智能电动汽车安全技术 课件 第五章 智能汽车的信息网络、功能及预期功能安全系统

智能汽车的信息网络、功能及预期概述一汽车信息网络安全系统二汽车功能安全系统三汽车预期功能安全系统四工程实践五智能汽车的信息网络、功能及预期功能安全系统5.1概述

信息网络系统旨在将智能技术与汽车领域相结合，实现车辆内部各个子系统之间的高效通讯和数据交换，以及车辆与外部系统（如道路基础设施、其他车辆和云平台）之间的连接和互操作。这样的通信系统为车辆提供了实时的信息交流和智能化的功能支持，使得车辆能够更加智能、高效地运行。

在智能汽车安全领域，功能安全（Functionsafety）和预期功能安全（SafetyofTheIntendedFunctionality,SOTIF）也是关键考虑因素。功能安全是确保车辆在各种操作模式下的功能正常性和安全性的要求，在系统设计和实现过程中，需要考虑故障诊断和容错机制，以及对可能导致功能失效的故障进行预防和管理。通过这样的功能安全设计，可以保证车辆的关键功能在各种情况下都能正常运行，提高驾乘安全性。

预期功能安全则关注不存在因设计不足或性能局限引起危害而导致不合理的风险，也就是将设计不足、性能局限导致的风险控制在合理可接受的范围内。SOTIF主要针对以下两种场景:系统或组件的性能受限，导致预期功能不可达；系统的可预见人为误用（misuse）或合理地可预见误用。通过对系统的全面评估和风险控制，预期功能安全确保车辆在实际使用中不会产生超出合理范围的风险。智能汽车的信息网络、功能及预期功能安全系统5.1概述智能网联汽车的安全风险来源智能汽车的信息网络、功能及预期功能安全系统5.1概述智能网联汽车的功能安全标准智能汽车的信息网络、功能及预期功能安全系统5.1人类泊车事故分析根据世界卫生组织《全球道路安全现状报告》统计，全球每年约有135万人死于道路交通事故，相当于每24秒就有1人因交通事故丧命，另外还有2000万至5000万人受到非致命伤害；美国密歇根大学交通研究所表明，根据交通事故数据库统计资料和保险公司事故统计，例如泊车导致的事故占到各类事故的44%，其中50%至75%的泊车事故是倒车造成的据统计，约90%以上的交通事故是驾驶员人为因素导致的，消除和减少驾驶员违法违规操作、经验不足、自身缺陷及感知限制等不良人为因素，对减少事故，降低风险具有重大价值，同时违法停车是违法行为，停车时妨碍他人通行，也将承担事故责任智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统面临的风险智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统面临的风险智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统面临的风险智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统面临的风险智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统面临的风险汽车领域信息网络安全事件经典案例智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统在统筹安全与发展的指导思想下，我国将网络空间安全提升为国家安全战略的重要组成部分。国内外智能汽车信息网络安全政策与法规智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全系统基本组成与原理：信息网络安全整体框架信息网络安全是建立和采取技术和管理措施来保护数据处理系统的安全性，防止计算机硬件、软件、数据因偶然或恶意原因而受到破坏、更改、泄露，以确保系统持续、可靠、正常地运行，从而保障信息服务不中断。

