深度剖析：自动驾驶的安全考量

在大多数与汽车创新和特性相关的新闻中，都提到了三个全球趋势——汽车互联、电动化和自动化。这三大趋势正在塑造当前的环境，在创新和财务回报方面为企业提供了千载难逢的机遇。更重要的是，这些趋势还创造了一项重大使命——像最初在瑞典提出的“零视力”(Vision Zero)这样的项目旨在减少交通事故造成的伤亡，并作为一种模式在全球许多司法管辖区推广。另一个类似的项目是国家安全委员会提出的“归零之路”(Road To Zero)，旨在将每年130万的道路交通死亡人数降至零。互联和自动化技术为确保安全无忧的出行奠定了基础(国家安全委员会，2018)。汽车安全的技术挑战使车辆成为“车轮上的服务器”，这不仅关系到新车的车载计算水平，还关系到车辆与各种外部系统的连接。最基本的系统之一是全球导航卫星系统，包括基于移动网络的全球定位系统定位、DSRC或车辆对车辆(V2V)和车辆对基础设施(V2I)技术，这些技术使车辆能够与其他车辆和基础设施进行通信，如用于态势感知的交通灯和用于信息娱乐的数据连接。互联对于软件的维护和更新也是非常重要的。美国的平均司机每天花一个小时在车上(交通安全AAA基金会，2019年)，大部分时间在车上，连接性对于提供娱乐和效用至关重要。一个安全的系统需要可靠的设备来防止因设备故障而发生事故；要求功能安全，防止系统故障造成事故；还需要安全保护来防止由于黑客对系统的攻击而导致的事故。这些功能的有机结合有效防止了人为失误，从而提高了车辆的整体安全性。

互联车辆和自动驾驶车辆的安全防护是必不可少的，否则会损害其功能安全。自2015年以来，已发生超过25起车辆黑客攻击事故，最严重的公共事故影响了140万辆汽车(Drozhzhin，2015)。到2030年，汽车产生的数据估计将达到7500亿美元(麦肯锡& amp；公司，2016).汽车系统非常复杂，每辆车有100多个ECU，1亿多行代码。高复杂性可能会造成更多不可预见的漏洞，就像大规模召回的情况一样。随着无线接口的广泛应用，允许在不物理访问车辆的情况下修复安全漏洞。与其他非汽车应用的安全嵌入式电子系统类似，业界在汽车设计中采用了先进的核心安全原则来解决这些安全挑战。汽车的外部接口不仅需要抵御物理攻击，还需要保持通信的完整性和保密性。这需要安全的域隔离，并且系统需要能够抵抗逻辑攻击。需要保证车辆的内部通讯以及各种ECU和汽车MCU的软件运行。车辆网关需要安全可靠地连接和处理这些异构车辆网络中的数据。网关为功能域(动力传输、底盘和安全系统、车身控制、信息娱乐、远程信息处理、ADAS)之间的数据路由提供物理隔离和协议转换。功能域通过共享数据实现新的功能。通过该网关，工程师可以设计出更强大、功能更强大的车载网络，从而增强驾驶体验(Simacsek，2019)。

核心安全原则汽车制造商(OEM)积极致力于开发新功能，以便在竞争中脱颖而出。自动驾驶需要功能区ECU之间的安全连接和高带宽通信，因此网关对于实现自动驾驶至关重要。网关作为车载网络的核心，也非常适合支持全车范围的应用，比如OTA更新和车辆数据分析，以及与OEM服务器(云)的安全通信。

网关可以集中访问车辆数据。机器学习(ML)技术在自动驾驶系统中的应用创造了其他潜在的攻击手段。系统需要能够避免机器学习模型可能被窃取的情况，或者提供识别被窃取的机器学习模型的方法。该系统需要防止用户的生物特征信息和其他与隐私相关的信息丢失。如果车辆具有用户识别功能，则可以通过对抗性方法保护系统不被这些系统。机器学习也可以通过检测异常情况来防止这些攻击，或者用于建立更强的防御机制。汽车安全标准认为安全是一种法律责任，所以对汽车市场来说非常重要。用户需要能够相信他们的车辆会做它应该做的事情。安全性还可以实现平台整合和系统一致性。随着自动化水平超过SAE级(l 2)，持续监控驾驶环境的责任也从人类驾驶员转移到了自动驾驶系统。

