概述01

當(dāng)前，自動(dòng)駕駛處于技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的商業(yè)化前期階段。搭載L1/L2輔助駕駛模塊的車輛已規(guī)模應(yīng)用，L3/L4/L5高等級(jí)自動(dòng)駕駛系統(tǒng)的產(chǎn)業(yè)化也成為企業(yè)競(jìng)爭(zhēng)的科技高地。放眼全球，谷歌旗下的Waymo、通用汽車旗下的Cruise、Nuro獲美國(guó)加州相關(guān)部門的商業(yè)許可，正在由道路測(cè)試驗(yàn)證向商業(yè)運(yùn)營(yíng)穩(wěn)步推進(jìn)。立足國(guó)內(nèi)，截至2021年8月，全國(guó)27個(gè)?。ㄊ校┏雠_(tái)管理細(xì)則，建設(shè)16家智能網(wǎng)聯(lián)汽車測(cè)試示范區(qū)，開放3800多公里測(cè)試道路，發(fā)放700余張測(cè)試牌照，道路測(cè)試總里程超過700萬公里，長(zhǎng)沙、上海、北京等地還開展了載人載物示范應(yīng)用，無人物流、配送等新模式應(yīng)用也在抗擊新冠肺炎疫情期間發(fā)揮了重要作用。此外，專用的自動(dòng)駕駛汽車在港口物流、景區(qū)接駁、礦場(chǎng)運(yùn)輸?shù)鹊湫蛨?chǎng)景已初步形成產(chǎn)業(yè)化應(yīng)用。

在產(chǎn)業(yè)蓬勃發(fā)展的同時(shí)，安全問題也是大眾的焦點(diǎn)。2019年7月3日，汽車及自動(dòng)駕駛技術(shù)領(lǐng)域的11位行業(yè)領(lǐng)導(dǎo)者宣布,共同發(fā)布一份名為《自動(dòng)駕駛安全第一》的白皮書,為基于安全的自動(dòng)駕駛乘用車的開發(fā)、測(cè)試及驗(yàn)證等各階段提供了指導(dǎo)。在美國(guó)交通部發(fā)布的《自動(dòng)駕駛安全愿景2.0》中，提出了13種企業(yè)需要聲明的安全要素，美國(guó)政府鼓勵(lì)自動(dòng)駕駛公司按照這13個(gè)要素闡述企業(yè)的實(shí)際情況。我國(guó)也積極推動(dòng)《車聯(lián)網(wǎng)產(chǎn)業(yè)標(biāo)準(zhǔn)體系建設(shè)指南》的完善，構(gòu)建自動(dòng)駕駛安全的中國(guó)標(biāo)準(zhǔn)。今年3月，美國(guó)國(guó)家道路交通安全管理局（National Highway Traffic Safety Administration，NHTSA）發(fā)布了《自動(dòng)駕駛汽車乘員保護(hù)安全標(biāo)準(zhǔn)》，針對(duì)“沒有傳統(tǒng)手動(dòng)控制部件（方向盤、踏板等）的自動(dòng)駕駛汽車”提出整套安全標(biāo)準(zhǔn)，著眼L4/L5自動(dòng)駕駛汽車量產(chǎn)的安全管理。

對(duì)于自動(dòng)駕駛汽車而言，車輛本身的安全性主要集中在部件及整車安全、主動(dòng)及被動(dòng)安全；此外，自動(dòng)駕駛汽車也是人工智能的電子駕駛?cè)耍叫杩紤]遵守交通規(guī)則、緊急避險(xiǎn)等針對(duì)駕駛?cè)笋{駛能力的安全性；最后，自動(dòng)駕駛汽車需要不斷采集大量數(shù)據(jù)、頻繁地通過V2X進(jìn)行交互、不停地與處理多源信息，極易暴露安全隱患。

綜上，自動(dòng)駕駛汽車安全可以分為車輛安全、駕駛安全和信息安全。其中車輛安全包括車輛的主動(dòng)安全、被動(dòng)安全、整車運(yùn)行安全等；駕駛安全包括功能安全、預(yù)期功能安全等；信息安全包括數(shù)據(jù)安全、隱私保護(hù)、防干擾、防欺詐等。針對(duì)車輛安全，可以沿用現(xiàn)有的車輛安全管理保障措施和手段；針對(duì)駕駛安全，現(xiàn)有機(jī)動(dòng)車駕駛?cè)司哂袊?yán)格的駕駛技能、交通法規(guī)知識(shí)的教育培訓(xùn)及考試手段，也可以延伸到自動(dòng)駕駛汽車的駕駛安全管理，但需要進(jìn)一步吸收自動(dòng)駕駛汽車的交通行駛特征，加以拓寬完善，這樣才能實(shí)現(xiàn)自動(dòng)駕駛汽車的交通安全；針對(duì)信息安全，應(yīng)建立網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體系，掌握本行業(yè)或相關(guān)行業(yè)應(yīng)對(duì)信息安全問題的良好實(shí)踐，推進(jìn)消息加密、身份驗(yàn)證、數(shù)字簽名等安全防護(hù)技術(shù)研發(fā)應(yīng)用。不同安全類別的主要內(nèi)容和參考標(biāo)準(zhǔn)如下表所示。

