L3级自动驾驶的安全保障（NXP）

1、5大域控制器 

1.1 E/E架构发展趋势

图1. E/E架构的发展趋势

1.2 Domian Computing阶段域控制的划分

NXP基于车辆架构划分了5个域控制区域：互联通讯域、智能驾驶域、动力底盘域、车身域和信息娱乐域。

图2. 五大域控制划分

1.3 自动驾驶车辆的能力需求

极高的计算能力需求：

• 网络安全：网络安全攻击风险

• 快速网络：高速率、大带宽

• 功能安全：失效安全、故障沉默 、失效可运行、容错能力

• 受控的延迟：无延迟控制优先级

• 急剧增加的功率需求：高功率效率

图3. 自动驾驶车辆能力需求

2、安全保障 - 功能安全

2.1 Safty 与Security的区别

1）Functional Safety：主要针对一些偶然性错误造成的意外危险，危险可预测且有规律性；

2）Security：主要针对人为蓄意攻击系统或软件而引起的危险 ， 危险不可预测且无规律性；

3）Active&Passive Safety：传统意义上大家所熟知的主被动安全，一个用于在事故发生前尽量去防止或避免事故的发生，另一个用于当事故不可避免时，最大程度的减轻人身受伤害的程度。

图4.  Safty 与Security的区别

2.2  什么是功能安全

• 防止电子系统故障的风险

• 衡量故障，减轻影响，预测影响

• 行业定义的标准：EE系统的ISO 26262

图5. 系统严重事件和ASIL级别的示例

2.3 NXP-L3级自动驾驶功能安全解决方案

• NXP功能安全标准：遵循汽车行业标准ISO26262以及工业标准IEC61508；

• 基于安全标准实现安全支持、安全硬件、安全软件以及安全流程；

图6. L3级自动驾驶功能安全解决方案

图7. 系统模块功能安全等级划分

3、安全保障 - 网络安全 

3.1  网联汽车安全的基础 - 网络安全

• 隐私保护

• 防止未经授权的访问

• 进一步增强安全防护

图8. 车辆网络安全防护

3.2 NXP-网络安全解决方案

核心安全策略 ：纵深防御体系

• 系统不同级别的多层防护

• 降低防御系统某一部分被破坏或规避的风险

纵深防御：外部接口→独立域→内部通讯→软件执行

图9. 纵深防御体系

1）外部接口安全 - 安全M2M认证，安全密钥存储

图10.外部接口安全

2）独立域安全 -  域隔离、防火墙/过滤器、集中式入侵检测（IDS）

图11. 独立域安全

3）内部通讯安全 - 消息认证、CAN-ID-killer、分布式入侵检测

图12. 内部通讯安全

4）软件执行安全 - 安全启动、运行时完整性、空中升级更新

图13. 软件执行安全

解决核心安全隐患的原则：从阻止登录、探测攻击、减少影响到最后解决安全隐患；从实际应用端，则会涉及：接口安全、网关安全、网络安全、安全处理和安全访问；

图14. 多层网络安全框架

1）阻止登录

• 具体安全处理执行层面，会对代码数据进行鉴权、认证及加密

• 网关层面会有防火墙根据上下文过滤无用信息

•  接口安全层面会有防护墙和M2M协议认证

2）探测攻击

• 代码、数据层进行实时的校验

•  网关层有入侵检测系统

   

3）减少影响

• 网络层对信息的过滤及速率的限制

• 网关层对各个域功能的分离

4）解决安全隐患

• 通过OTA解决Bug

参考资料：

1. Keys to Making Level-3 Autonomous Drive Safe and Secure（NXP）

注：文章首发于公众号“筋斗云与自动驾驶”，扫描下方二维码关注公众号并在主页面点击左下角“福利”，有几十篇自动驾驶与EE架构相关外文参考技术文献赠送。