自动驾驶汽车功能安全与网络安全的融合

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

自动驾驶汽车（AVs），即无人驾驶汽车，是对安全要求极高的信息物理系统（CPS），属于复杂的工程系统，它将嵌入式计算技术融入物理现象之中。功能安全与网络安全是信息物理系统的两个关键属性，它们有着共同的目标：保护系统免受不良事件的影响，其中功能安全针对的是失效，网络安全针对的是蓄意攻击。

确保自动驾驶汽车的安全，即减少交通事故数量以防止人员受伤和挽救生命，是自动驾驶汽车开发中的首要任务。功能安全与网络安全相互依存（例如，网络安全攻击可能导致功能安全失效，或者网络安全对策可能削弱信息物理系统的功能安全，反之亦然），因此在系统开发的早期阶段就必须协调二者，以确保达到所需的保护水平。

尽管与其他信息物理系统（如发电厂或水处理系统）相比，自动驾驶汽车可能被认为是规模较小和/或复杂程度较低的系统，但它们面临一些独特的挑战，在分析其功能安全与网络安全问题时必须加以考虑。

首先，国际标准SAE J3016描述了从无驾驶自动化（0级）到完全自动驾驶（5级）的六个不同驾驶自动化等级。这些等级规定了在特定环境条件下，由谁（人类驾驶员或自动化系统）执行驾驶任务并监测驾驶环境。因此，自动驾驶汽车的功能安全与网络安全取决于驾驶自动化等级和环境条件。

其次，自动驾驶汽车领域相对较新，目前尚无针对自动驾驶汽车功能安全与网络安全的国际标准。当前，描述道路车辆功能安全的ISO 26262标准被用于自动驾驶汽车的功能安全分析。然而，正如一些研究指出的，该标准对于自动驾驶汽车而言并不足够。ISO 26262分别处理车辆每个功能或部件的功能安全问题，因为驾驶员负责部件之外的所有事务。然而，在自动驾驶汽车中，尤其是在高度自动化等级下，车辆内没有驾驶员时，必须始终确保安全。因此，自动驾驶汽车的危害分析应具有更广泛的范围，并且应综合分析其功能。Warg等人提出了一种扩展ISO 26262的方法，并添加通用运行场景和危害树，以进行全面的自动驾驶汽车安全分析。

为满足车辆网络安全需求，SAE J3061标准应运而生。它定义了信息物理车辆系统的网络安全生命周期。然而，SAE J3061中定义的网络安全生命周期与ISO 26262中描述的车辆安全生命周期类似，因此对于自动驾驶汽车的网络安全分析而言并不充分。

如何在自动驾驶汽车的整个生命周期中以一致的方式分析其功能安全与网络安全问题，并提供所需的保护水平呢？

在之前的工作中，我们提出了一种用于信息物理系统功能安全与网络安全建模和分析的六步模型。它涵盖了信息物理系统的六个维度（层级），即功能、结构、失效、功能安全对策、网络攻击和网络安全对策。此外，它使用关系矩阵对这些维度之间的相互依赖关系进行建模。六步模型能够对信息物理系统的功能安全与网络安全进行全面分析，因为它利用系统功能和结构作为知识库，以了解失效和攻击对系统的影响。

在本文中，我们提出一种用于自动驾驶汽车功能安全与网络安全分析的方法，该方法以六步模型为核心，实现功能安全与网络安全流程及相关产物之间的融合，并保持它们的一致性。六步模型整合了自动驾驶汽车整个生命周期中开发的功能安全与网络安全相关产物。所提出的方法符合国际标准SAE J3016、SAE J3061和ISO 26262。

本文的其余部分结构如下。第2节描述了相关的预备知识。第3节解释了所提出的方法，第4节给出了一个六步模型的示例。最后，第5节对本文进行总结，并介绍了未来的工作。

（1）自动驾驶汽车的主要术语和定义

在道路上操作车辆所需的实时运行和关键功能包括车辆横向和纵向运动控制、监测驾驶环境、执行对物体和事件的响应、制定机动计划，以及通过照明、信号等增强车辆的可见性。这些功能统称为动态驾驶任务（DDT）。自动驾驶汽车根据其自动化等级执行全部或部分动态驾驶任务。