表1 自動(dòng)駕駛汽車安全相關(guān)標(biāo)準(zhǔn)

車輛安全02

自動(dòng)駕駛汽車是車和人的結(jié)合體，在成為文明守規(guī)的合格駕駛?cè)酥?，自?dòng)駕駛汽車必須是一輛合格的汽車，具備必要的主動(dòng)安全、被動(dòng)安全、運(yùn)行安全能力，需要滿足現(xiàn)有的汽車碰撞標(biāo)準(zhǔn)等。

主動(dòng)安全技術(shù)是指在輕松和舒適的駕駛條件下幫助駕駛?cè)吮苊馐鹿实募夹g(shù)。主動(dòng)安全技術(shù)主要包括底盤主動(dòng)安全技術(shù)、安全預(yù)警技術(shù)和綜合安全技術(shù)等。和普通車輛相比，自動(dòng)駕駛汽車布設(shè)了先進(jìn)的傳感器，能夠進(jìn)一步提高車輛的碰撞安全性能。被動(dòng)安全技術(shù)的產(chǎn)生起源于歐美，隨著相關(guān)技術(shù)的產(chǎn)生及運(yùn)用，交通事故中所產(chǎn)生的傷害得到了明顯的改善。我國(guó)的汽車被動(dòng)安全內(nèi)容主要體現(xiàn)在車身結(jié)構(gòu)設(shè)計(jì)、被動(dòng)安全零部件以及約束系統(tǒng)匹配上。通過引進(jìn)國(guó)外先進(jìn)的汽車安全技術(shù)，如預(yù)緊限力式安全帶、充氣式安全帶、多級(jí)安全氣囊、潰縮吸能式轉(zhuǎn)向管柱等，我國(guó)的汽車被動(dòng)安全也獲得了較快的發(fā)展。在運(yùn)行安全方面，自動(dòng)駕駛汽車要上公共道路，同樣需要符合國(guó)家標(biāo)準(zhǔn)GB7258《機(jī)動(dòng)車運(yùn)行安全技術(shù)條件》的要求。GB7258是我國(guó)機(jī)動(dòng)車安全管理最基本的技術(shù)標(biāo)準(zhǔn)，廣泛應(yīng)用于機(jī)動(dòng)車制造、進(jìn)口、質(zhì)檢、維修、注冊(cè)登記、安全技術(shù)檢驗(yàn)、運(yùn)行安全管理、事故車檢驗(yàn)和機(jī)動(dòng)車報(bào)廢等相關(guān)領(lǐng)域，發(fā)揮了技術(shù)法規(guī)的作用。GB7258規(guī)定了機(jī)動(dòng)車的整車及主要總成、安全防護(hù)裝置等有關(guān)運(yùn)行安全的基本技術(shù)要求，在加強(qiáng)機(jī)動(dòng)車運(yùn)行安全管理、提高機(jī)動(dòng)車運(yùn)行安全水平等方面起到了積極的作用。

除此之外，本文認(rèn)為針對(duì)自動(dòng)駕駛汽車運(yùn)行安全的要求還應(yīng)體現(xiàn)在以下兩個(gè)方面：一是自動(dòng)駕駛功能的完備性，包括啟動(dòng)、停車、轉(zhuǎn)彎等基本駕駛能力、各種常見道路場(chǎng)景的通行能力，對(duì)障礙物的識(shí)別及響應(yīng)能力、駕駛接管能力、進(jìn)入最小風(fēng)險(xiǎn)狀態(tài)功能等；二是自動(dòng)駕駛的性能，即自動(dòng)駕駛汽車的響應(yīng)時(shí)間、運(yùn)行效率、資源利用等指標(biāo)，包括對(duì)障礙物的識(shí)別時(shí)間、操控響應(yīng)時(shí)間、通過交叉口的效率、泊車時(shí)間、路徑規(guī)劃、跟車距離等。相關(guān)功能性能的檢測(cè)應(yīng)參照工信部、公安部、交通部發(fā)布的《智能網(wǎng)聯(lián)汽車道路測(cè)試與示范應(yīng)用管理規(guī)范（試行）》所規(guī)定的8項(xiàng)智能網(wǎng)聯(lián)汽車自動(dòng)駕駛功能通用檢測(cè)項(xiàng)目開展，確認(rèn)滿足與運(yùn)行安全有關(guān)的功能要求和限制，方可認(rèn)為其安全性達(dá)到了上路的安全水平。

