智能網聯汽車安全研發綜述

1 前言

在信息與物理融合的工業4.0和中國制造2025的大背景下，當前汽車技術正在被顛覆式創新所顛覆，傳統汽車制造商與汽車行業新兵與造車新勢力不斷加速汽車技術的演變。傳統汽車在智能化、信息化、電動化和共享化的大潮下變得越來越聰明，汽車也應該變得越來越安全。世界各大主機廠同時也在新的商業模式下紛紛宣布建立移動出行公司，拓展公司業務，成為設計、制造和服務一體化公司。

傳統汽車安全包括產品可靠性與耐久，汽車主動安全與被動安全技術，隨著汽車電子技術的不斷升級，電子電氣系統的功能需要越來多，一些電子電氣系統功能失效將為汽車使用帶來巨大的影響，甚至危及到車上人員和行人的生命安全。智能網聯汽車還涉及到信息安全和信息隱私安全，新時代汽車的安全內涵正在大幅度擴展（圖1），這給汽車安全技術的研發帶來巨大挑戰。

IATF 16949:2016(Quality management system re?quirements for automotive production and relevant ser?vice parts organizations)[1]是汽車行業質量體系的基本要求，是質量管理者必讀的圣經，產品研發質量管理是整個產品質量的重要組成部分。IATF 16949明確了汽車產品實現的策劃與產品研發與生產及服務的全過程，既包含了產品可靠性和耐久性的基本要求，也包含了主動安全和被動安全，IATF 16949還鼓勵汽車制造企業遵循其它有利于提升質量要求的標準。2018年12月ISO更新了ISO 26262:2011《道路車輛—功能安全》（Road vehicles— Functional Safety（FuSa）），成為：ISO 26262:2018[2]。ISO 26262 專注于在汽車產品生命周期中，識別和減輕E/E（Electrical/Electronics）構架系統、軟件和零部件發生故障后造成的危害，ISO 26262:2018則擴大到所有道路車輛、半導體器件準則和軟件工具的使用信心。近年來ISO也在組織國際上頂尖的汽車企業研討另一項標準，即ISO PAS 21448《道路車輛—預期功能安全》（Road vehi?cles— Safety of the Intended Functionality（SOTIF））。作為與ISO 26262同等重要的功能安全標準，ISOPAS 21448注重E/E系統功能的定義和功能本身不能按照定義的功能發揮作用后的危害，識別和減少在設計運行域（Operational Design Domain）功能失效的相關原因，ISOPAS21448是ISO 26262的重要補充。2019年3月ISO/TC22/SC32/WG8功能安全工作組將正式啟動SOTIF標準制定工作，該標準將引入機器學習、路徑規劃、人機界面（HMI）和先進測試方法等全新內容，預計2021年SOTIF將正式作為ISO標準全球發布[3]。

圖1 汽車安全分類

2 汽車安全技術挑戰

根據 Automated Driving-VDI Status Report，交通事故90%的原因是人類駕駛員操作失誤造成的，智能網聯汽車可以彌補人類的身體和心里上的缺點，總體上可以降低駕駛員人為失誤造成的事故數量。根據2018年德國VDI安全技術咨詢委員會（Technical Advisory Board Safety,Procedures and Processes）2018年7月發布的Automated Driving:VDIStatus Report，不斷增加自動駕駛功能汽車市場投放，2020年就可以降低20%的傷亡數量[4]。

美、歐、日等國家正在積極研發智能網聯汽車，作為工業4.0和物聯網（IoT）的最佳應用。各大車企和造車新勢力已經投入巨資在研究L3-L4級高度智能駕駛技術，在2019年1月12日美國拉斯維加斯舉行的消費電子展（CES）上，BMW展出了具有L4級自動駕駛技術的iNext概念車，本田展示了自動駕駛越野車，中國一汽展示了首創的紅旗“旗境”智能艙，博世公司展示了無人駕駛電動巴士概念[5]。在紛繁的現實世界中，在不斷變化的客戶需求中，在顛覆式技術創新驅動的商業模式創新中，智能網絡汽車的發展面臨著社會民眾的認知、基礎設施、法律法規和技術發展的挑戰。