国际自动机工程师学会（SAE）制定了国际标准SAE J3016，用于描述车辆的各种自动化等级。该标准已被国际组织广泛采用，如美国国家公路交通安全管理局（NHTSA）。

驾驶自动化等级分为六级：

• 0级——人类驾驶员执行全部动态驾驶任务。

• 1级——车辆上的自动化系统可以辅助人类驾驶员执行车辆横向或纵向运动，而驾驶员负责监测驾驶环境并执行动态驾驶任务的其余部分。

• 2级——自动化系统执行车辆横向和纵向运动，而驾驶员监测驾驶环境并执行动态驾驶任务的其余部分。

• 3级——自动化系统可以执行全部动态驾驶任务，但当自动化系统请求时，人类驾驶员必须准备好接管控制权。

• 4级——没有人类驾驶员；自动化系统执行全部动态驾驶任务，但它只能在特定环境和条件下运行。

• 5级——没有人类驾驶员；自动化系统在人类驾驶员能够操作的所有环境和条件下执行全部动态驾驶任务。

3- 5级的车辆被称为高度自动化车辆，因为其自动化系统（而非人类驾驶员）负责监测驾驶环境。此外，1-4级的车辆设计为仅在特定环境和条件下运行，而5级车辆可以在所有环境和条件下运行。

自动驾驶汽车的功能可分为三大类：感知（感知车辆运行的外部环境/情境）、决策与控制（根据感知到的外部环境/情境做出决策并控制车辆运动）以及车辆平台操纵（对车辆进行传感、控制和驱动，以实现期望的运动）。

自动驾驶汽车的结构架构由两个主要系统组成：a）认知驾驶智能系统，实现感知和决策与控制功能；b）车辆平台系统，负责车辆平台操纵。每个系统都由属于四个主要组别的组件构成：硬件、软件、通信和人机界面。

（2）六步模型

在我们早期的工作中，提出了一种六步模型，用于实现全面的信息物理系统功能安全与网络安全分析（见图1）。

图1.六步模型

该模型通过以下六个步骤构建：

第一步旨在对系统的功能层级进行建模。使用目标树（GT）定义功能，目标树从目标（功能目标）开始构建，然后定义实现该目标所需的功能和子功能。使用关系矩阵F-F定义功能之间的关系，关系强度可分为高、中、低或极低。

第二步，使用成功树（ST）定义系统的结构层级，将系统结构描述为子系统和单元的集合。此外，使用关系矩阵S-F定义结构与功能之间的关系，如图1所示。

第三步专注于功能安全危害分析。在这一步中，识别系统失效并将其添加到模型中。此外，确定失效、系统结构和功能之间的关系，并将相应的关系矩阵——B-B、B-S和B-F添加到模型中。

第四步侧重于网络安全威胁分析。在这一步中，识别攻击并将其与关系矩阵一起添加到模型中，以描述攻击、失效、结构和功能之间的关系。关系矩阵A-B（攻击-失效）用于确定哪些失效可能由成功的攻击引发。在六步模型的原始版本中，功能安全对策在第四步识别，而攻击在第五步识别。然而，我们决定交换这两个步骤的顺序，以便在选择对策之前先进行系统漏洞（危害和威胁）分析，因为功能安全对策可用于检测和减轻失效及攻击。因此，在设计安全对策之前先识别攻击更为方便。

第五步，将功能安全对策添加到模型中并确定它们的关系。矩阵X-A和X-B显示安全对策对攻击和失效的覆盖程度，其中白色菱形表示对策对攻击/失效提供低保护；灰色菱形表示中等保护；黑色菱形表示完全保护（见图1）。

最后，在最后一步中，将网络安全对策添加到模型中并建立它们的关系。与上一步中的矩阵X-A和X-B类似，添加两个新的矩阵Z-A和Z-B来定义网络安全对策对攻击和失效的覆盖程度。在这一步中添加的网络安全对策可用于保护系统免受功能安全对策未覆盖的攻击和失效。此外，矩阵Z-X用于捕捉功能安全与网络安全对策之间的相互依赖关系，如强化、对抗、条件依赖和独立等，这些关系在相关研究中已有定义。

