自动驾驶汽车功能安全与网络安全一体化风险评估框架

摘要

过去几年，自动驾驶汽车（AVs）的技术进步与应用推广速度大幅提升，这也使得自动驾驶汽车的功能安全和网络安全问题成为一大挑战。这类车辆依赖包含各类传感器、人工智能系统和互联系统在内的多种系统，而这些系统易受安全威胁和安全风险影响。自动驾驶系统面临诸多安保挑战，包括针对自动驾驶汽车软件、通信系统或云平台的网络攻击，此类安全威胁可能影响车辆控制系统，进而引发灾难性失效。此外，系统和传感器失效也可能导致人工智能决策系统失效，这不仅会对乘客构成风险，也会危及其他道路使用者。为保障自动驾驶汽车的安全性和可靠性，亟需一套全面的风险评估框架，该框架不仅要评估此类事故的影响，还应整合先进技术，以便及时检测和预防此类事故的发生。本文将聚焦于构建一套基于风险的框架，用以评估和缓解自动驾驶汽车技术相关的挑战，并重点关注功能安全和网络安全维度。我们将审视关键的安全标准，探讨实时风险监测、基于机器学习的威胁检测以及弹性系统设计等技术手段。通过聚焦风险管理实践，我们旨在为自动驾驶汽车的安全、可靠集成制定指导准则，为这项变革性技术的广泛应用和公众信任铺平道路。

1. 引言

自动驾驶汽车标志着交通领域的全新进步，它提升了自动驾驶交通的实现可能性，有望减少交通相关事故并优化城市设计。然而，自动驾驶汽车融入城市环境的过程中，存在诸多安全与隐私问题。与传统汽车不同，自动驾驶汽车运用了各类算法、传感器和云通信技术，这种依赖性造就了易受网络安全威胁影响的复杂环境，也形成了错综复杂的安全关联。随着自动驾驶汽车技术的不断发展，及时解决安保隐患和安全风险成为亟待应对的挑战。自动驾驶汽车生态系统面临的现代性矛盾在于：其搭载的技术实现了车辆自主化，但这些技术本身却常受多种风险因素制约。这些风险因素包括但不限于威胁车辆控制的对抗性风险、软件漏洞利用以及对车联万物（V2X）通信信道的远程操控。与此同时，现实世界还带来了一系列截然不同的问题与风险，如恶劣天气导致的传感器失效、算法偏见，且许多极端场景在模型训练阶段甚至未被纳入考量。缺乏统一的法规体系以及针对自动驾驶汽车风险评估的专项规则，进一步加剧了这些问题。

为填补这一空白，本文提出一套基于风险的评估框架（见图 1），旨在系统性评估并缓解自动驾驶汽车系统中的功能安全和网络安全挑战。该框架整合三大核心支柱：（1）通过攻击面映射和失效模式分析识别威胁；（2）利用概率模型量化风险，评估风险发生的可能性与影响程度；（3）借助实时监测和自适应机器学习（ML）算法制定风险缓解策略。通过将安全标准（如 ISO 26262）与网络安全协议（如 ISO/SAE 21434）相协调，本方法能够针对动态变化的自动驾驶汽车运行环境实现全面的风险管理。

图1、风险评估框架

为了将风险置于背景中，表1提供了从实证研究和行业事件报告中得出的高影响威胁的分类。

表 1、突出显示自动驾驶汽车系统主要威胁的风险矩阵（按发生可能性和影响程度排序）

通过提出一套以主动风险缓解为核心的统一框架，本研究旨在推动自动驾驶汽车的安全、稳妥部署。论文后续结构安排如下：第二部分探讨威胁识别与风险量化；第三部分阐述风险缓解策略；第四部分分析该框架相关的政策与监管启示；第五部分给出结论与未来研究方向。

2. 风险评估框架：多层级方法

该框架旨在解决自动驾驶汽车（AV）面临的功能安全和网络安全问题之间的复杂关联，融合了威胁建模、概率风险量化和风险缓解三大模块，并与 ISO 21434（网络安全）和 ISO 26262（功能安全）标准保持一致。

