李文婷

摘 要：文章通過結(jié)構(gòu)化的安全性分析與非道路驗證體系，深入分析了智能網(wǎng)聯(lián)汽車的安全性問題，采用功能安全危害分析與風險評估方法，結(jié)合故障樹分析和系統(tǒng)理論過程分析，提出了智能網(wǎng)聯(lián)汽車安全性分析流程，通過實例研究，驗證了提出的分析框架和測試平臺的有效性。結(jié)果表明，該安全性分析與非道路驗證體系能夠有效識別和評估智能網(wǎng)聯(lián)汽車中的潛在安全威脅，為智能網(wǎng)聯(lián)汽車的安全性提供了全面的測試驗證支持，對于提升智能網(wǎng)聯(lián)汽車的安全性設計和驗證具有重要意義。

關(guān)鍵詞：智能網(wǎng)聯(lián)汽車 功能安全 安全性分析 非道路驗證

1 引言

智能網(wǎng)聯(lián)汽車的發(fā)展標志著電子通信技術(shù)、人工智能與傳統(tǒng)汽車工業(yè)的深度融合，不僅推動了交通工具的智能化和網(wǎng)絡化，也為提升道路安全性、效率以及駕駛體驗開辟了新的可能。然而，隨著這些新技術(shù)的引入，新的安全性挑戰(zhàn)也隨之而來。智能網(wǎng)聯(lián)汽車的安全性測試和分析成為確保這些先進車輛能夠安全融入日常交通的關(guān)鍵環(huán)節(jié)。因此，針對智能網(wǎng)聯(lián)汽車進行全面的安全性分析和非道路驗證，不僅有助于及早發(fā)現(xiàn)和解決潛在安全問題，還對促進智能網(wǎng)聯(lián)汽車技術(shù)的健康發(fā)展和公眾接受度具有重要意義。

2 智能網(wǎng)聯(lián)汽車技術(shù)及其安全性問題

智能網(wǎng)聯(lián)汽車通過集成先進的信息通信技術(shù)、人工智能技術(shù)和數(shù)據(jù)處理技術(shù)，實現(xiàn)了汽車的智能化、網(wǎng)絡化和自動化，從而大幅提升了汽車的安全性、效率和舒適度[1]。通過搭載高精度的車載傳感器，如雷達、激光雷達（LiDAR）、攝像頭等，智能網(wǎng)聯(lián)汽車能夠?qū)χ車h(huán)境進行360度無死角的感知。利用全球定位系統(tǒng)（GPS）和車載通信設備進行定位和通信，實現(xiàn)信息的實時交換。在感知到周圍環(huán)境信息后，智能網(wǎng)聯(lián)汽車需要對這些信息進行處理和分析，進而做出相應的駕駛決策。智能決策控制系統(tǒng)不僅能夠處理常規(guī)的駕駛?cè)蝿眨畿嚨辣３?、自適應巡航控制等，還能應對突發(fā)事件，例如緊急避讓、交叉口通行等。智能執(zhí)行過程主要依靠車輛的動力系統(tǒng)、制動系統(tǒng)、轉(zhuǎn)向系統(tǒng)等完成。智能執(zhí)行系統(tǒng)的高性能依賴于先進的電子控制單元（ECU）和軟件算法，確保智能網(wǎng)聯(lián)汽車在執(zhí)行駕駛決策時的響應速度和執(zhí)行精度。

智能網(wǎng)聯(lián)汽車技術(shù)的快速發(fā)展，推動了交通系統(tǒng)的現(xiàn)代化，同時也帶來了安全性挑戰(zhàn)[2，3]。

2.1 網(wǎng)絡安全

智能網(wǎng)聯(lián)汽車依賴內(nèi)部網(wǎng)絡和外部通信系統(tǒng)執(zhí)行各種功能，從基本的車輛控制到高級的駕駛輔助系統(tǒng)。當遭遇黑客攻擊威脅時，外部攻擊者能夠遠程控制車輛的關(guān)鍵功能，如剎車系統(tǒng)、轉(zhuǎn)向系統(tǒng)和動力控制系統(tǒng)，可能遠程控制車輛，造成嚴重的安全事故。例如，通過發(fā)送惡意命令，黑客可以迫使車輛在高速行駛中突然減速或者轉(zhuǎn)向，甚至完全失去控制。

2.2 數(shù)據(jù)安全

智能網(wǎng)聯(lián)汽車會產(chǎn)生和處理大量的個人和車輛數(shù)據(jù)，包括駕駛行為、位置信息、車輛狀態(tài)以及個人偏好等。當這些敏感信息被非法獲取和濫用時，會對車主的隱私和安全構(gòu)成嚴重威脅。例如，通過分析位置信息和駕駛習慣，不法分子可能追蹤車主的行蹤，甚至侵犯個人隱私；車輛數(shù)據(jù)的泄露也可能被用于制定更加精準的網(wǎng)絡攻擊策略。此外，如果車輛操作數(shù)據(jù)在沒有適當安全措施的情況下被傳輸或存儲，就很容易成為黑客攻擊的目標。

