汽车系统安全 功能安全 与网络安全

[5 安全]

同系列文章点击以下链接：

汽车系统安全 功能安全 与网络安全

开发者视角的汽车电控功能功能安全和诊断设计

这篇文章起因是回答了这个问题，

你是否担心过你的智能电动汽车被汽车公司总部别有用心地远程非正常操控并导致灾难性后果？

当时是这样答的，

这个问题里有两个点，

1 远程操纵

首先，车辆智能化之后远程操纵是完全可以实现的，就像在外面打开家里的智能电器一样。

但是，汽车的远程操纵必然是有权限控制的。

就像我们把钱存进银行，要设取款密码，银行当然可以获知密码，但是由于银行受控，所以银行本身不会盗取用户的钱。

但不排除网络上的骗子用各种方式套取密码，非法转移获取你的钱。

汽车公司也是同理。有技术有手段应该是能够远程控制用户的车的。但是，图啥呢？

更有可能控制你车的是黑客。

2 灾难性后果

车辆被非法控制后，可能用于制造事故，确实危险。

但是最后想补充一点，用户能想到的，开发者也会想到。工程人员会对这方面有相关的设计预防。

本文对汽车的系统安全、功能安全和网络安全做一些入门级的介绍。对于这块感兴趣的话，可以去深入了解汽车网络安全和功能安全相关的知识信息。

1 汽车系统安全1.1 汽车安全系统

车辆在安全方面有两种要求：

第一种是被动安全，要求在发生碰撞时能够保护乘员；

而另一种是主动安全，即提高车辆行驶的稳定性，要求防范事故于未然。

汽车安全系统主要包括主动安全系统和被动安全系统。

主动安全是预先侦测附近车辆运行状态，判断风险并及时做出反应；

而被动安全则是在发生事故时汽车对车内乘员的保护或对被撞车辆或行人的保护。

从产品细分来看，

被动安全涉及安全气囊、安全带等传统保护设施；

而主动安全囊括传感模块和控制模块两大类。主要包括：制动防抱死系统ABS、电子制动力分配系统BAS、驱动防滑系统ASR（TCS）、电子稳定系统ESP、智能巡航控制ACC系统等。利用电子控制技术来提高车辆主动安全系统的性能并扩展其功能已得到广泛的应用和发展。

1.2 相关法规

1.2.1【FMVSS 联邦机动车安全标准】

20世纪60年代，美国建立了影响至今的联邦机动车安全标准FMVSS。

这个安全标准可以算得上是最早的汽车安全性法规，而随着逐年不断完善，美国FMVSS已经建立了包括主动安全法规和被动安全法规在内的几十项内容。

1.2.2【GB7258-87 中华人民共和国国家标准机动车运行安全技术条件】

我国最早的汽车主动安全方面的标准应该是在1987年9月21日由公安部颁布的《中华人民共和国国家标准机动车运行安全技术条件GB7258-87》，该标准在1988年1月1日正式开始执行，主要规定了机动车的整车以及其发动机、转向系统、制动系统、传动系统、照明系统等相关运行安全的技术要求。

另一方面，2003年10月28日，第十届全国人大常委会第五次会议通过了《中华人民共和国道路交通安全法》，这也是我国首部关于道路交通安全的法律，而该法也自2004年5月1日起开始施行，并在2007年和2011年两次修订。

【胎压监测】

胎压对行车安全性是相当重要的，尤其是在高速行车时，假如发生爆胎的话，后果可能会不堪设想。

在2003年，美国就强制要求自2007年9月1日以后出售的轻型车都必须标配胎压监测系统。

欧盟则有相关规定，在2012年11月1日之后，对未配备胎压监测系统的乘用车新车型将不予认证，在2014年11月开始，未装配胎压监测的乘用车将不允许在市场上销售和注册，而韩国也在2013年将胎压监测列为强制安装项目。