另一种角度的定义则着眼于信息的全面保护，强调在信息采集、存储、处理、传播和应用过程中，确保信息的自由性、秘密性、完整性以及共享性等方面得到全面的保护。虽然这两种定义侧重点不同，但它们的目标是一致的。在广义上，涉及信息的机密性、完整性、真实性、可用性、占有性和可控性的相关理论与技术都属于信息网络安全的研究领域。智能汽车的信息网络、功能及预期功能安全系统5.2汽车信息网络安全案例为了贯彻落实《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理意见》，中国软件评测中心（工业和信息化部软件与集成电路促进中心）在中国智能网联汽车产业创新联盟的指导下，在全国范围内启动了智能网联汽车渗透测试工作，以测试验证目前智能网联汽车网络安全防护情况。本次测试实践的前提要求是不损坏车辆、不拆解车辆，采用黑盒测试方法，开展用户侧渗透测试。共有15辆车参与测试，被测车辆涵盖传统车企和造车新势力的产品，其中包括9辆新能源车和6辆燃油车智能汽车的信息网络、功能及预期功能安全系统5.2渗透测试结果概要根据本次智能汽车渗透测试实践的结果，共发现了15种典型问题，具体问题类型及检出率如图所示。高频问题主要集中在Wi-Fi安全、GPS欺骗、未授权访问敏感数据、安装包逆向风险等方面。根据威胁分析方法论，本文对上述安全问题的攻击可行性和安全影响进行了分析。智能汽车的信息网络、功能及预期功能安全系统5.2渗透测试结果概要下面将从对攻击时间、攻击所用设备、机会窗口和目标对象的了解程度方面，对以上安全问题的攻击可行性进行分析。通过分析，发现Wi-Fi中断攻击、GPS地址位置欺骗、云平台应用劫持以及扫描云平台漏洞这4种安全问题攻击成本较低，因此更容易成为攻击者的目标。相比之下，密钥安全和恶意消息攻击因为需要攻击者具备较高的网络安全技术水平和对攻击目标的深入了解，并辅助以专业设备，所需付出的攻击成本较高，从而降低了攻击可行性。智能汽车的信息网络、功能及预期功能安全系统5.2渗透测试结果概要本文从车辆安全、人身安全、财产安全、隐私和法规四个方面，对影响等级进行了分析。发现如下问题：GPS地址位置欺骗可能对车辆的正常运行产生严重干扰；未经授权访问敏感数据和个人信息会对个人隐私造成威胁；非授权应用安装和代码/数据未经授权修改、密钥安全、端云通信监听和OBD报文监听问题可能导致用户财产和隐私数据的流失，并对车辆运行安全产生影响。综合考虑攻击可行性和影响程度，发现Wi-Fi中断攻击、GPS地址位置欺骗、云平台应用劫持、扫描云平台漏洞以及密钥安全是需要重点防护的网络安全问题，因为它们攻击成本相对较低且可能造成严重影响。智能汽车的信息网络、功能及预期功能安全系统5.2渗透测试结果概要基于对上述网络安全问题的综合分析结果，从攻击可行性和影响程度两个方向综合考虑，得出了对各网络安全问题进行安全防护的重要性。从图中可以看出针对GPS地址位置欺骗、未经授权访问敏感数据、非授权应用安装、代码/数据未经授权修改、个人信息非授权访问这五项网络安全问题，防护工作迫切且需重点关注，以提升车辆的网络安全水平。特别是对于GPS地址位置欺骗问题，由于攻击成本低、安全影响严重，其安全防护需求等级最高，应当优先采取有效措施加以防范和保护。通过针对这些重要网络安全问题的有针对性的防护措施，能够有效降低智能网联汽车面临的网络安全风险，提高整个系统的安全性。智能汽车的信息网络、功能及预期功能安全系统5.3汽车功能安全系统

近年来，随着自动驾驶技术的快速发展，对于具备防患于未然功能（功能安全）和ISO26262等标准的需求越来越大。尤其在科技水平飞速发展的中国，ISO26262已融入我国推荐行国家标准GB/T34590《道路车辆功能安全》。智能汽车的信息网络、功能及预期功能安全系统5.3汽车功能安全系统基本组成与原理：ISO26262汽车电气部分开发核心流程框架

在功能安全的概念设计阶段，其分析流程可主要概括为以下几个步骤：相关项定义；危害事件识别；危害分析与风险评估（HARA）；安全目标制定；功能安全概念分析。智能汽车的信息网络、功能及预期功能安全系统5.3汽车功能安全系统危害分析与风险评估（HARA）：HARA（HazardAnalysis&RiskAssessment，简称H&R）用于识别产品的每个功能的非意愿性动作和功能丧失场景。通过结合这些故障的严重度（S）、暴露概率（E）和可控性（C），进行系统功能安全的ASIL评价。

在ISO26262-3标准中，详细定义了S、E、C的等级分类和ASIL安全等级的确定。智能汽车的信息网络、功能及预期功能安全系统5.3汽车功能安全系统ASIL分析：

ASIL（AutomotiveSafetyIntegrityLevel）是用于描述需求的安全严格等级的概念。通过风险评估（RiskAssessment）可确定E值，再通过危险分析（HazardAnalysis）可确定C值和S值。

其中，D级具有最高的安全风险，一旦发生故障可能导致严重的安全后果，甚至危及人员生命安全；A级的安全风险较低，即使发生故障也不会造成重大影响；而QM（可接受风险）级表示不涉及功能安全相关设计，仅需要按照正常的质量管理体系进行开发。智能汽车的信息网络、功能及预期功能安全系统5.3汽车功能安全系统需要注意的是，功能安全的目的并非彻底消除风险，而是将风险降低到可接受的范围内。智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统

