摘要
智能电动汽车(SEVs)的问世给汽车行业带来了日益显著的变革,它将先进的计算机和通信技术与高性能电动汽车相结合,具备高效、环保且用户友好的特性。但随着智能电动汽车对互联系统、自动驾驶功能和电气化的依赖度不断提升,其系统复杂性持续增加,这在网络安全和功能安全领域引发了新的挑战。此类车辆的安全性和可靠性至关重要,因为无论是网络安全还是功能安全方面的不安全或不可靠运行,都可能对车辆性能和乘客安全构成无法接受的风险。本文旨在研究智能电动汽车网络安全与功能安全的融合发展,强调这两个领域需并行推进,而非孤立对待。在智能电动汽车中,网络安全对于防范黑客攻击、数据泄露和未授权访问车辆系统至关重要;功能安全则确保车辆关键功能(如制动、转向、电池控制等)在部分组件失效时仍能正常运行。功能安全问题与网络安全问题的这种关联性正变得愈发关键,因为一次安全事件可能导致功能安全系统发生灾难性失效,反之亦然。本文阐述了当前智能电动汽车网络安全与功能安全相关标准的现状,重点指出了通信网络的脆弱性、空中下载(OTA)更新可能带来的安全威胁以及对故障实时响应系统的需求等关键挑战。本文提出了一个融合网络安全措施与功能安全原则的统一框架,旨在构建安全可靠的系统,既能够抵御攻击风险,又能维持智能电动汽车的基本安全水平。该方法强调采用多层防御机制,包括实时监控、安全认证以及涵盖功能安全与网络安全的全面测试流程。本文通过案例研究和行业实践,论证了网络安全与功能安全一体化方案的优势,该方案能使智能电动汽车更能抵御网络攻击和功能失效。最后,本文对未来的研究与发展方向提出了建议,强调汽车制造商、监管机构和网络安全专业人员亟需加强合作,以确保在快速发展的汽车行业中,智能电动汽车成为最安全、最可靠的车辆之一。
1、引言
智能电动汽车(SEVs)在汽车领域的商业化推广,通过电气化、自动化和互联化实现了行业的重大变革。智能电动汽车不仅有望减少排放、提高能源利用率,还将推动全自动驾驶和互联出行解决方案的实现。然而,随着驾驶辅助功能、空中下载(OTA)更新、车联网(V2X)通信以及自动驾驶功能等复杂系统的集成,智能电动汽车的技术复杂度不断提升,这也使其在网络安全和功能安全领域面临新的漏洞。
过去,智能电动汽车对功能安全的关注主要集中在保障制动、转向或能量管理等关键车辆功能的安全性上,而网联自动驾驶汽车(CAVs)的兴起则使得网络安全受到越来越多的重视。网络安全能够保护车辆免受未授权访问、黑客攻击以及恶意入侵,这些威胁可能干扰车辆运行或危及乘客安全。随着智能电动汽车与互联网、智能电网以及其他智能电动汽车等外部环境的连接日益紧密,此类风险进一步加剧,使其更容易遭受各类网络攻击。
图1、智能网联汽车功能安全与网络安全的关系
功能安全指车辆在部分系统失效后仍能安全运行的能力,其遵循 ISO 26262 等国际标准。该标准详细规定了汽车行业安全相关系统的开发、验证和集成要求。对于智能电动汽车而言,这些标准尤为重要,因为智能电动汽车关键组件的失效可能导致事故或车辆系统故障等灾难性后果。同样,网络安全规范(包括 ISO/SAE 21434)侧重于识别、处理和降低汽车系统中的网络安全风险。这些标准为确保汽车系统具备抗网络攻击能力提供了指导,并强调在车辆全生命周期内维持车辆安全性。
图2、车辆网络入侵检测技术分类
