摘要

在过去的二十年里，数字化重塑了我们的日常生活，汽车行业也身处这一变革之中。如今的车辆正变得日益智能且联网，具备了更多的安全和便捷功能（如自动紧急制动、自适应巡航控制）。下一代车辆将实现高度自动化乃至 5 级自动驾驶（无人驾驶），这将从根本上改变驾驶的意义。与此同时，所有这些优势都需要更强大的控制单元以及电子控制单元（ECU）软件具备更大的灵活性，这不可避免地要求对车辆内部的电子电气（E/E）架构进行重新设计。

尽管在汽车行业，安全性一直被视为关键的工程考量因素，但当车辆开始演变成 “移动的计算机” 时，安全性（这里指网络安全）也成为了一项重大挑战。由于车辆一旦出现问题可能会致命，自动驾驶和联网车辆在功能安全和网络安全方面需要具备高度的可靠性才能获得全面认可，这一点比物联网中的其他设备要求更高。因此，功能安全和网络安全是未来车辆系统架构中的核心概念。

本文将概述车辆电子电气架构中有关功能安全和网络安全的当前挑战与解决方案。

1、引言

有两项新兴的主要技术将从根本上改变驾驶的意义：自动驾驶和联网功能。

自动驾驶旨在减少人类操作员的干预，直至达到无需驾驶员、仅有乘客的状态。已经投入使用的自动驾驶和高级驾驶辅助系统的新功能（如自适应巡航控制、智能泊车辅助、车道预警系统、自动紧急制动等）正在为自动驾驶车辆铺平道路。这些功能借助联网能力从基础设施获取所需的外部信息。未来，车与万物（V2X）技术将涵盖更多近远程环境元素（如路标、交通信号灯、其他车辆、云端等），以无线方式实现必要的信息交换。更多车辆将利用 V2X 技术来缓解拥堵、避免事故或减少排放。

联网功能还使原始设备制造商（OEMs）能够在车辆的整个生命周期内高效地管理软件。随着软件架构的复杂性和应用种类的增加，功能升级、紧急漏洞修复或安全补丁的需求频率将不断提高，而通过将车辆召回经销商门店的方式已无法满足这种需求。因此，空中下载（OTA）更新技术对于迈向高级自动驾驶的下一步至关重要。

随着车辆向联网的 “轮上计算机系统” 转变，能够连接互联网和其他外部网络，终端用户的驾驶体验也将发生改变。乘客已经可以将智能手机或平板电脑等设备连接到车辆，并通过车载信息娱乐系统使用这些设备上运行的应用程序。新的商业模式将会出现，如按使用付费模式，客户可按需为某些功能付费（如空调、座椅加热、导航、3D 低音等）。就车辆本身而言，人们也无需拥有车辆，而是可以利用汽车共享模式，并根据当前用途选择所需的车辆配置。

2、电子电气架构

当前的电子电气架构基于可信的功能域控制器，例如用于底盘、车身或动力传动系统的控制器。为了应对即将到来的电子电气系统复杂性以及对更强计算能力和快速数据传输通道的需求，将出现少量高性能控制器通过车载以太网相互连接。这些中央计算平台运行在多核处理器上，监控和控制多个智能程度较低但高度专业化的电子控制单元。未来车辆基础设施的架构预计将是具有多层服务的面向服务的架构。当前众多的电子控制单元将分为低性能输入 / 输出控制器和高性能域控制器，后者是提供更新能力以及功能安全和网络安全功能的动态系统。

图1：集中式架构

这对软件架构产生了影响，因为集中式高性能电子控制单元需要一个整合的平台，以承载汽车控制和信息娱乐的异构功能。

对此，AUTOSAR 联盟目前正在开发一个新的软件平台 —— 自适应平台（AP），以补充广泛使用的经典平台（CP）。这两个平台的结合将保证下一代技术的电子电气架构在性能以及功能安全和网络安全方面的要求。例如，自适应平台的主要功能之一是能够在电子控制单元上有追溯地且在运行时更新各个功能。

自适应平台基于 POSIX 操作系统，可在多核处理器或虚拟机监控程序上运行以实现虚拟化。多核控制器提供安全可靠的性能分区隔离，而虚拟化则提供安全可靠的软件分区隔离（如图所示）。

