首页 > 梆梆资讯 > 专家观点:自动驾驶汽车软件安全

专家观点:自动驾驶汽车软件安全

2021-05-26 梆梆观点343

2020年年初,工信部正式发布《汽车驾驶自动化分级》推荐性国家标准。2021430日,《SAE J3016 道路机动车辆驾驶自动化系统相关术语的分类和定义》也发布了更新版,该标准备受业内关注、广泛引用参考。这些标准进一步明确了自动驾驶过程中驾驶自动化系统与司机的角色,回答了在制定相关法律、政策、法规和标准时的范围问题,加速了驾驶自动化技术落地的速度。

自动驾驶所依赖的驾驶自动化系统由能够持续执行整个DDT硬件和软件构成,其中软件的价值和作用将随着功能的发展越来越大。2013-2018年的汽车召回案例中,涉及软件的召回车辆达到191万辆,由于软件原因召回的车辆呈明显上升趋势。美国一家独立研究机构表示,未来将有60%-70%的车辆将因为软件安全问题被召回,软件安全已经成为当前车联网发展亟待解决的重要问题。

驾驶自动化标准演进

2014年1月,第一版《SAE J3016 道路机动车辆驾驶自动化系统相关术语的分类和定义》发布,明确了不同级别驾驶自动化技术之间的差异,由于对分级的说明详细、描述严谨,且更好地预见了自动驾驶汽车的发展,逐渐成为了大多数政府和企业使用的标准。2016 9 月,NHTSA在其《联邦自动驾驶汽车政策 (Federal Automated VehiclesPolicy)》中明确将《SAE J3016》标准用来评定自动驾驶技术。

随着驾驶自动化技术的发展,J30162016年、2018年进行了两次更新。2018年,SAE路上自动驾驶委员会(ORAD)与ISO TC204/WG14成立一个联合工作组,通过与ISO的合作,使得全球的专家可以利用自己的知识和智慧参与SAE J3016的修订。2021430日,SAEISO国际标准化组织合作制定的更新版本正式对外发布。

分级标准更新

最新版本的《SAE J3016》对之前的版本进行了完善,增加了几个新的术语和定义,对多处经常被读者误解的概念进行了更正和澄清,并将定义章节的内容重组为更符合逻辑的分组,主要更新内容包括:

l  进一步明确SAE L3级和SAE L4级之间的区别。

l  新增两个不同的远程支持功能的术语和定义:远程协助和远程驾驶。

l  SAE L1和L2驾驶自动化系统命名为驾驶员支持系统Driver Support Systems),与SAE L3 - L5级所用术语自动驾驶系统”(Automated Driving Systems)相对应。

l  定义和阐明故障缓解策略的概念。

l  解释了驾驶自动化级别中未包括告警和瞬时驾驶干预系统的原因。

l  对车辆类型的定义进行了分组:普通车辆(Conventional Vehicle)、双模车辆(Dual-mode Vehicle)和自动驾驶系统专用车辆(ADS-dedicated Vehicle)。

分级简介

       驾驶自动化分为六个相互独立且互斥的级别,分类方法的核心是(人类)用户和驾驶自动化系统各自的角色。表1给出了驾驶自动化等级与划分要素的关系。

                表1 驾驶自动化等级与划分要素的关系

级别

名称

动态驾驶任务

动态驾驶任务接管

设计运行 条件

车辆横向和纵向运动控制

目标和事件探测与响应

驾驶员支持系统

0

无驾驶自动化

驾驶员

驾驶员

驾驶员

不适用

1

驾驶员辅助

驾驶员和系统

驾驶员

驾驶员

有限制

2

部分驾驶自动化

系统

驾驶员

驾驶员

有限制

自动驾驶系统

3

有条件驾驶自动化

系统

系统

动态驾驶任务接管用户(接管后成为驾驶员)

有限制

4

高度驾驶自动化

系统

系统

系统

有限制

5

完全驾驶自动化

系统

系统

系统

无限制

l  0级

无驾驶自动化:由驾驶员控制整个动态驾驶任务,系统可以提供主动安全系统(例如:AEB自动紧急制动、盲区警告、车道偏离预警)。

l  1级

驾驶支持:驾驶自动化系统能够在其设计运行条件内持续地执行动态驾驶任务中的车辆横向或纵向运动控制(但不能同时执行),需要驾驶员完成动态驾驶任务的其余部分。示例功能:车道居中或自适应巡航控制。

l  2级

部分自动化:驾驶自动化系统能够在其设计运行条件内持续地执行动态驾驶任务中的车辆横向和纵向运动控制,由驾驶员完成目标和事件探测与响应任务并监督驾驶自动化系统的行为。示例功能:同时提供车道居中和自适应巡航控制。

l  3级

有条件自动化:自动驾驶系统能够在其设计运行条件内持续地通过常规/正常的操作执行整个动态驾驶任务,动态驾驶任务接管用户能够接收自动驾驶系统发出的干预请求以及汽车其他车辆系统中动态驾驶任务相关的系统故障,并作出适当处理。示例功能:交通阻塞驾驶。

l  4级

高度自动化:驾驶自动化系统在其设计运行条件内持续地执行全部动态驾驶任务和执行动态驾驶任务接管。示例功能:区域无人租车。

l  5级
完全自动化:驾驶自动化系统在任何可行驶条件下持续地执行全部动态驾驶任务和执行动态驾驶任务接管。

值得注意的是,L0-L2级别被称为“驾驶员支持系统”,驾驶员均为车辆主导者,需要不断监控行车状态及控制车辆;L3级别的自动驾驶,在开启自动驾驶系统时可在某些条件下进行自动驾驶,但自动驾驶任务发起接管请求时,用户必须进行驾驶,且当前用户为驾驶员;L4-L5级别的驾驶自动化车辆不需要驾驶员控制就可以实现自主驾驶。这意味着L3级别以上自动驾驶车辆出现交通事故、安全问题后,厂商将面临更大的责任。