国内，2016年9月27日全国汽车标准化技术委员会汽车电子与电磁兼容分标委在北京召开审查会，重点审查了胎压监测系统、电磁兼容、功能安全等重要标准，最终经过论、投票等环节，会议最终以全票同意审查通过了《乘用车轮胎气压监测系统的性能要求和试验方法》（GB26149）强制性国家标准送审稿，并要求标准主要起稿人按照审查意见尽快修改文稿尽快报国家标准委批准发布。

【车身电子稳定系统】

美国和加拿大就规定从2011年9月开始，车辆总车重在4.5吨以下的汽车都必须配备ESP，欧盟也硬性规定从2014年11月开始，总车重在3.5吨以下的车型都必须搭载电子稳定系统。

澳大利亚、韩国、日本等国家也陆续通过法规硬性规定新车型强制配备电子稳定系统。

国内，目前未有硬性法规强制新车必须标配电子稳定系统，随着消费者的安全意识日益提高，越来越多的汽车厂商也为旗下车型配备电子稳定系统，或者随着我国汽车工业的不断发展，国家未来也将会强制把电子稳定系统列入新车标配项目。

【侧面安全气囊】

根据美国国家公路交通安全管理局（NHTSA）早期公布的统计数据显示，在美国侧面碰撞已经成为了车辆交通事故死亡的主要原因。美国自2013年起强制规定在美销售所有车型都必须配备侧面安全气囊。

国内系统安全，目前侧面安全气囊没有相关法律法规作强制安装，但不少汽车厂商也会在前排座椅上装配侧气囊，甚至不少厂商也会为后排配备侧气囊。

【儿童安全座椅】

目前在世界范围内共有96个国家和地区出台了强制使用儿童乘员用约束系统的法律法规，包括美国、德国、澳大利亚、日本、巴西、南非、台湾等国家和地区，立法后上述地区的儿童乘车受伤害水平均大幅下降，如美国和德国的儿童道路交通安全死亡人数更是下降了50%左右。

2016年5月30日《中国儿童道路交通安全蓝皮书》在北京发布，而儿童安全座椅使用率方面，《蓝皮书》共采集了5000多份调查样本，对北京、青岛、大连、哈尔滨、南京、长沙、厦门、宁波等8座城市进行了调研。2013年12月27日，上海市人大常委会表决通过《未成年人保护条例修改决定》，明确规定自2014年3月1日起未满4周岁的未成年人乘坐应配安全座椅。

【倒车影像】

在美国每年大概有292人因为倒车被撞身亡，而因此受伤的人数大概有1.8万人，为了降低这一数字，倒车影像就被美国国家公路交通安全局列为强制安装项目。

【碰撞测试】

看完了国内外相关汽车安全配置的法规制定情况后，我们再来看看对于汽车安全发展着重大意义的项目——碰撞测试。

几个世界上主流的安全评级机构：欧洲的E-NCAP，美国的IIHS和NHTSA以及国内的C-NCAP。

我国的C-NCAP碰撞测试创办于2005年，在部分测试项目上都学习了国外主流测试机构，与国际接轨。C-NCAP 2018年新规还首创的将电安全纳入了评分方案。

2005年IIHS引入滑车鞭打试验

2015年E-NCAP新增100%重叠刚性壁障碰撞试验等，力求让碰撞测试结果更加准确。

1.3 汽车安全重要性

2011年有统计指出，全球处于使用状态的各种汽车总保有量已经突破了10亿辆。

反观历史数据，自从1970年以来，全球汽车总数量几乎每15年就翻一番，按照这个增速来看，预计到2050年，这一数字就能突破25亿辆。

2017年3月底，根据公安部交管局统计的数据显示，我国机动车保有量首次突破3亿辆，其中汽车保有量首次超过2亿辆，机动车驾驶人数已经超过3.64亿人。

由于日益剧增的汽车保有量，交通安全问题已经成为全球范围内都非常严峻的问题。

根据世界卫生组织发布的《全球道路安全现状报告》显示，虽然世界各国道路安全均有所改善，但每年仍有大概125万人因道路交通事故失去了他们的生命，还有2000万至5000万人受到非致命伤害，其中许多因此而残疾。

