汽车自动化系统和网关的安全及保障
2019-09-10恩智浦半导体
恩智浦半导体
大部分汽车创新和特性相关新闻中都开始提及全球三大趋势。这三大趋势塑造着当前大环境,主要包括汽车的互联化、电气化和自动化。这三大趋势在创新和财务回报方面为企业提供了千载难逢的机遇,更重要的是,这些趋势还创造了一项重大的使命。类似最初在瑞典提出的“Vision Zero”等项目旨在减少因交通事故造成的伤亡,并在全球多个辖区作为一种模式进行推广。另一个类似的项目是由美国国家安全委员会提出的“Road To Zero”,旨在将每年130万的道路交通死亡人数降至零。互联化和自动化技术为保障安全无忧出行奠定了基础(National Safety Council,2018)。
让车辆成为“车轮上的服务器”,这不仅关系到新型车辆的车载计算水平,而且还关系到车辆与车辆外部各种系统间的连接。最基本的系统之一就是全球导航卫星系统(GNSS),包括GPS定位、DSRC或基于移动网络的车辆对车辆(V2V)和车辆对基础设施(V2I)技术,它们允许车辆与其他车辆和基础设施通信,如用于状况感知的交通信号灯以及用于信息娱乐的数据连接。互联性对于软件维护和更新也十分重要。美国的普通驾驶员平均每天在车里待1个小时(AAA Foundation for Traffic Safety,2019),在车里的大部分时间里,互联性对于提供娱乐和效用来说必不可少。
一个安全的系统需要可靠的设备,以防因设备故障发生事故;需要功能安全,以防因系统故障导致事故;还需要安全防护,以防因系统遭到黑客攻击发生事故。这些功能的有机结合有效防范了人为错误,从而提高了车辆的总体安全性。
安全防护对于互联车辆和自动驾驶车辆来说不可或缺,否则其功能安全性就会受到损害。自2015年以来,已发生超过25起车辆黑客事故,最严重的一次公开事故影响了140万辆汽车(Drozhzhin,2015)。到2030年,汽车所产生数据估值将达到7500亿美元(McKinsey&Company,2016)。汽车系统十分复杂,每辆车有100多个ECU和1亿多行代码,高复杂性可能会造成更多无法预见的漏洞,就像大规模召回的情况一样。随着无线接口的广泛应用,允许不对车辆进行物理访问即可修复安全漏洞。
与其他非汽车应用的安全嵌入式电子系统类似,业内通过在汽车设计中采用先进的核心安全原则来解决这些安全性挑战。汽车的外部接口不但需要抵御物理攻击,还需要保持通信的完整性和保密性。这就需要安全的域隔离,并且系统也需要能够抵御逻辑攻击。车辆内部通信以及各种ECU和汽车MCU的软件操作都需要得到保障。需要车辆网关来安全可靠地互连和处理这些异构车载网络中的数据。网关提供物理隔离和协议转换,用于在功能域(动力传动、底盘与安全系统、车身控制、信息娱乐、远程信息处理、ADAS)之间路由数据。功能域通过共享数据实现新功能。通过网关,工程师可设计出更稳健、功能性更强的车载网络,从而增强驾驶体验(Simacsek,2019)。
车辆制造商(OEM)积极致力于研发新功能,以期从竞争中脱颖而出。自动驾驶需要安全连接和功能域ECU之间的高带宽通信,因此要想实现自动驾驶,网关必不可少。网关作为车载网络的核心,也非常适合用来支持全车范围的应用,如无线(OTA)更新和车辆数据分析,以及与OEM服务器(云)的安全通信。
机器学习(ML)技术在自动驾驶系统中的应用创造了其他潜在的攻击手段。系统需要能够避免机器学习模型可能被盗的情况,或者提供识别被盗机器学习模型的方法。系统需要防止用户生物识别信息等与隐私相关的信息丢失,如果车辆具有用户识别功能,那就可以用对抗性的方法保护系统免受这些系统的欺骗。机器学习还可以通过检测异常情况来防范这些攻击,或用于建立更强大的防御机制。
安全性是一种法律责任,对于汽车市场来说至关重要。用户需要能够相信他们的车辆会做它应该做的事情。安全性还可以实现平台合并和系统一致性。随着自动化等级超过SAE 2级(L2),持续监控驾驶环境的责任也从人类驾驶员转移到了自動驾驶系统。
传统的汽车安全,如ISO 26262等标准的功能安全定义,根据风险的严重性、暴露率和可控性提供汽车安全完整性等级(ASIL)。这项标准还定义了V开发模型,要求完全指定组件特性及其相应的规范和可追踪性,按照其规范所做的修改也应可检测。利用数据库训练机器学习模型,累积的训练会违背初始时组件特性均已指定的假设。此外,自动驾驶系统利用机器学习时,将软件组件的层级架构实施成端到端的解决方案,这违背了ISO 26262标准的模块化方案(Salay&Czatnecki,2018)。
