFunctionality,SOTIF）也是關(guān)鍵考慮因素。功能安全是確保車輛在各種操作模式下的功能正常性和安全性的要求，在系統(tǒng)設(shè)計和實現(xiàn)過程中，需要考慮故障診斷和容錯機制，以及對可能導致功能失效的故障進行預防和管理。通過這樣的功能安全設(shè)計，可以保證車輛的關(guān)鍵功能在各種情況下都能正常運行，提高駕乘安全性。

預期功能安全則關(guān)注不存在因設(shè)計不足或性能局限引起危害而導致不合理的風險，也就是將設(shè)計不足、性能局限導致的風險控制在合理可接受的范圍內(nèi)。SOTIF主要針對以下兩種場景:系統(tǒng)或組件的性能受限，導致預期功能不可達；系統(tǒng)的可預見人為誤用（misuse）或合理地可預見誤用。通過對系統(tǒng)的全面評估和風險控制，預期功能安全確保車輛在實際使用中不會產(chǎn)生超出合理范圍的風險。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.1概述智能網(wǎng)聯(lián)汽車的安全風險來源智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.1概述智能網(wǎng)聯(lián)汽車的功能安全標準智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.1人類泊車事故分析根據(jù)世界衛(wèi)生組織《全球道路安全現(xiàn)狀報告》統(tǒng)計，全球每年約有135萬人死于道路交通事故，相當于每24秒就有1人因交通事故喪命，另外還有2000萬至5000萬人受到非致命傷害；美國密歇根大學交通研究所表明，根據(jù)交通事故數(shù)據(jù)庫統(tǒng)計資料和保險公司事故統(tǒng)計，例如泊車導致的事故占到各類事故的44%，其中50%至75%的泊車事故是倒車造成的據(jù)統(tǒng)計，約90%以上的交通事故是駕駛員人為因素導致的，消除和減少駕駛員違法違規(guī)操作、經(jīng)驗不足、自身缺陷及感知限制等不良人為因素，對減少事故，降低風險具有重大價值，同時違法停車是違法行為，停車時妨礙他人通行，也將承擔事故責任智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)面臨的風險智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)面臨的風險智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)面臨的風險智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)面臨的風險智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)面臨的風險汽車領(lǐng)域信息網(wǎng)絡(luò)安全事件經(jīng)典案例智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)在統(tǒng)籌安全與發(fā)展的指導思想下，我國將網(wǎng)絡(luò)空間安全提升為國家安全戰(zhàn)略的重要組成部分。國內(nèi)外智能汽車信息網(wǎng)絡(luò)安全政策與法規(guī)智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全系統(tǒng)基本組成與原理：信息網(wǎng)絡(luò)安全整體框架信息網(wǎng)絡(luò)安全是建立和采取技術(shù)和管理措施來保護數(shù)據(jù)處理系統(tǒng)的安全性，防止計算機硬件、軟件、數(shù)據(jù)因偶然或惡意原因而受到破壞、更改、泄露，以確保系統(tǒng)持續(xù)、可靠、正常地運行，從而保障信息服務(wù)不中斷。