2.3 物理安全

智能網(wǎng)聯(lián)汽車在各種復雜環(huán)境中保持安全穩(wěn)定的行駛時，需要應對突發(fā)的交通狀況、環(huán)境變化以及其他潛在的安全威脅，要求車輛的感知系統(tǒng)、決策算法和執(zhí)行機構(gòu)高度可靠，能夠在沒有人為干預的情況下，實時做出準確的判斷和反應。當車輛傳感器遭到遮擋、損壞，或通過電磁干擾等手段影響車輛的正常運行，會導致車輛感知能力下降，甚至誤判交通情況，從而威脅到行車安全。

3 智能網(wǎng)聯(lián)汽車安全性分析方法

3.1 安全性分析框架

根據(jù)ISO 26262功能安全標準，采用危害分析與風險評估（Hazard Analysis and Risk Assessment， HARA）框架，對智能網(wǎng)聯(lián)汽車進行全面的安全性分析[4]。HARA框架主要通過系統(tǒng)識別智能網(wǎng)聯(lián)汽車系統(tǒng)中可能存在的安全風險，并對這些風險進行評估和分類。HARA框架圖如圖1所示。

3.1.1 定義系統(tǒng)和功能

在進行HARA之前，首先需要明確分析的智能網(wǎng)聯(lián)汽車系統(tǒng)及其功能，對智能網(wǎng)聯(lián)汽車的各個組成部分及其交互方式進行詳細描述，確保分析的全面性和準確性。

3.1.2 識別潛在的危害

基于對智能網(wǎng)聯(lián)汽車系統(tǒng)功能的理解，識別可能導致傷害或損害的潛在危害，深入分析系統(tǒng)的操作環(huán)境、使用情境以及可能的故障模式，以確保不遺漏任何潛在的安全風險。

3.1.3 評估風險

對于每個已識別的危害，評估其造成傷害的嚴重性和發(fā)生的概率，基于這兩個維度，每個危害將被分配一個風險等級。

3.1.4 確定安全目標

根據(jù)風險評估的結(jié)果，確定每個危害相應的安全目標，降低或消除特定危害所需達到的安全要求，通常以降低危害發(fā)生概率或減輕其后果的形式出現(xiàn)。

3.1.5 制定和驗證安全措施

基于確定的安全目標，設計相應的安全措施來管理和控制風險，制定技術(shù)解決方案、過程改進或操作指南等，并通過驗證和測試來確保它們能有效達到既定的安全目標。

3.2 安全性分析技術(shù)

3.2.1 故障樹分析（FTA）

通過構(gòu)建故障樹，F(xiàn)TA將復雜的系統(tǒng)故障原因分解為更小、更管理的部分，從而識別系統(tǒng)中的潛在薄弱環(huán)節(jié)。故障樹的頂點代表系統(tǒng)的主要故障事件，而分支則表示導致這一事件的原因。故障樹中的邏輯門（如AND門和OR門）用于表示不同故障事件之間的邏輯關(guān)系。

3.2.2 系統(tǒng)理論過程分析（STPA）

與FTA聚焦于已知故障模式不同，STPA基于系統(tǒng)理論，注重系統(tǒng)組件間的交互及其對安全性能的影響，安全問題除了是由系統(tǒng)故障引起，也可能是由于系統(tǒng)組件之間的非預期交互或系統(tǒng)與環(huán)境之間的交互導致的。因此，STPA試圖識別在當前系統(tǒng)設計和操作過程中可能導致危險狀態(tài)的所有潛在因素。

FTA和STPA在智能網(wǎng)聯(lián)汽車安全性分析中各有優(yōu)勢。FTA通過構(gòu)建故障樹提供直觀的方式識別和分析系統(tǒng)故障的原因和后果，尤其適用于分析已知的故障模式。相比之下，STPA更加關(guān)注于系統(tǒng)組件間的交互以及這些交互如何導致非預期的危險狀態(tài)[5]，具體見表1。

4 智能網(wǎng)聯(lián)汽車安全測試與驗證方法

4.1 現(xiàn)有測試方法評估

實車測試是在真實或模擬的道路環(huán)境中對智能網(wǎng)聯(lián)汽車進行測試，以評估其性能和安全性，可以提供最真實的測試結(jié)果，但成本高昂，且存在安全風險。模擬器測試通過高度仿真的軟件環(huán)境來模擬實際道路和交通條件，以測試智能網(wǎng)聯(lián)汽車的反應和決策能力，這種方法安全性高，成本相對較低，但缺乏一些實車測試中的復雜交互因素。硬件在環(huán)（HIL）測試結(jié)合了實車測試的真實性和模擬器測試的安全性，通過將真實的車輛硬件組件集成到模擬環(huán)境中，以測試硬件與軟件的交互，適用于早期發(fā)現(xiàn)系統(tǒng)集成問題[6]。

