1 前言

在信息与物理融合的工业4.0和中国制造2025的大背景下，当前汽车技术正在被颠覆式创新所颠覆，传统汽车制造商与汽车行业新兵与造车新势力不断加速汽车技术的演变。传统汽车在智能化、信息化、电动化和共享化的大潮下变得越来越聪明，汽车也应该变得越来越安全。世界各大主机厂同时也在新的商业模式下纷纷宣布建立移动出行公司，拓展公司业务，成为设计、制造和服务一体化公司。

传统汽车安全包括产品可靠性与耐久，汽车主动安全与被动安全技术，随着汽车电子技术的不断升级，电子电气系统的功能需要越来多，一些电子电气系统功能失效将为汽车使用带来巨大的影响，甚至危及到车上人员和行人的生命安全。智能网联汽车还涉及到信息安全和信息隐私安全，新时代汽车的安全内涵正在大幅度扩展（图1），这给汽车安全技术的研发带来巨大挑战。

IATF 16949:2016(Quality management system re⁃quirements for automotive production and relevant ser⁃vice parts organizations)[1]是汽车行业质量体系的基本要求，是质量管理者必读的圣经，产品研发质量管理是整个产品质量的重要组成部分。IATF 16949明确了汽车产品实现的策划与产品研发与生产及服务的全过程，既包含了产品可靠性和耐久性的基本要求，也包含了主动安全和被动安全，IATF 16949还鼓励汽车制造企业遵循其它有利于提升质量要求的标准。2018年12月ISO更新了ISO 26262:2011《道路车辆—功能安全》（Road vehicles— Functional Safety（FuSa）），成为：ISO 26262:2018[2]。ISO 26262 专注于在汽车产品生命周期中，识别和减轻E/E（Electrical/Electronics）构架系统、软件和零部件发生故障后造成的危害，ISO 26262:2018则扩大到所有道路车辆、半导体器件准则和软件工具的使用信心。近年来ISO也在组织国际上顶尖的汽车企业研讨另一项标准，即ISO PAS 21448《道路车辆—预期功能安全》（Road vehi⁃cles— Safety of the Intended Functionality（SOTIF））。作为与ISO 26262同等重要的功能安全标准，ISOPAS 21448注重E/E系统功能的定义和功能本身不能按照定义的功能发挥作用后的危害，识别和减少在设计运行域（Operational Design Domain）功能失效的相关原因，ISOPAS21448是ISO 26262的重要补充。2019年3月ISO/TC22/SC32/WG8功能安全工作组将正式启动SOTIF标准制定工作，该标准将引入机器学习、路径规划、人机界面（HMI）和先进测试方法等全新内容，预计2021年SOTIF将正式作为ISO标准全球发布[3]。

图1 汽车安全分类

2 汽车安全技术挑战

根据 Automated Driving-VDI Status Report，交通事故90%的原因是人类驾驶员操作失误造成的，智能网联汽车可以弥补人类的身体和心里上的缺点，总体上可以降低驾驶员人为失误造成的事故数量。根据2018年德国VDI安全技术咨询委员会（Technical Advisory Board Safety,Procedures and Processes）2018年7月发布的Automated Driving:VDIStatus Report，不断增加自动驾驶功能汽车市场投放，2020年就可以降低20%的伤亡数量[4]。

美、欧、日等国家正在积极研发智能网联汽车，作为工业4.0和物联网（IoT）的最佳应用。各大车企和造车新势力已经投入巨资在研究L3-L4级高度智能驾驶技术，在2019年1月12日美国拉斯维加斯举行的消费电子展（CES）上，BMW展出了具有L4级自动驾驶技术的iNext概念车，本田展示了自动驾驶越野车，中国一汽展示了首创的红旗“旗境”智能舱，博世公司展示了无人驾驶电动巴士概念[5]。在纷繁的现实世界中，在不断变化的客户需求中，在颠覆式技术创新驱动的商业模式创新中，智能网络汽车的发展面临着社会民众的认知、基础设施、法律法规和技术发展的挑战。

先进的驾驶辅助系统（ADAS）是实现智能驾驶的重要支撑技术，随着ADAS技术的进步加上线控技术发展，为实现不断增长的驾驶辅助功能和信息娱乐系统，越来越多的电子硬件和软件控制技术应用在汽车上。人工智能（Artificial Intelligence,AI）在智能网联汽车技术上也获得了广泛应用，机器学习（Machine Learning,ML）会更好使ADAS符合用户的驾驶风格。Roland Berger咨询公司高级合伙人Wolfgang Bernhart在2016年国际工程科技发展战略高端论坛—机械与运载工程科技2035发展战略论坛上指出，当前全球汽车主机厂在向移动服务快速转型过程中，在考虑公司服务型的构架下，包括服务型的超级系统（5G）、服务型车辆级别的中央计算平台（AUTOSAR、以太网），服务型的主机厂开始考虑其核心竞争力和技能需求，其中汽车软件人才的需要将快速增长。

