L3级自动驾驶的安全保障（NXP）

1、5大域控制器

1.1 E/E架构发展趋势

图1. E/E架构的发展趋势

1.2 Domian Computing阶段域控制的划分

NXP基于车辆架构划分为多个部分：包括互联通信领域、智能驾驶调控区段、动力底盘调控区段以及车身调控区段，并涵盖信息娱乐调控区段。

图2. 五大域控制划分

1.3 自动驾驶车辆的能力需求

极高的计算能力需求：

网络安全：网络安全攻击风险

快速网络：高速率、大带宽

功能安全：失效安全、故障沉默 、失效可运行、容错能力

受控的延迟：无延迟控制优先级

急剧增加的功率需求：高功率效率

图3. 自动驾驶车辆能力需求

2、安全保障 - 功能安全

2.1 Safty 与Security的区别

Functional Safety：主要涉及某些随机性错误导致潜在的安全风险，并具有可预见性和规律性的特点；

Security：主要针对有意攻击系统或软件的行为所引发的威胁 ， 这些威胁具有不可预测性和缺乏规律的特点；

3）主动与被动安全：传统上所理解的主动与被动安全概念，在通常情况下指两者的区别与作用机制。前者强调在事故有可能发生的情况下尽可能采取措施预防或完全消除事故的发生可能性；后者则侧重于事故不可避免时实施的最佳化减损策略以最大限度地减少人身伤害程度。

图4. Safty 与Security的区别

2.2 什么是功能安全

防止电子系统故障的风险

衡量故障，减轻影响，预测影响

行业定义的标准：EE系统的ISO 26262

图5. 系统严重事件和ASIL级别的示例

2.3 NXP-L3级自动驾驶功能安全解决方案

NXP功能安全标准：遵循汽车行业标准ISO26262以及工业标准IEC61508；

基于安全标准实现安全支持、安全硬件、安全软件以及安全流程；

图6. L3级自动驾驶功能安全解决方案

图7. 系统模块功能安全等级划分

3、安全保障 - 网络安全

3.1 网联汽车安全的基础 - 网络安全

隐私保护

防止未经授权的访问

进一步增强安全防护

图8. 车辆网络安全防护

3.2 NXP-网络安全解决方案

核心安全策略 ：纵深防御体系

系统不同级别的多层防护

降低防御系统某一部分被破坏或规避的风险

纵深防御 ：外部接口→独立域→内部通讯→软件执行

图9. 纵深防御体系

1）外部接口安全 - 安全M2M认证，安全密钥存储

图10.外部接口安全

2）独立域安全 - 域隔离、防火墙/过滤器、集中式入侵检测（IDS）

图11. 独立域安全

3）内部通讯安全 - 消息认证、CAN-ID-killer、分布式入侵检测

图12. 内部通讯安全

4）软件执行安全 - 安全启动、运行时完整性、空中升级更新

图13. 软件执行安全

核心安全隐患治理原则指出：在技术层面应采取一系列措施包括但不限于通过阻止登录操作来规避潜在威胁并通过多种手段探测可能的攻击途径以最大限度地减少潜在风险最终实现对安全隐患的有效治理；同时在实际应用场景中则需重点关注以下几个方面：一是建立完善的安全防护机制确保系统免受外部威胁侵害二是强化网络入口的安全性以防止未经授权的访问三是采用多层次的安全防护策略来全面控制信息系统的安全性四是建立有效的安全审查机制确保所有操作符合安全规范五是制定清晰的安全访问策略明确各系统的访问权限与限制条件以保障系统的正常运行

图14. 多层网络安全框架

1）阻止登录

具体安全处理执行层面，会对代码数据进行鉴权、认证及加密

网关层面会有防火墙根据上下文过滤无用信息

接口安全层面会有防护墙和M2M协议认证

2）探测攻击

代码、数据层进行实时的校验

网关层有入侵检测系统

3）减少影响

网络层对信息的过滤及速率的限制

网关层对各个域功能的分离

4）解决安全隐患

通过OTA解决Bug

参考资料：

1. Keys to Making Level-3 Autonomous Drive Safe and Secure（NXP）

注：文章最初发布于公众号'筋斗云与自动驾驶'。扫描下方二维码后关注该公众号，并在主页面点击左下角的'福利'链接以获取更多资源。可免费获取几十篇自动驾驶与EE架构相关的外文技术文献。