自动驾驶汽车“安全观”概述

概述01

当前，自动驾驶处于技术快速演进、产业加速布局的商业化前期阶段。搭载L1/L2辅助驾驶模块的车辆已规模应用，L3/L4/L5高等级自动驾驶系统的产业化也成为企业竞争的科技高地。放眼全球，谷歌旗下的Waymo、通用汽车旗下的Cruise、Nuro获美国加州相关部门的商业许可，正在由道路测试验证向商业运营稳步推进。立足国内，截至2021年8月，全国27个省（市）出台管理细则，建设16家智能网联汽车测试示范区，开放3800多公里测试道路，发放700余张测试牌照，道路测试总里程超过700万公里，长沙、上海、北京等地还开展了载人载物示范应用，无人物流、配送等新模式应用也在抗击新冠肺炎疫情期间发挥了重要作用。此外，专用的自动驾驶汽车在港口物流、景区接驳、矿场运输等典型场景已初步形成产业化应用。

在产业蓬勃发展的同时，安全问题也是大众的焦点。2019年7月3日，汽车及自动驾驶技术领域的11位行业领导者宣布,共同发布一份名为《自动驾驶安全第一》的白皮书,为基于安全的自动驾驶乘用车的开发、测试及验证等各阶段提供了指导。在美国交通部发布的《自动驾驶安全愿景2.0》中，提出了13种企业需要声明的安全要素，美国政府鼓励自动驾驶公司按照这13个要素阐述企业的实际情况。我国也积极推动《车联网产业标准体系建设指南》的完善，构建自动驾驶安全的中国标准。今年3月，美国国家道路交通安全管理局（National Highway Traffic Safety Administration，NHTSA）发布了《自动驾驶汽车乘员保护安全标准》，针对“没有传统手动控制部件（方向盘、踏板等）的自动驾驶汽车”提出整套安全标准，着眼L4/L5自动驾驶汽车量产的安全管理。

对于自动驾驶汽车而言，车辆本身的安全性主要集中在部件及整车安全、主动及被动安全；此外，自动驾驶汽车也是人工智能的电子驾驶人，亟需考虑遵守交通规则、紧急避险等针对驾驶人驾驶能力的安全性；最后，自动驾驶汽车需要不断采集大量数据、频繁地通过V2X进行交互、不停地与处理多源信息，极易暴露安全隐患。

综上，自动驾驶汽车安全可以分为车辆安全、驾驶安全和信息安全。其中车辆安全包括车辆的主动安全、被动安全、整车运行安全等；驾驶安全包括功能安全、预期功能安全等；信息安全包括数据安全、隐私保护、防干扰、防欺诈等。针对车辆安全，可以沿用现有的车辆安全管理保障措施和手段；针对驾驶安全，现有机动车驾驶人具有严格的驾驶技能、交通法规知识的教育培训及考试手段，也可以延伸到自动驾驶汽车的驾驶安全管理，但需要进一步吸收自动驾驶汽车的交通行驶特征，加以拓宽完善，这样才能实现自动驾驶汽车的交通安全；针对信息安全，应建立网络安全风险管理体系，掌握本行业或相关行业应对信息安全问题的良好实践，推进消息加密、身份验证、数字签名等安全防护技术研发应用。不同安全类别的主要内容和参考标准如下表所示。

表1 自动驾驶汽车安全相关标准

车辆安全02

自动驾驶汽车是车和人的结合体，在成为文明守规的合格驾驶人之前，自动驾驶汽车必须是一辆合格的汽车，具备必要的主动安全、被动安全、运行安全能力，需要满足现有的汽车碰撞标准等。

主动安全技术是指在轻松和舒适的驾驶条件下帮助驾驶人避免事故的技术。主动安全技术主要包括底盘主动安全技术、安全预警技术和综合安全技术等。和普通车辆相比，自动驾驶汽车布设了先进的传感器，能够进一步提高车辆的碰撞安全性能。被动安全技术的产生起源于欧美，随着相关技术的产生及运用，交通事故中所产生的伤害得到了明显的改善。我国的汽车被动安全内容主要体现在车身结构设计、被动安全零部件以及约束系统匹配上。通过引进国外先进的汽车安全技术，如预紧限力式安全带、充气式安全带、多级安全气囊、溃缩吸能式转向管柱等，我国的汽车被动安全也获得了较快的发展。在运行安全方面，自动驾驶汽车要上公共道路，同样需要符合国家标准GB7258《机动车运行安全技术条件》的要求。GB7258是我国机动车安全管理最基本的技术标准，广泛应用于机动车制造、进口、质检、维修、注册登记、安全技术检验、运行安全管理、事故车检验和机动车报废等相关领域，发挥了技术法规的作用。GB7258规定了机动车的整车及主要总成、安全防护装置等有关运行安全的基本技术要求，在加强机动车运行安全管理、提高机动车运行安全水平等方面起到了积极的作用。