2.1 威胁识别与攻击面分解

自动驾驶系统的风险源于其相互关联的硬件、软件和通信层。我们将威胁划分为以下三类（见表 2）：

表 2、三类不同的威胁域

2.2 风险量化与优先级排序

研究采用概率 - 影响矩阵评估风险，结合基于历史事故数据和仿真得出的发生可能性估算值，以及基于对人员、财产或公众信任造成损害程度得出的严重程度评分。机器学习模型通过分析真实道路驾驶数据集，进一步优化这些估算结果。表 3 针对前文识别的威胁给出了风险矩阵，涵盖各威胁案例的风险因子、发生可能性（L）、影响程度（I）及概率值。

表 3、威胁案例风险矩阵

表 3 中各风险案例的发生可能性判定依据包括真实事故案例、理论及实验数据。网络安全研究和过往案例显示，针对摄像头输入的对抗性攻击、以及利用自动驾驶汽车控制系统中未修补的软件漏洞实施的攻击，发生可能性较高，这些因素构成了自动驾驶系统的关键风险。然而，车联万物（V2X）通信信道的拒绝服务（DoS）攻击、背景环境噪声导致的车联万物（V2X）雷达干扰等风险，因相关佐证依据质量较低，被判定为发生可能性低。对电子控制单元（ECUs）的物理篡改虽存在可能性，但鉴于其受关注程度高、实施复杂度低，最终发生可能性被判定为较低。低光场景下摄像头失效、灰尘或遮挡导致激光雷达失效等风险的发生可能性为中等，这是因为汽车安全工程研究中有大量相关文献佐证此类问题，但技术进步已降低其发生概率。算法决策偏见、低光场景下行人检测失效等虽为已知风险，但通过全面测试和模型优化已得到充分管控与缓解，因此这些风险对应的算法失效概率较低。高速公路旁车辆抛锚、能见度几乎为零的浓雾、黑冰等极端天气等极端场景的发生概率仍较低，主要原因是此类事件本身发生率低，但其一旦发生，相关风险影响程度极高。这些极端场景的佐证依据来源于事故报告和气象现象记录，也凸显了自动驾驶汽车系统仍存在的短板。上述判定清晰呈现了各类风险的特征，同时明确指出了数据缺失的领域，这些领域需进一步验证研究，并制定相应的风险中和策略。

3. 缓解策略：纵深防御架构

纵深防御架构通过部署多层安全控制措施，缓解自动驾驶汽车（AV）系统各层面的风险。以下是针对威胁识别阶段所识别风险制定的定制化缓解策略。

3.1 自动驾驶汽车攻击面映射的缓解策略

攻击面映射旨在识别并分析系统中可能被攻击者利用的潜在漏洞。在自动驾驶汽车场景下，这些漏洞存在于车联万物（V2X）通信、软件架构、电子控制单元（ECUs）等多个组件中。为缓解风险，一套多层级的安全防护方案至关重要。以下策略有助于缩小攻击面，提升自动驾驶汽车系统的韧性。

3.1.1 保障车联万物（V2X）通信安全

车联万物（V2X）通信（车对车、车对基础设施）支持自动驾驶汽车与周边基础设施之间的瞬时数据传输。遗憾的是，其安全机制易遭拦截、欺骗和中间人（MITM）攻击，进而干扰车辆关键功能，甚至被恶意操控。

