从平台安全的角度看黑平台：2022年最佳外匯經紀商

阿宝说车

如何从黑客的角度看《人民的名义》？

他曾公开指出了人脸识别总体上不成熟的三大应用：第一，在高可靠人脸验证系统上，如支付、社保和门禁，视频或 3D 模型存在欺骗问题，错误拒绝率(FAR)在小于 0.01 %的条件下，拒识率可能高达 30 %以上;第二，安防用“认证一致性”的验证系统在 FAR 小于 0.01 %时，拒识率可能高达 40 %以上，身份证卡内人脸图像质量差，常小于 1 KB，现场用户配合程度不高，且环境也呈现不可控因素;第三，安防用黑名单监控类应用远未解决，在虚警率为 0.01 %时，识别率可能低于 10 从平台安全的角度看黑平台 %，视频质量差，表现出低分辨率、大角度拍摄、光照差的特点，而最大的障碍在于缺少可用的训练和测试数据。

后来，还有警察上门找郑胜利，说网络造谣、传谣违法，郑胜利却表示自己的转发没有超过 500 从平台安全的角度看黑平台 次的剧情。

这个故事的结局是，张某散布谣言扰乱公共秩序的行为，违反了《治安管理处罚法》规定，警方据此对其处以行政拘留 7 日的处罚，并对该起网络谣言信息做进一步侦查。

从安全的角度看自动驾驶

阿宝说车

欢迎关注我的微信公众号：阿宝1990，每天给你汽车干货，我们始于车，但不止于车

站在2020年年尾回看智能驾驶，这一年黑科技层出不穷，无疑是一片琳琅满目的壮观景象：超大的显示屏娱乐功能强大、智能座舱高度数字化、OTA远程升级几乎是新车型标配、ADAS辅助驾驶功能也越来越丰富和实用. 至于智能驾驶的终极目标——无人驾驶，在市场的狂热逐渐退烧后，各大厂家重新制定了自动驾驶计划。智能汽车正在朝着便利和解放驾驶员的方向上狂奔。

功能安全（Functional Safety）
预期功能安全（Safety of the Intended Functionality）
信息安全（Cyber Security）

1.功能安全（Functional Safety）

1.1.什么是功能安全？

ISO 26262中对功能安全的定义为：ISO 26262：absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.（不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险）简而言之，功能安全聚焦系统故障后怎么做。危害有很多类型，如人身伤害或者财产损失等等。功能安全所关注的危害指对驾驶员或者路人或周边车辆内人员（注意：不仅仅是驾驶员）造成的健康伤害。换句话说，功能安全开发目的是避免伤人。

功能安全开发的目标（截图来自TUV培训资料）

1.2.功能安全的发展现状

相对于预期功能安全和信息安全，功能安全的发展是最成熟的。自2011年功能安全标准ISO 26262正式发布以来，已经过去了快10年。这这段时间里，在汽车智能化高速发展的驱动下，功能安全越来越被汽车行业接受，国内外各大主流汽车企业陆陆续续将ISO 26262的需求融入自己的研发体系和流程中，以保证安全能跟上电子电器系统快速变革的步伐，保证辅助驾驶功能不仅好用而且安全。借着这股东风，ISO 26262一路“平步青云”，功能安全俨然成为了汽车研发的新兴热门话题。但是，随着更高阶的自动驾驶的开发思路越来越清晰，功能安全也渐露窘色。

回到汽车自动驾驶上，同样对关键部件采用冗余设计，保证当故障发生后备份系统仍能保证车辆正常运行。可以预见的是，自动驾驶的大脑控制系统、制动系统、转向系统、供电系统等都需要冗余。但是，冗余一方面意味着部件数量增加，成本上升；另一方面，功能安全中会对系统故障可能导致的危害事件进行分级，简单来说从ASIL A到ASIL D危害程度逐渐升高。那么开发要求也逐渐升高。比如单就硬件开发而言，ASIL D对单点故障度量（SPFM, signal point fault metrics）、潜在故障度量(LFM, Latent fault metrics)等的指标要求近乎苛刻。

ISO 26262对不同ASIL等级的硬件开发指标而对于需要冗余的制动系统、转向系统、大脑控制系统等而言，它们的失效都会引起一些ASIL D的危害事件，换句话说，这些系统的开发需求中至少有一部分是有最严苛的ASIL D要求的。如今两套冗余都需要满足这些要求，无疑增加了开发难度和开发成本。

2.预期功能安全（SOTIF, Safety of the Intended Functionality）

2.1.什么是SOTIF?

