來源 | 首屆焉知智車年會
知圈 | 進“電子電氣群”請加微13636581676,備注架構
知行科技系統安全總監宋煒瑾
在【首屆焉知智車
年會】上,知行科技系統安全總監宋煒瑾以“安全集成-積極應對智能駕駛領域的新挑戰”為主題,介紹了知行科技的自動駕駛前裝方案,分享了開發過程中的一些心得和體驗,特別是滿足開發效率及安全需求的系統集成。
宋煒瑾首先介紹了知行科技的基本情況,公司是一家專注于提供自動駕駛領域前裝方案的系統供應商,愿景是希望成為中國汽車制造商最信賴的一個智能駕駛合作伙伴。
公司的業務方向主要是兩部分,一個是產品開發,即自動駕駛的量產產品,主要是智能前置攝像頭,以及自動駕駛的域控制器。另一個是提供系統解決方案的合作開發服務,為主機廠以及一些合作伙伴提供對應L1到L4自動駕駛的工程方案和功能安全服務。
據介紹,知行科技成立于2016年年底,2018年與知名視覺算法供應商Mobileye達成戰略合作,目前的產品當中所使用的視覺感知芯片來自于Mobileye。同年,知行科技贏得了L2第一個量產項目,7月份,有了自己的制造工廠;2018年9月與TUV南德達成戰略合作。
2019年3月,獲取了L4物流車項目;2020年第三季度,開始提供L2量產產品。2020年9月,再獲新的L2量產項目,這兩個項目之間的區別是,第一個項目采用第一代平臺,第二個項目是第二代平臺,第二代平臺提升在于應對新法規的橫穿馬路識別要求。目前,知行科技主推的方案是100度前攝像頭。另一個值得一提的項目是L2++項目,第三季度即將量產,這是一個業界關注的800萬像素的項目。
宋煒瑾介紹說,目前知行科技研發加生產大約有200人,總部和生產制造都在蘇州,在常熟有一個測試基地,包括法規測試和模擬測試。公司在德國還有一個研發中心,主要致力于一些前沿研究,比如行人行為預測、交通流量分析等等。
知行的主要客戶,現在主要有五菱、吉利等車企。目前運行的項目包括L2++自動駕駛解決方案、L3自動駕駛方案,以及L2級自動駕駛產品。
宋煒瑾表示,根據實施的項目和既定路線,知行科技目前有兩個系列產品,一個系列產品是前置攝像頭,有幾代規劃。第一代已經量產,是FOV為52度的IFC;目前主推的是2.0平臺,170萬像素,FOV100度,主要是滿足法規要求。
還有一個比較特別的解決方案,根據客戶要求把額外的DVR鏡頭和的鏡頭做在一個盒子里提供客戶。IFC 3.0目前還在規劃中,是120度的水平視角。
關于域控制器相關產品,第一代域控制器只是一個攝像頭和控制部分分離的設計,第二代、第三代域控制器設計當中集成了不同的攝像頭,以及不同的毫米波雷達,以滿足相應的WA和NOP方案。第四代還在規劃當中,將用于高度自動駕駛,也可以考慮搭載激光雷達等傳感器。
上面談到的兩個產品系列有大致三種配置方案,第一種配置是L2產品系統方案,是高速公路方案。第二種配置是在第一種配置中加入相應的角雷達,以實現變道控制。最后一種配置是NOP系統方案,包含相應的攝像頭,以及前向雷達,還有高精地圖等對應的感知及駕駛員監控系統。
宋煒瑾指出,三個系列方案看起來越來越復雜,同時也帶來了新的問題,整個系統遇到的風險也越來越多。首先是功能安全,原來可能只考慮失效,或者是可預見的人為誤操作。但是,自從智能駕駛功能發展以后,就需要去考慮由于要用系統替代人去做一部分決定,整個系統本身的局限性,或者是系統設計的缺陷,就會導致整個車輛遇到一定的風險。
另一方面,現在整車廠會考慮使用高精地圖以及場端設備,包括相應的軟件,這會導致另一個問題:網絡攻擊。也就是說,現在的系統除了原先要考慮的功能安全方面的因素,還需要考慮網絡安全、預期功能安全等其他因素,相對來說,系統解決方案所面臨的要求和挑戰也越來越多。
宋煒瑾說,針對安全方面的要求,目前已經有一些相對應的法規,產品開發也是根據法規來進行。因為無論如何,法規都是基本,沒有這些基本,憑空想象去開發產品,就是空中樓閣。
目前來看,網絡安全法規有ISO21434標準,功能安全有ISO26262標準,同時還有對標的GB/T34590,以及預期安全ISO21448這樣的標準;同時還要考慮的一點是經常說的前沿水平(State of the art)所能達到的水平,這都要從技術的發展角度去慢慢配合。
要考慮網絡安全、功能安全、預期安全,幾個法規是目前開發的重要指導。
第一,有很多的法規要遵守;第二,這些法規的實施要求也是一個挑戰。例如,功能安全ISO26262大家都很了解,但這個法規發布的比較早,2011年發布了第一版,2018年的時候ISO26262發布了第二版,2017年的時候GB/T 34590發布了第一版,目前GB/T34590第二版正在籌劃當中,基本上小組意見已經匯總完畢,可能就在今年或是明年發布。同時,ISO26262第三版也已經在籌備當中,一版接著一版的法規不斷更新,提出了更多新的要求。
也許有人會說,功能安全其實不是一個強制性的標準,經常是一個推薦性標準,為
什么這么重視它?