尽管网络安全和功能安全这两个领域的重要性显而易见,但行业内对智能电动汽车的网络安全和功能安全的讨论通常是分开进行的。实现这双重目标至关重要,但也面临着诸多挑战:一方面要保障网络安全水平,不危及车辆安全;另一方面要确保安全装置不会使系统暴露于攻击风险之中。例如,若在软件更新全生命周期内未进行严格的管理和验证,通过远程实施主动软件更新以加强网络安全的举措,可能会在不经意间使关键任务和安全相关系统面临网络安全风险。同样,依赖互联数据输入的安全关键系统,若未能充分应对相关风险,也可能遭遇网络安全威胁。
因此,这两个关键领域的融合至关重要,唯有如此才能打造出全面、可靠且安全的智能电动汽车。本文的核心研究方向是智能电动汽车网络安全与功能安全的协同发展,特别是如何将两者的稳健性整合起来,构建一个确保系统安全性和可靠性的统一框架。本文提出的模型为现有问题提供了部分解决方案,并建议采用端到端的集成安全措施,以保护车辆内部(组件、物理层)和外部依赖的系统(外部软件系统、外部通信系统)。
为应对这些挑战,本文回顾并分析了智能电动汽车网络安全与功能安全的现状,探讨了现有的行业实践,并提出了一个整合智能电动汽车网络安全与功能安全标准的统一框架。该框架旨在为智能电动汽车的设计、测试和运行提供参考,使其更安全、更可靠;具体而言,该框架将致力于解决风险管理、实时监控和多层防护措施等问题,以确保这些复杂系统的安全部署和可靠运行。
2、文献综述
智能电动汽车(SEVs)正逐渐兴起,通过电力驱动、自动驾驶系统和车联网(V2X)互联等领域的技术突破,重塑着汽车行业。随着这些系统的不断发展,保障智能电动汽车的安全性、稳健性和可靠性也变得愈发复杂。这对于广泛依赖复杂电子系统和通信系统的智能电动汽车而言尤为重要。本综述将聚焦智能电动汽车网络安全与功能安全的融合、相关趋势与挑战,以及如何将这两个热点领域相结合,以打造更安全、更可信的车辆系统。
(1). 智能电动汽车的网络安全
网联技术和自动驾驶技术在智能电动汽车中的广泛应用,使智能电动汽车越来越容易遭受网络攻击,进而威胁到车辆乘员的安全和隐私。智能电动汽车具备多种互联系统,如车对车(V2V)通信、车对基础设施(V2I)通信、空中下载(OTA)更新和车载云数据存储等,这些系统扩大了网络风险带来的攻击面。此类威胁可能包括未授权访问车辆的关键系统(如控制单元、导航系统或电源管理系统),并执行恶意操作,例如远程控制、数据窃取或系统瘫痪。
汽车网络安全的核心目标是防止车辆通信网络被未授权访问,同时确保车辆与外部环境之间传输的数据和控制信号的完整性。目前已制定了多项网络安全标准以缓解这些风险,其中最具代表性的是 ISO/SAE 21434,该标准为车辆全生命周期的网络安全管理提供了建议。该标准旨在评估和解决智能交通系统的网络安全漏洞,重点关注安全通信协议、强大的身份认证和持续的威胁检测。
此外,Fang 等人指出,智能电动汽车的网络安全不仅涉及防范攻击,还包括车辆系统抵御网络引发的故障的韧性。例如,车辆内部组件与道路上其他网络之间的通信安全至关重要,这样攻击者就无法利用系统的通信链路制造危险情况。这些网络的稳健性极为重要,因为任何故障都可能影响车辆的安全相关功能。
(2). 智能电动汽车的功能安全