安全概念的演变传统的汽车安全，如ISO 26262的功能安全定义，根据风险的严重程度、暴露程度和可控程度，提供汽车安全完整性等级(ASIL)。该标准还定义了V开发模型，该模型要求组件特性的完整规范及其对应的规范和可追溯性，根据其规范所做的修改也应该是可检测的。用数据库来训练机器学习模型，积累的训练会违背一开始就指定组件特征的假设。此外，当自动驾驶系统使用机器学习时，软件组件的分层架构被实现为端到端的解决方案，这违反了ISO 26262标准(Salay & amp；Czarnecki，2018年).自动驾驶系统的安全性不仅要关注传统的功能安全性，还要考虑行为安全性。作为驾驶策略的一部分，自动驾驶系统需要学会与非自动车辆和行人进行交互。他们需要学会预测其他参与者的行为，还需要预测危险和安全关键的情况，甚至是边缘情况。自动驾驶系统需要防范周围动态环境可能带来的风险，即使硬件或软件无故障。汽车安全专家正在制定ISO/PAS 21448标准，即预期功能安全(SOTIF)，用于覆盖ISO 26262未覆盖的场景。对于某些场景，开发ISO/PAS 21448 SOTIF的大量工作并不能有效地覆盖边缘情况和不安全的未知条件。对于自动驾驶市场的其他场景，这一标准可能会限制或扼杀创新，特别是当它涉及到自动驾驶领域机器学习的使用时。实现自动驾驶的安全性，为了实现安全无忧的自动驾驶，系统需要具备以下特性:可靠性:超低故障率(汽车品质)安全性:强大的故障检测能力(ISO 26262 ASILD)可用:准备好正确操作(能够区分安全相关和非安全相关故障)容错性:即使发生故障，也能继续运行(降低性能/功能，只继续运行重要功能)可靠性。

随着安全理念的演进，SAE自动驾驶分类中较低级别的辅助功能大多是“故障安全”系统，这意味着一旦发生故障，系统将进入安全模式。在L0和L1自动驾驶功能的情况下，系统依赖于驾驶员继续安全操作车辆。在当前的L2和L3系统中，我们希望系统具有更高的可用性，能够识别故障并继续以降低性能的模式运行，并且在某些情况下仅依赖于驱动程序。预计L4和L5系统将能够在故障后继续运行，这意味着当系统检测到故障时，系统具有足够的内置冗余用于容错，以便继续长时间完全运行，直到系统将车辆恢复到安全状态。当故障发生时，切换到人类驾驶员是L0到L3系统的关键部分。从自动驾驶系统切换到人类驾驶员需要大量的研究工作。埃里克森和斯坦顿的研究发现，在非紧急情况下，完成切换所需的时间从2秒到26秒不等，如果驾驶员在收到切换请求时正在从事其他任务，则需要更长时间。请记住，车辆在高速公路上自动行驶时，高速时的速度超过每秒25米。在最快的响应时间内，车辆需要行驶半个足球场才能完成切换，在最慢的响应时间内，车辆需要行驶近6个足球场才能完成切换。在紧急情况下，司机的反应会很慢，人类司机可能会做出错误的决定，导致交通事故(Eriksson &: Stanton，2017)。基于这种情况，恩智浦认为，要实现安全无忧的出行，需要L2甚至更先进的自动驾驶系统，使其在故障后继续运行，至少安全停下来。

安全概念的演变，NXP方法在论证一个安全的自动驾驶系统应该始终遵守交通规则的时候，我们会观察到一些与严格规则相对应的场景，有时甚至是现实世界中相反的场景。社会规范的存在可以让最复杂的系统更高效地运行。这些社会规范允许在某些情况下违反交通规则，例如在进入车道时绕过熄火的车辆或停止的车辆。有时候，违反交通规则并不是故意的，而是避免交通事故的必要措施。自动驾驶系统需要配备决策矩阵，从而选择一种可以接受的违反交通规则的方式，实现更安全高效的驾驶。