除此之外，本文认为针对自动驾驶汽车运行安全的要求还应体现在以下两个方面：一是自动驾驶功能的完备性，包括启动、停车、转弯等基本驾驶能力、各种常见道路场景的通行能力，对障碍物的识别及响应能力、驾驶接管能力、进入最小风险状态功能等；二是自动驾驶的性能，即自动驾驶汽车的响应时间、运行效率、资源利用等指标，包括对障碍物的识别时间、操控响应时间、通过交叉口的效率、泊车时间、路径规划、跟车距离等。相关功能性能的检测应参照工信部、公安部、交通部发布的《智能网联汽车道路测试与示范应用管理规范（试行）》所规定的8项智能网联汽车自动驾驶功能通用检测项目开展，确认满足与运行安全有关的功能要求和限制，方可认为其安全性达到了上路的安全水平。

功能安全与预期功能安全03

自动驾驶汽车设计构造有别于传统汽车，在系统及相关零部件不存在故障的情况下，自动驾驶汽车在复杂交通场景中，仍然可能做出错误判断而产生驾驶安全风险。评估自动驾驶汽车的驾驶安全性能最合理的方法就是让其在实际交通中行驶并观察表现，除了考量车辆按其设计或相关技术标准应有的功能安全外，还需评估在各种天气、温度、地形、交通流等未知因素影响下的预期功能安全性。

在GB/T 34590《道路车辆功能安全》中，将功能安全定义为不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。功能安全解决的是因电控系统故障导致的车辆危害行为而引发安全事故的问题。自动驾驶系统设计需符合汽车行业已有的功能安全规范，相关设计保障自动驾驶系统减轻或消除系统失效的影响，按照预期设计正确地发挥应有的驾驶能力。

首先，为了保障行驶安全性，根据具体情况进行关键部件的冗余设计及布置，例如通信通路、传感器、计算单元、转向和制动系统等。当部件出现故障时，冗余的部件介入工作，承担失效部件的功能，为自动驾驶系统运行提供服务。这种冗余备份，使得在有部件发生失效时，自动驾驶系统仍然有能力持续安全运行一段时间。

其次，对自动驾驶系统关键功能进行充分评估。自动驾驶系统关键功能失效主要原因包括:对使用场景考虑不周全，导致系统不能准确识别环境要素;功能仲裁系统出现故障，导致系统决策失误;执行器响应能力不足，导致运动控制偏离预期等。自动驾驶系统关键功能评估，就是将功能放置于可能失效的场景中，进行全方位的验证，包括道路测试和场景库测试，尽可能涵盖各种场景，以便找到自动驾驶系统能力不足的方面并加以改进，获得统计性数据证明系统的安全性。

此外，为了保证自动驾驶系统始终安全有效，自动驾驶强化了对系统功能安全的要求。在自动驾驶技术层面，提出了更高的功能安全要求。自动驾驶功能日趋复杂，更加依赖电子电气（E/E）系统实现感知、决策和控制，对车辆安全技术的正确性和完整性要求进一步提高。开发过程中，由于自动驾驶系统具有目标和事件探测与响应、最小风险策略、介入请求、人机交互等功能，需要提出更为系统全面的安全目标和功能安全概念需求，系统、硬件和软件设计面临更多冗余、异构、监控的要求。

最后，自动驾驶系统预期功能安全则提出了新要求。毫米波雷达、激光雷达、摄像头等传感器构成了自动驾驶的感知输入，受光照、恶劣天气等影响，传感器本身没有发生失效，但性能可能会降低，输入出现偏差，导致自动驾驶决策和执行出现问题而引发车辆危害行为，这种由于自动驾驶功能不足导致的非失效风险逐渐增多。自动驾驶模式下，自动驾驶系统承担部分或全部动态驾驶任务，产品设计无法预估到所有场景条件，驾驶场景成为影响安全的重要因素，未知的不安全场景对自动驾驶系统提出了挑战。此外，机器学习存在不确定性，也可能造成设计不足，导致非失效风险，危害到自动驾驶的安全性。

