我们可能都忘记了创造汽车最初的目的是减少长途旅行的时间并确保人类的舒适度,而在追求舒适度的同时安全性也很重要。这里我们从历史出发,回顾汽车安全发展的关键阶段。
早期的汽车使用的是普通挡风玻璃,在碰撞中,这种玻璃容易破碎成锋利的匕首状碎片,可能会伤害甚至杀死驾驶者。大约在20世纪20年代中期,亨利·福特由于一块挡风玻璃碎片受了轻伤,这促使他发明了夹层安全玻璃。自此,安全玻璃不断演进。
安全带的引入是提高汽车安全性的重要举措,尤其是当车辆驾驶速度较快时。
安全带的一个重要迭代是改进了原先的两点式设计。两点式设计存在缺陷,这种安全带只有两个安装点,只能绕过人的腰部,在碰撞过程中无法将我们的上半身固定到位。今天的安全带采用三点式设计,增加了一条肩带,可以在发生碰撞时将我们的躯干固定到位。该设计由沃尔沃工程师Nils Bohlin于1959年完成。沃尔沃花了很多年的时间,不仅开发了该设备,还说服了公众使用它。美国在1973年强制要求车辆设置三点式安全带。
安全气囊的历史始于1952年的春天,当时一个名叫John W.Hetrick的美国工程师在周末开车带着妻子和7岁的女儿去郊游,路中间突然出现了一块大石头,他急忙打方向盘、踩刹车,结果车子没控制住,翻到水沟里了。副驾上的妻子为了保护怀里抱着的女儿,就用手臂挡在女儿的头部。等到一家人被救出来的时候,John W.Hetrick发现女儿在妻子的保护下毫发无损。他想:有什么东西能防止人和车辆内部的物体在碰撞过程中发生撞击?他想到自己在当海军工程师时发生的一件事。某次他准备修复鱼雷的时候,鱼雷内的压缩空气突然泄露,强大的空气动力把帆布罩一下子顶到了天花板上,然而天花板却没有受到任何损伤。于是他根据这个原理设计了一个叫作“安全垫”的装置,利用气体的冲力将帆布弹开,以此作为碰撞时的缓冲,这便是安全气囊的雏形,如图1-1所示。但是,当时John W.Hetrick的“安全垫”并没有人愿意采用。
直到1967年,前美国无线电公司的工程师Allen Breed发明了一个由机电传感器控制的安全气囊,这被认为是现代安全气囊的真正雏形。
1967年,奔驰的工程师开始对汽车安全气囊进行研究。1980年12月,奔驰把安全气囊装在了当时的S级轿车上,成为世界上首家将安全气囊作为标准配置安装在自己量产车型上的汽车厂商。
直到1995年,美国国会才通过《联邦汽车安全标准》的第208条关于增加安全气囊的法案。安全气囊从一开始被冷落到后来成为汽车的标配,说明人们对于汽车安全越来越重视。这个由John W.Hetrick最初的想法演变而来的安全装置将继续挽救更多人的生命。
1956年,车载摄像头首次出现在别克的某款概念车上,在这之前,人们都习惯于使用后视镜来监控外部环境。受限于当时摄像技术仍未成熟且成本高,车载摄像头在后续相当长的时间内并未被认可和落地。1972年,沃尔沃也曾验证过这一技术,但未能走向量产,后被丰田“捷足先登”。1991年,也就是距离最早的车载摄像头在别克车上亮相35年后,第一款配备车载摄像头的商用汽车——丰田Soarer诞生。可以说,后视摄像头为倒车辅助而生,是车载摄像头的首个落地应用。2018年,美国甚至出台法律政策,要求市售车型必须标配后视摄像头。后视摄像头(图1-2中B位置)拍摄的车后影像显示在控制台(图1-2中A位置)屏幕上,给驾乘人员提供宽阔的视野。
图1-1 John W.Hetrick的“安全垫”设计手稿
图1-2 倒车影像
主动安全主要是指在即将发生碰撞的前几秒内提醒驾驶员或采取相应的制动措施。现有主动安全技术的主要研究方向包括防抱死制动系统(ABS)、车身电子稳定性控制(ESC)系统、自动紧急制动(AEB)系统、前方碰撞预警(FCW)系统、车道偏离预警(LDW)系统等,如图1-3所示。