在完成第五步和第六步后，分析系统结构是否发生任何变化非常重要，因为一些对策可能需要使用额外的组件，如传感器或控制器。如果发生变化，则需要返回第二步添加新组件，然后重复第三步至第六步。

通过这六个步骤构建的六步模型，通过形成系统六个层级（功能、结构、失效、攻击以及功能安全与网络安全对策）之间关系的六边形结构，将它们相互连接起来，如图2所示。这些关系有助于确保这些层级之间的协调。在整个系统的生命周期中，必须维护这些层级和关系，以保持其一致性和完整性。

图2.六步模型的层次结构之间的关系

（3）自动驾驶汽车安全分析

ISO 26262标准定义了适用于所有汽车电子和电气（E/E）安全相关系统生命周期的汽车设备功能安全。它旨在解决由E/E系统故障行为可能导致的危害。安全流程包括多个阶段，如概念阶段、产品开发阶段、生产阶段、运营阶段、服务阶段和退役阶段。在概念阶段进行危害分析和风险评估（HARA），识别危害事件、安全风险和目标。这些目标在产品开发阶段进一步细化为安全需求，并设计和实施安全对策。

ISO 26262要求车辆内有人类驾驶员，以应对意外的环境和情况。在高度自动化的自动驾驶汽车中，由于没有人类驾驶员，考虑所有驾驶环境和条件非常重要。Warg等人提出了一种自动驾驶汽车危害分析方法，该方法扩展了ISO 26262定义的车辆功能安全分析流程。它使用运行场景树和危害树作为潜在场景和危害的知识库进行研究。

图3展示了一个从Warg等人的研究中借用的自动驾驶汽车运行场景树示例。确定了三个主要方面（树的叶子节点），即车辆、物理环境和周围环境，这些方面进一步细化为属性，例如速度可分解为高速和低速（见图3）。

图3.通用情况树示例

运行场景树用于危害分析时，通过选择和组合树的叶子节点来构成运行场景。如果未从特定方面选择叶子节点，则该场景被视为对该方面的所有属性都有效。对于5级车辆，必须分析所有运行场景，而对于1-4级车辆，只需分析包括自动驾驶汽车设计运行的环境和驾驶条件在内的部分运行场景。图3展示了一个高级场景树示例，随着新场景的识别，该场景树在整个安全生命周期中会进一步细化。

危害树的构建与场景树类似。确定了两个主要级别的危害：战术危害和运行危害。战术危害包括可预见的战术错误，而运行危害与态势感知、车辆控制和环境相关。树的每个叶子节点代表一个可能包含在危害分析中的危害。

一旦完成场景树和危害树的构建，将危害树中的每个危害与场景树中的每个运行场景相结合，形成危害事件。随后，对这些事件进行风险评估，并分配汽车安全完整性等级（ASIL）。每当向场景树/危害树中添加新的或修改后的场景/危害时，都必须更新风险评估。

危害事件可以使用故障树分析进一步细化，以识别可能导致这些事件的条件和事件。故障树将顶级危害事件细化为中间事件和基本事件，这些事件通过与（AND）和或（OR）逻辑运算符相互连接。Bhavsar等人描述了两种用于自动驾驶汽车的故障树：与车辆部件相关的故障树和考虑与交通基础设施部件相关失效的故障树。基于危害和失效分析的结果定义安全风险，然后用于定义自动驾驶汽车的功能安全需求，并随后开发功能安全对策。

（4）自动驾驶汽车网络安全分析

SAE J3061是一项车辆网络安全标准，它以ISO 26262标准为基础开发。因此，这两个标准包含相似的阶段。SAE J3061定义的网络安全流程包括概念阶段、产品开发阶段和生产与运营阶段。在概念阶段进行威胁分析和风险评估（TARA），定义威胁、安全风险和安全目标。在产品开发阶段，根据安全目标定义安全需求，并开发网络安全对策。