(有时)自动驾驶汽车遵循的规则需要确保采取的任何措施都不会危及生命安全。这给安全工程师验证车辆的安全性带来了巨大的压力。然而，没有令人满意的方法来验证自动驾驶汽车是否会永远安全运行。自动驾驶系统的架构分为两个功能域:1)建模域，对环境进行监控和建模；2)规划域，用于制定行为策略和规划，进行路径选择。系统分为两个功能域，每个功能域由多个设备组成，具有更强的可扩展性和异构性。每个功能域还可以根据具体的应用需求提供高效的计算架构匹配。如果不了解系统的决策机制，就无法保证其安全性。这是大规模端到端系统在处理感知和规划时涉及到的问题。配备接收传感器输入和提供驾驶指令输出的封闭黑盒方法很难验证和调试，也很难扩展到新的算法、传感器解和计算。与端到端解决方案相比，建模和规划分区架构更有利于实现系统安全。

高级分区自动驾驶系统世界上大部分汽车厂商都在研发自动驾驶技术。到2050年，自动驾驶市场估值将达到7万亿美元。安全和保护是消费者成功部署和采用辅助驾驶和自动驾驶系统的基石。恩智浦认为，ISO 26262和ISO/PAS 21448(SOTIF)相辅相成，对于定义安全的自动驾驶系统不可或缺。ISO 26262可以解决电子系统故障导致的安全风险，ISO/PAS 21448 SOTIF为设计验证和确认任务提供指导，以检测定义或设计缺陷导致的功能行为故障。最后，它是一些司机放松、处理邮件或观看喜欢的节目而不是真正开车上下班的便利场景。我们真正的目标是通过安全的连接，确保您可以充分享受这些功能，同时通过内置的安全无忧出行技术，为您和您周围的驾驶员提供更高的安全性。在大多数与汽车创新和特性相关的新闻中，都提到了三个全球趋势——汽车互联、电动化和自动化。这三大趋势正在塑造当前的环境，在创新和财务回报方面为企业提供了千载难逢的机遇。更重要的是，这些趋势还创造了一项重大使命——像最初在瑞典提出的“零视力”(Vision Zero)这样的项目旨在减少交通事故造成的伤亡，并作为一种模式在全球许多司法管辖区推广。另一个类似的项目是国家安全委员会提出的“归零之路”(Road To Zero)，旨在将每年130万的道路交通死亡人数降至零。互联和自动化技术为确保安全无忧的出行奠定了基础(国家安全委员会，2018)。汽车安全的技术挑战使车辆成为“车轮上的服务器”，这不仅关系到新车的车载计算水平，还关系到车辆与各种外部系统的连接。最基本的系统之一是全球导航卫星系统，包括基于移动网络的全球定位系统定位、DSRC或车辆对车辆(V2V)和车辆对基础设施(V2I)技术，这些技术使车辆能够与其他车辆和基础设施进行通信，如用于态势感知的交通灯和用于信息娱乐的数据连接。互联对于软件的维护和更新也是非常重要的。美国的平均司机每天花一个小时在车上(交通安全AAA基金会，2019年)，大部分时间在车上，连接性对于提供娱乐和效用至关重要。一个安全的系统需要可靠的设备来防止因设备故障而发生事故；要求功能安全，防止系统故障造成事故；还需要安全保护来防止由于黑客对系统的攻击而导致的事故。这些功能的有机结合有效防止了人为失误，从而提高了车辆的整体安全性。

