自动化系统和网关的安全与保障

大部分汽车创新和特性相关新闻中都开始提及全球三大趋势。这三大趋势塑造着当前大环境，主要包括汽车的互联化、电气化和自动化。这三大趋势在创新和财务回报方面为企业提供了千载难逢的机遇，更重要的是，这些趋势还创造了一项重大的使命。类似最初在瑞典提出的“Vision Zero”等项目旨在减少因交通事故造成的伤亡，并在全球多个辖区作为一种模式进行推广。另一个类似的项目是由美国国家安全委员会提出的“Road To Zero”，旨在将每年130万的道路交通死亡人数降至零。互联化和自动化技术为保障安全无忧出行奠定了基础 (National  Safety Council, 2018)。

让车辆成为“车轮上的服务器”，这不仅关系到新型车辆的车载计算水平，而且还关系到车辆与车辆外部各种系统间的连接。最基本的系统之一就是全球导航卫星系统(GNSS)，包括GPS定位、DSRC或基于移动网络的车辆对车辆(V2V)和车辆对基础设施(V2I)技术，它们允许车辆与其他车辆和基础设施通信，如用于状况感知的交通信号灯以及用于信息娱乐的数据连接。  互联性对于软件维护和更新也十分重要。美国的普通驾驶员平均每天在车里待1个小时 (AAA Foundation for Traffic  Safety, 2019)，在车里的大部分时间里，互联性对于提供娱乐和效用来说必不可少。 

一个安全的系统需要可靠的设备，以防因设备故障发生事故；需要功能安全，以防因系统故障导致事故；还需要安全防护，以防因系统遭到黑客攻击发生事故。这些功能的有机结合有效防范了人为错误，从而提高了车辆的总体安全性。

图1 安全系统的要素

安全防护对于互联车辆和自动驾驶车辆来说不可或缺，否则其功能安全性就会受到损害。自2015年以来，已发生超过25起车辆黑客事故，最严重的一次公开事故影响了140万辆汽车 (Drozhzhin, 2015)。到2030年，汽车所产生数据估值将达到7500亿美元 (McKinsey & Company, 2016)。汽车系统十分复杂，每辆车有100多个ECU和1亿多行代码，高复杂性可能会造成更多无法预见的漏洞，就像大规模召回的情况一样。随着无线接口的广泛应用，允许不对车辆进行物理访问即可修复安全漏洞。

与其他非汽车应用的安全嵌入式电子系统类似，业内通过在汽车设计中采用先进的核心安全原则来解决这些安全性挑战。  汽车的外部接口不但需要抵御物理攻击，还需要保持通信的完整性和保密性。这就需要安全的域隔离，并且系统也需要能够抵御逻辑攻击。车辆内部通信，以及各种ECU和汽车MCU的软件操作，都需要得到保障。  需要车辆网关来安全可靠地互连和处理这些异构车载网络中的数据。  网关提供物理隔离和协议转换，用于在功能域（动力传动、底盘与安全系统、车身控制、信息娱乐、远程信息处理、ADAS）之间路由数据。功能域通过共享数据实现新功能。通过网关，工程师可设计出更稳健、功能性更强的车载网络，从而增强驾驶体验 (Simacsek, 2019)。

图2 核心安全原则

车辆制造商(OEM)积极致力于研发新功能，以期从竞争中脱颖而出。自动驾驶需要安全连接和功能域ECU之间的高带宽通信，因此要想实现自动驾驶，网关必不可少。  网关作为车载网络的核心，也非常适合用来支持全车范围的应用，如无线(OTA)更新和车辆数据分析，以及与OEM服务器（云）的安全通信。

图3 网关具有对车辆数据的中央访问权

机器学习(ML)技术在自动驾驶系统中的应用创造了其他潜在的攻击手段。系统需要能够避免机器学习模型可能被盗的情况，或者提供识别被盗机器学习模型的方法。系统需要防止用户生物识别信息等与隐私相关的信息丢失，如果车辆具有用户识别功能，那就可以用对抗性的方法保护系统免受这些系统的欺骗。机器学习还可以通过检测异常情况来防范这些攻击，或用于建立更强大的防御机制。

安全性是一种法律责任，因此对于汽车市场来说至关重要。用户需要能够相信他们的车辆会做它应该做的事情。安全性还可以实现平台合并和系统一致性。随着自动化等级超过SAE 2级(L2)，持续监控驾驶环境的责任也从人类驾驶员转移到了自动驾驶系统。

图4 安全概念的演变

传统的汽车安全，如ISO 26262等标准的功能安全定义，根据风险的严重性、暴露率和可控性提供汽车安全完整性等级(ASIL)。这项标准还定义了V开发模型，要求完全指定组件特性及其相应的规范和可追踪性，按照其规范所做的修改也应可检测。利用数据库训练机器学习模型，累积的训练会违背初始时组件特性均已指定的假设。此外，自动驾驶系统利用机器学习时，将软件组件的层级架构实施成端到端的解决方案，这违背了ISO 26262标准的模块化方案 (Salay & Czarnecki, 2018)。