随着自动驾驶系统功能架构的完善，国际标准ISO26262所覆盖的故障性风险引起的功能安全问题分析已经无法满足高度复杂系统的安全性分析要求。因此，将这类系统没有发生故障的情况下，引起的安全风险问题归结为预期功能安全（SafetyOfTheIntendedFunctionality，SOTIF）。进行预期功能安全活动的目标是确保在系统的特定行为受到性能限制或可合理预见的人为误用的影响下，不会导致不合理的风险。智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统国内外智能汽车预期功能安全系统政策与法规智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统基本组成与原理：预期功能安全希望从系统层面做到功能设计完备。作为功能安全的补充，它通过规范化的流程，旨在识别、分析和减少因系统功能不足所引起的危害，其基本组成如图5-10所示。2019年颁布ISO/PAS21448标准中明确预期功能安全关注的范围为由于性能局限或者人为误操作导致的危害和风险。SOTIF主要关注两种场景：一是系统或组件性能受限，导致预期功能无法实现；二是系统受人为误用或合理可预见的误用的影响。目的是减少已知不安全场景（区域2）和未知不安全场景（区域3）数量，提高系统安全性。智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统已知场景评估未知场景评估未知场景定义：存在未知的触发条件；存在未知的系统行为；已知参数组合成未知触发条件。已知场景定义：已知的触发条件及其组合；已知的参数边界和采样分布；明确的危害行为；已知不安全区域的场景风险是否可接受未知不安全区域的残余风险是否可接受论证证据：已知特定场景暴露度；应对措施可控性；伤害结果严重度。论证证据：未知危害场景频度（低于定值）；未知伤害频度（低于定值）；未知场景发生概率（低于定值）。安全不安全已知未知智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全系统智能汽车的信息网络、功能及预期功能安全系统5.4汽车预期功能安全案例预期功能安全–避免由于预期功能或其实现的功能不足引发危害所产生的不合理风险SOTIF解决了由ISO26262定义的无故障系统中预期功能不足引起的危险SOTIF是智能汽车研究和商业化的最大问题之一性能局限复杂环境人机交互预期功能的安全问题可能与以下方面有关：智能汽车的信息网络、功能及预期功能安全系统测试方案-测试目标和原则综合各类技术手段，在有限的测试中证明被测系统风险满足接受准则，并进一步说明被测系统SOTIF性能水平。基于关键场景的SOTIF测试方案测试手段SIL开放道路测试封闭道路场HIL场景设计（测试用例）覆盖度关键性封闭道路场专家经验分析评估对象整车级部件级SOTIF措施评估角度严重度可控性接受准则危害行为残余风险5.4汽车预期功能安全智能汽车的信息网络、功能及预期功能安全系统道路交通设施目标物临时性操纵自然环境数字信息场景构成要素体系场景1.0场景2.0十字路口高速应急车道高速道路模拟充电站感知干扰交通干扰汽车系统干扰因素模拟隧道环岛以道路类型和交通设施为主雨雾尘光特色气象环境场景特色交通干扰测试场景预期功能安全测试实例：复杂环境智能汽车的信息网络、功能及预期功能安全系统研究背景：以雨、雾、尘等为代表的特殊气候环境对激光雷达、摄像头等车载传感器的性能存在较大影响，严重干扰智能网联汽车感知系统对于车辆周围环境的探测与决策。针对智能驾驶系统在特殊气候环境下和特殊交通参与物条件下的危险场景测评研究是很有意义。雨天（图像失真、感知精度下降）雾天（干扰目标物的识别）特殊天气对传感器的影响（AutonomousDrivinginAdverseWeatherConditions:ASurvey-arXiv2021）逆光大灯影响摄像头识别高速跌落物影响行车安全扬尘（干扰目标识别）智能汽车的信息网络、功能及预期功能安全系统研究方法采用控制变量研究法，依据现有的智能驾驶行业标准规范，选取ADAS典型测试场景，控制其他测试参数不变，单独添加特殊气候环境等因素，研究车辆智能驾驶系统表现。典型场景横穿跟随前车静止跟车环境因素雾雨扬尘车载物跌落测评场景雨天-跟随雨天-前车静止雨天-横穿扬尘前车静止雾天-跟随雾天-前车静止车载物跌落跟车智能汽车的信息网络、功能及预期功能安全系统测试结果：本次研究实车测试了六款车型，从测试结果来看，雨、雾、尘等环境对智能驾驶系统的表现影响较大，车载物跌落、泥浆飞溅遮挡摄像头的场景，所有车型均未通过测试。目前来看，在面对特殊气候和复杂交通环境下，智驾系统整体性能还有较大的提升空间。车型测试结果（得分率）测试场景车型A车型B车型C车型D车型E车型F雨天行人场景33.61%69.16%90.16%58.85%11.0