图2：高性能控制器的软件架构

图3:AUTOSAR的分布式健康管理

3、功能安全

这些趋势引发了汽车安全概念的范式转变。在许多安全相关系统中，检测到失效时的标准方法是故障静默，即安全状态通常是功能的停用。对于自动驾驶和车辆主要功能的电气化，引入了线控技术，取代了机械或液压备用系统。这些技术需要失效可操作行为，即在失效后仍能在一定时间内（部分）维持功能，然后在不中断服务的情况下停用或恢复。为每个线控系统开发故障可运行架构对于提高可靠性和安全性至关重要。由于会导致更高的硬件成本、重量和能耗，航空系统中的多重冗余不能简单地应用于汽车平台。一种略有不同的方法是所谓的 2 取 1 诊断（1oo2D）系统架构，它能在电子控制单元之间提供具有可控成本的失效可操作行为。在发生失效时，该功能会动态重新分配到另一个电子控制单元，该电子控制单元暂时继续执行该功能，直到车辆能够安全停车。为此，两个电子控制单元都需要配备强大的诊断能力和额外的监控元素。

4、联网与网络安全

随着数字化和联网带来前所未有的可能性和机遇，有关安全问题的新挑战也随之出现。随着车辆的高级功能、电子元件、处理强度和连接点数量的增加，资产数量也在增加，将攻击面扩展到了新的维度。由于系统漏洞而被入侵的车辆可能会导致运营、隐私、财务或安全损失。

过去，车辆是一个封闭系统，需要（事先）物理访问车载网络的威胁并未被纳入安全概念。由于无线连接使车辆面临外部攻击，汽车行业正面临未曾考虑过的威胁模型。2010 年，通用汽车的雪佛兰 Impala 遭到攻击，花了数年时间才修复漏洞并实施对策。从那以后，许多成功的攻击表明，与所有连接到互联网的设备一样，具有无线连接的车辆也容易受到远程攻击。

最终引起所有人关注汽车行业安全性重要性的最著名攻击是 2015 年对吉普切诺基的攻击。两名安全研究人员通过娱乐系统的诊断总线端口远程访问吉普，并控制了包括转向和刹车在内的车辆功能。当某款热门车型的整个车队通过 OTA 机制受到影响时，对人身安全不太严重的威胁可能会给原始设备制造商带来财务问题或声誉损害。

如何避免此类攻击？首先，必须接受不存在 100% 安全的系统。相反，必须持续检查系统的漏洞，尝试像攻击者一样思考，了解新的威胁模型，并根据需要调整系统的安全性。后者使得 OTA 软件更新成为联网车辆的必备技术。

隐藏的漏洞是不可避免的，并且可能首先被黑帽黑客发现。在这种情况下，目标是减缓或阻止攻击者获取最关键的资产。为此，需要通过每一层的安全机制设置许多具有挑战性的障碍（图4）。这是军事领域中一种成熟的策略，称为纵深防御。通过为攻击者制造延迟，额外的入侵或异常检测机制能够应用多种防御模式，例如重新配置（请求更改会话密钥），并提高在攻击者造成严重损害之前阻止他们的可能性。

图4：分层安全

事实上，在几乎所有攻击者控制车辆功能的案例中，他们之所以能够成功，并非因为发现了单一漏洞，而是在获取这些关键功能的过程中发现了一系列漏洞。

5、标准化开发流程

如最后一节所示，当安全机制无法确保安全功能的完整性时，安全问题会对安全性产生影响。另一方面，诸如持续监控和报告之类的安全机制是良好的分层安全的关键要求。功能功能安全和网络安全并非相互独立，需要像在其他领域一样，在流程和开发中保持同步。

图5：系统工程的组合功能安全和网络安全过程模型

ISO 26262 标准涵盖了系统开发中功能安全在流程层面和方法层面的各个方面。目前还没有等效的安保标准。SAE J3061是安全相关系统开发指南，描述了与 ISO 26262 生命周期相似的流程和方法，但它不是一项标准。2019 年，ISO/SAE 21434 标准填补了这一空白。该标准将规定道路车辆及其组件和接口在整个工程（如概念、设计、开发）、生产、运营、维护和退役过程中的网络安全风险管理要求。