另一種角度的定義則著眼于信息的全面保護，強調(diào)在信息采集、存儲、處理、傳播和應用過程中，確保信息的自由性、秘密性、完整性以及共享性等方面得到全面的保護。雖然這兩種定義側(cè)重點不同，但它們的目標是一致的。在廣義上，涉及信息的機密性、完整性、真實性、可用性、占有性和可控性的相關(guān)理論與技術(shù)都屬于信息網(wǎng)絡(luò)安全的研究領(lǐng)域。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2汽車信息網(wǎng)絡(luò)安全案例為了貫徹落實《工業(yè)和信息化部關(guān)于加強智能網(wǎng)聯(lián)汽車生產(chǎn)企業(yè)及產(chǎn)品準入管理意見》，中國軟件評測中心（工業(yè)和信息化部軟件與集成電路促進中心）在中國智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)創(chuàng)新聯(lián)盟的指導下，在全國范圍內(nèi)啟動了智能網(wǎng)聯(lián)汽車滲透測試工作，以測試驗證目前智能網(wǎng)聯(lián)汽車網(wǎng)絡(luò)安全防護情況。本次測試實踐的前提要求是不損壞車輛、不拆解車輛，采用黑盒測試方法，開展用戶側(cè)滲透測試。共有15輛車參與測試，被測車輛涵蓋傳統(tǒng)車企和造車新勢力的產(chǎn)品，其中包括9輛新能源車和6輛燃油車智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2滲透測試結(jié)果概要根據(jù)本次智能汽車滲透測試實踐的結(jié)果，共發(fā)現(xiàn)了15種典型問題，具體問題類型及檢出率如圖所示。高頻問題主要集中在Wi-Fi安全、GPS欺騙、未授權(quán)訪問敏感數(shù)據(jù)、安裝包逆向風險等方面。根據(jù)威脅分析方法論，本文對上述安全問題的攻擊可行性和安全影響進行了分析。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2滲透測試結(jié)果概要下面將從對攻擊時間、攻擊所用設(shè)備、機會窗口和目標對象的了解程度方面，對以上安全問題的攻擊可行性進行分析。通過分析，發(fā)現(xiàn)Wi-Fi中斷攻擊、GPS地址位置欺騙、云平臺應用劫持以及掃描云平臺漏洞這4種安全問題攻擊成本較低，因此更容易成為攻擊者的目標。相比之下，密鑰安全和惡意消息攻擊因為需要攻擊者具備較高的網(wǎng)絡(luò)安全技術(shù)水平和對攻擊目標的深入了解，并輔助以專業(yè)設(shè)備，所需付出的攻擊成本較高，從而降低了攻擊可行性。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2滲透測試結(jié)果概要本文從車輛安全、人身安全、財產(chǎn)安全、隱私和法規(guī)四個方面，對影響等級進行了分析。發(fā)現(xiàn)如下問題：GPS地址位置欺騙可能對車輛的正常運行產(chǎn)生嚴重干擾；未經(jīng)授權(quán)訪問敏感數(shù)據(jù)和個人信息會對個人隱私造成威脅；非授權(quán)應用安裝和代碼/數(shù)據(jù)未經(jīng)授權(quán)修改、密鑰安全、端云通信監(jiān)聽和OBD報文監(jiān)聽問題可能導致用戶財產(chǎn)和隱私數(shù)據(jù)的流失，并對車輛運行安全產(chǎn)生影響。綜合考慮攻擊可行性和影響程度，發(fā)現(xiàn)Wi-Fi中斷攻擊、GPS地址位置欺騙、云平臺應用劫持、掃描云平臺漏洞以及密鑰安全是需要重點防護的網(wǎng)絡(luò)安全問題，因為它們攻擊成本相對較低且可能造成嚴重影響。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.2滲透測試結(jié)果概要基于對上述網(wǎng)絡(luò)安全問題的綜合分析結(jié)果，從攻擊可行性和影響程度兩個方向綜合考慮，得出了對各網(wǎng)絡(luò)安全問題進行安全防護的重要性。從圖中可以看出針對GPS地址位置欺騙、未經(jīng)授權(quán)訪問敏感數(shù)據(jù)、非授權(quán)應用安裝、代碼/數(shù)據(jù)未經(jīng)授權(quán)修改、個人信息非授權(quán)訪問這五項網(wǎng)絡(luò)安全問題，防護工作迫切且需重點關(guān)注，以提升車輛的網(wǎng)絡(luò)安全水平。特別是對于GPS地址位置欺騙問題，由于攻擊成本低、安全影響嚴重，其安全防護需求等級最高，應當優(yōu)先采取有效措施加以防范和保護。通過針對這些重要網(wǎng)絡(luò)安全問題的有針對性的防護措施，能夠有效降低智能網(wǎng)聯(lián)汽車面臨的網(wǎng)絡(luò)安全風險，提高整個系統(tǒng)的安全性。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.3汽車功能安全系統(tǒng)