先進的駕駛輔助系統（ADAS）是實現智能駕駛的重要支撐技術，隨著ADAS技術的進步加上線控技術發展，為實現不斷增長的駕駛輔助功能和信息娛樂系統，越來越多的電子硬件和軟件控制技術應用在汽車上。人工智能（Artificial Intelligence,AI）在智能網聯汽車技術上也獲得了廣泛應用，機器學習（Machine Learning,ML）會更好使ADAS符合用戶的駕駛風格。Roland Berger咨詢公司高級合伙人Wolfgang Bernhart在2016年國際工程科技發展戰略高端論壇—機械與運載工程科技2035發展戰略論壇上指出，當前全球汽車主機廠在向移動服務快速轉型過程中，在考慮公司服務型的構架下，包括服務型的超級系統（5G）、服務型車輛級別的中央計算平臺（AUTOSAR、以太網），服務型的主機廠開始考慮其核心競爭力和技能需求，其中汽車軟件人才的需要將快速增長。

2017年歐洲交通研究咨詢委員會（ERTRAC）的一篇報告指出智能網聯汽車面臨著車輛、系統與服務、社會3個層面的挑戰[6]（見圖2）。

圖2 智能網聯汽車面臨的挑戰[6]

在車輛層面，面臨車載核心技術，包括安全相關的生產和產業化挑戰。在系統與服務層面則包含新的出行服務、大數據、人工智能（AI）等應用，其中人因和萬物互聯也是與車輛安全密切相關的因素。在社會層面，除了使用者、社會接受程度和道德和駕駛員培訓外，政策法規需求方面需要關注可持續發展及安全認證與道路性能試驗。

智能網聯汽車研發的驅動力之一就是要減少人為因素造成的汽車事故的發生，而汽車網聯技術的發展和其它智能駕駛核心技術的發展，包括基礎設施的互聯互通，在為降低汽車行駛事故的同時，也為汽車使用中增加了更多的風險。

Carneigie Mellon大學Koopman教授指出智能駕駛安全不是單一技術能夠解決的，在構建智能駕駛汽車安全構架時應考慮法律、安全工程技術、計算機硬件、軟件、高度可信的機器人、網絡安全、測試、人機界面和社會接受程度（圖3）[7]。

圖3 多領域協同多學科方法確保安全[7]

維也納技術大學的Wotawa教授提出，在車輛計算層面由于越來越多的ADAS應用和智能駕駛能力的實現，主機廠必須應對下面的挑戰[8]：

（1）系統級安全危害的誘導；

（2）測試場景和測試數據的創建；

（3）為操作失敗行為提供的保障；

（4）智能/自適應系統的驗證與確認；

（5）在線安全分析。

TNO Hala Elrofai在StreetWise SCENARIOBASED SAFETY VALIDATION OF CONNECTED AND AUTOMATED DRIVING報告中提出汽車行駛安全包括功能安全（ISO 26262）、預期的功能安全（SOTIFISO/WD PAS 21448）和行為安全（Behavioral Safety），其中行為安全關注的是智能駕駛系統設計，使智能網聯汽車在預期的駕駛環境下能夠使汽車安全地自主駕駛，避免危險并降低發生災難的風險[9]。

法國UTBM大學Dabboussi認為在汽車網聯通訊方面，汽車網聯技術給汽車增加了更大的安全性，由于這一技術的實施可以使汽車感知到環境中的障礙物，在L3級以上的自動駕駛汽車上，汽車可以根據獲得的網聯信息做出相應的反應。但這從信息的角度也增加了信息可信度的挑戰。當前VANET（Vehicular Ad hoc NeTworks）涉及更多的是通訊性能和路徑協議的研究及評估，很少涉及整個系統操作安全性和可信度[10]。