世界卫生组织表示，如果不持续采取行动，预计到2030年道路交通事故将成为全球第七大死因。

2 车辆功能安全

在汽车电子行业功能安全标准ISO26262中，定义：功能安全是为了避免因电气／电子系统故障而导致的不合理风险。

ISO26262功能安全标准，ISO21448预期功能安全标准。

无论是ISO26262功能安全标准还是ISO21448预期功能安全标准，它们只提供了最基础的方法论，而距离工程化实践还有很大的距离。

ISO 26262和ISO 21448

ISO 26262 道路车辆功能安全

Road vehicles – Functional Safety

SOTIF (ISO/PAS 21448)

道路车辆预期功能安全

Road Vehicles — Safety of the Intended Functionality

ISO

26262能够覆盖系统失效的功能安全，但它没有覆盖到在系统失效未出现的情况下的安全隐患

ISO/PAS

21448适用于需要适当环境感知的功能，该标准关注的是在没有故障的情况下如何确保目标功能的安全性。

事实上，最初ISO/PAS 21448本来是要成为ISO

26262的第14章节。但是因为在没有系统失效的情况下保证安全这个概念非常复杂，SOTIF便成为了一个独立的标准。

传统的功能安全关注的是如何降低由于系统故障而带来的安全风险

SOTIF关注的是如何在没有系统故障的情况下确保安全

ISO 26262仍然适用于现存的和已建立的系统，例如：动态稳定性控制（DSC）系统或者气囊系统。在这些系统中，可以通过降低系统的失效风险来保证安全。

ISO/PAS

21448适用于没有系统故障但是存在安全隐患的系统，例如：紧急干预系统和高级驾驶辅助系统。

ISO/PAS 21448是ISO 26262的补充。

2.1 ISO26262

在汽车电子行业功能安全标准ISO26262中，定义：功能安全是为了避免因电气／电子系统故障而导致的不合理风险。

2.1.1 汽车安全完整性等级(ASIL)

针对故障的严重程度不同，功能安全可划分为不同的等级。汽车功能的ASIL（汽车安全完整性）等级划分为A、B、C、D四个等级。其中，A为安全等级最低，D为安全等级最高。

ASIL是ISO 26262标准的关键部分。

ASIL是在开发过程的开始阶段确定的。用户需要根据可能的危害，分析系统的预期功能。

ASIL提出这样一个问题：“如果车辆发生故障，驾驶员和相关行人会怎样？” ASIL不处理系统所使用的技术，而只关注对驾驶员及其他行人造成的危害

为了评估风险的评估，ASIL需综合考虑暴露的可能性、驾驶员的控制能力以及关键事件发生时的严重性。

不同的安全要求分为ASIL的A、B、C、D级别，其中D级为最高安全关键流程，测试规范最为严格。

ISO 26262标准根据组件的ASIL级别，分别规定了最低测试要求。这有助于确定测试时必须采取的方法。确定ASIL后，就决定了系统的安全目标。即确定了保证安全所需的系统行为。

