摘要

在過去的二十年里，數字化重塑了我們的日常生活，汽車行業也身處這一變革之中。如今的車輛正變得日益智能且聯網，具備了更多的安全和便捷功能（如自動緊急制動、自適應巡航控制）。下一代車輛將實現高度自動化乃至 5 級自動駕駛（無人駕駛），這將從根本上改變駕駛的意義。與此同時，所有這些優勢都需要更強大的控制單元以及電子控制單元（ECU）軟件具備更大的靈活性，這不可避免地要求對車輛內部的電子電氣（E/E）架構進行重新設計。

盡管在汽車行業，安全性一直被視為關鍵的工程考量因素，但當車輛開始演變成 “移動的計算機” 時，安全性（這里指網絡安全）也成為了一項重大挑戰。由于車輛一旦出現問題可能會致命，自動駕駛和聯網車輛在功能安全和網絡安全方面需要具備高度的可靠性才能獲得全面認可，這一點比物聯網中的其他設備要求更高。因此，功能安全和網絡安全是未來車輛系統架構中的核心概念。

本文將概述車輛電子電氣架構中有關功能安全和網絡安全的當前挑戰與解決方案。

1、引言

有兩項新興的主要技術將從根本上改變駕駛的意義：自動駕駛和聯網功能。

自動駕駛旨在減少人類操作員的干預，直至達到無需駕駛員、僅有乘客的狀態。已經投入使用的自動駕駛和高級駕駛輔助系統的新功能（如自適應巡航控制、智能泊車輔助、車道預警系統、自動緊急制動等）正在為自動駕駛車輛鋪平道路。這些功能借助聯網能力從基礎設施獲取所需的外部信息。未來，車與萬物（V2X）技術將涵蓋更多近遠程環境元素（如路標、交通信號燈、其他車輛、云端等），以無線方式實現必要的信息交換。更多車輛將利用 V2X 技術來緩解擁堵、避免事故或減少排放。

聯網功能還使原始設備制造商（OEMs）能夠在車輛的整個生命周期內高效地管理軟件。隨著軟件架構的復雜性和應用種類的增加，功能升級、緊急漏洞修復或安全補丁的需求頻率將不斷提高，而通過將車輛召回經銷商門店的方式已無法滿足這種需求。因此，空中下載（OTA）更新技術對于邁向高級自動駕駛的下一步至關重要。

隨著車輛向聯網的 “輪上計算機系統” 轉變，能夠連接互聯網和其他外部網絡，終端用戶的駕駛體驗也將發生改變。乘客已經可以將智能手機或平板電腦等設備連接到車輛，并通過車載信息娛樂系統使用這些設備上運行的應用程序。新的商業模式將會出現，如按使用付費模式，客戶可按需為某些功能付費（如空調、座椅加熱、導航、3D 低音等）。就車輛本身而言，人們也無需擁有車輛，而是可以利用汽車共享模式，并根據當前用途選擇所需的車輛配置。

2、電子電氣架構

當前的電子電氣架構基于可信的功能域控制器，例如用于底盤、車身或動力傳動系統的控制器。為了應對即將到來的電子電氣系統復雜性以及對更強計算能力和快速數據傳輸通道的需求，將出現少量高性能控制器通過車載以太網相互連接。這些中央計算平臺運行在多核處理器上，監控和控制多個智能程度較低但高度專業化的電子控制單元。未來車輛基礎設施的架構預計將是具有多層服務的面向服務的架構。當前眾多的電子控制單元將分為低性能輸入 / 輸出控制器和高性能域控制器，后者是提供更新能力以及功能安全和網絡安全功能的動態系統。

圖1：集中式架構

這對軟件架構產生了影響，因為集中式高性能電子控制單元需要一個整合的平臺，以承載汽車控制和信息娛樂的異構功能。

對此，AUTOSAR 聯盟目前正在開發一個新的軟件平臺 —— 自適應平臺（AP），以補充廣泛使用的經典平臺（CP）。這兩個平臺的結合將保證下一代技術的電子電氣架構在性能以及功能安全和網絡安全方面的要求。例如，自適應平臺的主要功能之一是能夠在電子控制單元上有追溯地且在運行時更新各個功能。

自適應平臺基于 POSIX 操作系統，可在多核處理器或虛擬機監控程序上運行以實現虛擬化。多核控制器提供安全可靠的性能分區隔離，而虛擬化則提供安全可靠的軟件分區隔離（如圖所示）。