1. 加密与身份认证：采用端到端加密（如传输层安全协议 TLS、高级加密标准 AES）和数字签名技术，保障消息完整性，防止未授权拦截。

2. 消息验证：运用消息认证码（MACs）等密码学认证机制，验证接收数据的合法性。

3. 入侵检测系统（IDS）：部署基于网络的入侵检测系统，检测车联万物（V2X）通信中的异常行为，如未授权数据注入、异常消息模式等。

3.1.2 强化软件与系统架构安全

自动驾驶汽车软件栈的操作系统（OS）、中间件和应用层是攻击者的关键目标区域。攻击者可利用软件漏洞控制车辆功能、阻断特定操作或注入恶意代码。

1. 定期软件更新：提供空中下载（OTA）更新功能，确保及时修补已发现的漏洞和安全缺陷，主动降低安全风险。

2. 访问控制与沙箱技术：通过限制用户权限、管控车辆关键常规功能，或在用户软件层之下对恶意进程实施沙箱隔离，降低恶意软件交叉感染风险。

3. 运行时安全监测：部署相关措施，实时监测特定系统进程和应用程序中的异常行为，重点关注受监控软件环境中的可疑变更。

3.1.3 保护电子控制单元（ECUs）和执行器

电子控制单元（ECUs）负责控制车辆加速、制动、转向等核心操作。攻击者可通过物理篡改电子控制单元（ECUs）或向系统注入入侵指令发起攻击。

1. 防篡改硬件：通过安全硬件盒和防篡改工具，限制用户对电子控制单元（ECUs）的物理访问。

2. 控制系统异常检测：部署入侵检测系统，监测并分析偏离已知格式的电子控制单元（ECUs）指令模式。

3. 限制诊断端口访问：为车载诊断系统（OBD-II）及其他诊断端口设置身份验证机制，防止未授权的重编程或数据篡改行为。

3.2 失效模式分析的缓解策略

失效模式分析有助于揭示自动驾驶汽车（AV）系统中潜在的薄弱环节，确保系统在各类压力条件下稳定运行。其分析范围涵盖恶劣环境下的传感器失效，到应对不同场景时的算法歧视等问题。以下策略阐述了有效的缓解方法。

3.2.1 传感器失效缓解

自动驾驶汽车依靠摄像头、雷达和激光雷达系统感知周边环境。这些技术易受雾、雨、雪等低能见度天气影响，导致对道路上的危险和目标物产生误判。

1. 多传感器融合：整合激光雷达、雷达和摄像头数据，提升恶劣天气下的感知精度。

2. 天气自适应传感器校准：通过噪声调整等方式实时校准环境参数，例如针对暴雨天气调整激光雷达参数。

3. 自清洁机制：采用自动雨刷、空气鼓风机或疏水涂层，防止水、雪、灰尘等造成传感器遮挡。

4. 基于人工智能的信号增强：利用机器学习算法过滤噪声，提升低能见度条件下的信号清晰度。

3.2.2 算法偏见应对

自动驾驶汽车的决策算法可能产生偏见，导致诸如低光环境下将行人误判为其他物体、选择性识别目标物等危险行为。这些偏见源于训练数据不足和模型过拟合，会增加自动驾驶汽车的安全风险。

1. 多样化且具代表性的训练数据：基于涵盖不同光照条件、天气场景和行人特征的多样化数据集训练人工智能模型，提升模型泛化能力。

2. 偏见检测与修正：运用公平性检测方法，减少目标检测和分类模型中的偏见。

3. 实时性能监测：在实际应用场景中监测算法决策过程，基于参数化实测数据调整人工智能决策阈值。

4. 人在环系统：为可能引发安全问题的算法配备人工控制机制。

5. 自适应人工智能学习：采用强化学习技术，使自动驾驶汽车模型能够根据现实世界的动态变化实时调整。

3.3 极端场景的缓解策略

极端场景指自动驾驶汽车运行过程中可能遭遇，但未经过针对性训练或适配的场景，例如高速公路上的倒伏树木、行人突发异常行为等。此类场景会考验自动驾驶汽车系统的决策能力。为提升自动驾驶汽车的安全性和可靠性，可采取以下措施：

