内容提要：我们提出了一种在早期开发阶段基于SAE J3061/ISO 21434、SAE J3016和ISO 26262标准来协同安全和防护生命周期的方法。所提出的方法使用失效、攻击和对策(FACT)图来连接安全失效、安全攻击和相关对策。

摘要

安全是自动驾驶汽车的首要要求和关键挑战。任何意外失效（安全问题）和/或故意攻击（防护问题）都可能导致严重损失或生命伤害。因此，任何对失效或攻击的忽视都可能导致可怕的后果。安全和防护是相互关联的，因此必须在开发过程的早期进行协同。国际标准化组织（ISO 26262）和汽车工程师协会（SAE J3061/ISO 21434）已针对车辆安全提出了国际标准。然而，它们并没有解决自动驾驶汽车的所有方面，因为它们依赖于人类驾驶员控制车辆。在高度自动化车辆（国际标准SAE J3016定义的3级或以上）中，自动驾驶系统完全负责驾驶车辆。因此，在设计自动驾驶车辆的安全性时必须考虑不同的驾驶自动化水平。我们提出了一种在早期开发阶段基于SAE J3061/ISO 21434、SAE J3016和ISO 26262标准来协同安全和防护生命周期的方法。所提出的方法使用失效、攻击和对策(FACT)图来连接安全失效、安全攻击和相关对策。所提出的方法有助于设计或定制安全保障流程，并根据驾驶自动化水平为自动驾驶汽车选择适当的对策。

一.简介

自动驾驶汽车（AV）是一种能够实现传统汽车主要运输功能的车辆。与传统汽车的主要区别在于专为自动驾驶汽车设计的驾驶自动化系统（DAS）。DAS为车辆平台提供驾驶自动化，从而提供从根本上改变交通的可能性，以减少碰撞、能源消耗、污染和拥堵成本。这种车辆引起了学术界、工业界和政府的广泛关注。

AV是一个安全关键系统。AV的任何失效都可能导致严重的人身伤害甚至死亡。同时，作为一个网络物理系统，自动驾驶汽车由无数异构的网络和物理组件组成，这带来了额外的网络安全挑战。AV内部这些组件之间的复杂相互作用，使自动驾驶汽车的系统建模和安全安保性协同变得困难。

对于网络物理系统来说，安全旨在保护系统免受意外失效的影响，以避免危害，而安保则侧重于保护系统免受故意攻击。AV的安全性如图1所示。AV的安全性包括机械系统安全和电气电子（E/E）系统安全。在考虑E/E安全时，它由DAS安全和车辆平台安全组成。标准ISO 26262定义了车辆平台的E/E安全。类似地，AV防护包括物理防护和网络防护。对于后者，必须考虑DAS防护和车辆防护。标准SAE J3061/ISO 21434定义了传统车辆的网络安全。意外失效可能会引发安全损失，例如对生命、财产和环境造成损害，而故意攻击可能会导致隐私、财务、运营和安全损失。在本文中，我们重点关注E/E系统安全性和防护性之间的一致性。

图1.自动驾驶车辆的安全和防护

协同安全和防护性对于自动驾驶汽车至关重要，因为任何失效或攻击都可能导致安全损失（如图1所示）。信息物理系统的对准问题已在文献中讨论。然而，自动驾驶汽车的这种对准尚未得到解决。在SAE J3016中，定义了六个级别的驾驶自动化。最近的高级驾驶员辅助系统仅在1级和2级左右列出。这将无法满足日益增长的驾驶自动化系统需求。不同级别的DAS对应不同的驾驶功能和安全要求。此外，不同层次还将面临更多潜在的危害、威胁和挑战。因此，在分析AV系统的安全性时，有必要考虑DAS，因为对于具有相同驱动功能的AV，根据其自动化水平的不同，其安全防范对策的选择也不同。然而，ISO 26262没有考虑驾驶自动化水平，并假设人类驾驶员始终在场。

在本文中，我们提出了一种方法，通过根据SAE J3061/ISO 21434、SAE J3016和ISO 26262标准同步安全和防护生命周期，在早期开发阶段协同AV的安全性。我们使用失效攻击和对策（FACT）图将安全失效、安全攻击和相关对策一起列出，这将避免因失效或攻击而带来的安全损失，从而保证自动驾驶汽车的安全。此外，这种调整有助于考虑驾驶自动化水平来设计或定制自动驾驶汽车的安全和防护流程，并支持安全和防护分析。