如何保障自动驾驶汽车的功能安全和预期功能安全，还面临现有标准难于落地实施的挑战。功能安全标准ISO 26262和预期功能安全标准ISO 21448这两项国际标准均偏重方法和理论，目前难以落地实施应用，进而带来了全球痛点，即缺少评价车辆安全性的量化准则，难以从量化角度科学评价安全性。

信息安全04

当前的汽车是一个网络和硬件融合的系统，包含数十甚至数百个计算单元，由数亿条软件代码操作，控制着汽车各种机电部件。每一个计算单元则称为电子控制单元（ECU），这些单元通过内部网络连接在一起，也称为车内网络，甚至可以连接到互联网。车内网络通常连接多种通信网络、支持相关协议，包括工业标准控制器局域网(CAN)、本地互连网络(LIN)、FlexRay、面向媒体的系统传输总线（MOST）和射频通信等等。车内网络由节点、网关和总线组成，数据通过网关从一个网络传输到另一个网络，所有消息都在总线上广播，并可通过标准车载诊断接口(OBD)或无线通信接口，如蓝牙、WiFi和蜂窝电话网络来访问。

根据访问方式，可以将自动驾驶汽车的信息安全风险问题分为两类，物理攻击和无线攻击。物理攻击指攻击者直接连接到车辆的OBD端口，从而接入CAN总线和所有生态系统。攻击者利用加密狗等设备插入OBD或车载USB端口收集信息或将信息直接注入车辆。无线攻击则更具风险，因为攻击者不需要将任何适配器物理连接到车辆上，而是通过车载蓝牙、WiFi或者蜂窝网络连接车辆的远程信息处理单元。有研究者尝试了多种方法成功地将已配对但运行了恶意软件的安卓手机、甚至是未配对的设备通过蓝牙与被攻击车辆连接。还有研究者利用2015款Jeep自由光车型的WiFi网络密码生成协议的漏洞，成功获取CAN总线数据。

常见的攻击手段如下图所示。这些攻击均以损害系统的信息安全为目标，即机密性、完整性、可用性。当攻击者可以窃听网络发送的信息或未经授权的用户可以访问网络内共享的信息时，机密性可能会丢失；传输的信息可以被篡改、注入、回放、伪装或删除，则信息的完整性受到损害；因拒绝服务攻击或分布式拒绝服务攻击而使服务无法访问，服务的可用性受到损害。

图1 网络攻击手段及其攻击目标

其中一些攻击依赖于物理访问，如GPS欺骗只能在接近目标的地方完成；而另一些攻击可以基于网络连接而远程进行。一般来说，任何可以通过远程连接来实现攻击的都可以通过物理连接来实现。尽管物理访问对攻击者来说可能很难实现，但通过物理访问的攻击往往比使用远程访问的攻击更方便。有些情况远程攻击也需要物理访问，如通过物理接触来安装后续远程访问所需的无线通信设备。

汽车制造商一直在努力解决自动驾驶的信息安全和隐私问题。随着汽车在道路安全性和舒适性方面功能的不断增加，信息安全攻击面持续增长。目前认为，软件相关的安全解决方案能够满足需求，但身份防篡改的安全解决方案仍然缺乏，如消息加密、身份验证、数字签名、入侵检测系统，以及固件的无线安全更新等技术需要研发和引入。

隐私问题上，自动驾驶汽车目前可以收集到什么样的个人信息还需进一步研究，但车辆已经使用的GPS位置数据，包括路线、目的地、速度、总行程时间等，需要安全防护和匿名化处理，以保护驾驶人和乘客的隐私和安全。

部件问题上，操作汽车相关设备时消耗的电量、时序信息、电磁辐射以及其他特征信息，存在作为侧信道攻击和物理反向工程所需信息来源的可能。需要使用物理防护手段抵御此类安全威胁。对于可以远程访问的设备，应持续进行更新保障系统安全性和健壮性，应用实时分布式软件代理来识别潜在的网络攻击。

小结与展望05

本文主要分析了自动驾驶汽车三个方面的安全因素。随着汽车智能化、网联化不断发展，汽车、电子信息、通信等领域不断融合，人、车、路、云的边界也逐渐模糊，自动驾驶安全的内涵和外延不断发生变化，功能安全、预期功能安全、网络安全、数据安全等问题相互交织，对车辆的监管提出新的挑战。后续拟采用系统工程的方法，加强对功能安全、预期功能安全、网络安全、数据安全等问题的研究梳理，提出系统性验证评估体系，并推动试点加强经验和数据的积累，保障安全和发展的平衡。

（陆文杰  王敏  公安部交通管理科学研究所）
注：本文为内容节选，全文参见《道路交通科学技术》期刊2022年第2期。