2020年3月19日，由于自动紧急制动系统（Autonomous Emergency Braking, AEB）存在故障，沃尔沃汽车宣布在全球范围内召回汽车近74万辆，共涉及9款在售车型。此次召回的原因，是因为一些场景下无法有效识别物体，导致AEB在该工作的时候不工作。一般AEB探测物体依赖传感器毫米波雷达和摄像头两个关键传感器的信息融合。因为多普勒效应，毫米波雷达不擅长识别静态物体；而摄像头在雾天或者光线不足等情况下探测度都会降低，这些因素都会导致在一些场景下无法正确识别物体从而激活AEB。

因此，这次召回不是因为系统故障导致的，而是传感器本身的功能局限导致的。ISO 26262功能安全旨在避免电子电气系统故障导致功能异常而引起的不合理的危害，功能受限ISO 26262的范畴。为弥补功能安全的局限，预期功能安全SOTIF (Safety of the 从平台安全的角度看黑平台 Intended Functionality)以及标准ISO 21448便诞生了。

第1种和第4种情况没有危害，而其余两种则有危害，也正是SOTIF关注的危害。要有效避免误触发和漏触发，第一步是识别场景并进行分类，确定哪些场景下功能触发是安全的，而哪些场景下功能不触发是安全的。在OTIF将所有的场景划分成下图所示四个部分，且目标为：最大可能减小Area2 (known unsafe scenarios) 和Area3 (unknown unsafe scenarios) 的范围。

图片来自ISO 21448

2.2.SOTIF的发展现状

目前SOTIF的标准ISO 21448还是draft版本，按照计划在2022年3月正式发布。目前对于一些关键问题仍然存在争议，这也是ISO 21448迟迟没有发布的重要原因。

ISO 21448计划表举例来说，而对于Area3(unknown unsafe scenarios)，处理起来则相对棘手很多。举个例子，这就好比我们在开发一辆将来投放在中国市场的车，需要在开发初期事先识别出一辆车在中国路况下可能会碰到的各种场景。我想即使让全世界顶尖的安全专家坐一起产出也极其有限。SOTIF对降低Area3，大体思路如下：

（1）提高系统和零部件功能的可信度。Validation: set of activities ensuring and gaining confidence that a system is able to accomplish its intended use, goals, and objectives

Note to entry: . Validation 从平台安全的角度看黑平台 activities address mainly "area 3" of figure 7 including the validation of SOTIF in unknown use cases."

（2）endurance run。

概括来说就是通过实车路试和仿真测试积累大数据。当数据积累越多，越能够将unknown scenarios变成known scenarios。积累实车路试和仿真测试数据是一件耗时耗力耗材的大规模工程。这无疑又给智能驾驶的安全开发增加了成本，另外，搭建可信度高的仿真测试平台也需要巨额成本，成本因素会给SOTIF的推广带来比较大的挑战。另一方面，ISO 26262从诞生到被行业普遍认可用并较为熟练运用经历了9年，SOTI又会如何目前仍是一个问号。

3.从平台安全的角度看黑平台信息安全（Cyber Security）

3.1.什么是信息安全？

从平台安全的角度看黑平台

吉普车遭到黑客攻击，图片来自网络为了应对这一种情况，已经在互联网领域发展很成熟的信息安全正在被运用到汽车开发中。智能驾驶的智能化程度越高，可能被黑客攻击的点就越多，对信息安全的需求量更大。这里需要强调一点，功能安全和SOTIF以人身安全为核心，但是不是所有的信息安全问题都会导致人身安全。换句话说，信息安全除了要考虑人身安全以外，还需要考虑黑客攻击带来的其他风险，比如车辆被偷导致的财产损失以及隐私泄露风险。

3.2.信息安全的发展现状

2020年车辆信息安全标准ISO 21434，Road Vehicle - Cybersecurity Engineering标准正式发布，该标准是基于SAE J3061制定的、针对车辆整个生命周期的标准。主要涵盖安全管理、基于项目的网络安全管理、持续的网络安全活动、相关风险评估方法、以及道路车辆概念验证阶段，产品开发阶段和开发完成后阶段的网络安全。对于该标准如何落地，业界尚在摸索中。于此同时，信息安全既然也包括了对人身伤害的预防，那么必然和功能安全以及SOTIF有交集，如何将三者的开发有机联系起来目前还没有成熟的方案，这也是亟需解决的关键问题。

从功能安全视角看软件架构设计

软件架构设计是软件生命周期的第二个阶段，前面的阶段是软件需求阶段（software requirements specification）,在软件需求设计时，把整个软件当成一个黑盒处理，来确定该软件的所有功能、性能，与硬件的接口定义，与外部其它系统的接口定义，而在软件架构阶段，需要设计一种架构来满足软件需求，通过层次化结构的方式来表示软件架构的组件构成和他们之间的交互方式。以下图为例，虚线框之外是软件需求，虚线框内是软件架构。