图1-3 主动安全系统
ABS最初是为飞机研发的,旨在防止飞机着陆后起落架无法正常落下。20世纪70年代ABS被第一次采用,在80年代末成为车辆的标配系统。该系统可探查车辆单个车轮的转速,若车轮转速过慢,将释放液压流体,当车辆在湿滑路面执行制动操作时,可提供转向控制功能。
ESC系统最早于1983年启用,随后在20世纪90年代成为车辆的标配系统。当探查到牵引力丧失时,该系统可帮助驾驶员应对转向操作,并对各个车轮施加制动力,从而提升驾驶操控性及车辆的稳定性。
第一波主动安全技术已经广泛应用于当今的乘用车和商用车,欧洲道路上大约80%~90%的汽车配备了ESC系统和ABS。
现在,车辆安全领域正在引入第二波主动安全措施,使用声呐传感器、激光雷达、摄像头和GPS等尖端技术,如图1-4所示。
图1-4 新一代主动安全技术
随着零部件成本的逐渐下降以及激光雷达等新技术的采用,汽车驾驶辅助系统的能力在迅速提高,并成为越来越多新车的标准配置。这些零部件的价格越便宜,就会被安装在越多的汽车上,让更多人受益。
我们来看一下上述汽车安全技术创新带来的成果。美国交通局的数据显示,汽车安全方面的进步减少了机动车死亡人数,每行驶1亿英里(约1.61亿千米)的死亡人数已从1960年的5.2人下降到2019年的1.1人。汽车安全装置的主要发展历程如图1-5所示。
图1-5 汽车安全装置主要发展历程
(图片来源:TitleMax(2013),NHTSA(2015),CNBC(2018))
汽车是一项革命性的技术,创造汽车的最初目的是为用户提供安全舒适的出行方式,因此安全和用户体验也应该受到关注。然而,安全和用户体验设计通常是由不同的团队分别负责的,这可能会导致车辆出现不同维度的冲突。随着车联网技术的发展,车与外部世界之间的接口不断增多,这增加了车辆的攻击面。此外,很难保证如此复杂的系统不存在安全漏洞。汽车网络安全是永远绕不开的话题。
今天提到车辆安全主要是指两个词——safety和security。safety和security翻译成中文都是“安全”,但是其内涵和应用有所不同,容易混淆。本书通过综合和整合各种出版物中的定义,总结了如图1-6所示的关键要素与标准。
❑safety:要素为环境、系统、人为,标准是ISO/PAS 21448、ISO 26262。
❑security:要素为关注系统、人为、攻击,标准是ISO 21434。
图1-6 safety和security的关键要素与标准
横轴代表可能导致安全后果的要素。其中,系统要素是指仅与系统本身有关的因素,如因设计错误引起的系统故障、随机硬件故障等。此外,由系统设计不足导致的预期功能不足也属于这一类。人为要素分为人为错误和人为误用。前者是指行为者无意做某事,可能导致系统超出其可接受的范围;而后者是指一个人不按照正确的方式使用系统。环境要素包含外部物理条件(如温度和湿度)与系统先决条件(如传感器的正确数据输入)。最后的攻击要素代表任何暴露、更改、禁用、破坏、窃取行为,以及未经授权访问或攻击车辆的尝试。
纵轴代表潜在安全影响的对象类别,即安全属性被破坏后造成哪些影响,一般包含S(人身安全)、F(财产)、O(功能)、P(隐私)4个方面。S包括骨折、外伤甚至死亡等对人的身体伤害或健康损害。F包含汽车本身、数据资产、路侧单元(RSU)等。O表示功能,正常功能可能会遭到破坏,影响车辆正常行驶,造成不可预估的风险。P表示个人敏感信息,这些信息一旦泄露、被非法提供或滥用,可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害,或遭遇歧视性待遇等。