互联车辆和自动驾驶车辆的安全防护是必不可少的，否则会损害其功能安全。自2015年以来，已发生超过25起车辆黑客攻击事故，最严重的公共事故影响了140万辆汽车(Drozhzhin，2015)。到2030年，汽车产生的数据估计将达到7500亿美元(麦肯锡& amp；公司，2016).汽车系统非常复杂，每辆车有100多个ECU，1亿多行代码。高复杂性可能会造成更多不可预见的漏洞，就像大规模召回的情况一样。随着无线接口的广泛应用，允许在不物理访问车辆的情况下修复安全漏洞。与其他非汽车应用的安全嵌入式电子系统类似，业界在汽车设计中采用了先进的核心安全原则来解决这些安全挑战。汽车的外部接口不仅需要抵御物理攻击，还需要保持通信的完整性和保密性。这需要安全的域隔离，并且系统需要能够抵抗逻辑攻击。需要保证车辆的内部通讯以及各种ECU和汽车MCU的软件运行。车辆网关需要安全可靠地连接和处理这些异构车辆网络中的数据。网关为功能域(动力传输、底盘和安全系统、车身控制、信息娱乐、远程信息处理、ADAS)之间的数据路由提供物理隔离和协议转换。功能域通过共享数据实现新的功能。通过该网关，工程师可以设计出更强大、功能更强大的车载网络，从而增强驾驶体验(Simacsek，2019)。

核心安全原则汽车制造商(OEM)积极致力于开发新功能，以便在竞争中脱颖而出。自动驾驶需要功能区ECU之间的安全连接和高带宽通信，因此网关对于实现自动驾驶至关重要。网关作为车载网络的核心，也非常适合支持全车范围的应用，比如OTA更新和车辆数据分析，以及与OEM服务器(云)的安全通信。

网关可以集中访问车辆数据。机器学习(ML)技术在自动驾驶系统中的应用创造了其他潜在的攻击手段。系统需要能够避免机器学习模型可能被窃取的情况，或者提供识别被窃取的机器学习模型的方法。该系统需要防止用户的生物特征信息和其他与隐私相关的信息丢失。如果车辆具有用户识别功能，则可以通过对抗性方法保护系统不被这些系统。机器学习也可以通过检测异常情况来防止这些攻击，或者用于建立更强的防御机制。汽车安全标准认为安全是一种法律责任，所以对汽车市场来说非常重要。用户需要能够相信他们的车辆会做它应该做的事情。安全性还可以实现平台整合和系统一致性。随着自动化水平超过SAE级(l 2)，持续监控驾驶环境的责任也从人类驾驶员转移到了自动驾驶系统。

安全概念的演变传统的汽车安全，如ISO 26262的功能安全定义，根据风险的严重程度、暴露程度和可控程度，提供汽车安全完整性等级(ASIL)。该标准还定义了V开发模型，该模型要求组件特性的完整规范及其对应的规范和可追溯性，根据其规范所做的修改也应该是可检测的。用数据库来训练机器学习模型，积累的训练会违背一开始就指定组件特征的假设。此外，当自动驾驶系统使用机器学习时，软件组件的分层架构被实现为端到端的解决方案，这违反了ISO 26262标准(Salay & amp；Czarnecki，2018年).自动驾驶系统的安全性不仅要关注传统的功能安全性，还要考虑行为安全性。作为驾驶策略的一部分，自动驾驶系统需要学会与非自动车辆和行人进行交互。他们需要学会预测其他参与者的行为，还需要预测危险和安全关键的情况，甚至是边缘情况。自动驾驶系统需要防范周围动态环境可能带来的风险，即使硬件或软件无故障。汽车安全专家正在制定ISO/PAS 21448标准，即预期功能安全(SOTIF)，用于覆盖ISO 26262未覆盖的场景。对于某些场景，开发ISO/PAS 21448 SOTIF的大量工作并不能有效地覆盖边缘情况和不安全的未知条件。对于自动驾驶市场的其他场景，这一标准可能会限制或扼杀创新，特别是当它涉及到自动驾驶领域机器学习的使用时。实现自动驾驶的安全性，为了实现安全无忧的自动驾驶，系统需要具备以下特性:可靠性:超低故障率(汽车品质)安全性:强大的故障检测能力(ISO 26262 ASILD)可用:准备好正确操作(能够区分安全相关和非安全相关故障)容错性:即使发生故障，也能继续运行(降低性能/功能，只继续运行重要功能)可靠性。

