智能汽車的信息網絡、功能及預期概述一汽車信息網絡安全系統二汽車功能安全系統三汽車預期功能安全系統四工程實踐五智能汽車的信息網絡、功能及預期功能安全系統5.1概述

信息網絡系統旨在將智能技術與汽車領域相結合，實現車輛內部各個子系統之間的高效通訊和數據交換，以及車輛與外部系統（如道路基礎設施、其他車輛和云平臺）之間的連接和互操作。這樣的通信系統為車輛提供了實時的信息交流和智能化的功能支持，使得車輛能夠更加智能、高效地運行。

在智能汽車安全領域，功能安全（Functionsafety）和預期功能安全（SafetyofTheIntendedFunctionality,SOTIF）也是關鍵考慮因素。功能安全是確保車輛在各種操作模式下的功能正常性和安全性的要求，在系統設計和實現過程中，需要考慮故障診斷和容錯機制，以及對可能導致功能失效的故障進行預防和管理。通過這樣的功能安全設計，可以保證車輛的關鍵功能在各種情況下都能正常運行，提高駕乘安全性。

預期功能安全則關注不存在因設計不足或性能局限引起危害而導致不合理的風險，也就是將設計不足、性能局限導致的風險控制在合理可接受的范圍內。SOTIF主要針對以下兩種場景:系統或組件的性能受限，導致預期功能不可達；系統的可預見人為誤用（misuse）或合理地可預見誤用。通過對系統的全面評估和風險控制，預期功能安全確保車輛在實際使用中不會產生超出合理范圍的風險。智能汽車的信息網絡、功能及預期功能安全系統5.1概述智能網聯汽車的安全風險來源智能汽車的信息網絡、功能及預期功能安全系統5.1概述智能網聯汽車的功能安全標準智能汽車的信息網絡、功能及預期功能安全系統5.1人類泊車事故分析根據世界衛生組織《全球道路安全現狀報告》統計，全球每年約有135萬人死于道路交通事故，相當于每24秒就有1人因交通事故喪命，另外還有2000萬至5000萬人受到非致命傷害；美國密歇根大學交通研究所表明，根據交通事故數據庫統計資料和保險公司事故統計，例如泊車導致的事故占到各類事故的44%，其中50%至75%的泊車事故是倒車造成的據統計，約90%以上的交通事故是駕駛員人為因素導致的，消除和減少駕駛員違法違規操作、經驗不足、自身缺陷及感知限制等不良人為因素，對減少事故，降低風險具有重大價值，同時違法停車是違法行為，停車時妨礙他人通行，也將承擔事故責任智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統面臨的風險智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統面臨的風險智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統面臨的風險智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統面臨的風險智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統面臨的風險汽車領域信息網絡安全事件經典案例智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統在統籌安全與發展的指導思想下，我國將網絡空間安全提升為國家安全戰略的重要組成部分。國內外智能汽車信息網絡安全政策與法規智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全系統基本組成與原理：信息網絡安全整體框架信息網絡安全是建立和采取技術和管理措施來保護數據處理系統的安全性，防止計算機硬件、軟件、數據因偶然或惡意原因而受到破壞、更改、泄露，以確保系統持續、可靠、正常地運行，從而保障信息服務不中斷。