虽然security和safety在汽车行业内是不同的概念,但它们是相互依赖的。对于自动驾驶汽车来说,如果识别到前面有人会刹车,或者在发生事故时会打开安全气囊,那么它在safety的层面是安全的。如果汽车被黑客入侵,那么它可能会受到security层面的安全威胁,控制权被黑客接管。所以,本书中safety指的是功能安全,security指的是网络安全。总结一下,safety保护的主体是人身安全,而security保护的主体是财产,也就是汽车系统本身,但归根结底还是会回到人身安全。safety和security的关系可以概括为一句话:Safety begins with security(功能安全始于网络安全)。
安全离不开业务发展,汽车企业在不同的业务发展阶段会面临不同的安全问题,于是就引入了不同内涵的安全概念。在车载信息服务阶段引入了“功能安全”(Functional Safety,FuSa,ISO 26262),在智能网联汽车阶段引入了“网络安全”(Cyber Security,ISO 21434,前身为SAE J3061),在智慧出行阶段引入了“预期功能安全”(SOTIF,ISO/PAS 21448),这是今天谈到汽车安全必须提的3个方面。这3个安全概念彼此不同又相互关联,这里梳理一下它们之间的关系和范畴,如图1-7所示。
图1-7 3个安全概念的关系和范畴
先来看功能安全和网络安全有什么区别。
ISO 26262是汽车行业使用的功能安全标准,其中ASIL是确定软件开发安全要求的关键组成部分,遵守该标准对于汽车产品开发至关重要。ISO 26262标准是基于IEC 61508制定的。IEC 61508与其他行业标准如图1-8所示。
功能安全指避免由系统功能性故障导致的不可接受的风险,它关注的是系统发生故障之后的行为,而不是系统的原有功能或性能,在系统发生故障后让系统进入安全可控的模式,避免对人造成伤害。功能安全主要关注两大类故障——系统故障和随机故障。系统故障是确定性的,并且总是在相同的条件下发生,重点是故障避免;随机故障是不确定的,可以用概率分布来描述,重点是故障检测。
这些都是车辆自身问题导致的安全问题,那么其他来自外部世界的风险呢?面对外部风险时,由于车联网的系统外在的性质,网络安全变得至关重要。网络安全的目的是防止黑客对系统进行攻击,这种风险是人为造成的,具有不可预测及动态的特性。ISO 26262第二版标准专门阐述了功能安全和网络安全在概念、开发、生产各阶段的潜在交互关系。
图1-8 IEC 61508与其他行业标准
再来看功能安全和预期功能安全有什么区别。
ISO/PAS 21448是对ISO 26262的补充,延续了ISO 26262未完成的部分。功能安全的目标是避免系统故障引起的不合理风险,关注故障问题;而预期功能安全的目标是避免系统故障导致的不合理风险以及与功能不足或缺陷相关的潜在危险行为。预期功能安全主要针对辅助驾驶和自动驾驶,也就是功能不足或者操作不当造成的功能安全。比如自动驾驶系统没有识别出障碍物,导致汽车撞了上去,这就是预期功能安全的范畴。
讲了这么多,那么到底如何界定一个问题隶属于哪个或者哪几个标准的范畴呢?图1-9给出了从问题来源(系统内因还是外因)以及问题成因两个维度来确定问题隶属范围的示意。从图中可以看出,并非所有由外因造成的问题都属于网络安全的范畴,也有可能属于预期功能安全或功能安全的范畴。很多问题涵盖了几种安全成因,可以归到不同的ISO标准范畴内。
图1-9 安全问题标准范畴示意图
(图片来源:博世)
ISO 26262已经发布快12年了,ISO/SAE 21434制定出来不到3年,而ISO/PAS 21448于2019年1月作为公开的规范发布,当前仍然在开发过程中。下面分别介绍它们。