本文的其余部分组织如下：我们在第二部分介绍初步信息，并在第三部分探讨AV的安全和防护一致性。最后，我们在第四节中总结了我们的工作。

二.初步信息

为了演示我们的对齐方法，我们在本节中提供一些初步信息。

A.动态驾驶任务

驾驶任务是在道路交通中运行车辆所需的功能，包括运行功能（基本车辆运动控制）、战术功能（事件/物体规避和快速路线跟踪的规划和执行）和战略功能（路线和目的地的时间和选择）。动态驾驶任务（DDT）包括运行和战术功能，例如（但不限于）：

1.通过转向进行横向车辆运动控制（运行）；

2.通过加速和减速进行纵向车辆运动控制（运行）；

3.通过对象和事件检测、识别、分类和响应准备（运行和战术）来监控驾驶环境；

4.对象和事件响应执行（运行和战术）；

5.机动规划（战术）；

6.通过灯光、信号和手势等增强显眼性（战术）。

由于子任务3和4都与对象和事件检测及响应相关，因此统称为OEDR。

当DDT失败时，重新执行DDT或降低碰撞风险的响应被视为DDT后备。这方面的一个例子是当汽车上的自适应巡航控制系统遇到系统失效导致该功能停止时执行其预期功能。驱动程序将通过恢复完整DDT的性能来执行DDT回退。

B.驾驶自动化水平

驾驶自动化系统(DAS)是能够持续执行整个DDT的硬件和软件，这是自动驾驶汽车取代人类驾驶员的关键属性。驾驶自动化的级别也根据DAS的要求进行划分，包括：

•1级，DAS执行纵向或横向车辆运动控制（DDT的子任务1或2）。

•2级，DAS执行纵向和横向车辆运动控制（同时执行DDT的子任务1和2）。

•3级，DAS还执行OEDR（DDT的子任务3和4）。

•4级，DAS还执行DDT后备。

•5级，DAS不受运行设计域(ODD)的限制。

这里，ODD是一个特定的运行域，其中自动化功能或系统被设计为正常运行，包括但不限于道路类型、速度范围、地理、交通、环境条件（例如天气、白天/夜间）和其他领域限制。例如，我们可以设计这样的ODD：道路固定为高速公路，车辆只能在白天保持低于35km/h的速度行驶。

图2.驾驶自动化水平

图2显示了驾驶自动化的级别和相应的功能。对于低自动化驾驶（0级到2级），需要驾驶员执行部分或全部驾驶任务；而对于高自动化（3级到5级），DAS可以代替驾驶员执行完整的DDT。我们日常生活中的汽车处于0级，没有驾驶自动化。人类驾驶员必须执行驾驶任务并应对所有后备情况。1级是驾驶员辅助，这意味着DAS可以对汽车进行横向或纵向控制。当DAS同时执行横向和纵向控制时，这种自动化处于2级，即部分驾驶自动化。

对于3级，即有条件驾驶自动化，DAS可以执行整个DDT。但是，当发生DDT系统失效或当DAS即将离开其ODD时，能够操作车辆的车辆用户要能够接管。如果DAS可以执行DDT回退，但ODD有限，则这种角色划分对应于级别4，即高级驾驶自动化。完全驾驶自动化（5级）是DAS可以执行完整的DDT和DDT回退的情况，同时对应的ODD不受限制。

C.相关安全防护标准

SAE J3061/ISO 21434是车辆系统网络安全指南，定义了生命周期过程框架，并提供了指导原则等。在SAE J3061/ISO 21434中，网络安全生命周期可以分为几个阶段：概念阶段、产品开发阶段（系统层、硬件层、软件层）、生产运营阶段。概念阶段是整个生命周期的第一步，包括以下活动：特征定义、威胁分析和风险评估、功能安全概念、安全需求和安全评估。特征定义定义了将要应用网络安全流程的正在开发的系统，即定义了特征的边界。威胁分析和风险评估（TARA）识别威胁并评估风险，TARA的结果推动所有下游活动。防护概念描述了从TARA阶段获得防护性的高级策略，一旦确定了满足特征的概念，就可以确定防护需求。执行评估是为了识别网络物理车辆当前的网络安全态势，并在整个网络安全生命周期中分阶段开发。

ISO 26262是国际标准化组织定义的量产汽车E/E系统功能安全国际标准，提供汽车安全生命周期（管理、开发、生产、运营、服务、退役）并支持定制这些阶段中必要的活动。在开发部分，与SAE J3061/ISO 21434类似，安全过程由危害分析和风险评估（HARA）、功能安全概念、安全要求和安全评估组成。