3.3.1 扩充并优化训练数据

1. 多样化与合成数据集：收集丰富的真实世界数据集，并构建模拟自动驾驶汽车真实运行场景的训练环境，提升模型应对极端场景的能力。

2. 对抗性训练：在模型训练过程中引入挑战性条件（如障碍物出现在非预期位置），增强模型鲁棒性。

3. 持续学习：部署能够基于真实道路驾驶收集的新数据不断适配、更新的机器学习模型。

3.3.2 先进的传感器融合与感知技术

1. 多模态传感器融合：整合激光雷达、雷达和摄像头数据，提高对未知障碍物的检测和分类精度。

2. 基于人工智能的异常检测：开发人工智能模型，通过对比当前传感器输入与预期模式，识别异常物体（如倒伏树木）。

3. 环境感知传感器：集成红外、超声波等额外传感器，提升自动驾驶汽车在低能见度条件下的感知能力。

3.3.3 持续的实车测试与验证

1. 极端场景仿真环境：利用高保真仿真平台，测试自动驾驶汽车在罕见且不可预测条件下的行为表现。

2. 道路数据收集与反馈循环：在真实道路环境中部署自动驾驶汽车，利用其运行经验优化感知模型。

3. 众包数据共享：构建自动驾驶汽车共享网络，让车辆共享罕见场景数据，提升整体学习能力。

4. 自动驾驶汽车的安全标准与法规

自动驾驶汽车的实际部署不仅关乎技术，还需制定适宜的法规，保障其安全、安保性能并获取公众信任。本部分分析拟议框架与现行标准的整合方式，提出对现行标准的修改建议，并给出推动行业接纳这些变革的实施步骤。

4.1 与现行标准的对齐

构建有效的基于风险的评估体系，既能为现有汽车标准相关的技术和流程增添价值，又不会削弱其效力，同时聚焦自动驾驶汽车系统的独特性。本研究方法符合 ISO 21434 及其全生命周期网络安全原则，包括基于威胁和风险的分析评估，以及自动驾驶汽车系统威胁缓解。框架中的自适应安全策略和实时监测机制，为应对 ISO 21434所要求的不断演变的网络安全威胁提供了可落地的措施。该框架通过将安全关键失效（如传感器失效、人工智能决策错误）映射至汽车安全完整性等级（ASIL），纳入了功能安全考量。我们的纵深防御架构确保了失效运行能力，符合 ISO 26262 对冗余设计和容错能力的要求。利用数字孪生仿真技术开展场景测试，也契合该标准对严格验证与确认的强调。框架所强调的动态风险评估和持续监测，与联合国欧洲经济委员会（UNECE）R155 对网络安全管理系统（CSMS）的要求相一致。纳入对抗性测试和取证就绪机制，确保了与该法规中主动威胁检测和事故响应相关要求的合规性。

4.2 法规更新建议

尽管现有标准具备一定的参考价值，但自动驾驶汽车技术的发展无前例可循，需要制定新的监管方法加以规范。自动驾驶汽车制造商、供应商和监管机构携手合作，可强化自动驾驶汽车系统的威胁情报共享机制。当前认证流程多采用静态风险评估方法，默认自动驾驶汽车运行环境不变。建议在自动驾驶汽车认证流程中纳入持续风险评估和实时威胁响应缓解机制，使车辆在行驶过程中能够重新评估威胁态势。此外，针对自动驾驶汽车感知系统的对抗性攻击（如激光雷达欺骗、对抗性贴片攻击等）风险，目前尚未得到充分解决。监管机构应要求自动驾驶汽车制造商开展对抗性测试，确保车辆经验证可抵御已知及可预见的威胁。

5. 结论与未来工作

自动驾驶汽车（AVs）的快速发展，要求出台能够应对其独特功能安全和网络安全挑战的有效政策。本文提出了一套基于风险的评估框架，涵盖威胁建模、概率风险量化和缓解策略等模块，旨在保障自动驾驶汽车系统安全、可靠运行。自动驾驶汽车的快速普及，亟需制定聚焦其功能安全和网络安全独特挑战的有效政策。

未来可从多个方向开展相关研究：首先，可将抗量子密码技术融入自动驾驶汽车系统，进一步提升其抵御新兴高级威胁的能力；其次，联邦学习为自动驾驶汽车车队间的协同威胁检测开辟了新维度，同时能保障数据隐私；最后，将自动驾驶汽车系统与数字孪生技术相结合，实现实时风险监测和预测性维护，可增强自动驾驶汽车生态系统的韧性。