freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

自动驾驶汽车的软件安全
2021-06-03 18:10:26

2020年年初,工信部正式发布《汽车驾驶自动化分级》推荐性国家标准。2021年4月30日,《SAE J3016 道路机动车辆驾驶自动化系统相关术语的分类和定义》也发布了更新版,该标准备受业内关注、广泛引用参考。这些标准进一步明确了自动驾驶过程中驾驶自动化系统与司机的角色,回答了在制定相关法律、政策、法规和标准时的范围问题,加速了驾驶自动化技术落地的速度。

自动驾驶所依赖的驾驶自动化系统由能够持续执行整个DDT硬件和软件构成,其中软件的价值和作用将随着功能的发展越来越大。2013-2018年的汽车召回案例中,涉及软件的召回车辆达到191万辆,由于软件原因召回的车辆呈明显上升趋势。美国一家独立研究机构表示,“未来将有60%-70%的车辆将因为软件安全问题被召回”,软件安全已经成为当前车联网发展亟待解决的重要问题。

驾驶自动化标准演进

2014年1月,第一版《SAE J3016 道路机动车辆驾驶自动化系统相关术语的分类和定义》发布,明确了不同级别驾驶自动化技术之间的差异,由于对分级的说明详细、描述严谨,且更好地预见了自动驾驶汽车的发展,逐渐成为了大多数政府和企业使用的标准。2016 年 9 月,NHTSA在其《联邦自动驾驶汽车政策 (Federal Automated VehiclesPolicy)》中明确将《SAE J3016》标准用来评定自动驾驶技术。

随着驾驶自动化技术的发展,J3016在2016年、2018年进行了两次更新。2018年,SAE路上自动驾驶委员会(ORAD)与ISO TC204/WG14成立一个联合工作组,通过与ISO的合作,使得全球的专家可以利用自己的知识和智慧参与SAE J3016的修订。2021年4月30日,SAE和ISO国际标准化组织合作制定的更新版本正式对外发布。

分级标准更新

最新版本的《SAE J3016》对之前的版本进行了完善,增加了几个新的术语和定义,对多处经常被读者误解的概念进行了更正和澄清,并将定义章节的内容重组为更符合逻辑的分组,主要更新内容包括:

进一步明确SAE L3级和SAE L4级之间的区别。

新增两个不同的远程支持功能的术语和定义:远程协助和远程驾驶。

SAE L1和L2驾驶自动化系统命名为“驾驶员支持系统”(Driver Support Systems),与SAE L3 - L5级所用术语“自动驾驶系统”(Automated Driving Systems)相对应。

定义和阐明故障缓解策略的概念。

解释了驾驶自动化级别中未包括告警和瞬时驾驶干预系统的原因。

对车辆类型的定义进行了分组:普通车辆(Conventional Vehicle)、双模车辆(Dual-mode Vehicle)和自动驾驶系统专用车辆(ADS-dedicated Vehicle)。

分级简介

驾驶自动化分为六个相互独立且互斥的级别,分类方法的核心是(人类)用户和驾驶自动化系统各自的角色。表1给出了驾驶自动化等级与划分要素的关系。

0级

无驾驶自动化:由驾驶员控制整个动态驾驶任务,系统可以提供主动安全系统(例如:AEB自动紧急制动、盲区警告、车道偏离预警)。

1级

驾驶支持:驾驶自动化系统能够在其设计运行条件内持续地执行动态驾驶任务中的车辆横向或纵向运动控制(但不能同时执行),需要驾驶员完成动态驾驶任务的其余部分。示例功能:车道居中或自适应巡航控制。

2级

部分自动化:驾驶自动化系统能够在其设计运行条件内持续地执行动态驾驶任务中的车辆横向和纵向运动控制,由驾驶员完成目标和事件探测与响应任务并监督驾驶自动化系统的行为。示例功能:同时提供车道居中和自适应巡航控制。

3级

有条件自动化:自动驾驶系统能够在其设计运行条件内持续地通过常规/正常的操作执行整个动态驾驶任务,动态驾驶任务接管用户能够接收自动驾驶系统发出的干预请求以及汽车其他车辆系统中动态驾驶任务相关的系统故障,并作出适当处理。示例功能:交通阻塞驾驶。

4级

高度自动化:驾驶自动化系统在其设计运行条件内持续地执行全部动态驾驶任务和执行动态驾驶任务接管。示例功能:区域无人租车。

5级
完全自动化:驾驶自动化系统在任何可行驶条件下持续地执行全部动态驾驶任务和执行动态驾驶任务接管。

值得注意的是,L0-L2级别被称为“驾驶员支持系统”,驾驶员均为车辆主导者,需要不断监控行车状态及控制车辆;L3级别的自动驾驶,在开启自动驾驶系统时可在某些条件下进行自动驾驶,但自动驾驶任务发起接管请求时,用户必须进行驾驶,且当前用户为驾驶员;L4-L5级别的驾驶自动化车辆不需要驾驶员控制就可以实现自主驾驶。这意味着L3级别以上自动驾驶车辆出现交通事故、安全问题后,厂商将面临更大的责任。

降低安全风险的方式包括除了更强大的AI算法、更多的新型传感器、冗余设计,还必须提升软件代码的质量。

自动驾驶汽车的软件安全防护

2021年4月30日,比亚迪汽车有限公司根据《缺陷汽车产品召回管理条例》和《缺陷汽车产品召回管理条例实施办法》的要求,向国家市场监督管理总局备案了召回计划。自2021年4月30日起,召回部分e5、宋DM电动汽车,共计22581辆。召回原因是车载终端在某些充电工况下存在可用于预警的数据更新不及时的情况,不利于通过远程数据平台及时发现车辆部分参数的变化,导致不能通过远程数据平台及时预警可能存在的安全风险,存在安全隐患。为了解决该安全隐患,比亚迪汽车有限公司将委托授权经销商为召回范围内的车辆免费升级车载终端软件。

软件安全这里指软件开发安全,即研究如何提高软件的质量,使其满足预期使用的目标。例如,将安全置于软件开发生命周期之中,在需求收集阶段进行安全风险评估、隐私风险评估、确定可接受的危险级别;在设计阶段进行威胁建模、攻击面分析;开发阶段进行代码审计、静态分析,测试/验证阶段进行动态分析、模糊测试、人工测试等;发布/维护阶段对车联网APP进行安全审核。

欧盟2021年3月份正式发布了R155法规,要求车企开展CSMS合规建设,对将在欧盟上市销售的车辆进行车辆型式认证,同时在法规附录列出的车联网相关威胁中也强调了代码相关的安全威胁,包括篡改代码、提取代码、引入恶意软件、拒绝服务攻击等。

# 车联网安全 # 固件安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录