随着安全理念的演进，SAE自动驾驶分类中较低级别的辅助功能大多是“故障安全”系统，这意味着一旦发生故障，系统将进入安全模式。在L0和L1自动驾驶功能的情况下，系统依赖于驾驶员继续安全操作车辆。在当前的L2和L3系统中，我们希望系统具有更高的可用性，能够识别故障并继续以降低性能的模式运行，并且在某些情况下仅依赖于驱动程序。预计L4和L5系统将能够在故障后继续运行，这意味着当系统检测到故障时，系统具有足够的内置冗余用于容错，以便继续长时间完全运行，直到系统将车辆恢复到安全状态。当故障发生时，切换到人类驾驶员是L0到L3系统的关键部分。从自动驾驶系统切换到人类驾驶员需要大量的研究工作。埃里克森和斯坦顿的研究发现，在非紧急情况下，完成切换所需的时间从2秒到26秒不等，如果驾驶员在收到切换请求时正在从事其他任务，则需要更长时间。请记住，车辆在高速公路上自动行驶时，高速时的速度超过每秒25米。在最快的响应时间内，车辆需要行驶半个足球场才能完成切换，在最慢的响应时间内，车辆需要行驶近6个足球场才能完成切换。在紧急情况下，司机的反应会很慢，人类司机可能会做出错误的决定，导致交通事故(Eriksson &: Stanton，2017)。基于这种情况，恩智浦认为，要实现安全无忧的出行，需要L2甚至更先进的自动驾驶系统，使其在故障后继续运行，至少安全停下来。

安全概念的演变，NXP方法在论证一个安全的自动驾驶系统应该始终遵守交通规则的时候，我们会观察到一些与严格规则相对应的场景，有时甚至是现实世界中相反的场景。社会规范的存在可以让最复杂的系统更高效地运行。这些社会规范允许在某些情况下违反交通规则，例如在进入车道时绕过熄火的车辆或停止的车辆。有时候，违反交通规则并不是故意的，而是避免交通事故的必要措施。自动驾驶系统需要配备决策矩阵，从而选择一种可以接受的违反交通规则的方式，实现更安全高效的驾驶。

(有时)自动驾驶汽车遵循的规则需要确保采取的任何措施都不会危及生命安全。这给安全工程师验证车辆的安全性带来了巨大的压力。然而，没有令人满意的方法来验证自动驾驶汽车是否会永远安全运行。自动驾驶系统的架构分为两个功能域:1)建模域，对环境进行监控和建模；2)规划域，用于制定行为策略和规划，进行路径选择。系统分为两个功能域，每个功能域由多个设备组成，具有更强的可扩展性和异构性。每个功能域还可以根据具体的应用需求提供高效的计算架构匹配。如果不了解系统的决策机制，就无法保证其安全性。这是大规模端到端系统在处理感知和规划时涉及到的问题。配备接收传感器输入和提供驾驶指令输出的封闭黑盒方法很难验证和调试，也很难扩展到新的算法、传感器解和计算。与端到端解决方案相比，建模和规划分区架构更有利于实现系统安全。

高级分区自动驾驶系统世界上大部分汽车厂商都在研发自动驾驶技术。到2050年，自动驾驶市场估值将达到7万亿美元。安全和保护是消费者成功部署和采用辅助驾驶和自动驾驶系统的基石。恩智浦认为，ISO 26262和ISO/PAS 21448(SOTIF)相辅相成，对于定义安全的自动驾驶系统不可或缺。ISO 26262可以解决电子系统故障导致的安全风险，ISO/PAS 21448 SOTIF为设计验证和确认任务提供指导，以检测定义或设计缺陷导致的功能行为故障。最后，它是一些司机放松、处理邮件或观看喜欢的节目而不是真正开车上下班的便利场景。我们真正的目标是通过安全的连接，确保您可以充分享受这些功能，同时通过内置的安全无忧出行技术，为您和您周围的驾驶员提供更高的安全性。

标签：DS发现远程

汽车资讯热门资讯