4.2 非道路測試平臺的設計與應用

非道路測試平臺可以高度自定義極端天氣、復雜交通狀況等測試場景，為智能網(wǎng)聯(lián)汽車提供安全可控的測試環(huán)境。在封閉測試場地或高度仿真的虛擬環(huán)境中，全面評估智能網(wǎng)聯(lián)汽車的性能和安全性，對于早期發(fā)現(xiàn)潛在安全問題、減少實車測試成本和風險具有重要意義。

4.3 測試需求

通過構(gòu)建逼真的測試環(huán)境、模擬車輛運行狀態(tài)以及設計多樣化的測試情景，能夠確保測試的有效性。逼真的測試環(huán)境能夠復現(xiàn)真實交通狀況、特定的天氣條件以及各種交通參與者的行為，為智能網(wǎng)聯(lián)汽車提供全面的測試場景。通過模擬不同的車輛運行狀態(tài)，如加速、減速和轉(zhuǎn)彎等基本操作，以及更為復雜的駕駛場景，例如緊急避讓和交通堵塞導航，能夠全面評估智能網(wǎng)聯(lián)汽車的性能。設計多樣化的測試情景，揭示智能網(wǎng)聯(lián)汽車在不同道路類型、交通密度以及面對不同行人行為時的反應，以評估其安全性和可靠性。

5 智能網(wǎng)聯(lián)汽車安全性測試案例研究

為了進一步進行分析，本文以自適應巡航控制（Adaptive Cruise Control， ACC）系統(tǒng)作為研究對象，進行安全性分析和測試驗證。ACC系統(tǒng)主要通過自動調(diào)整車速，保持與前車安全的距離，系統(tǒng)級危害包括誤加速、誤減速、無響應等情形，會導致交通事故，威脅乘員及周圍行人的安全，構(gòu)建故障樹如圖2所示。

在智能網(wǎng)聯(lián)汽車的安全測試中，組合不同的測試情景（如CS-1/CS-2）構(gòu)成綜合的測試循環(huán)。首先明確每個測試情景（CS-1和CS-2）的參數(shù)，具體見表2。

將CS-1和CS-2組合，形成閉環(huán)測試循環(huán)。目標車輛首先執(zhí)行減速接近的動作，達到與測試車輛的最近點后，再執(zhí)行加速遠離的動作。考慮車輛的加速度、減速度以及兩車之間的動態(tài)交互，模擬目標車輛相對于測試車輛的距離隨時間的變化關(guān)系，如圖3所示。在控制環(huán)境下執(zhí)行組合后的測試循環(huán)，監(jiān)測并記錄ICV系統(tǒng)對于復雜駕駛情境的反應能力和決策效果。通過分析測試過程中收集的數(shù)據(jù)，評估ICV系統(tǒng)在面對實際道路條件下的性能和安全性，特別是評估ICV系統(tǒng)如何處理接近和遠離兩種不同動態(tài)條件下的安全距離控制。

通過組合不同的測試情景，為智能網(wǎng)聯(lián)汽車系統(tǒng)提供全面的測試條件。可以模擬更加復雜和多變的真實駕駛環(huán)境，評估智能網(wǎng)聯(lián)汽車系統(tǒng)在不同駕駛情景下的表現(xiàn)，特別是自適應巡航控制（ACC）系統(tǒng)在變化的距離控制中的穩(wěn)定性和準確性對智能網(wǎng)聯(lián)汽車系統(tǒng)進行綜合安全驗證，確保在復雜交通情境中的可靠性和安全性。

6 結(jié)語

綜上，本文主要探討了智能網(wǎng)聯(lián)汽車面臨的安全性挑戰(zhàn)，針對這些挑戰(zhàn)，提出了結(jié)構(gòu)化的安全性分析與非道路驗證流程，旨在提高智能網(wǎng)聯(lián)汽車的安全性能和可靠性。通過對自適應巡航控制（ACC）系統(tǒng)案例進行具體研究，驗證了提出的方法能夠有效識別和緩解智能網(wǎng)聯(lián)汽車的潛在安全風險，為改進設計和提高整體安全性奠定了堅實的基礎(chǔ)。

參考文獻：

[1]張海春.智能網(wǎng)聯(lián)汽車網(wǎng)絡安全測試研究[D].湖北：華中科技大學，2022.

[2]錢守程，侯丹.智能網(wǎng)聯(lián)汽車安全測試驗證技術(shù)分析[J].科教導刊-電子版（下旬），2021（10）：273-276.

[3]師浩峰.智能網(wǎng)聯(lián)汽車開放測試區(qū)道路安全風險評估[D].上海：同濟大學，2020.

[4]于艷伯.智能網(wǎng)聯(lián)汽車信息安全測試及分析[J].汽車測試報告，2021，18（2）：3-4.

[5]鄒博松，朱科屹，王卉捷.智能網(wǎng)聯(lián)汽車信息安全測試及分析[J].工業(yè)經(jīng)濟論壇，2020（6）：56-58.

[6]方哲.智能網(wǎng)聯(lián)汽車安全測試驗證技術(shù)[J].智能網(wǎng)聯(lián)汽車，2019（1）：60.