加拿大Waterloo大學的智能系統工程試驗室（Waterloo Intelligent Systems Engineering(WISE)Lab）的Salay博士認為機器學習在汽車軟件應用方面，軟件安全保障存在兩大缺失，包括缺乏技術要求和缺乏解釋性。功能技術要求很難描述全面，這就促使使用機器學習（ML）。訓練集也不是充分的，也不能完全替代技術要求。而缺乏解釋性也是安全保障的一個障礙，因為一些驗證方法無法使用，這對于驗證和認證能力有巨大影響[11]。

3 智能網聯汽車安全愿景與安全需求

ERTRAC在歐盟戰略研究議程報告中提出，歐洲的交通安全的愿景：“任何時間的安全和保障”（Safe and secure at any time）[12]。其內容包括：

·近零事故和零傷害，發揮安全功能和完全智能的自動駕駛功能，包括道路使用者和基礎設施。

·優化和直觀的人機界面（HMI），符合認知安全的要求。

·保持安全和良好維護的物理和數字基礎設施。

·不同道路使用者的專用交通空間。

·提高事故中和事故后的安全水平。

·安全隱私。

·安全和保障的兩個特征：不可能的攻擊和濫用。

·不斷維護和更新系統軟件，提高其性能。

·系統地驗證和確認的網絡物理系統。

·恢復力：高度自動化管理系統，使事故影響最小化，快速恢復。

德國VDI安全技術咨詢委員會在2018年7月發布的Automated Driving:VDI Status Report報告中提出，可以期待自動化改善以下道路安全情況[4]：

·因疏忽而偏離車道

·由于注意力不集中而引起的交通事故

·由于缺乏經驗，缺乏培訓而導致的事故

·駕駛員的負面情緒狀態

·交叉口發生的事故

·封閉道路時發生的事故

·由于速度不合理造成的事故

·換道時發生的事故

·過度疲勞導致的事故

4 智能網聯汽車安全技術研發流程

智能網聯汽車為汽車安全技術提出了極具挑戰性的課題，識別、規定并執行智能網聯汽車產品開發流程是智能網聯產品安全的重要保障，這也符合IATF 16949的要求。在產品開發流程大框架下，結合ISO 26262和SOTIF標準建立智能網聯汽車產品開發流程，其中的子流程包括功能安全需要與定義、危害分析與風險評估、功能開發與驗證、確認及產品發布投入到生產和市場導入前的產品批準。

4.1 智能網聯汽車產品研發流程的建立

M.Maurer,et al.在Autonomous Driving一書中提出了智能網聯汽車產品的V字型開發流程[13]。V字型高度自動駕駛產品開發流程，包括概念階段和批量開發階段，從多學科專家的概念構思、功能安全要素的確定、風險分析、場景創建、虛擬測試、確定實施安全需求、駕駛測試、測試診斷和最終發布。

智能網聯汽車的發布流程是在研發最終確認后為制造和市場投放進行的重要流程，是對智能網聯汽車安全技術確認的重要一環。M.Maurer在Autono?mous Driving一書中提出了智能網聯汽車產品發布流程（Sign-off process）,包括開發和智能駕駛開發團隊確認開口項目清單是否關閉，確認安全項目。如果安全項目關閉，則簽署SOP文件，批準進行批量生產準備。如果有安全項目沒有關閉，則獲得功能安全的相關證據，重新檢查開口項目，重新獲取相關樣件，進行相關的測試，包括虛擬和場地測試。對于重大項目，應咨詢內部專家，包括交通安全、功能安全、人機工程、產品分析、法律方面等領域。外部專家咨詢應包括交通局、供應商等[13]。

4.2 智能網聯汽車研發測試場景庫的建立流程

智能網聯汽車安全的首要因素就是場景創建，荷蘭TNO研究所的Hala Elrofai博士提出了場景創建流程，見圖4。該流程是基于真實世界的駕駛數據：包括動態的交通、靜態的環境和條件。描述靜態環境，包括道路布局和靜態要素。然后是要確定參數化的靜態環境模型，如PreScan,VIRES等，流程的最終是要形成場景庫文件。