降低安全风险的方式包括除了更强大的AI算法、更多的新型传感器、冗余设计,还必须提升软件代码的质量。

自动驾驶汽车的软件安全防护

2021年430日,比亚迪汽车有限公司根据《缺陷汽车产品召回管理条例》和《缺陷汽车产品召回管理条例实施办法》的要求,向国家市场监督管理总局备案了召回计划。自2021430日起,召回部分e5、宋DM电动汽车,共计22581辆。召回原因是车载终端在某些充电工况下存在可用于预警的数据更新不及时的情况,不利于通过远程数据平台及时发现车辆部分参数的变化,导致不能通过远程数据平台及时预警可能存在的安全风险,存在安全隐患。为了解决该安全隐患,比亚迪汽车有限公司将委托授权经销商为召回范围内的车辆免费升级车载终端软件。

软件安全这里指软件开发安全,即研究如何提高软件的质量,使其满足预期使用的目标。例如,将安全置于软件开发生命周期之中,在需求收集阶段进行安全风险评估、隐私风险评估、确定可接受的危险级别;在设计阶段进行威胁建模、攻击面分析;开发阶段进行代码审计、静态分析,测试/验证阶段进行动态分析、模糊测试、人工测试等;发布/维护阶段对车联网APP进行安全审核。

欧盟20213月份正式发布了R155法规,要求车企开展CSMS合规建设,对将在欧盟上市销售的车辆进行车辆型式认证,同时在法规附录列出的车联网相关威胁中也强调了代码相关的安全威胁,包括篡改代码、提取代码、引入恶意软件、拒绝服务攻击等。

自动驾驶车辆软件安全检测三步走

针对自动驾驶车辆日益严峻的软件安全问题,梆梆安全基于多年在互联网、移动互联网、物联网领域的软件安全服务经验,结合车联网、自动驾驶相关场景及法律法规要求,针对性推出了源码安全检测平台、车联网固件检测平台、车联网渗透测试服务。

l  梆梆安全车联网/自动驾驶源码安全检测平台

采用源代码静态分析技术开发的针对源代码缺陷检测的产品。它在对目标软件代码进行语法、语义分析的基础上,辅以数据流分析、控制流分析和特有的缺陷分析算法等高级静态分析手段,能够高效的检测出软件源代码中可能导致严重缺陷漏洞和系统运行异常的安全问题和程序缺陷,并准确定位告警,帮助开发人员消除代码中的缺陷、减少不必要的软件补丁升级,为信息安全保驾护航。

l  车联网固件安全检测平台

自动化检测车联网设备固件安全隐患的服务平台。该平台通过自动化的方式从固件自身信息、敏感信息、代码安全、配置风险、CVE漏洞等多个检测维度,识别和分析车联网设备固件可能存在的风险漏洞,提前发现安全问题,提升车联网设备的安全强度,避免固件漏洞被恶意利用导致信息泄露、设备功能故障等,也降低厂商的更新、回收和升级成本。

l  车联网渗透测试服务

梆梆安全提供专业的车联网渗透测试服务,车联网渗透测试团队通过模拟攻击的方式,结合客户业务场景和需求,人工测试和挖掘整车、车联网关键零部件(TBoxIVI、车载网关、域控等)的安全漏洞和脆弱点,并最终提供渗透测试报告及修复建议,帮助客户及早发现整车、关键零部件存在的安全问题并及时有效修复,提前规避相关的信息安全风险,避免对正常业务造成不良影响。

梆梆安全作为行业领先的软件安全服务商,一直关注车联网、自动驾驶领域的软件安全问题以及国家监管要求,参与编写了《自动驾驶数据安全白皮书》,提供完善的车联网、自动驾驶汽车软件安全解决方案,包括静态代码安全检测工具/服务、车联网固件检测、车联网渗透测试服务等。


  • 渠道商申请
  • 真诚期待各位合作伙伴加盟,同梆梆安全一起塑造辉煌
  • 立即申请 > >
  • 服务热线
  • 在使用过程中遇到的任何问题,请随时联系梆梆安全客服人员,我们将第一时间为您解答
  • 4008-881-881
  • 在线反馈
  • 用心聆听用户声音,您的建议、评价、吐槽,是我们产品前进的动力
  • 我要反馈 > >
  • 帮助中心
  • 为您提供产品描述、功能介绍、使用方法、常见问题解答等内容,便于快速了解梆梆各项产品服务
  • 点击前往 > >