ISO26262提供一套最基础的方法论。总体概括，它包括两部分内容：功能安全技术和功能安全管理。

功能安全技术包括：

1 逐层细化的功能安全分析，

2 架构层面的功能安全方案设计，

3 硬件的安全架构设计、失效探测、诊断措施、随机失效的度量与定量计算，

4 软件的安全架构设计、故障检测与故障处理机制，

5 各层级测试技术的充分运用。

功能安全管理包括安全文化的建立、功能安全认可、功能安全审核、功能安全评估、配置管理、质量管理、变更管理、验证管理等内容。

同时ISO26262提供两种开发思路：

一种是自上而下的开发，一切基于相关项定义进行分析与分解。

1 概念阶段的HARA分析

2 功能安全概念FSC，

3 系统阶段的技术安全概念TSC

4 软硬件层面的安全需求、设计与测试

另一种是自下而上的开发，也就是SEooC(Safety Element out of Context，独立安全单元)开发

1 选定要开发范围

2 假设它的上一层需求，以便推导出它的安全需求

3 进行相应的分析、设计和测试等一系列的活动

4 工程化实践落到实际应用场景

5 假设条件与实际条件进行相应的匹配与偏差分析

2.2 ISO21448

随着汽车的发展，面对复杂的应用场景，人们开始意识到事故的发生不仅仅来源于电子电气的失效，也有可能是功能不全、性能不足以及人的误操作。这些新型可能导致危害的情况衍生了一个功能安全的孪生体——预期功能安全。ISO21448在这种状态下诞生，重点关注汽车的行为安全，解决因设计不足或性能局限在遇到一定的触发条件（如环境干扰或人员误用）时导致的整车行为危害。

ISO21448预期功能安全方法论总体概括也可分为两部分内容：

1 功能设计、分析与优化；

功能设计、分析与优化包括，

2 场景的验证与确认。

功能规范设计、分析系统功能、危害识别与风险评估、改进系统设计进行功能优化；

场景的验证与确认包括已知危险场景的评估和未知危险场景的评估。

在ISO21448标准中，从安全性和已知性角度，将车辆行驶场景划分为4类：

?已知安全场景

?已知危险场景

?未知危险场景

?未知安全场景

预期功能安全最终目标为评估系统在已知危险场景和未知危险场景的残余风险控制在合理可接受范围。

对于已知危险场景，基于现有用例可以明确评估，通过SOTIF分析方法保证这类场景的残余风险足够低。基本思想是通过危害分析识别出风险场景，针对风险场景开发对应策略，再对已知场景搭建仿真环境或实车环境进行测试验证，根据实验结果优化系统设计，例如进行功能改进或限制功能使用，从而将相应的危险场景转移至安全场景。

对于未知危险场景， SOTIF基于危害分析、开放道路测试、随机输入测试等，发现系统设计不足，并将能检测到的危险场景转移到已知危险场景当中。未知危险场景的场景和相应用例可以通过行业最佳实践或者其他方法制定。最终基于统计数据和测试结果，间接证明区域3的残余风险可接受。

3 汽车网络安全3.1 道路车辆-网络安全开发 Road vehicles—Cybersecurity engineering （ISO/SAE 21434）

ISO/SAE 21434的诞生背景

随着AI、移动通讯、大数据及物联网等新技术及新基础设施建设的高速发展，汽车，特别是新能源汽车已不再是单纯的交通工具，而逐渐向智能终端转变。

随着汽车智能化的转变，安全问题更加凸显，如：

1 大量ECU及嵌入式软件的大量使用，大幅度的增加了车辆的复杂度及集成度，直接带来整车的安全风险提高。

2 车辆联网带来网络安全风险，如黑客利用漏洞进行攻击，给司乘人员带来安全威胁以及车辆的损失。

随着高级驾驶辅助(ADAS)及自动驾驶的推出，车辆动力及制动控制需要部分或全部授权给智能驾驶系统，而车辆又暴露在互联网当中，此时如果智能驾驶系统被黑客攻破，后果将不堪设想。

3 数据及个人隐私保护不足而引起的信息泄露风险。

汽车在使用过程中会产生大量用户数据，比如你什么时间去了什么地方，以及日常车辆行驶路线规律等信息，这些数据都是用户的隐私。

如何在车辆的开发过程中有效控制网络干扰和攻击，降低车辆的安全风险？ ISO/SAE 21434（道路车辆-汽车网络安全工程）应运而生。该标准是由ISO（国际标准化组织）与SAE International（美国汽车工程师学会）共同制定完成，并于2021年8月31日正式发布。

ISO/SAE 21434的应用目的

1 确定结构化的流程，确保信息安全的设计；

2 实现降低攻击成功的可能性，减少损失；

3 提供清晰的方法，帮助车企应对信息安全威胁。

ISO/SAE 21434标准的目标群体

该标准主要应用于道路车辆OEM以及各级供应商，如：

- 车辆制造商

- 基于硬件和软件的组件和系统的供应商

- 工程服务供应商

- 软件和信息和通信技术基础设施提供商

ISO/SAE 21434的主要内容

针对道路车辆及其部件、接口等提出网络安全风险管理的要求，定义了车辆生命周期包括车辆工程、生产、操作、维护和退役相关等各阶段的要求。

ISO/SAE 21434与ISO 26262的关系

功能安全旨在保障功能按照设计要求正常进行，尽量减少因系统设计问题导致的功能失效；而信息安全旨在抵御外界攻击，更注重系统在外界攻击下能够正常运行，不产生财产损失，同时保护个人隐私不受侵犯。