圖4 使用真實世界場景創建測試案例[9]

4.3 智能網聯汽車功能安全開發流程的建立

意大利IOTG公司的Riccardo Mariani提出了ISO 26262與SOTIF開發驗證與確認流程的交互作用，見圖5，即在概念開發階段SOTIF的流程包括[14]：

圖5 ISO 26262與SOTIF開發驗證與確認流程[14]

（1）SOTIF與ISO 26262共同確認危害分析與風險評估（Hazard Analysis and Risk Assessment，HARA），SOTIF關注的是系統不能發揮正常作用的原因，而ISO 26262則關注識別和減輕E/E系統失效的危害。

（2）SOTIF確認功能安全概念；

（3）SOTIF對功能定義、功能描述、系統描述、HARA和功能安全概念一致性審查；

（4）在概念階段的初期，通過SOTIF對概念進行驗證。

（5）在批量開發階段，按SOTIF標準的微流程進行預期功能安全的驗證與確認。

Waterloo大學WISE試驗室的Salay博士提出，機器學習（ML）在先進駕駛輔助系統（ADAS）和智能駕駛系統（ADS）上的應用呈現快速增長趨勢，機器學習提升智能駕駛系統安全性越來越重要。Salay博士指出機器學習在汽車軟件應用方面應進行評估，以確定是否有安全要求，是否必須由ML實現還是由編程來實現[11]。

深度神經網絡（DNN）通過訓練可以用來檢測行人、交通路況、信號燈等物體，未來隨著強化學習（RL）的普遍應用，可以解決智能車輛很多問題，如通過強化算法，加強從感知到決策控制的全過程。在駕駛輔助方面，人工智能也可以扮演重要角色，可以訓練車輛按照駕駛員的特有駕駛風格駕駛車輛，包括制動踏板和加速踏板的踩踏力度可以符合駕駛員的風格，也可以結合高精地圖，在特定的路段如彎道和環島廣場主動減速，以保障安全駕駛。

4.4 智能網聯汽車可靠性驗證與確認

智能網聯駕駛汽車的安全性一直是企業、政府和廣大使用者高度關注的問題。傳統的評價汽車可靠性的方法是將智能駕駛汽車在真實的道路環境中進行可靠耐久試驗，評價汽車安全的方法就是要比較智能駕駛汽車行駛百萬公里甚至數億公里，然后比較與人類駕駛發生交通事故的概率。這種方法雖然很符合邏輯性，但是很不經濟、也很耗時。

智能網聯駕駛汽車的安全性影響到機動車自身安全和社會公共安全，汽車安全技術的發展也影響政府管理部署交通安全策略。智能網聯車輛規則的自適應設計勢在必行，從一開始就隨著技術的發展而發展，使社會能夠更好地利用獲益。

在傳統汽車產品可靠性和可信度分析方法的基礎上，識別風險和問題，持續改進系統和零部件，建立智能汽車產品可靠性分析流程對保障智能汽車安全是至關重要的。法國UTBM大學Dabboussi提出了智能汽車（AV）產品可靠性分析程序，見圖6。Dabboussi提出的智能汽車可靠性分析程序包括了可靠性和可信度需求、功能分析、失效模式與影響分析、可靠性矩陣、RBD(Reliable Block Diagram)、FT(Fault Tree)、Petri網聯、模擬和數學方法[10]。智能網聯汽車可靠性分析程序很重要的內容也包括V2X的分析，如VANET、DSRC、RSU、WAVE,此外還包含網絡拓撲分析等。

圖6 可靠性分析程序[10]

RAND公司的Nidhi Kalra博士指出隨著技術的發展，智能網聯汽車開發人員應采用現代化的技術和方法評估智能網聯汽車的可靠性和可信度，這些方法包括加速試驗、虛擬測試與仿真、場景行為測試和示范研究。隨著技術的進步，智能汽車會越來越安全，但是仍然存在不確定性和風險。加強示范運行是獲得公眾認可和展示智能駕駛可靠的重要一步，這需要政府、企業和公眾、保險業共同承擔一定的風險和責任[15]。Nidhi Kalra展示了智能駕駛汽車的故障率低于人類駕駛員的故障率分析，見圖7。