另一種角度的定義則著眼于信息的全面保護，強調在信息采集、存儲、處理、傳播和應用過程中，確保信息的自由性、秘密性、完整性以及共享性等方面得到全面的保護。雖然這兩種定義側重點不同，但它們的目標是一致的。在廣義上，涉及信息的機密性、完整性、真實性、可用性、占有性和可控性的相關理論與技術都屬于信息網絡安全的研究領域。智能汽車的信息網絡、功能及預期功能安全系統5.2汽車信息網絡安全案例為了貫徹落實《工業和信息化部關于加強智能網聯汽車生產企業及產品準入管理意見》，中國軟件評測中心（工業和信息化部軟件與集成電路促進中心）在中國智能網聯汽車產業創新聯盟的指導下，在全國范圍內啟動了智能網聯汽車滲透測試工作，以測試驗證目前智能網聯汽車網絡安全防護情況。本次測試實踐的前提要求是不損壞車輛、不拆解車輛，采用黑盒測試方法，開展用戶側滲透測試。共有15輛車參與測試，被測車輛涵蓋傳統車企和造車新勢力的產品，其中包括9輛新能源車和6輛燃油車智能汽車的信息網絡、功能及預期功能安全系統5.2滲透測試結果概要根據本次智能汽車滲透測試實踐的結果，共發現了15種典型問題，具體問題類型及檢出率如圖所示。高頻問題主要集中在Wi-Fi安全、GPS欺騙、未授權訪問敏感數據、安裝包逆向風險等方面。根據威脅分析方法論，本文對上述安全問題的攻擊可行性和安全影響進行了分析。智能汽車的信息網絡、功能及預期功能安全系統5.2滲透測試結果概要下面將從對攻擊時間、攻擊所用設備、機會窗口和目標對象的了解程度方面，對以上安全問題的攻擊可行性進行分析。通過分析，發現Wi-Fi中斷攻擊、GPS地址位置欺騙、云平臺應用劫持以及掃描云平臺漏洞這4種安全問題攻擊成本較低，因此更容易成為攻擊者的目標。相比之下，密鑰安全和惡意消息攻擊因為需要攻擊者具備較高的網絡安全技術水平和對攻擊目標的深入了解，并輔助以專業設備，所需付出的攻擊成本較高，從而降低了攻擊可行性。智能汽車的信息網絡、功能及預期功能安全系統5.2滲透測試結果概要本文從車輛安全、人身安全、財產安全、隱私和法規四個方面，對影響等級進行了分析。發現如下問題：GPS地址位置欺騙可能對車輛的正常運行產生嚴重干擾；未經授權訪問敏感數據和個人信息會對個人隱私造成威脅；非授權應用安裝和代碼/數據未經授權修改、密鑰安全、端云通信監聽和OBD報文監聽問題可能導致用戶財產和隱私數據的流失，并對車輛運行安全產生影響。綜合考慮攻擊可行性和影響程度，發現Wi-Fi中斷攻擊、GPS地址位置欺騙、云平臺應用劫持、掃描云平臺漏洞以及密鑰安全是需要重點防護的網絡安全問題，因為它們攻擊成本相對較低且可能造成嚴重影響。智能汽車的信息網絡、功能及預期功能安全系統5.2滲透測試結果概要基于對上述網絡安全問題的綜合分析結果，從攻擊可行性和影響程度兩個方向綜合考慮，得出了對各網絡安全問題進行安全防護的重要性。從圖中可以看出針對GPS地址位置欺騙、未經授權訪問敏感數據、非授權應用安裝、代碼/數據未經授權修改、個人信息非授權訪問這五項網絡安全問題，防護工作迫切且需重點關注，以提升車輛的網絡安全水平。特別是對于GPS地址位置欺騙問題，由于攻擊成本低、安全影響嚴重，其安全防護需求等級最高，應當優先采取有效措施加以防范和保護。通過針對這些重要網絡安全問題的有針對性的防護措施，能夠有效降低智能網聯汽車面臨的網絡安全風險，提高整個系統的安全性。智能汽車的信息網絡、功能及預期功能安全系統5.3汽車功能安全系統

近年來，隨著自動駕駛技術的快速發展，對于具備防患于未然功能（功能安全）和ISO26262等標準的需求越來越大。尤其在科技水平飛速發展的中國，ISO26262已融入我國推薦行國家標準GB/T34590《道路車輛功能安全》。智能汽車的信息網絡、功能及預期功能安全系統5.3汽車功能安全系統基本組成與原理：ISO26262汽車電氣部分開發核心流程框架

在功能安全的概念設計階段，其分析流程可主要概括為以下幾個步驟：相關項定義；危害事件識別；危害分析與風險評估（HARA）；安全目標制定；功能安全概念分析。智能汽車的信息網絡、功能及預期功能安全系統5.3汽車功能安全系統危害分析與風險評估（HARA）：HARA（HazardAnalysis&RiskAssessment，簡稱H&R）用于識別產品的每個功能的非意愿性動作和功能喪失場景。通過結合這些故障的嚴重度（S）、暴露概率（E）和可控性（C），進行系統功能安全的ASIL評價。

在ISO26262-3標準中，詳細定義了S、E、C的等級分類和ASIL安全等級的確定。智能汽車的信息網絡、功能及預期功能安全系統5.3汽車功能安全系統ASIL分析：

ASIL（AutomotiveSafetyIntegrityLevel）是用于描述需求的安全嚴格等級的概念。通過風險評估（RiskAssessment）可確定E值，再通過危險分析（HazardAnalysis）可確定C值和S值。

其中，D級具有最高的安全風險，一旦發生故障可能導致嚴重的安全后果，甚至危及人員生命安全；A級的安全風險較低，即使發生故障也不會造成重大影響；而QM（可接受風險）級表示不涉及功能安全相關設計，僅需要按照正常的質量管理體系進行開發。智能汽車的信息網絡、功能及預期功能安全系統5.3汽車功能安全系統需要注意的是，功能安全的目的并非徹底消除風險，而是將風險降低到可接受的范圍內。智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統