三.协同AVS的安全性

在本节中，我们将介绍一种协同自动驾驶车辆安全性的方法。

A.安全和防护概念阶段

标准SAE J3061/ISO 21434提出了一种整合车辆安全（ISO 26262）和防护（SAE J3061/ISO 21434）过程的方法，通过在功能安全和网络安全概念阶段活动之间建立路径，例如网络安全TARA活动和功能安全HARA活动、网络安全要求和功能安全要求活动。我们建议通过添加SAE J3016标准中的AV特定信息来扩展此方法，如图3所示。在综合功能安全和网络分析过程中增加了额外的活动，DAS-TARA和DAS-HARA。此外，在DAS-TARA、DAS-HARA、TARA和HARA活动之间建立了通信链路，如图3所示。

图3. 根据SAE J3016、SAE J3061/ISO 21434和ISO 26262标准调整安全和安保概念阶段

图3显示了合并的安全和防护概念阶段，它由来自不同标准的阶段组成。安全和防护活动之间没有先后顺序，但对于每个阶段，我们需要同时考虑它们。我们使用带有双箭头的虚线来描述图3中的同步活动。由于DAS的自动化级别，TARA和HARA应该对应于每个级别。彩色表格用于表示级别及其属性：黄色表示DDT，红色表示DDT回退的执行者，蓝色表示ODD约束。TARA和DAS-TARA完成后，执行活动防护概念，整合TARA和DAS-TARA的结果，然后提出防护要求和防护评估。同时，DAS-HARA和HARA执行功能安全概念活动，然后进行安全要求和安全评估。

B.AV的威胁分析和风险评估

如第2-C节中所述，TARA定义威胁并评估风险，并导出防护生命周期中的所有以下活动。因此，这对于整个防护设计和开发非常重要。大多数TARA方法都是为汽车领域设计的，并不是专门针对自动驾驶汽车的。在本节中，我们研究汽车TARA案例，并提供一种通用的TARA方法，该方法也可用于自动驾驶汽车。

EVITA方法来自欧洲研究项目EVITA（电子安全车辆入侵保护应用），该项目涉及车载网络保护。在EVITA方法中，TARA阶段主要包括三个活动：威胁识别、威胁分类和风险分析。威胁识别使用攻击树来识别通用威胁；威胁分类是指对威胁风险进行分类；风险评估根据威胁的风险分类建议采取行动。

OCTAVE代表运行相关威胁、资产和漏洞评估，这是一种流程驱动的威胁/风险评估方法。在OCTAVE中，TARA阶段可以通过以下流程完成：建立风险标准、分析资产、识别威胁以及识别和减轻风险。

HEAVENS安全模型重点关注防护分析的方法、流程和工具支持。在HEAVENS中，TARA的主要工作流程包括：用例研究、威胁分析和风险评估。

图4.威胁分析和风险评估方法

EVITA、OCTAVE和HEAVENS的TARA方法有不同的流程（如图4所示），但这些流程具有相似的功能或相似的效果。我们将它们分类为我们的通用方法（由图4中的箭头表示）。所提出的方法有四个活动：资产分析、威胁识别、威胁分类和风险评估（图4中的圆角矩形）。资产分析包括研究用例、建立风险标准和识别资产。威胁识别使用攻击树来识别威胁（类似于EVITA）。威胁分类对威胁风险进行分类，并考虑用例分析主要风险。风险评估评估风险并生成防护要求。

对于自动驾驶汽车来说，这四个过程有更广泛的定义。对于资产而言，除了车辆上的可见资产和信息资产外，还应考虑功能资产（例如DDT功能）。DAS的威胁应被视为需要缓解的关键威胁，因为DAS的任何功能错误都可能对人类造成严重伤害。因此，影响DAS的威胁应被评估为具有较高风险。

攻击树是TARA的一种流行方法，它是描述攻击过程步骤的图。它使用一些基本符号来演示攻击，例如节点（代表攻击事件）、门（AND和OR门）和边（通过系统的攻击路径）。

C.自动驾驶汽车的危害分析和风险评估

根据ISO 26262标准，执行HARA以确定可能的危害以及所考虑系统的关键性。与TARA类似，HARA的结果严重影响以下确保功能安全的活动中所采取的努力。

SAHARA是一种安全感知的HARA方法，它扩展了HARA的归纳分析，并包含来自STRIDE模型的威胁，该模型描述了主要的安全威胁类别。SAHARA提出了一种安全级别确定方法，并将其与汽车安全完整性级别（ASIL）结合使用来评估可能的威胁。