2个标准均专注于系统级功能，且彼此的定义和过程均相互关联。

ISO 26262中针对功能安全与信息安全之间的相互作用给出了指南建议。功能安全与信息安全并不是独立的存在。

3.2 网络安全相关措施

网络安全包括报文加密（MAC），安全诊断、安全刷新、安全解锁、控制器强化等

安全启动

检查Bootloader的完整性和可靠性

1) MCU上电之后，CSE模块(Cryptographic Services Engine - 加密服务引擎)会从Code Flash读取bootloader。

2) CSE模块使用boot key通过AES-128加密算法为bootloader计算出一个MAC值(Message Authentication Code)。

3) CSE模块比较第2步计算出来的MAC与存储在CSE寄存器中的MAC(该MAC值是刷写bootloader时写入的)是否相同。如果相同，则安全启动认证成功 -> 表示安全启动成功的数据位会被置位并解锁。

4) 开始执行bootloader程序。

MAC

MAC massage authentication code信息验证码，信号 ASILB以上的信号，需增加MAC

在密码学中，MAC(message authentication code)为消息认证码，主要作用有：

1） 进行消息认证，证明消息的真实性，如消息确实来源于所声称的sender；

2）保护消息数据的完整性，拥有密钥的receiver(或verifier)可发现对消息内容的任何篡改。

安全通信

1) 主ECU的CSE模块会生成一个随机数并把它发送给传感器ECU。

2) 传感器ECU读取传感器的值，把传感器的值、从主ECU收到的随机数和key #x输入给AES-128加密算法进行加密。

3) 传感器ECU发送加密后的消息给主ECU。

4) 主ECU的CSE模块使用key #x对收到的消息进行解密。

5) 主ECU把解密出来的随机数和自己发送给传感器ECU的随机数进行对比，如果一致则认为该消息是合法的，否则丢弃该消息。

安全刷新

在汽车ECU软件中，如果需要依靠汽车总线（如CAN）刷新CPU里面的程序时，必须要通过安全访问，从而防止非法刷新操作危及车辆安全（例如，黑客攻击）。

在车联网以前，车辆总线是一个自封闭的网络，黑客通过远程电脑控制汽车在物理上是不可能的，除非亲自在汽车里操作或者首先在汽车的OBD接口上安装无线设备再远程操控。随着车联网时代的到来，越来越多的车辆会选择远程云端刷新程序，实现快捷修复程序Bug，但这也为黑客远程攻击车辆程序提供了渠道。

Road vehicles - Unified diagnostic services (UDS) ISO14229 中的安全访问规范：

算法固化在ECU和上位机程序里，不通过总线传输。

2. 每个Seed只能使用一次，如果Key计算错误。重新访问返回新的Seed，防止黑客对一个Seed进行暴力破解。

3. 连续2次安全访问尝试失败后启动读Seed延时机制，比正常2ms响应一次的时间被延长5000倍，缩短黑客随机碰撞Seed-Key的次数。

部件保护

ECU的替换或篡改会改变它唯一的ID或key。

1) 主ECU生成一个随机数并把它发送给ECU。

2) ECU把它自己特有的ID和收到的随机数进行加密(使用key #x)，并把加密后的消息发送给主ECU。

3) 主ECU使用key #x对收到的消息进行解密。

4) 主ECU检查解密出来的随机数是否和自己发出去的相一致，解密出来的ID是否和本地存储的ECU的ID相一致。如果二者都一致，则认为ECU 正常，否则认为ECU被非法替换或者篡改了。

M 2022-10-30

（编辑：拼字网 - 核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!