隨著自動駕駛系統功能架構的完善，國際標準ISO26262所覆蓋的故障性風險引起的功能安全問題分析已經無法滿足高度復雜系統的安全性分析要求。因此，將這類系統沒有發生故障的情況下，引起的安全風險問題歸結為預期功能安全（SafetyOfTheIntendedFunctionality，SOTIF）。進行預期功能安全活動的目標是確保在系統的特定行為受到性能限制或可合理預見的人為誤用的影響下，不會導致不合理的風險。智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統國內外智能汽車預期功能安全系統政策與法規智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統基本組成與原理：預期功能安全希望從系統層面做到功能設計完備。作為功能安全的補充，它通過規范化的流程，旨在識別、分析和減少因系統功能不足所引起的危害，其基本組成如圖5-10所示。2019年頒布ISO/PAS21448標準中明確預期功能安全關注的范圍為由于性能局限或者人為誤操作導致的危害和風險。SOTIF主要關注兩種場景：一是系統或組件性能受限，導致預期功能無法實現；二是系統受人為誤用或合理可預見的誤用的影響。目的是減少已知不安全場景（區域2）和未知不安全場景（區域3）數量，提高系統安全性。智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統已知場景評估未知場景評估未知場景定義：存在未知的觸發條件；存在未知的系統行為；已知參數組合成未知觸發條件。已知場景定義：已知的觸發條件及其組合；已知的參數邊界和采樣分布；明確的危害行為；已知不安全區域的場景風險是否可接受未知不安全區域的殘余風險是否可接受論證證據：已知特定場景暴露度；應對措施可控性；傷害結果嚴重度。論證證據：未知危害場景頻度（低于定值）；未知傷害頻度（低于定值）；未知場景發生概率（低于定值）。安全不安全已知未知智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全系統智能汽車的信息網絡、功能及預期功能安全系統5.4汽車預期功能安全案例預期功能安全–避免由于預期功能或其實現的功能不足引發危害所產生的不合理風險SOTIF解決了由ISO26262定義的無故障系統中預期功能不足引起的危險SOTIF是智能汽車研究和商業化的最大問題之一性能局限復雜環境人機交互預期功能的安全問題可能與以下方面有關：智能汽車的信息網絡、功能及預期功能安全系統測試方案-測試目標和原則綜合各類技術手段，在有限的測試中證明被測系統風險滿足接受準則，并進一步說明被測系統SOTIF性能水平?；陉P鍵場景的SOTIF測試方案測試手段SIL開放道路測試封閉道路場HIL場景設計（測試用例）覆蓋度關鍵性封閉道路場專家經驗分析評估對象整車級部件級SOTIF措施評估角度嚴重度可控性接受準則危害行為殘余風險5.4汽車預期功能安全智能汽車的信息網絡、功能及預期功能安全系統道路交通設施目標物臨時性操縱自然環境數字信息場景構成要素體系場景1.0場景2.0十字路口高速應急車道高速道路模擬充電站感知干擾交通干擾汽車系統干擾因素模擬隧道環島以道路類型和交通設施為主雨霧塵光特色氣象環境場景特色交通干擾測試場景預期功能安全測試實例：復雜環境智能汽車的信息網絡、功能及預期功能安全系統研究背景：以雨、霧、塵等為代表的特殊氣候環境對激光雷達、攝像頭等車載傳感器的性能存在較大影響，嚴重干擾智能網聯汽車感知系統對于車輛周圍環境的探測與決策。針對智能駕駛系統在特殊氣候環境下和特殊交通參與物條件下的危險場景測評研究是很有意義。雨天（圖像失真、感知精度下降）霧天（干擾目標物的識別）特殊天氣對傳感器的影響（AutonomousDrivinginAdverseWeatherConditions:ASurvey-arXiv2021）逆光大燈影響攝像頭識別高速跌落物影響行車安全揚塵（干擾目標識別）智能汽車的信息網絡、功能及預期功能安全系統研究方法采用控制變量研究法，依據現有的智能駕駛行業標準規范，選取ADAS典型測試場景，控制其他測試參數不變，單獨添加特殊氣候環境等因素，研究車輛智能駕駛系統表現。典型場景橫穿跟隨前車靜止跟車環境因素霧雨揚塵車載物跌落測評場景雨天-跟隨雨天-前車靜止雨天-橫穿揚塵前車靜止霧天-跟隨霧天-前車靜止車載物跌落跟車智能汽車的信息網絡、功能及預期功能安全系統測試結果：本次研究實車測試了六款車型，從測試結果來看，雨、霧、塵等環境對智能駕駛系統的表現影響較大，車載物跌落、泥漿飛濺遮擋攝像頭的場景，所有車型均未通過測試。目前來看，在面對特殊氣候和復雜交通環境下，智駕系統整體性能還有較大的提升空間。車型測試結果（得分率）測試場景車型A車型B車型C車型D車型E車型F雨天行人場景33.61%69.16%90.16%58.85%11.0