近年來，隨著自動駕駛技術(shù)的快速發(fā)展，對于具備防患于未然功能（功能安全）和ISO26262等標準的需求越來越大。尤其在科技水平飛速發(fā)展的中國，ISO26262已融入我國推薦行國家標準GB/T34590《道路車輛功能安全》。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.3汽車功能安全系統(tǒng)基本組成與原理：ISO26262汽車電氣部分開發(fā)核心流程框架

在功能安全的概念設(shè)計階段，其分析流程可主要概括為以下幾個步驟：相關(guān)項定義；危害事件識別；危害分析與風險評估（HARA）；安全目標制定；功能安全概念分析。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.3汽車功能安全系統(tǒng)危害分析與風險評估（HARA）：HARA（HazardAnalysis&RiskAssessment，簡稱H&R）用于識別產(chǎn)品的每個功能的非意愿性動作和功能喪失場景。通過結(jié)合這些故障的嚴重度（S）、暴露概率（E）和可控性（C），進行系統(tǒng)功能安全的ASIL評價。

在ISO26262-3標準中，詳細定義了S、E、C的等級分類和ASIL安全等級的確定。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.3汽車功能安全系統(tǒng)ASIL分析：

ASIL（AutomotiveSafetyIntegrityLevel）是用于描述需求的安全嚴格等級的概念。通過風險評估（RiskAssessment）可確定E值，再通過危險分析（HazardAnalysis）可確定C值和S值。

其中，D級具有最高的安全風險，一旦發(fā)生故障可能導致嚴重的安全后果，甚至危及人員生命安全；A級的安全風險較低，即使發(fā)生故障也不會造成重大影響；而QM（可接受風險）級表示不涉及功能安全相關(guān)設(shè)計，僅需要按照正常的質(zhì)量管理體系進行開發(fā)。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.3汽車功能安全系統(tǒng)需要注意的是，功能安全的目的并非徹底消除風險，而是將風險降低到可接受的范圍內(nèi)。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)