功能安全與預(yù)期功能安全03

自動(dòng)駕駛汽車設(shè)計(jì)構(gòu)造有別于傳統(tǒng)汽車，在系統(tǒng)及相關(guān)零部件不存在故障的情況下，自動(dòng)駕駛汽車在復(fù)雜交通場(chǎng)景中，仍然可能做出錯(cuò)誤判斷而產(chǎn)生駕駛安全風(fēng)險(xiǎn)。評(píng)估自動(dòng)駕駛汽車的駕駛安全性能最合理的方法就是讓其在實(shí)際交通中行駛并觀察表現(xiàn)，除了考量車輛按其設(shè)計(jì)或相關(guān)技術(shù)標(biāo)準(zhǔn)應(yīng)有的功能安全外，還需評(píng)估在各種天氣、溫度、地形、交通流等未知因素影響下的預(yù)期功能安全性。

在GB/T 34590《道路車輛功能安全》中，將功能安全定義為不存在由電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。功能安全解決的是因電控系統(tǒng)故障導(dǎo)致的車輛危害行為而引發(fā)安全事故的問題。自動(dòng)駕駛系統(tǒng)設(shè)計(jì)需符合汽車行業(yè)已有的功能安全規(guī)范，相關(guān)設(shè)計(jì)保障自動(dòng)駕駛系統(tǒng)減輕或消除系統(tǒng)失效的影響，按照預(yù)期設(shè)計(jì)正確地發(fā)揮應(yīng)有的駕駛能力。

首先，為了保障行駛安全性，根據(jù)具體情況進(jìn)行關(guān)鍵部件的冗余設(shè)計(jì)及布置，例如通信通路、傳感器、計(jì)算單元、轉(zhuǎn)向和制動(dòng)系統(tǒng)等。當(dāng)部件出現(xiàn)故障時(shí)，冗余的部件介入工作，承擔(dān)失效部件的功能，為自動(dòng)駕駛系統(tǒng)運(yùn)行提供服務(wù)。這種冗余備份，使得在有部件發(fā)生失效時(shí)，自動(dòng)駕駛系統(tǒng)仍然有能力持續(xù)安全運(yùn)行一段時(shí)間。

其次，對(duì)自動(dòng)駕駛系統(tǒng)關(guān)鍵功能進(jìn)行充分評(píng)估。自動(dòng)駕駛系統(tǒng)關(guān)鍵功能失效主要原因包括:對(duì)使用場(chǎng)景考慮不周全，導(dǎo)致系統(tǒng)不能準(zhǔn)確識(shí)別環(huán)境要素;功能仲裁系統(tǒng)出現(xiàn)故障，導(dǎo)致系統(tǒng)決策失誤;執(zhí)行器響應(yīng)能力不足，導(dǎo)致運(yùn)動(dòng)控制偏離預(yù)期等。自動(dòng)駕駛系統(tǒng)關(guān)鍵功能評(píng)估，就是將功能放置于可能失效的場(chǎng)景中，進(jìn)行全方位的驗(yàn)證，包括道路測(cè)試和場(chǎng)景庫測(cè)試，盡可能涵蓋各種場(chǎng)景，以便找到自動(dòng)駕駛系統(tǒng)能力不足的方面并加以改進(jìn)，獲得統(tǒng)計(jì)性數(shù)據(jù)證明系統(tǒng)的安全性。

此外，為了保證自動(dòng)駕駛系統(tǒng)始終安全有效，自動(dòng)駕駛強(qiáng)化了對(duì)系統(tǒng)功能安全的要求。在自動(dòng)駕駛技術(shù)層面，提出了更高的功能安全要求。自動(dòng)駕駛功能日趨復(fù)雜，更加依賴電子電氣（E/E）系統(tǒng)實(shí)現(xiàn)感知、決策和控制，對(duì)車輛安全技術(shù)的正確性和完整性要求進(jìn)一步提高。開發(fā)過程中，由于自動(dòng)駕駛系統(tǒng)具有目標(biāo)和事件探測(cè)與響應(yīng)、最小風(fēng)險(xiǎn)策略、介入請(qǐng)求、人機(jī)交互等功能，需要提出更為系統(tǒng)全面的安全目標(biāo)和功能安全概念需求，系統(tǒng)、硬件和軟件設(shè)計(jì)面臨更多冗余、異構(gòu)、監(jiān)控的要求。