第一是這個標準對整個智能駕駛行業的意義,因為這個行業非常重視安全性;
第二,目前有幾個強制標準,如GB標準,比如制動和轉向,都會在附錄內提及功能安全方面的要求,這就導致開發的產品需要滿足強制性要求;
第三,關于預期功能安全,整個標準的研究應該是從2019年或更早就開始了,目前來說,2021年尚未有正式版本發布。
最后一點是信息安全或者是網絡安全,這對很多公司來說是一個比較新的話題,而且大多數公司沒有太成熟的經驗來應對,但是法規上并沒有給你緩沖的空間,目前,ISO21434的DIS版本去年已經發布,而FDIS理論上在今年第一季度發布,但現在有延遲。同時還面臨一個新的情況,在WP.29里規定,歐盟要求2022年所有上市新車都要滿足網絡安全。如果現在的客戶中有國外客戶的話,也需要考慮將這方面的法規納入實際的產品開發當中。
ISO26262、ISO21434等法規其實不只是一個測試、設計標準,而是從整個管理到開發、設計、驗證、售后等整個生命周期都提出的要求,所以其中包含大量的內容。那么,這些內容以及這么緊迫的實施節點,一些不是很大的公司怎么應對挑戰呢?
宋煒瑾表示,通過對法規非常詳細的分析,對其對應標準和流程進行了梳理和合并,知行科技將所有功能安全管理和網絡安全管理都合并在了項目管理中。在整個開發過程中只做一次相關項定義,包含所有這三方面的考慮,接下來做危害分析,考慮功能安全和預期安全,做網絡安全攻擊的威脅分析。
在這個基礎上,形成對應的功能安全概念和網絡安全概念,形成系統設計的指導以及軟硬件開發的設計指導。在這個情況下,從軟硬件的相應測試到系統環節考慮安全以及網絡安全的綜合性的測試,最后分別進行安全確認以及網絡安全確認。在這個過程中,除了對這些標準的考慮以及流程的開發以外,知行科技還計劃在今年6月份,拿到ASPICE L2的認證。
她說,以上是流程上的合并,體量比較小的公司也有一個優勢,船小好掉頭。知行科技在部門職責上也做了劃分,所有功能安全建設,包括預期功能建設,以及信息網絡安全建設都是落實在系統部門,負責規則的制訂,以有效把控流程要求,提升相關實施效率。審核部分都是獨立的,以滿足合規的獨立性要求。
在功能安全與預期功能安全的危害分析方面,以前是做功能安全HARA分析設計,后來發現,實際上許多內容都可以進行一定程度的復用,這樣就大大減輕了整個分析的負擔。
在開發過程中會遇到客戶需求有變更的情況,例如ACC Stop&Go功能,原來的定義一直是車輛跟停后等待3秒時間,這樣可以很好地保證在等待過程中沒有行人橫穿,但現在客戶覺得這個體驗不是太好,因為3秒等待完了之后功能會直接退出,要求駕駛員接管,客戶說這個等待時間可不可以變成30秒?這時,就會出現一個新的場景,在等待期間,可能會有人從車和車之間橫穿過去,這個時候,就需要進行對應的功能安全和預期功能安全分析。把對應的場景羅列出來,而后選擇了比較苛刻的場景,即這個人是貼著車直接去橫穿過去。在這個情況下,如果車發生了誤啟動,這時,對應這個場景,嚴重度和控制度的最后判定結果,是大于0的,這就是預期功能相關的一個場景。當然,這個分析的暴露度比較低,所以可以認為是功能安全相關的。
接下來,既然知道它是預期安全、功能安全相關的,就可以做進一步分析。通常,都會采用故障樹分析方法進行分析。需要分析車輛誤啟動的原因是什么?目標沒有檢測到的原因是什么?從預期安全角度來說,系統受限制的一個原因可能是有盲區,這個時候就要分析盲區的問題。通過對不同安裝高度、位置,以及走過行人的分類,在1.2到1.8米安裝攝像頭對成人適用,但是小孩仍存在一定程度的盲區。這時,為了盡量減少盲區或是將傷害降到比較低的程度,會對這些安裝位置以及上、下視野分配,以及第一可視點提出一些要求,以規避這些預期功能安全的風險。因為預期功能安全不完全通過改進設計來規避的,也有對危害場景的闡明,以盡量減小有危害的未知區域范圍。
以上場景不是功能安全相關,如果是功能安全相關,就要從系統的失效方面去考慮,例如可能是攝像頭出現故障,這時需要開發內部的安全機制,以控制和消除相應的風險。
網絡安全可能存在相應的威脅,比如仿冒、篡改等,這些都會影響相關安全性、完整性、授權、機密性等,需要進行一些TARA分析,分析嚴重程度,所需采取的規避措施。首先是厘清整個系統架構,甚至包括網絡節點,比如下載軟件、通過其他車身ECU進行配置、診斷等。從需要滿足的功能和服務方面檢查可能的攻擊路徑,如OBD接口被攻擊的可能性,或者是OTA軟件更新造成的數據污染。
在上述情況下,需要考慮如何控制和規避污染,如何去保護。其中一種污染情況可能是數據完整性丟失,這與功能安全考慮的數據完整性丟失的情況重合,就可以用一個機制去保護它。比如用端對端保護來防止出現通信完整性丟失的問題,這樣就避免了重復做一些冗余設計。把所有的設計、分析都整合在一起,然后在系統中形成一個策略,傳遞給軟件和硬件。
宋煒瑾最后強調,無論技術如何發展,安全始終是第一優先級的。