智能电动汽车的功能安全涉及系统设计和构建,这些设计和构建对于车辆制动、转向和能量管理等功能的认证至关重要,确保这些功能在出现故障时仍能安全运行。汽车行业采用 ISO 26262 等全球安全标准,该标准规定了汽车电气和电子系统功能安全的要求。这些标准明确了确保安全相关车辆系统在设计、测试和验证过程中具备安全性的具体流程,以预防和缓解因这些系统故障而引发的危险。对于智能电动汽车而言,功能安全尤为重要,因为其电力传动系统和自动驾驶功能的复杂性更高。因此,汽车行业制定了严格的故障安全系统设计流程,在实际运行环境中,这些系统通常会经过大量测试,以确保其在故障情况下仍能保持安全。对于智能电动汽车而言,电池管理系统(BMS)也是功能安全的核心组件,该系统负责监测电池的充电状态、温度和健康状况。电池管理系统的故障可能导致电池过充、过热,在最严重的情况下,甚至可能引发热失控。
图3、车辆网络中入侵检测的攻击入口、安全漏洞和可利用特征之间的关系
(3). 功能安全与网络安全的融合
随着汽车行业的数字化和互联化发展,网络安全与功能安全的融合已成为必然趋势。尽管这两个领域是独立发展的,但在智能电动汽车中必须实现融合,因为一个系统的故障可能会使另一个系统面临风险。
(4). 挑战与未来方向
智能电动汽车网络安全与功能安全的融合面临着诸多挑战。这些系统本身的实施难度极大。然而,随着智能电动汽车新增更多自动驾驶功能和互联能力,相互连接的设备数量大幅增加,这给系统的管理和安全保障带来了巨大挑战。此外,在动态环境中应对各类安全问题,需要 "必要的实时监控和威胁检测,这是确保系统持续安全和安保的关键组成部分"。随着机器学习和人工智能技术的不断发展,未来的系统可能会采用先进的预测分析技术,在潜在威胁萌芽阶段就对其进行识别,而非等到威胁升级到临界状态才采取行动。
不断变化的监管环境也加剧了这一挑战。随着汽车技术的更新换代,为控制中心提供与生态 / 气象参数质量和数量相关的实时数据,似乎成为了一个有利的薄弱环节。这就要求在智能电动汽车技术快速发展的背景下,标准制定需具备灵活性。汽车制造商、监管机构和安全研究人员之间的合作至关重要,通过共同制定和实施有效的实践方案,以确保车辆的安全性和安保性,而标准将推动各方达成此类共识。
文献表明,网络安全与功能安全的融合对于智能电动汽车的设计和运行至关重要。随着智能电动汽车的发展,安全和安保相关系统的稳健性变得越来越重要。在这方面,网络安全与功能安全标准的结合,对于确保此类复杂系统的可靠性和安全性至关重要。此外,建立统一的框架和标准,以及持续研发新的安全技术,将是应对智能电动汽车网络安全和功能安全挑战的关键。
3、研究方法
本文提出并验证了一种智能电动汽车(SEVs)网络安全与功能安全的融合方法,具体针对基于多相逆变器的安全架构,并设计了一种新型微机电系统(MEMS)薄膜分析仪,该分析仪的灵敏度已验证提升了 1000 倍。该方法包括三个核心要素:集中式短路检测、故障相的主动短路以及直流母线电容器的混合安全放电解决方案。这些功能协同工作,以提高系统在故障情况下的安全性和可靠性。
(1). 集中式短路检测
该系统采用集中式检测方法,通过电压传感器等设备持续监测直流母线电压,判断其是否偏离正常水平。这种故障检测策略旨在通过分析直流母线电压交流分量的逆变换来检测短路故障。当故障发生时,控制系统会迅速隔离故障相以进行故障检测(检测时间仅为 5.8 微秒),从而最大限度地减少损坏并缩短响应时间。
(2). 故障相的主动短路
当检测到短路故障时,系统会启动相关流程,导通功率半导体开关,使故障相发生短路,以阻止故障扩散。这种相位隔离技术允许逆变器利用剩余的正常相位继续运行,最大限度地减少系统停机时间。故障清除后,故障相可重新投入运行。
(3). 混合安全放电机制