最后，自動(dòng)駕駛系統(tǒng)預(yù)期功能安全則提出了新要求。毫米波雷達(dá)、激光雷達(dá)、攝像頭等傳感器構(gòu)成了自動(dòng)駕駛的感知輸入，受光照、惡劣天氣等影響，傳感器本身沒有發(fā)生失效，但性能可能會(huì)降低，輸入出現(xiàn)偏差，導(dǎo)致自動(dòng)駕駛決策和執(zhí)行出現(xiàn)問題而引發(fā)車輛危害行為，這種由于自動(dòng)駕駛功能不足導(dǎo)致的非失效風(fēng)險(xiǎn)逐漸增多。自動(dòng)駕駛模式下，自動(dòng)駕駛系統(tǒng)承擔(dān)部分或全部動(dòng)態(tài)駕駛?cè)蝿?wù)，產(chǎn)品設(shè)計(jì)無法預(yù)估到所有場(chǎng)景條件，駕駛場(chǎng)景成為影響安全的重要因素，未知的不安全場(chǎng)景對(duì)自動(dòng)駕駛系統(tǒng)提出了挑戰(zhàn)。此外，機(jī)器學(xué)習(xí)存在不確定性，也可能造成設(shè)計(jì)不足，導(dǎo)致非失效風(fēng)險(xiǎn)，危害到自動(dòng)駕駛的安全性。

如何保障自動(dòng)駕駛汽車的功能安全和預(yù)期功能安全，還面臨現(xiàn)有標(biāo)準(zhǔn)難于落地實(shí)施的挑戰(zhàn)。功能安全標(biāo)準(zhǔn)ISO 26262和預(yù)期功能安全標(biāo)準(zhǔn)ISO 21448這兩項(xiàng)國(guó)際標(biāo)準(zhǔn)均偏重方法和理論，目前難以落地實(shí)施應(yīng)用，進(jìn)而帶來了全球痛點(diǎn)，即缺少評(píng)價(jià)車輛安全性的量化準(zhǔn)則，難以從量化角度科學(xué)評(píng)價(jià)安全性。

信息安全04

當(dāng)前的汽車是一個(gè)網(wǎng)絡(luò)和硬件融合的系統(tǒng)，包含數(shù)十甚至數(shù)百個(gè)計(jì)算單元，由數(shù)億條軟件代碼操作，控制著汽車各種機(jī)電部件。每一個(gè)計(jì)算單元?jiǎng)t稱為電子控制單元（ECU），這些單元通過內(nèi)部網(wǎng)絡(luò)連接在一起，也稱為車內(nèi)網(wǎng)絡(luò)，甚至可以連接到互聯(lián)網(wǎng)。車內(nèi)網(wǎng)絡(luò)通常連接多種通信網(wǎng)絡(luò)、支持相關(guān)協(xié)議，包括工業(yè)標(biāo)準(zhǔn)控制器局域網(wǎng)(CAN)、本地互連網(wǎng)絡(luò)(LIN)、FlexRay、面向媒體的系統(tǒng)傳輸總線（MOST）和射頻通信等等。車內(nèi)網(wǎng)絡(luò)由節(jié)點(diǎn)、網(wǎng)關(guān)和總線組成，數(shù)據(jù)通過網(wǎng)關(guān)從一個(gè)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)網(wǎng)絡(luò)，所有消息都在總線上廣播，并可通過標(biāo)準(zhǔn)車載診斷接口(OBD)或無線通信接口，如藍(lán)牙、WiFi和蜂窩電話網(wǎng)絡(luò)來訪問。

根據(jù)訪問方式，可以將自動(dòng)駕駛汽車的信息安全風(fēng)險(xiǎn)問題分為兩類，物理攻擊和無線攻擊。物理攻擊指攻擊者直接連接到車輛的OBD端口，從而接入CAN總線和所有生態(tài)系統(tǒng)。攻擊者利用加密狗等設(shè)備插入OBD或車載USB端口收集信息或?qū)⑿畔⒅苯幼⑷胲囕v。無線攻擊則更具風(fēng)險(xiǎn)，因?yàn)楣粽卟恍枰獙⑷魏芜m配器物理連接到車輛上，而是通過車載藍(lán)牙、WiFi或者蜂窩網(wǎng)絡(luò)連接車輛的遠(yuǎn)程信息處理單元。有研究者嘗試了多種方法成功地將已配對(duì)但運(yùn)行了惡意軟件的安卓手機(jī)、甚至是未配對(duì)的設(shè)備通過藍(lán)牙與被攻擊車輛連接。還有研究者利用2015款Jeep自由光車型的WiFi網(wǎng)絡(luò)密碼生成協(xié)議的漏洞，成功獲取CAN總線數(shù)據(jù)。