攻击树分析通常用于进行威胁分析和风险评估。它有助于确定攻击者可能采取的导致顶级威胁的潜在路径。攻击树是一种图，其中节点表示攻击事件，边表示通过系统的攻击路径，这些路径可以使用与门和或门连接。

行为图，如数据流图（DFD）和信息流图（IFD），可用于识别要包含在攻击树分析中的攻击。数据流图包括进程、数据流和数据存储等元素，用于对软件组件之间的数据流进行建模。信息流图包括单元和它们之间的信息流，可用于对软件和硬件组件（如执行器、控制器、传感器等）之间的信息流进行建模。在之前的研究中，我们提出了一种使用六步模型生成信息流图的方法，以识别对信息物理系统可能的攻击。

本节提出一种将自动驾驶汽车开发与功能安全和网络安全工程相结合的方法，该方法符合国际标准SAE J3016、SAE J3061和ISO 26262。通过使用六步模型实现这种集成，六步模型涵盖了自动驾驶汽车的功能、结构、功能安全失效、网络安全攻击以及功能安全和网络安全对策。六步模型是实现功能安全和网络安全相关产物之间融合与协调的核心。

图4描述了所提出的方法，并展示了六步模型的步骤与自动驾驶汽车开发、功能安全工程和网络安全工程流程中的各种产物之间的关系。

图4.六步模型作为集成AV功能安全和网络安全分析的支柱

自动驾驶汽车六步模型的步骤按以下顺序执行：

• 步骤（1）和（2）：在自动驾驶汽车开发过程中定义自动驾驶功能以及实现这些功能的系统（结构）。结果是定义了自动驾驶汽车的功能和结构层级，并将它们及其关系添加到六步模型中。

• 步骤（3）和（4）：这两个步骤对应于自动驾驶汽车的漏洞（危害和威胁）分析。在功能安全方面，执行ISO 26262定义的危害分析和风险评估，以识别和评估危害事件，并定义自动驾驶汽车的功能安全需求。如第2节-C所述，使用其他模型（如场景树、危害树和故障树）确保考虑所有与自动驾驶相关的危害。在危害分析阶段结束时，从故障树中提取在安全需求中考虑的失效，并将其添加到六步模型（步骤（3））。在网络安全方面，执行SAE J3061定义的威胁分析和风险评估，以评估安全威胁并推导自动驾驶汽车的功能安全需求。在步骤（2）中定义的自动驾驶汽车结构层级可用于定义攻击面并构建信息流模型，这有助于识别可能的攻击并构建攻击树，如第2节-D所述。然后评估与每个攻击相关的风险并定义安全需求。与失效类似，从攻击树中提取包含在安全需求中的攻击，并将其添加到六步模型（步骤（4））。同时，将攻击、失效、功能和结构之间的关系也添加到六步模型中。

• 步骤（5）和（6）：在这些步骤中，选择功能安全和网络安全对策并将其添加到模型中，同时确定它们与模型中其余元素的关系。在功能安全方面，将功能安全需求细化为技术需求，并设计相应的对策以满足这些需求。同样，在网络安全方面，将功能安全需求分解为网络安全对策的技术需求。将来自两个方面的对策添加到六步模型中，以分析它们与模型中其余元素的关系。特别是，关系矩阵有助于确保每个对策都是真正需要的（解决其他对策未完全覆盖的攻击/失效，如矩阵X-A、X-B、Z-A和A-B所示），并且对策之间不存在矛盾（矩阵Z-X）。

在步骤（1）-（6）中构建的自动驾驶汽车六步模型是自动驾驶汽车漏洞分析的核心。它支持自动驾驶汽车的三个流程，即自动驾驶汽车开发、自动驾驶汽车功能安全工程和自动驾驶汽车网络安全工程，如图4所示。它能够将在自动驾驶汽车整个生命周期中开发的功能安全和网络安全相关产物（如失效、攻击、功能安全和网络安全对策）集成到自动驾驶汽车的功能和结构层级中，以确保它们的一致性和完整性。