德國亞琛大學的汽車研究所（IKA）R?sener在2018年27屆亞琛國際汽車與發動機技術研討會上提出了智能駕駛安全影響評估方法（圖8）[16]，R?sener認為，傳統安全評估方法是基于人類駕駛已經發生的事故場景統計基礎上，而自動駕駛功能的使用場景并不一定包含在這些場景中，因此需要提出新的方法來模擬自動駕駛功能，主要流程包括定義自動駕駛場景、模擬基于駕駛場景的有效領域、考慮發生駕駛場景的頻率變化和駕駛場景發生事故的嚴重度變化，最后評估自動駕駛功能有效性[16]。

圖7 以95%的置信度和80%的權重證明智能駕駛汽車的故障率低于人類駕駛員的故障率[15]

圖8 智能駕駛安全影響評估[16]

解決網聯汽車可靠性與安全問題，應從系統工程的角度，以系統體系（System of Systems,SOS）的觀點，進行頂層設計。在萬物互聯的大趨勢大背景下，Karl?sruhe技術研究所（KIT）的產品工程研究室（IPEK）的Albert Albers認為，網聯汽車是互聯系統中的一個組成子系統（圖9）[17]。

圖9 網聯汽車-系統體系—系統中的一個子體系[17]

Albert Albers總結了美國國防部、Maier,Dahmann&Baldwin、Jamshidi等多位作者的文獻，得出如下結論[17]：

（1）圖9是SOS的各系統組成，綜合系統中包括汽車、智能手機、充電站、IT后端和其他系統（如交通基礎設施等），各系統能夠獨立運行。他們是分開獲取和集成的，并保持持續運行，獨立于體系的系統。

（2）組成的各系統也獨立于SOS實現目標，系統所有者可能對使用它們的系統實現SOS目標不感興趣，甚至可能拒絕他們。SOS目標可能與構成系統的目標發生沖突。

（3）組成系統的發展可以在一個獨立的組織機構內進行，沒有必要建立一個綜合的、協調的SOS組織機構，許多利益相關者都可參與其中。

（4）組成系統有不同的產品生命周期，一些系統在開放中，其他可能很快就會從市場上消失。組成系統的發展不一定是同步的，也不是集中管理的。

（5）SOS的發展是不斷進行的，永不停歇，總是增加系統或減少系統。對組成系統的變更是經常出現的，而且可能出現影響其他組成系統的情況。

（6）復雜性是SOS的基本特征，任何人都不可能對所有系統都很熟悉。組成系統在很大程度上是異構的，對于其他組織機構來說完全是“黑匣子”。

6 結束語

智能網聯汽車是在工業4.0和物聯網發展的大背景下汽車工業發展的必然產物，將為社會、企業和民眾提供無限的創新機遇和挑戰；智能網聯汽車的發展為交通安全改善提供了很重要的工具，同時也對智能網聯汽車安全技術的發展提出了具有挑戰性的目標；智能網聯汽車安全技術要求在傳統汽車安全的基礎上，增加了功能安全、信息安全和信息隱私安全；智能網聯汽車安全技術發展應用人工智能，引入機器學習，提升產品安全和舒適性體驗是國際大趨勢；智能網聯汽車安全技術的研發要基于功能安全和信息安全國際標準，制定智能網聯汽車產品研發流程，保障智能網聯汽車安全；智能網聯汽車可靠性和可信度的分析需要流程保障，加強分析流程和分析能力建設是提升分析水平的保障；智能網聯汽車安全技術的發展必須提升系統體系工程能力（System of Systems Engineering（SoSE）），同時要緊密結合ISO 26262、SOTIF，研究整體系統安全問題解決方案，包括信息安全。