有研究人员提出了4级自动驾驶汽车的HARA方法，即车辆在速度低于12km/h的高速公路紧急停车车道上运行。在这项工作中，ASIL得到迭代完善，以实现此类车辆的特定安全目标。

综上所述，传统的HARA对于自动驾驶汽车的适用性有限。但ASIL是可用于自动驾驶汽车的，因为它可用于评估影响DDT或自动驾驶汽车相关组件的威胁或危害。故障树通常用于HARA。故障树类似于攻击树，其中树节点代表失效事件。

D.安全与防护的协同

我们使用FACT图来结合安全和防护生命周期。FACT图是一个树形图，共同显示系统失效、攻击和相关对策，它是在合并的安全和防护生命周期的多个活动中形成的。

图5.自动驾驶车辆的安全和防护协同

协同方法如图5所示，其中我们使用矩形来表示生命周期中的活动，并使用圆角矩形来表示工件（即用于活动的方法）。概念阶段来自图3。我们可以看到DAS-TARA和TARA构成自动驾驶汽车的威胁分析和风险评估部分。接下来是网络安全概念、要求和评估。同时，DAS-HARA和HARA应从安全角度实现，其次是功能安全概念、安全要求和安全评估。在概念阶段部分之后，添加了安全和防护对策的设计，以提供缓解方法。该活动不仅服务于协同目的（针对FACT图提出对策），而且服务于下一阶段，例如标准SAE J3061/ISO 21434中定义的生产开发、生产和运营。

图6描述了AV FACT图的简单示例，其中包括全球定位系统(GPS)失效。GPS数据对于自动驾驶汽车非常重要，用于对汽车进行定位。如果这些数据有误，后果可能是灾难性的。例如，错误的GPS数据可能会导致交通干扰或碰撞危害。在这里，我们将自动驾驶汽车上的GPS数据视为攻击者的目标。关联的FACT图是通过以下步骤形成的（如图6所示）：

•1.添加安全失效作为攻击目标的子树（例如，GPS错误）。在这种情况下，功能故障被视为安全失效的一种。

•2.添加安全攻击作为GPS错误的子树。我们考虑两种类型的故意攻击：欺骗和干扰。欺骗攻击会修改GPS数据，而干扰攻击会阻止AV接收GPS数据。

•3.添加针对相关安全失效的安全对策（如果有）。对于功能性失效，我们可以考虑定期检查作为缓解技术之一。

•4.为相应的安全攻击添加安全对策（如果有）。为了避免欺骗GPS数据，我们可以考虑在读取GPS数据之前设置身份验证。为了减轻GPS数据的干扰，我们可以使用抗干扰GPS技术。它们在图6中分别标记为SEC 1和SEC 2。

图6. 考虑GPS误差形成FACT图

通过使用FACT图，可以识别安全与防护对策之间的任何不一致，以及对策重复和缺失的保护手段。此外，安全防护对策与相关故障和攻击相关联，因此很容易分析潜在的失效和攻击，进而分析安全防护需求。

四.结论

安全是设计自动驾驶汽车时的首要目标。此类车辆的任何意外失效（安全问题）和/或故意攻击（安保问题）都可能导致严重的安全损失，例如人员受伤甚至死亡。因此，自动驾驶汽车安全和防护的有效协同非常重要。

AV和传统车辆之间的主要区别在于AV中有不同级别的驾驶自动化，定义了哪些运行和战术功能由人类驾驶员和驾驶自动化系统执行。因此，对于具有相同功能的自动驾驶汽车，其安全防护对策的选择会根据其自动化水平的不同而有所不同。在本文中，我们提出了一种在早期开发阶段考虑驾驶自动化水平来协同自动驾驶汽车安全性的方法。所提出的方法提出了一种集成由SAE J3016、SAE J3061/ISO 21434和ISO 26262标准定义的安全和防护生命周期过程阶段的方法。使用这种方法，从业者可以通过遵循合并的安全和防护生命周期流程来调整AV的安全和防护活动。

我们的建议可用于分析现有自动驾驶汽车的安全性和防护性，也可用于设计新的自动驾驶汽车。未来，我们将扩展我们的一致性框架，以实现更全面的自动驾驶安全防护分析。

详询“牛小喀”微信：NewCarRen

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！