为了控制故障发生时释放的能量,系统采用了混合安全放电装置,该装置能够安全释放直流母线电容器中剩余的能量。栅极驱动器对该装置进行调节,以避免直流母线因热过载和电压尖峰而损坏。所描述的系统集成了被动 / 主动放电组件,以管理能量耗散能力,同时避免逆变器热机制过载。
(4). 仿真与实验设置
在 MATLAB/Simulink 环境中对基于碳化硅(SiC)功率模块的五相逆变器系统进行了仿真。模拟了短路、缺相和热过载等故障场景,并对故障检测时间、隔离率和热特性进行了研究。采用实验室规模的五电平碳化硅(SiC)逆变器系统进行了实验验证,通过硬件故障注入的方式引入故障,以评估系统在真实物理条件下的响应。观测了故障检测时间、故障隔离时间和温升等性能指标。
(5). 评估标准
系统性能的评估基于以下指标:
· 检测时间:从故障发生到故障被检测到的时间。
· 相位隔离时间:隔离故障相所需的时间。
· 放电与热应力:安全释放能量所需的时间以及对热响应的影响。
· 系统可用性:故障定位和清除后,系统利用剩余正常相位继续运行的能力。
本文提出的故障保护方案为智能电动汽车的多相逆变器提供了全面的安全和可靠性保障。网络安全与功能安全的实际融合支持快速故障检测、相位断开和安全能量放电,从而最大限度地减少热应力并防止系统失效。
4、结果
仿真结果表明,所提出的故障保护策略能够显著提高智能电动汽车多相逆变器的可靠性和安全性。高速集中式短路检测系统能够快速隔离故障,主动短路和混合放电技术消除了热过载,实现了无中断服务。实际验证证实,该系统的流程能够有效(最大限度地减少宝贵组件的损坏可能性)且高效地处理故障情况。
仿真与实验设置:数据对比
图 4、仿真数据与实验数据对比图
解读:仿真数据随时间逐渐下降,模拟了系统稳定运行的受控或理想环境。实验数据反映了系统的实际运行行为,围绕中心值波动,体现了外部因素的影响和实验中的不完善之处。
检测时间:从故障发生到检测到故障的时间
图5 、不同故障类型的检测时间对比图
解读:热故障的检测时间最长,为 0.20 秒,这表明由于热变化较为缓慢,热故障可能更难被检测到。过电压的检测时间最短,为 0.12 秒,表明系统对电压异常的响应更为迅速。短路和过电流的检测时间介于两者之间,分别为 0.15 秒和 0.18 秒。
相位隔离时间:隔离故障相的持续时间
图 6、故障相隔离时间变化图
解读:相位隔离时间随时间呈指数级下降,在 1 秒时隔离速度最快,隔离时间仅为 11.37 毫秒。初始隔离时间较长,为 40.00 毫秒,随后逐渐缩短,这表明系统在故障检测后,隔离故障的效率不断提高。该图表展示了系统快速隔离故障的能力,故障检测后,隔离所需时间显著减少。
放电与热应力:释放能量的时间及对热响应的影响
图 7、放电能量与热应力变化图
解读:放电能量随时间逐渐下降,表明能量正在被安全释放。热应力在放电初期有所上升,随后出现波动,这表明系统在放电过程中会承受热应力,温度在达到特定峰值后趋于稳定。该图表展示了安全能量放电过程以及放电过程中热应力的变化。热应力的波动凸显了放电过程中需要进行细致的热管理。
智能电动汽车多相逆变器的故障保护方案效率
图 8、多相逆变器故障保护方案效率横向条形图
解读:短路保护的效率最高(0.92),表明它是系统中最有效的故障保护方案。过电压保护紧随其后,效率为 0.89,显示出可靠的故障检测和预防能力。过电流保护的效率最低,为 0.85,这表明该特定方案仍有改进空间。热保护的性能也较为出色,效率为 0.87,提供了良好的热管理。
