2020年07月23日 | 自动驾驶如何更加安全？听NXP专家聊一聊

本文作者：NXP 汽车公司AI战略和合作伙伴关系主管Ali Osman Ors；

                 NXP 全球产品和解决方案营销总监Brian Carlson

现代联网车辆被视为“车轮上的服务器”。即使没有完全自主的系统，高级驾驶员辅助系统（ADAS）也为驾驶员提供了一套全面的驾驶辅助系统，如交通标志检测和自适应巡航控制，每秒可产生兆字节的数据。基于全球导航卫星系统（GNSS）的路由、方向引导和交通警报现在在大多数车辆中普遍存在。再加上信息娱乐系统、车辆对车辆（V2V）和车辆对基础设施（V2I）应用的日益增加，如今的汽车在很大程度上依赖于其连接性。

随着越来越多的技术被用于辅助驾驶员，或自动驾驶汽车，使其完全安全是最重要的。在车辆使用期间，系统必须是可靠的，大多数系统需要符合功能安全标准，如ISO 61508和ISO 26262，这包括了硬件故障或黑客攻击导致的故障。

正如许多文章所揭示的那样，对车辆的黑客攻击可以采取多种形式。黑客们已经可以熟练地通过一些意想不到的漏洞来攻击汽车，甚至通过镜子的盲点检测网络链接或通过其内部Wi-Fi路由器访问车辆网络。

首要安全考虑事项

图1突出了应用于汽车系统设计的一些核心安全原则。它们同样适用于其他电子系统，例如用于工业应用的系统。关键是保持汽车外部接口与内部域的严格分离。在车内，电子控制单元（ECU）用于独立功能，如防抱死制动、舒适性、传动系统等。

汽车设计中的基本安全原则。（来源：NXP）

保护每个ECU的另一个考虑因素可能是一辆车上可能有多达100个ECU，它们可能总共有1亿行代码，这对软件测试和可靠性提出了重大挑战。车内网关是跨异构车辆网络安全可靠地互连所有系统的谨慎方法，这种方法提供了车辆内所有功能域之间的物理、过程和协议隔离。

网关提供了只允许需要外部通信的应用程序进行通信的方法，这种方法可以根据具体情况应用。尤其是当系统需要使用OTA固件更新来更新系统时。此时系统不仅容易受到黑客攻击，其安全运行受到威胁，而且ecu中包含的IP（如代码、密码和机器学习（ML）算法）也具有重要的价值。

个人信息识别（PII）是一个值得关注的问题，许多国家都对未能保护用户信息的公司进行严格处罚。个人信息不仅包括我们经常使用的访问在线服务的用户名和密码，还可以扩展到车辆系统用于识别驾驶员或车主的生物识别信息。随着车辆内系统复杂性的增加，很有可能将ML技术用于检测和防止用户异常、渗透技术和潜在的对抗性攻击。

自动驾驶系统安全

汽车制造商已经非常清楚，由于法律责任的存在，安全是一个最高级别的话题。当我们超越SAE自主级别2（图2）时，驾驶环境的操作和实时评估的责任从驾驶员转移到汽车的自动驾驶系统。

SAE安全概念的演变。（来源：NXP）

汽车安全完整性等级（ASIL）是ISO26262功能安全标准的核心部分，因为它适用于汽车系统。它们定义了任何系统中可能遇到的危险的严重性、暴露程度和可控性。“V”模型要求对每个软件组件的行为进行完全指定、验证和完全可跟踪。它还涵盖了增强的可能性以及它们符合并满足初始规范的要求。例如，当涉及到基于ML的系统时，通过推理来确定检测到的对象是一辆车、一个人还是一个路标，软件的行为不容易建模，因为它是动态的。

有一种观点认为，自主系统需要超越传统的静态功能安全特性，接受行为安全的概念。系统需要能够学习如何与非自动化车辆和行人进行交互，这些车辆和行人的行为不一定是可预测的。能够预测其他道路使用者、行人和其他道路危险的行为对于提供真正的自主驾驶体验至关重要。

为了弥合ISO 26262未能满足更具行为性的安全方法要求的差距，汽车安全专家们合作制定了ISO/PAS 21448预期功能安全（SOTIF）标准。为了促进安全可靠的自主移动，任何汽车系统都需要展示某些关键特性。这包括他们的制造使用汽车级部件，提供低故障率，保持高水平的可靠性和故障安全。

能够根据ISO 26262 ASIL D的要求检测潜在的故障也是一个优先考虑的问题，此外，系统必须始终可用，并且能够在安全任务和非安全任务之间划分优先级。在这种情况下，系统也需要容错，这样即使在发生故障的情况下也能继续运行。最后，系统必须是可靠的，有能力在潜在的故障发生之前预测它。

在较低的自主性水平（图3），大多数系统要求是故障安全的，这意味着驾驶员必须随时警惕，以便在系统检测到故障发生并安全停止操作时接管。随着我们逐步发展到2级和3级的安全系统，我们的期望是，如果检测到错误，系统中有足够的能力让它继续运行，尽管是在降级状态下，并且驾驶员已经得到了警报及通知。

安全等级演变（来源：NXP）

在4级和5级系统中存在冗余系统的情况，其中重点是在操作上出现故障，这种状态会提醒驾驶员，并且车辆可以迅速恢复到安全状态。这一过程可能涉及驾驶权移交给驾驶员，如0级至3级系统。

关于将车辆的控制权交还给驾驶员的问题，大量的研究已经深入到人类恢复控制权所需的时间上。埃里克森和斯坦顿的研究发现，人类完成此类状况交接时间可能需要2到26秒。

这就意味着，在高速公路上执行交接，车辆可以行驶足球场的一半长度。在最坏的情况下，可接近六个足球场的距离，在这两种情况下发生事故的可能性都非常高。正是因为这个原因，NXP坚信2级及以上级别的要求应该是车辆在运行中出现故障时，至少可以使车辆安全停车（图4）。

NXP对安全等级规范的看法。（来源：NXP）

任何一款安全的自动驾驶汽车都是遵守规则的概念，这是一个棘手的概念。作为司机，我们知道驾驶规范，而这些往往与系统的规则相违背。在某些情况下，我们都会进入对面迎面驶来的车道，以便超过一辆停下来或抛锚的车辆。这些都是对我们所学的防止进一步事故发生的规则的偏离。从系统角度来看，ISO/PAS 21448 SOTIF与此类驾驶场景高度相关。

安全与保障是任何自动系统的基础。NXP相信，ISO 26262和ISO/PAS 21448 SOTIF将共同推动安全自主系统的设计、测试和部署。