常見的攻擊手段如下圖所示。這些攻擊均以損害系統(tǒng)的信息安全為目標(biāo)，即機(jī)密性、完整性、可用性。當(dāng)攻擊者可以竊聽網(wǎng)絡(luò)發(fā)送的信息或未經(jīng)授權(quán)的用戶可以訪問網(wǎng)絡(luò)內(nèi)共享的信息時(shí)，機(jī)密性可能會(huì)丟失；傳輸?shù)男畔⒖梢员淮鄹?、注入、回放、偽裝或刪除，則信息的完整性受到損害；因拒絕服務(wù)攻擊或分布式拒絕服務(wù)攻擊而使服務(wù)無法訪問，服務(wù)的可用性受到損害。

圖1 網(wǎng)絡(luò)攻擊手段及其攻擊目標(biāo)

其中一些攻擊依賴于物理訪問，如GPS欺騙只能在接近目標(biāo)的地方完成；而另一些攻擊可以基于網(wǎng)絡(luò)連接而遠(yuǎn)程進(jìn)行。一般來說，任何可以通過遠(yuǎn)程連接來實(shí)現(xiàn)攻擊的都可以通過物理連接來實(shí)現(xiàn)。盡管物理訪問對(duì)攻擊者來說可能很難實(shí)現(xiàn)，但通過物理訪問的攻擊往往比使用遠(yuǎn)程訪問的攻擊更方便。有些情況遠(yuǎn)程攻擊也需要物理訪問，如通過物理接觸來安裝后續(xù)遠(yuǎn)程訪問所需的無線通信設(shè)備。

汽車制造商一直在努力解決自動(dòng)駕駛的信息安全和隱私問題。隨著汽車在道路安全性和舒適性方面功能的不斷增加，信息安全攻擊面持續(xù)增長(zhǎng)。目前認(rèn)為，軟件相關(guān)的安全解決方案能夠滿足需求，但身份防篡改的安全解決方案仍然缺乏，如消息加密、身份驗(yàn)證、數(shù)字簽名、入侵檢測(cè)系統(tǒng)，以及固件的無線安全更新等技術(shù)需要研發(fā)和引入。

隱私問題上，自動(dòng)駕駛汽車目前可以收集到什么樣的個(gè)人信息還需進(jìn)一步研究，但車輛已經(jīng)使用的GPS位置數(shù)據(jù)，包括路線、目的地、速度、總行程時(shí)間等，需要安全防護(hù)和匿名化處理，以保護(hù)駕駛?cè)撕统丝偷碾[私和安全。

部件問題上，操作汽車相關(guān)設(shè)備時(shí)消耗的電量、時(shí)序信息、電磁輻射以及其他特征信息，存在作為側(cè)信道攻擊和物理反向工程所需信息來源的可能。需要使用物理防護(hù)手段抵御此類安全威脅。對(duì)于可以遠(yuǎn)程訪問的設(shè)備，應(yīng)持續(xù)進(jìn)行更新保障系統(tǒng)安全性和健壯性，應(yīng)用實(shí)時(shí)分布式軟件代理來識(shí)別潛在的網(wǎng)絡(luò)攻擊。

小結(jié)與展望05

本文主要分析了自動(dòng)駕駛汽車三個(gè)方面的安全因素。隨著汽車智能化、網(wǎng)聯(lián)化不斷發(fā)展，汽車、電子信息、通信等領(lǐng)域不斷融合，人、車、路、云的邊界也逐漸模糊，自動(dòng)駕駛安全的內(nèi)涵和外延不斷發(fā)生變化，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等問題相互交織，對(duì)車輛的監(jiān)管提出新的挑戰(zhàn)。后續(xù)擬采用系統(tǒng)工程的方法，加強(qiáng)對(duì)功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等問題的研究梳理，提出系統(tǒng)性驗(yàn)證評(píng)估體系，并推動(dòng)試點(diǎn)加強(qiáng)經(jīng)驗(yàn)和數(shù)據(jù)的積累，保障安全和發(fā)展的平衡。

（陸文杰  王敏  公安部交通管理科學(xué)研究所）
注：本文為內(nèi)容節(jié)選，全文參見《道路交通科學(xué)技術(shù)》期刊2022年第2期。