自动驾驶系统的安全性不仅要注重传统的功能安全性,还要考虑行为安全性。作为驾驶策略的一部分,自动驾驶系统需要学习与非自动车辆和行人交互。它们需要学习预测其他参与方的行为,还需要预测危险和安全关键的情况,即便是边缘情况也不例外。自动驾驶系统需要防范周围动态环境可能带来的风险,即使是在硬件或软件无故障的情况下。汽车安全专家正在开发ISO/PAS 21448标准,即预期功能安全(SOT1F),用于涵盖ISO 26262未涉及的场景。对于某些场景来说,为开发ISO/PAS 21448SOTIE所进行的大量工作并未有效覆盖边缘情况以及不安全的未知条件。对于自动驾驶市场的其他场景来说,这项标准可能会限制或扼杀创新,特别是它关系到自动驾驶领域机器学习的使用。
为了实现安全无忧的自动驾驶,系统需要具备以下特性:
可靠一超低故障率(汽车级品质)
安全一强大的故障检侧能力(ISO 26262ASILD)
可用一正确操作准备就绪(能够区分安全相关和非安全相关的故障)
容错一即便在发生故障时,也可以继续操作(降低性能/功能,仅可继续操作重要功能)
可信赖一故障预测功能能够提前检测故障(离线测试)
SAE自动驾驶分类较低级别中的大部分辅助功能都是“故障防护”系统,这意味着一旦发生故障,系统将会进入安全模式。在L0、L1自动驾驶功能的情况下,系统依靠驾驶员对车辆继续进行安全操作。在当前的L2和L3系统中,我们期望系统能够具备更高级的可用性,能够识别故障并以降低性能的模式继续运行,仅在部分情况下依赖驾驶员。预计L4和L5系统将可以在发生故障后继续运行,这意味着当系统检测到故障后,系统内置足够的冗余来容错,以便继续全面运行足够长的时间,直到系统将车辆恢复到安全状态。
当出现故障时,切换到人类驾驶员是LO至L3系统的一个关键部分。要实现从自动驾驶系统到人类驾驶员的切换,需要进行大量研究工作。Eriksson和Stanton的研究发现,在非紧急情况下,完成切换所需时间从2至26秒不等,如果驾驶员收到切换请求时正在进行其他任务,所需的时间会更长。请记住,车辆在高速公路上自动驾驶时,高速行驶下的速度超过每秒25米。在最快的反应时间下,车辆需要行驶半个足球场的路程才能完成切换,在最慢的反应时间下,车辆则需要行驶将近6个足球场的路程才能完成切换。在紧急情况下,驾驶员的反应会比较慢,并且人类驾驶员可能会做出错误的决策,造成交通事故(Eriksson&Stanton,2017)。基于这种情况,恩智浦认为实现安全无忧出行需要L2甚至更高级的自动驾驶系统,才能使其在发生故障后继续运行,至少能够安全停车。
当争论被表述为安全的自动驾驶系统要始终遵守交通规则时,我们在现实世界中却会观察到与严格的规则相应、有时候甚至是相反的某些场景,存在社会规范可以使大多数复杂的系统进行更高效的运作。这些社会规范允许在某些情况下违反交通规则,比如在即将驶入车道时,绕过抛锚车辆或被拦下的车辆。有时,违反交通规则并不是故意为之,而是避免交通事故的必要措施。自动驾驶系统需要配有决策矩阵,从而选择可接受的违反交通规则的方式,以实现更安全、高效的驾驶。
自动驾驶汽车需要确保采取的任何措施都不会危及生命安全。这给安全工程师验证车辆安全性带来了很大的压力,然而并没有令人满意的方法来验证自动驾驶汽车永远安全运行。
自动驾驶系统架构分为两个功能域:1)建模域,对环境进行监控和建模;2)规划域,用于制定行为策略和规划,并进行路径选择。系统分为两个功能域,每个功能域由多种设备组成,使其具有更优的可扩展性和异质性,每个功能域还可根据特定的应用要求提供高效的计算架構匹配。如果不了解系统的决策机制,那就无法保证其安全性。这就是大型端到端系统处理感知和规划时所涉及的问题。配有接收传感器输入和提供驱动指令输出的封闭式黑盒方法很难进行验证和调试,而且也很难扩展到新的算法、传感器解决方案和计算。相对于端到端解决方案,建模和规划分区架构更有利于实现系统的安全性。
世界上大多数汽车制造商都在研发自动驾驶技术,到2050年,自动驾驶市场估值将达到7万亿美元。安全性和防护性是辅助驾驶和自动驾驶系统成功为消费者部署并采用的基石。恩智浦认为ISO 26262和ISO/PAS 21448(SOTIF)在定义安全自动驾驶系统方面互为补充且不可或缺。ISO 26262可解决因电子系统故障造成的安全风险,ISO/PAS 21448 SOTIF为设计验证和确认任务提供指导,以检测因定义或设计缺陷导致的功能行为故障。
能够放松身心、处理邮件或看看喜欢的节目,而不是真正的开车上下班,这是某些驾驶员梦想的便利场景。我们真正的目标是确保您通过安全连接充分享受这些功能,同时通过系统内置的安全无忧出行技术为您和周围的驾驶员提供更高的安全性。