自动驾驶汽车六步模型必须在自动驾驶汽车的整个生命周期中进行维护。这对于网络安全尤其重要，因为不断有新的威胁被识别和分析。

下一节展示一个自动驾驶汽车六步模型的示例。

本示例中描述的自动驾驶汽车执行三个主要的自动驾驶功能，即感知、决策与控制以及车辆平台操纵，如第2节A部分所述。感知功能可进一步分解为传感、传感器融合、定位、语义理解和世界模型。这些功能被添加到六步模型的顶层，并确定它们之间的相互关系，如图5所示。

图5.AV六步模型示例

由于篇幅限制，图5仅包含六步模型的一部分内容。此外，仅展示了元素之间程度较高的关系。

实现自动驾驶功能的自动驾驶汽车主要系统包括：认知驾驶智能系统、车辆平台系统和通信系统。认知驾驶智能系统包括车载计算机和用于感知环境的外部传感器，如激光雷达（LIDAR）、雷达、摄像头和超声波传感器。没有一种传感器能在所有任务和所有条件下都表现良好，因此需要提供传感器冗余并进行传感器融合。激光雷达、雷达和摄像头的组合在大多数环境条件下都能很好地覆盖自动驾驶汽车的任务。车辆平台系统包括控制器（ECUs）和执行器，用于实现期望的运动。通信系统包括车载通信和车联网（V2X，车辆与车辆、基础设施和人员之间的通信）网络。在本示例中，仅考虑车载通信。所有这些结构元素在步骤（2）中被添加到模型中。

在步骤（3）和（4）中，我们纳入了激光雷达故障和激光雷达攻击。激光雷达是自动驾驶汽车中用于物体检测的激光传感器。从图5中可以看出，受激光雷达失效或攻击影响的主要功能是传感功能。此外，激光雷达攻击和失效之间存在很强的关联，激光雷达攻击与以太网密切相关（即攻击者可以通过以太网攻击激光雷达）。

攻击者可以对激光雷达进行中继攻击（从另一个位置中继目标车辆激光雷达发出的原始信号，以产生虚假回波）或欺骗攻击（重放物体并控制其位置）。

雷达在步骤（5）中作为功能安全对策被添加到模型中。在激光雷达发生失效的情况下，雷达和摄像头仍能够对驾驶环境进行传感。

网络安全对策可以包括冗余措施：使用多个激光雷达，或者通过车联网通信对比目标车辆与其他车辆的测量结果以检测不一致之处。然而，由于激光雷达成本高昂，本示例中的自动驾驶汽车不考虑使用多个激光雷达。此外，本自动驾驶汽车示例中也没有车联网通信。如果车辆具备车联网通信功能，就可以通过交叉对比附近车辆的激光雷达读数来检测激光雷达攻击。

车载计算机内可以实施各种激光雷达攻击检测和缓解方法，例如，通过对比激光雷达与雷达、摄像头的读数来检测激光雷达攻击，缩短或随机化激光雷达扫描间隔有助于防范攻击。在图5中，添加了一种网络安全对策——“利用雷达和摄像头读数的激光雷达攻击检测方法”。另外还添加了“以太网访问控制”这一对策来防范激光雷达攻击。

矩阵X-A、X-B、Z-A、Z-B和Z-X对于集成功能安全与网络安全分析非常有用。X-B表明雷达只能部分覆盖激光雷达失效，因为雷达无法完全替代激光雷达。Z-A和Z-B显示激光雷达攻击检测方法不仅能够覆盖激光雷达攻击，还能覆盖失效，因为它可以检测到可能在两种情况下都出现的激光雷达读数错误。最后，矩阵Z-X展示了功能安全与网络安全对策之间的相互依赖关系。从图5中可以看出，雷达（功能安全对策）和激光雷达攻击检测方法（网络安全对策）存在条件依赖关系（用x表示），即要实施攻击检测方法，需要有雷达；而雷达和以太网访问控制机制相互强化。

由于在步骤（5）中向模型添加了新的结构组件雷达，因此有必要返回步骤（2），将其纳入自动驾驶汽车结构层级，并确定它与模型中其余元素的关系。

来源：猿力部落