功能安全

隨著電子電氣架構(gòu)技術(shù)的不斷升級，整車越來越多的系統(tǒng)和組件對功能安全產(chǎn)生影響，為此，功能安全也從部分關(guān)鍵系統(tǒng)開發(fā)，向整車各系統(tǒng)全面開發(fā)拓展。

同時，由于域控制器、中央計算平臺等新架構(gòu)技術(shù)的出現(xiàn)，對功能安全提出了新的技術(shù)挑戰(zhàn)，功能安全必須建立針對這些復雜系統(tǒng)及軟件的開發(fā)和測評手段。

功能安全技術(shù)也影響著電子電氣架構(gòu)技術(shù)的發(fā)展，從傳統(tǒng)的失效安全（Fail-Safe）向失效運行（Fail-Operational）演變，電子電氣架構(gòu)設計中引入了更多的冗余（如通信冗余、冗余控制器等）及安全保障措施。

未來，車輛智能化生態(tài)的形成，將促進功能安全技術(shù)走出單車，向全鏈路延伸，實現(xiàn)整體智能生態(tài)的整體安全。

預期功能安全

電子電氣架構(gòu)相關(guān)的預期功能安全指的是規(guī)避由于功能不足、或可合理預見的人員誤用所導致的人身危害。預期功能安全技術(shù)屬于汽車技術(shù)的一部分，對應的標準為 ISO 21448。根據(jù)自動駕駛功能及其運行設計域，分析滿足預期功能安全要求的系統(tǒng)配置方案，基于系統(tǒng)配置方案確定或選擇合適的電子電氣架構(gòu)方案。預期功能安全關(guān)鍵技術(shù)點：

1. 自動駕駛安全準則制定技術(shù)：針對自動駕駛已知場景和未知場景下的安全表現(xiàn)， 制定客觀量化準則，科學判定自動駕駛的安全水平；

2. 安全分析技術(shù)：通過 STPA 等安全分析手段，識別自動駕駛安全相關(guān)功能的不足性能局限及危害觸發(fā)條件，制定針對性措施，開展功能更新；

3. 多支柱法測試技術(shù)：由仿真測試、定場景測試和真實道路測試組成的自動駕駛預期功能安全測試體系；

4. 安全論證技術(shù)：基于安全開發(fā)、分析、測試等結(jié)果，制定預期功能安全檔案策略，通過 GSN 等論證手段，評估自動駕駛安全風險，完成預期功能安全發(fā)布；

5. 安全監(jiān)控技術(shù)：通過車載和遠程手段，監(jiān)測自動駕駛運行過程中的安全表現(xiàn)，識別安全風險并開展必要的風險控制措施，以確保自動駕駛運行安全。

網(wǎng)絡安全

智能汽車車輛端、通信管道、云平臺以及移動應用均面臨一系列的信息安全威脅。從汽車網(wǎng)絡空間維度出發(fā)，通過多重技術(shù)協(xié)同、不同手段互補、從外到內(nèi)多層次部署安全防線，滿足車輛信息安全防護的縱深性、均衡性、完整性的要求。需要依據(jù)新一代車輛電子電氣架構(gòu)，從網(wǎng)聯(lián)安全、內(nèi)網(wǎng)安全、ECU 安全角度實施部署相應防護措施。

網(wǎng)聯(lián)安全

圖 4-10 智能汽車全方位網(wǎng)絡安全防御

網(wǎng)聯(lián)接入層主要抵御針對以太網(wǎng)的 DOS、PING 類型、畸形報文、掃描爆破、欺騙、木馬等網(wǎng)絡攻擊。需要具備車云聯(lián)動機制的主動安全防護能力，可通過云端系統(tǒng)實時配置防護策略，主要包括接入認證機制、通信保護機制、以太網(wǎng)防火墻機制和入侵檢測與防御（IDPS）機制。

車內(nèi)網(wǎng)安全

車輛內(nèi)網(wǎng)安全主要抵御針對車載 CAN/CAN FD、車載以太網(wǎng)的攻擊入侵，包括報文監(jiān)聽、錯誤注入、報文重放等攻擊。防護的策略包括：總線入侵檢測機制、內(nèi)網(wǎng)防火墻機制、功能域隔離機制、總線通信保護機制和診斷安全保護機制。

關(guān)鍵 ECU 安全

為確保車輛系統(tǒng)或關(guān)鍵數(shù)據(jù)不被破壞，在車輛關(guān)鍵ECU 層面需具備安全啟動、關(guān)鍵數(shù)據(jù)安全存儲、系統(tǒng)安全運行的安全能力，并可為應用運行提供權(quán)限管理能力。

服務安全

SOA 安全框架需要遵循五個基本原則：機密性、完整性、真實性、授權(quán)性和可用性， 通過信息加密、數(shù)字簽名、密碼認證、設計訪問控制列表 ACL、DOS 攻擊監(jiān)控等多種方案及產(chǎn)品實現(xiàn)網(wǎng)絡安全，同時保證這些網(wǎng)絡信息可被發(fā)現(xiàn)、被訪問、被通信以及被監(jiān)測。

圖 4-11 車載 SOA 服務網(wǎng)絡安全原則

• 在服務發(fā)現(xiàn)上，設定信息安全分組隔離機制，使得服務廣播消息只發(fā)給有需要的的服務使用者；

• 在服務訪問上，為服務提供方設置信息安全訪問控制機制，認證并授權(quán)服務使用方發(fā)起的服務請求；

• 在服務通信上，根據(jù) SOA 服務實際的業(yè)務應用場景決定 SOA 消息應采用的信息安全傳輸機制；

• 在服務監(jiān)測上，設置服務安全監(jiān)控機制，發(fā)現(xiàn) SOA 服務相關(guān)的異常事件及安全響應處理機制。