2017年欧洲交通研究咨询委员会（ERTRAC）的一篇报告指出智能网联汽车面临着车辆、系统与服务、社会3个层面的挑战[6]（见图2）。

图2 智能网联汽车面临的挑战[6]

在车辆层面，面临车载核心技术，包括安全相关的生产和产业化挑战。在系统与服务层面则包含新的出行服务、大数据、人工智能（AI）等应用，其中人因和万物互联也是与车辆安全密切相关的因素。在社会层面，除了使用者、社会接受程度和道德和驾驶员培训外，政策法规需求方面需要关注可持续发展及安全认证与道路性能试验。

智能网联汽车研发的驱动力之一就是要减少人为因素造成的汽车事故的发生，而汽车网联技术的发展和其它智能驾驶核心技术的发展，包括基础设施的互联互通，在为降低汽车行驶事故的同时，也为汽车使用中增加了更多的风险。

Carneigie Mellon大学Koopman教授指出智能驾驶安全不是单一技术能够解决的，在构建智能驾驶汽车安全构架时应考虑法律、安全工程技术、计算机硬件、软件、高度可信的机器人、网络安全、测试、人机界面和社会接受程度（图3）[7]。

图3 多领域协同多学科方法确保安全[7]

维也纳技术大学的Wotawa教授提出，在车辆计算层面由于越来越多的ADAS应用和智能驾驶能力的实现，主机厂必须应对下面的挑战[8]：

（1）系统级安全危害的诱导；

（2）测试场景和测试数据的创建；

（3）为操作失败行为提供的保障；

（4）智能/自适应系统的验证与确认；

（5）在线安全分析。

TNO Hala Elrofai在StreetWise SCENARIOBASED SAFETY VALIDATION OF CONNECTED AND AUTOMATED DRIVING报告中提出汽车行驶安全包括功能安全（ISO 26262）、预期的功能安全（SOTIFISO/WD PAS 21448）和行为安全（Behavioral Safety），其中行为安全关注的是智能驾驶系统设计，使智能网联汽车在预期的驾驶环境下能够使汽车安全地自主驾驶，避免危险并降低发生灾难的风险[9]。

法国UTBM大学Dabboussi认为在汽车网联通讯方面，汽车网联技术给汽车增加了更大的安全性，由于这一技术的实施可以使汽车感知到环境中的障碍物，在L3级以上的自动驾驶汽车上，汽车可以根据获得的网联信息做出相应的反应。但这从信息的角度也增加了信息可信度的挑战。当前VANET（Vehicular Ad hoc NeTworks）涉及更多的是通讯性能和路径协议的研究及评估，很少涉及整个系统操作安全性和可信度[10]。

加拿大Waterloo大学的智能系统工程试验室（Waterloo Intelligent Systems Engineering(WISE)Lab）的Salay博士认为机器学习在汽车软件应用方面，软件安全保障存在两大缺失，包括缺乏技术要求和缺乏解释性。功能技术要求很难描述全面，这就促使使用机器学习（ML）。训练集也不是充分的，也不能完全替代技术要求。而缺乏解释性也是安全保障的一个障碍，因为一些验证方法无法使用，这对于验证和认证能力有巨大影响[11]。

3 智能网联汽车安全愿景与安全需求

ERTRAC在欧盟战略研究议程报告中提出，欧洲的交通安全的愿景：“任何时间的安全和保障”（Safe and secure at any time）[12]。其内容包括：

·近零事故和零伤害，发挥安全功能和完全智能的自动驾驶功能，包括道路使用者和基础设施。

·优化和直观的人机界面（HMI），符合认知安全的要求。

·保持安全和良好维护的物理和数字基础设施。

·不同道路使用者的专用交通空间。

·提高事故中和事故后的安全水平。

·安全隐私。

·安全和保障的两个特征：不可能的攻击和滥用。

·不断维护和更新系统软件，提高其性能。

·系统地验证和确认的网络物理系统。

·恢复力：高度自动化管理系统，使事故影响最小化，快速恢复。

德国VDI安全技术咨询委员会在2018年7月发布的Automated Driving:VDI Status Report报告中提出，可以期待自动化改善以下道路安全情况[4]：

·因疏忽而偏离车道

·由于注意力不集中而引起的交通事故

·由于缺乏经验，缺乏培训而导致的事故

·驾驶员的负面情绪状态

·交叉口发生的事故

·封闭道路时发生的事故

·由于速度不合理造成的事故

·换道时发生的事故

·过度疲劳导致的事故

4 智能网联汽车安全技术研发流程

智能网联汽车为汽车安全技术提出了极具挑战性的课题，识别、规定并执行智能网联汽车产品开发流程是智能网联产品安全的重要保障，这也符合IATF 16949的要求。在产品开发流程大框架下，结合ISO 26262和SOTIF标准建立智能网联汽车产品开发流程，其中的子流程包括功能安全需要与定义、危害分析与风险评估、功能开发与验证、确认及产品发布投入到生产和市场导入前的产品批准。