圖2：高性能控制器的軟件架構

圖3:AUTOSAR的分布式健康管理

3、功能安全

這些趨勢引發了汽車安全概念的范式轉變。在許多安全相關系統中，檢測到失效時的標準方法是故障靜默，即安全狀態通常是功能的停用。對于自動駕駛和車輛主要功能的電氣化，引入了線控技術，取代了機械或液壓備用系統。這些技術需要失效可操作行為，即在失效后仍能在一定時間內（部分）維持功能，然后在不中斷服務的情況下停用或恢復。為每個線控系統開發故障可運行架構對于提高可靠性和安全性至關重要。由于會導致更高的硬件成本、重量和能耗，航空系統中的多重冗余不能簡單地應用于汽車平臺。一種略有不同的方法是所謂的 2 取 1 診斷（1oo2D）系統架構，它能在電子控制單元之間提供具有可控成本的失效可操作行為。在發生失效時，該功能會動態重新分配到另一個電子控制單元，該電子控制單元暫時繼續執行該功能，直到車輛能夠安全停車。為此，兩個電子控制單元都需要配備強大的診斷能力和額外的監控元素。

4、聯網與網絡安全

隨著數字化和聯網帶來前所未有的可能性和機遇，有關安全問題的新挑戰也隨之出現。隨著車輛的高級功能、電子元件、處理強度和連接點數量的增加，資產數量也在增加，將攻擊面擴展到了新的維度。由于系統漏洞而被入侵的車輛可能會導致運營、隱私、財務或安全損失。

過去，車輛是一個封閉系統，需要（事先）物理訪問車載網絡的威脅并未被納入安全概念。由于無線連接使車輛面臨外部攻擊，汽車行業正面臨未曾考慮過的威脅模型。2010 年，通用汽車的雪佛蘭 Impala 遭到攻擊，花了數年時間才修復漏洞并實施對策。從那以后，許多成功的攻擊表明，與所有連接到互聯網的設備一樣，具有無線連接的車輛也容易受到遠程攻擊。

最終引起所有人關注汽車行業安全性重要性的最著名攻擊是 2015 年對吉普切諾基的攻擊。兩名安全研究人員通過娛樂系統的診斷總線端口遠程訪問吉普，并控制了包括轉向和剎車在內的車輛功能。當某款熱門車型的整個車隊通過 OTA 機制受到影響時，對人身安全不太嚴重的威脅可能會給原始設備制造商帶來財務問題或聲譽損害。

如何避免此類攻擊？首先，必須接受不存在 100% 安全的系統。相反，必須持續檢查系統的漏洞，嘗試像攻擊者一樣思考，了解新的威脅模型，并根據需要調整系統的安全性。后者使得 OTA 軟件更新成為聯網車輛的必備技術。

隱藏的漏洞是不可避免的，并且可能首先被黑帽黑客發現。在這種情況下，目標是減緩或阻止攻擊者獲取最關鍵的資產。為此，需要通過每一層的安全機制設置許多具有挑戰性的障礙（圖4）。這是軍事領域中一種成熟的策略，稱為縱深防御。通過為攻擊者制造延遲，額外的入侵或異常檢測機制能夠應用多種防御模式，例如重新配置（請求更改會話密鑰），并提高在攻擊者造成嚴重損害之前阻止他們的可能性。

圖4：分層安全

事實上，在幾乎所有攻擊者控制車輛功能的案例中，他們之所以能夠成功，并非因為發現了單一漏洞，而是在獲取這些關鍵功能的過程中發現了一系列漏洞。

5、標準化開發流程

如最后一節所示，當安全機制無法確保安全功能的完整性時，安全問題會對安全性產生影響。另一方面，諸如持續監控和報告之類的安全機制是良好的分層安全的關鍵要求。功能功能安全和網絡安全并非相互獨立，需要像在其他領域一樣，在流程和開發中保持同步。

圖5：系統工程的組合功能安全和網絡安全過程模型

ISO 26262 標準涵蓋了系統開發中功能安全在流程層面和方法層面的各個方面。目前還沒有等效的安保標準。SAE J3061是安全相關系統開發指南，描述了與 ISO 26262 生命周期相似的流程和方法，但它不是一項標準。2019 年，ISO/SAE 21434 標準填補了這一空白。該標準將規定道路車輛及其組件和接口在整個工程（如概念、設計、開發）、生產、運營、維護和退役過程中的網絡安全風險管理要求。