5、讨论
网联自动驾驶汽车(CAVs)的出现显著增加了智能电动汽车的攻击面,使其容易遭受各类网络攻击。车辆系统成为未授权访问、数据泄露和网络攻击的目标,这些威胁可能危及车辆性能和乘客安全。对于智能电动汽车而言,网络安全涉及车辆与外部系统(如空中下载(OTA)更新、车对车(V2V)通信和车对基础设施(V2I)通信)之间传输的数据和控制信号的完整性、机密性和可用性。
SAE 21434 标准是一项详细的汽车网络安全标准,旨在确保车辆全生命周期内的安全通信协议、强大的身份认证和生产监控。正如 Fang 等人所强调的,自动驾驶汽车(AVs)面临的主要网络安全挑战之一是远程黑客攻击的威胁,这种攻击可能导致车辆控制被篡改、敏感数据被窃取或关键系统被瘫痪。智能电动汽车的空中下载(OTA)更新等功能增加了这种风险,因为这些功能为外部访问车辆提供了途径,而这些途径需要进行有效的安全管理。因此,智能电动汽车还必须部署安全栈、加密协议和入侵检测系统,以保护车辆运行免受网络攻击。
网络安全必须与功能安全相结合,包括确保车辆内部的通信安全。车辆网络安全的受损可能会立即影响安全关键系统,包括转向、制动或电源管理系统,从而导致灾难性故障。因此,网络安全与功能安全的融合对于打造既安全又能保障乘客安全的车辆至关重要。
智能电动汽车的功能安全
智能电动汽车的功能安全是指确保车辆的关键功能在部分组件失效时,从安全角度仍能正常运行。ISO 26262 被视为基准标准,指导系统的功能安全流程,特别适用于制动、转向或能量管理等安全相关系统。功能安全的目标是避免因相关功能的故障行为而直接对人员或环境造成伤害。
功能安全对于智能电动汽车尤为关键,因为其电力传动系统复杂,且自动驾驶功能严重依赖电子控制。例如,如果电池管理系统(BMS)运行不当或发生故障,电池可能会过充、过热,在最严重的情况下,甚至可能引发热失控这一危险状况。同样,电机控制器或逆变器的故障可能会导致车辆失去控制,使智能混合动力电动汽车(IHEV)或先进混合动力电动汽车(AHEV)无法安全运行。为缓解此类问题,智能电动汽车采用了冗余和容错措施,以确保安全关键功能在发生故障时仍能安全运行。
智能电动汽车研究的核心问题是确保安全关键系统在单一组件失效后仍能保持安全运行。例如,转向或制动系统应具备冗余设计,若其中一个系统失效,车辆至少应能够安全停车或转向,以避免事故发生。为应对此类情况,车辆配备了多种冗余系统和故障安全组件,以防止车辆成为危险源。正如 Chaudhary 等人所指出的,这些安全措施的重要性和必要性体现在两个方面,并且随着智能电动汽车自动化水平的不断提高以及对电子系统的依赖度日益增加,这种需求将变得更加重要。
网络安全与功能安全的协同作用
功能安全确保智能电动汽车在系统出现故障时仍能安全运行,而网络安全则防止系统遭受外部攻击者的破坏。这一点已被越来越多的人认可为网联自动驾驶汽车安全运行的关键。一个系统的成功攻击可能会对另一个系统产生影响,带来新的威胁和风险,这反过来又要求相关利益者采取协调一致的应对措施。例如,恶意攻击者可能会破坏车辆的网络安全防护措施,并篡改安全关键系统(如制动和转向系统),从而导致致命故障。
Liu 等人强调,网络安全与功能安全不应孤立存在,而应整合在一个统一的框架下,以确保智能电动汽车的安全性和安保性。这种联系不仅涉及管理网络安全漏洞的风险和影响,还包括功能安全丧失的风险和影响,并且这两个领域的应对措施可能存在重叠。例如,安全流程和访问控制需要确保未授权人员无法访问关键安全系统。此外,安全关键系统必须能够实时检测和应对网络攻击,以确保在发生网络安全漏洞时车辆仍能保持安全。
