功能安全
随着电子电气架构技术的不断升级,整车越来越多的系统和组件对功能安全产生影响,为此,功能安全也从部分关键系统开发,向整车各系统全面开发拓展。
同时,由于域控制器、中央计算平台等新架构技术的出现,对功能安全提出了新的技术挑战,功能安全必须建立针对这些复杂系统及软件的开发和测评手段。
功能安全技术也影响着电子电气架构技术的发展,从传统的失效安全(Fail-Safe)向失效运行(Fail-Operational)演变,电子电气架构设计中引入了更多的冗余(如通信冗余、冗余控制器等)及安全保障措施。
未来,车辆智能化生态的形成,将促进功能安全技术走出单车,向全链路延伸,实现整体智能生态的整体安全。
预期功能安全
电子电气架构相关的预期功能安全指的是规避由于功能不足、或可合理预见的人员误用所导致的人身危害。预期功能安全技术属于汽车技术的一部分,对应的标准为 ISO 21448。根据自动驾驶功能及其运行设计域,分析满足预期功能安全要求的系统配置方案,基于系统配置方案确定或选择合适的电子电气架构方案。预期功能安全关键技术点:
-
自动驾驶安全准则制定技术:针对自动驾驶已知场景和未知场景下的安全表现, 制定客观量化准则,科学判定自动驾驶的安全水平;
-
安全分析技术:通过 STPA 等安全分析手段,识别自动驾驶安全相关功能的不足性能局限及危害触发条件,制定针对性措施,开展功能更新;
-
多支柱法测试技术:由仿真测试、定场景测试和真实道路测试组成的自动驾驶预期功能安全测试体系;
-
安全论证技术:基于安全开发、分析、测试等结果,制定预期功能安全档案策略,通过 GSN 等论证手段,评估自动驾驶安全风险,完成预期功能安全发布;
-
安全监控技术:通过车载和远程手段,监测自动驾驶运行过程中的安全表现,识别安全风险并开展必要的风险控制措施,以确保自动驾驶运行安全。
网络安全
智能汽车车辆端、通信管道、云平台以及移动应用均面临一系列的信息安全威胁。从汽车网络空间维度出发,通过多重技术协同、不同手段互补、从外到内多层次部署安全防线,满足车辆信息安全防护的纵深性、均衡性、完整性的要求。需要依据新一代车辆电子电气架构,从网联安全、内网安全、ECU 安全角度实施部署相应防护措施。
网联安全
图 4-10 智能汽车全方位网络安全防御
网联接入层主要抵御针对以太网的 DOS、PING 类型、畸形报文、扫描爆破、欺骗、木马等网络攻击。需要具备车云联动机制的主动安全防护能力,可通过云端系统实时配置防护策略,主要包括接入认证机制、通信保护机制、以太网防火墙机制和入侵检测与防御(IDPS)机制。
车内网安全
车辆内网安全主要抵御针对车载 CAN/CAN FD、车载以太网的攻击入侵,包括报文监听、错误注入、报文重放等攻击。防护的策略包括:总线入侵检测机制、内网防火墙机制、功能域隔离机制、总线通信保护机制和诊断安全保护机制。
关键 ECU 安全
为确保车辆系统或关键数据不被破坏,在车辆关键ECU 层面需具备安全启动、关键数据安全存储、系统安全运行的安全能力,并可为应用运行提供权限管理能力。
服务安全
SOA 安全框架需要遵循五个基本原则:机密性、完整性、真实性、授权性和可用性, 通过信息加密、数字签名、密码认证、设计访问控制列表 ACL、DOS 攻击监控等多种方案及产品实现网络安全,同时保证这些网络信息可被发现、被访问、被通信以及被监测。
图 4-11 车载 SOA 服务网络安全原则
-
在服务发现上,设定信息安全分组隔离机制,使得服务广播消息只发给有需要的的服务使用者;
-
在服务访问上,为服务提供方设置信息安全访问控制机制,认证并授权服务使用方发起的服务请求;
-
在服务通信上,根据 SOA 服务实际的业务应用场景决定 SOA 消息应采用的信息安全传输机制;
-
在服务监测上,设置服务安全监控机制,发现 SOA 服务相关的异常事件及安全响应处理机制。
来源:汽车测试网