隨著自動駕駛系統(tǒng)功能架構(gòu)的完善，國際標準ISO26262所覆蓋的故障性風險引起的功能安全問題分析已經(jīng)無法滿足高度復雜系統(tǒng)的安全性分析要求。因此，將這類系統(tǒng)沒有發(fā)生故障的情況下，引起的安全風險問題歸結(jié)為預期功能安全（SafetyOfTheIntendedFunctionality，SOTIF）。進行預期功能安全活動的目標是確保在系統(tǒng)的特定行為受到性能限制或可合理預見的人為誤用的影響下，不會導致不合理的風險。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)國內(nèi)外智能汽車預期功能安全系統(tǒng)政策與法規(guī)智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)基本組成與原理：預期功能安全希望從系統(tǒng)層面做到功能設(shè)計完備。作為功能安全的補充，它通過規(guī)范化的流程，旨在識別、分析和減少因系統(tǒng)功能不足所引起的危害，其基本組成如圖5-10所示。2019年頒布ISO/PAS21448標準中明確預期功能安全關(guān)注的范圍為由于性能局限或者人為誤操作導致的危害和風險。SOTIF主要關(guān)注兩種場景：一是系統(tǒng)或組件性能受限，導致預期功能無法實現(xiàn)；二是系統(tǒng)受人為誤用或合理可預見的誤用的影響。目的是減少已知不安全場景（區(qū)域2）和未知不安全場景（區(qū)域3）數(shù)量，提高系統(tǒng)安全性。智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)已知場景評估未知場景評估未知場景定義：存在未知的觸發(fā)條件；存在未知的系統(tǒng)行為；已知參數(shù)組合成未知觸發(fā)條件。已知場景定義：已知的觸發(fā)條件及其組合；已知的參數(shù)邊界和采樣分布；明確的危害行為；已知不安全區(qū)域的場景風險是否可接受未知不安全區(qū)域的殘余風險是否可接受論證證據(jù)：已知特定場景暴露度；應對措施可控性；傷害結(jié)果嚴重度。論證證據(jù)：未知危害場景頻度（低于定值）；未知傷害頻度（低于定值）；未知場景發(fā)生概率（低于定值）。安全不安全已知未知智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全系統(tǒng)智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)5.4汽車預期功能安全案例預期功能安全–避免由于預期功能或其實現(xiàn)的功能不足引發(fā)危害所產(chǎn)生的不合理風險SOTIF解決了由ISO26262定義的無故障系統(tǒng)中預期功能不足引起的危險SOTIF是智能汽車研究和商業(yè)化的最大問題之一性能局限復雜環(huán)境人機交互預期功能的安全問題可能與以下方面有關(guān)：智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)測試方案-測試目標和原則綜合各類技術(shù)手段，在有限的測試中證明被測系統(tǒng)風險滿足接受準則，并進一步說明被測系統(tǒng)SOTIF性能水平?；陉P(guān)鍵場景的SOTIF測試方案測試手段SIL開放道路測試封閉道路場HIL場景設(shè)計（測試用例）覆蓋度關(guān)鍵性封閉道路場專家經(jīng)驗分析評估對象整車級部件級SOTIF措施評估角度嚴重度可控性接受準則危害行為殘余風險5.4汽車預期功能安全智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)道路交通設(shè)施目標物臨時性操縱自然環(huán)境數(shù)字信息場景構(gòu)成要素體系場景1.0場景2.0十字路口高速應急車道高速道路模擬充電站感知干擾交通干擾汽車系統(tǒng)干擾因素模擬隧道環(huán)島以道路類型和交通設(shè)施為主雨霧塵光特色氣象環(huán)境場景特色交通干擾測試場景預期功能安全測試實例：復雜環(huán)境智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)研究背景：以雨、霧、塵等為代表的特殊氣候環(huán)境對激光雷達、攝像頭等車載傳感器的性能存在較大影響，嚴重干擾智能網(wǎng)聯(lián)汽車感知系統(tǒng)對于車輛周圍環(huán)境的探測與決策。針對智能駕駛系統(tǒng)在特殊氣候環(huán)境下和特殊交通參與物條件下的危險場景測評研究是很有意義。雨天（圖像失真、感知精度下降）霧天（干擾目標物的識別）特殊天氣對傳感器的影響（AutonomousDrivinginAdverseWeatherConditions:ASurvey-arXiv2021）逆光大燈影響攝像頭識別高速跌落物影響行車安全揚塵（干擾目標識別）智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)研究方法采用控制變量研究法，依據(jù)現(xiàn)有的智能駕駛行業(yè)標準規(guī)范，選取ADAS典型測試場景，控制其他測試參數(shù)不變，單獨添加特殊氣候環(huán)境等因素，研究車輛智能駕駛系統(tǒng)表現(xiàn)。典型場景橫穿跟隨前車靜止跟車環(huán)境因素霧雨揚塵車載物跌落測評場景雨天-跟隨雨天-前車靜止雨天-橫穿揚塵前車靜止霧天-跟隨霧天-前車靜止車載物跌落跟車智能汽車的信息網(wǎng)絡(luò)、功能及預期功能安全系統(tǒng)測試結(jié)果：本次研究實車測試了六款車型，從測試結(jié)果來看，雨、霧、塵等環(huán)境對智能駕駛系統(tǒng)的表現(xiàn)影響較大，車載物跌落、泥漿飛濺遮擋攝像頭的場景，所有車型均未通過測試。目前來看，在面對特殊氣候和復雜交通環(huán)境下，智駕系統(tǒng)整體性能還有較大的提升空間。車型測試結(jié)果（得分率）測試場景車型A車型B車型C車型D車型E車型F雨天行人場景33.61%69.16%90.16%58.85%11.0