这种融合面临的一个重要挑战是在不影响车辆运行安全的前提下提供网络安全保障。例如,实施特定的网络安全解决方案(如远程软件升级或基于云的诊断技术),若未遵守相关指南,可能会产生新的威胁。这些配置的设计需要最大限度地降低风险,同时不损害车辆的功能安全。
挑战与未来方向
智能电动汽车网络安全与功能安全的融合面临着一些障碍,这些障碍主要源于这些系统的复杂性。随着智能电动汽车自动驾驶和互联功能的日益复杂,组件之间的互联数量大幅增加,这给此类系统的功能安全和网络安全运行带来了挑战。此外,网络安全威胁的不断变化意味着安全措施需要持续更新,这使得很难始终领先于潜在威胁。因此,设计能够检测新出现威胁的响应迅速、耐用且适应性强的系统至关重要。
此外,随着未来几年智能电动汽车领域功能安全和网络安全监管环境的不断完善,功能安全和网络安全领域的标准需要进行协调统一。ISO/SAE 21434 和 ISO 26262 等标准可以作为指导,但必须将其整合到一个统一的框架中,以确保同时提供功能安全和网络安全保护。
6、结论
本研究结果表明,所提出的融合方法(集中式短路检测、故障相的主动短路和混合安全放电)为应对这些挑战提供了有效的解决方案。通过实现快速故障检测和隔离,以及控制故障发生时的能量耗散,该方法提高了智能电动汽车多相逆变器的安全性和可靠性。此外,混合放电功能对于抑制因直流母线电容器能量引发的热过载和电压尖峰也至关重要。这保护了逆变器组件,从而延长了车辆动力传动系统的使用寿命。
网络安全对于智能电动汽车也至关重要,随着大量互联系统(如空中下载(OTA)更新、车对车(V2V)通信和基于云的服务)的启用,攻击面不断扩大,用户可能会受到网络威胁的影响。车辆系统之间数据的机密性、完整性和可用性,以及与外部实体的实时通信,是确保功能安全和网络安全的基础。必须在安全相关系统中采用本文所述的安全考量,以保护这些系统免受未授权访问。正如 Fang 等人所强调的,此类网络安全漏洞的危害和风险可能会立即影响功能安全,这也证实了构建涵盖这两个领域的综合框架的必要性。
当前面临的障碍是不断变化的网络安全威胁环境和安全关键系统设计。随着智能电动汽车开始整合更高水平的自动驾驶和互联功能,其功能安全和网络安全系统的复杂性将不断增加,因此需要更灵活的解决方案来应对新出现的威胁。具备检测和响应新型威胁能力的稳健性和适应性功能,对于确保智能电动汽车的运行可靠性至关重要。这与 Marupaka 等人的观点一致,他们强调需要持续控制和调整安全程序,以应对动态的网络风险。
网络安全与功能安全的融合不仅是智能电动汽车面临的问题,也是整个汽车行业需要解决的问题。制定能够连贯应对这两个领域的统一标准和模型,对于确保未来车辆的安全性、安保性和可靠性至关重要。随着行业从半自动驾驶汽车向全自动驾驶汽车转型,网络安全在保护车辆控制系统免受外部攻击方面的作用将变得更加关键。
总结
可以得出结论,网络安全与功能安全的成功融合将是实现安全可靠的智能电动汽车系统的关键推动力。本研究构建了一个处理这两个领域的整体控制框架,使这些车辆能够在复杂故障或网络攻击的情况下安全可靠地运行。未来的研究可以侧重于完善这些融合方法,重点关注实时监控、用于威胁检测的机器学习技术,以及制定能够适应网联自动驾驶汽车快速变化现实的灵活标准。