4.1 智能网联汽车产品研发流程的建立

M.Maurer,et al.在Autonomous Driving一书中提出了智能网联汽车产品的V字型开发流程[13]。V字型高度自动驾驶产品开发流程，包括概念阶段和批量开发阶段，从多学科专家的概念构思、功能安全要素的确定、风险分析、场景创建、虚拟测试、确定实施安全需求、驾驶测试、测试诊断和最终发布。

智能网联汽车的发布流程是在研发最终确认后为制造和市场投放进行的重要流程，是对智能网联汽车安全技术确认的重要一环。M.Maurer在Autono⁃mous Driving一书中提出了智能网联汽车产品发布流程（Sign-off process）,包括开发和智能驾驶开发团队确认开口项目清单是否关闭，确认安全项目。如果安全项目关闭，则签署SOP文件，批准进行批量生产准备。如果有安全项目没有关闭，则获得功能安全的相关证据，重新检查开口项目，重新获取相关样件，进行相关的测试，包括虚拟和场地测试。对于重大项目，应咨询内部专家，包括交通安全、功能安全、人机工程、产品分析、法律方面等领域。外部专家咨询应包括交通局、供应商等[13]。

4.2 智能网联汽车研发测试场景库的建立流程

智能网联汽车安全的首要因素就是场景创建，荷兰TNO研究所的Hala Elrofai博士提出了场景创建流程，见图4。该流程是基于真实世界的驾驶数据：包括动态的交通、静态的环境和条件。描述静态环境，包括道路布局和静态要素。然后是要确定参数化的静态环境模型，如PreScan,VIRES等，流程的最终是要形成场景库文件。

图4 使用真实世界场景创建测试案例[9]

4.3 智能网联汽车功能安全开发流程的建立

意大利IOTG公司的Riccardo Mariani提出了ISO 26262与SOTIF开发验证与确认流程的交互作用，见图5，即在概念开发阶段SOTIF的流程包括[14]：

图5 ISO 26262与SOTIF开发验证与确认流程[14]

（1）SOTIF与ISO 26262共同确认危害分析与风险评估（Hazard Analysis and Risk Assessment，HARA），SOTIF关注的是系统不能发挥正常作用的原因，而ISO 26262则关注识别和减轻E/E系统失效的危害。

（2）SOTIF确认功能安全概念；

（3）SOTIF对功能定义、功能描述、系统描述、HARA和功能安全概念一致性审查；

（4）在概念阶段的初期，通过SOTIF对概念进行验证。

（5）在批量开发阶段，按SOTIF标准的微流程进行预期功能安全的验证与确认。

Waterloo大学WISE试验室的Salay博士提出，机器学习（ML）在先进驾驶辅助系统（ADAS）和智能驾驶系统（ADS）上的应用呈现快速增长趋势，机器学习提升智能驾驶系统安全性越来越重要。Salay博士指出机器学习在汽车软件应用方面应进行评估，以确定是否有安全要求，是否必须由ML实现还是由编程来实现[11]。

深度神经网络（DNN）通过训练可以用来检测行人、交通路况、信号灯等物体，未来随着强化学习（RL）的普遍应用，可以解决智能车辆很多问题，如通过强化算法，加强从感知到决策控制的全过程。在驾驶辅助方面，人工智能也可以扮演重要角色，可以训练车辆按照驾驶员的特有驾驶风格驾驶车辆，包括制动踏板和加速踏板的踩踏力度可以符合驾驶员的风格，也可以结合高精地图，在特定的路段如弯道和环岛广场主动减速，以保障安全驾驶。

4.4 智能网联汽车可靠性验证与确认

智能网联驾驶汽车的安全性一直是企业、政府和广大使用者高度关注的问题。传统的评价汽车可靠性的方法是将智能驾驶汽车在真实的道路环境中进行可靠耐久试验，评价汽车安全的方法就是要比较智能驾驶汽车行驶百万公里甚至数亿公里，然后比较与人类驾驶发生交通事故的概率。这种方法虽然很符合逻辑性，但是很不经济、也很耗时。

智能网联驾驶汽车的安全性影响到机动车自身安全和社会公共安全，汽车安全技术的发展也影响政府管理部署交通安全策略。智能网联车辆规则的自适应设计势在必行，从一开始就随着技术的发展而发展，使社会能够更好地利用获益。

在传统汽车产品可靠性和可信度分析方法的基础上，识别风险和问题，持续改进系统和零部件，建立智能汽车产品可靠性分析流程对保障智能汽车安全是至关重要的。法国UTBM大学Dabboussi提出了智能汽车（AV）产品可靠性分析程序，见图6。Dabboussi提出的智能汽车可靠性分析程序包括了可靠性和可信度需求、功能分析、失效模式与影响分析、可靠性矩阵、RBD(Reliable Block Diagram)、FT(Fault Tree)、Petri网联、模拟和数学方法[10]。智能网联汽车可靠性分析程序很重要的内容也包括V2X的分析，如VANET、DSRC、RSU、WAVE,此外还包含网络拓扑分析等。

图6 可靠性分析程序[10]

RAND公司的Nidhi Kalra博士指出随着技术的发展，智能网联汽车开发人员应采用现代化的技术和方法评估智能网联汽车的可靠性和可信度，这些方法包括加速试验、虚拟测试与仿真、场景行为测试和示范研究。随着技术的进步，智能汽车会越来越安全，但是仍然存在不确定性和风险。加强示范运行是获得公众认可和展示智能驾驶可靠的重要一步，这需要政府、企业和公众、保险业共同承担一定的风险和责任[15]。Nidhi Kalra展示了智能驾驶汽车的故障率低于人类驾驶员的故障率分析，见图7。

德国亚琛大学的汽车研究所（IKA）Rösener在2018年27届亚琛国际汽车与发动机技术研讨会上提出了智能驾驶安全影响评估方法（图8）[16]，Rösener认为，传统安全评估方法是基于人类驾驶已经发生的事故场景统计基础上，而自动驾驶功能的使用场景并不一定包含在这些场景中，因此需要提出新的方法来模拟自动驾驶功能，主要流程包括定义自动驾驶场景、模拟基于驾驶场景的有效领域、考虑发生驾驶场景的频率变化和驾驶场景发生事故的严重度变化，最后评估自动驾驶功能有效性[16]。

图7 以95%的置信度和80%的权重证明智能驾驶汽车的故障率低于人类驾驶员的故障率[15]

图8 智能驾驶安全影响评估[16]

解决网联汽车可靠性与安全问题，应从系统工程的角度，以系统体系（System of Systems,SOS）的观点，进行顶层设计。在万物互联的大趋势大背景下，Karl⁃sruhe技术研究所（KIT）的产品工程研究室（IPEK）的Albert Albers认为，网联汽车是互联系统中的一个组成子系统（图9）[17]。

图9 网联汽车-系统体系—系统中的一个子体系[17]

Albert Albers总结了美国国防部、Maier,Dahmann&Baldwin、Jamshidi等多位作者的文献，得出如下结论[17]：

（1）图9是SOS的各系统组成，综合系统中包括汽车、智能手机、充电站、IT后端和其他系统（如交通基础设施等），各系统能够独立运行。他们是分开获取和集成的，并保持持续运行，独立于体系的系统。

（2）组成的各系统也独立于SOS实现目标，系统所有者可能对使用它们的系统实现SOS目标不感兴趣，甚至可能拒绝他们。SOS目标可能与构成系统的目标发生冲突。

（3）组成系统的发展可以在一个独立的组织机构内进行，没有必要建立一个综合的、协调的SOS组织机构，许多利益相关者都可参与其中。

（4）组成系统有不同的产品生命周期，一些系统在开放中，其他可能很快就会从市场上消失。组成系统的发展不一定是同步的，也不是集中管理的。

（5）SOS的发展是不断进行的，永不停歇，总是增加系统或减少系统。对组成系统的变更是经常出现的，而且可能出现影响其他组成系统的情况。

（6）复杂性是SOS的基本特征，任何人都不可能对所有系统都很熟悉。组成系统在很大程度上是异构的，对于其他组织机构来说完全是“黑匣子”。

6 结束语

智能网联汽车是在工业4.0和物联网发展的大背景下汽车工业发展的必然产物，将为社会、企业和民众提供无限的创新机遇和挑战；智能网联汽车的发展为交通安全改善提供了很重要的工具，同时也对智能网联汽车安全技术的发展提出了具有挑战性的目标；智能网联汽车安全技术要求在传统汽车安全的基础上，增加了功能安全、信息安全和信息隐私安全；智能网联汽车安全技术发展应用人工智能，引入机器学习，提升产品安全和舒适性体验是国际大趋势；智能网联汽车安全技术的研发要基于功能安全和信息安全国际标准，制定智能网联汽车产品研发流程，保障智能网联汽车安全；智能网联汽车可靠性和可信度的分析需要流程保障，加强分析流程和分析能力建设是提升分析水平的保障；智能网联汽车安全技术的发展必须提升系统体系工程能力（System of Systems Engineering（SoSE）），同时要紧密结合ISO 26262、SOTIF，研究整体系统安全问题解决方案，包括信息安全。