1.1.5 主动安全

主动安全主要是指在即将发生碰撞的前几秒内提醒驾驶员或采取相应的制动措施。现有主动安全技术的主要研究方向包括防抱死制动系统（ABS）、车身电子稳定性控制（ESC）系统、自动紧急制动（AEB）系统、前方碰撞预警（FCW）系统、车道偏离预警（LDW）系统等，如图1-3所示。

ABS最初是为飞机研发的，旨在防止飞机着陆后起落架无法正常落下。20世纪70年代ABS被第一次采用，在80年代末成为车辆的标配系统。该系统可探查车辆单个车轮的转速，若车轮转速过慢，将释放液压流体，当车辆在湿滑路面执行制动操作时，可提供转向控制功能。

ESC系统最早于1983年启用，随后在20世纪90年代成为车辆的标配系统。当探查到牵引力丧失时，该系统可帮助驾驶员应对转向操作，并对各个车轮施加制动力，从而提升驾驶操控性及车辆的稳定性。

第一波主动安全技术已经广泛应用于当今的乘用车和商用车，欧洲道路上大约80%～90%的汽车配备了ESC系统和ABS。

现在，车辆安全领域正在引入第二波主动安全措施，使用声呐传感器、激光雷达、摄像头和GPS等尖端技术，如图1-4所示。

随着零部件成本的逐渐下降以及激光雷达等新技术的采用，汽车驾驶辅助系统的能力在迅速提高，并成为越来越多新车的标准配置。这些零部件的价格越便宜，就会被安装在越多的汽车上，让更多人受益。

我们来看一下上述汽车安全技术创新带来的成果。美国交通局的数据显示，汽车安全方面的进步减少了机动车死亡人数，每行驶1亿英里（约1.61亿千米）的死亡人数已从1960年的5.2人下降到2019年的1.1人。汽车安全装置的主要发展历程如图1-5所示。

汽车是一项革命性的技术，创造汽车的最初目的是为用户提供安全舒适的出行方式，因此安全和用户体验也应该受到关注。然而，安全和用户体验设计通常是由不同的团队分别负责的，这可能会导致车辆出现不同维度的冲突。随着车联网技术的发展，车与外部世界之间的接口不断增多，这增加了车辆的攻击面。此外，很难保证如此复杂的系统不存在安全漏洞。汽车网络安全是永远绕不开的话题。

今天提到车辆安全主要是指两个词——safety和security。safety和security翻译成中文都是“安全”，但是其内涵和应用有所不同，容易混淆。本书通过综合和整合各种出版物中的定义，总结了如图1-6所示的关键要素与标准。

❑safety：要素为环境、系统、人为，标准是ISO/PAS 21448、ISO 26262。

❑security：要素为关注系统、人为、攻击，标准是ISO 21434。

横轴代表可能导致安全后果的要素。其中，系统要素是指仅与系统本身有关的因素，如因设计错误引起的系统故障、随机硬件故障等。此外，由系统设计不足导致的预期功能不足也属于这一类。人为要素分为人为错误和人为误用。前者是指行为者无意做某事，可能导致系统超出其可接受的范围；而后者是指一个人不按照正确的方式使用系统。环境要素包含外部物理条件（如温度和湿度）与系统先决条件（如传感器的正确数据输入）。最后的攻击要素代表任何暴露、更改、禁用、破坏、窃取行为，以及未经授权访问或攻击车辆的尝试。

纵轴代表潜在安全影响的对象类别，即安全属性被破坏后造成哪些影响，一般包含S（人身安全）、F（财产）、O（功能）、P（隐私）4个方面。S包括骨折、外伤甚至死亡等对人的身体伤害或健康损害。F包含汽车本身、数据资产、路侧单元（RSU）等。O表示功能，正常功能可能会遭到破坏，影响车辆正常行驶，造成不可预估的风险。P表示个人敏感信息，这些信息一旦泄露、被非法提供或滥用，可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害，或遭遇歧视性待遇等。

虽然security和safety在汽车行业内是不同的概念，但它们是相互依赖的。对于自动驾驶汽车来说，如果识别到前面有人会刹车，或者在发生事故时会打开安全气囊，那么它在safety的层面是安全的。如果汽车被黑客入侵，那么它可能会受到security层面的安全威胁，控制权被黑客接管。所以，本书中safety指的是功能安全，security指的是网络安全。总结一下，safety保护的主体是人身安全，而security保护的主体是财产，也就是汽车系统本身，但归根结底还是会回到人身安全。safety和security的关系可以概括为一句话：Safety begins with security（功能安全始于网络安全）。

安全离不开业务发展，汽车企业在不同的业务发展阶段会面临不同的安全问题，于是就引入了不同内涵的安全概念。在车载信息服务阶段引入了“功能安全”（Functional Safety，FuSa，ISO 26262），在智能网联汽车阶段引入了“网络安全”（Cyber Security，ISO 21434，前身为SAE J3061），在智慧出行阶段引入了“预期功能安全”（SOTIF，ISO/PAS 21448），这是今天谈到汽车安全必须提的3个方面。这3个安全概念彼此不同又相互关联，这里梳理一下它们之间的关系和范畴，如图1-7所示。

先来看功能安全和网络安全有什么区别。

ISO 26262是汽车行业使用的功能安全标准，其中ASIL是确定软件开发安全要求的关键组成部分，遵守该标准对于汽车产品开发至关重要。ISO 26262标准是基于IEC 61508制定的。IEC 61508与其他行业标准如图1-8所示。

功能安全指避免由系统功能性故障导致的不可接受的风险，它关注的是系统发生故障之后的行为，而不是系统的原有功能或性能，在系统发生故障后让系统进入安全可控的模式，避免对人造成伤害。功能安全主要关注两大类故障——系统故障和随机故障。系统故障是确定性的，并且总是在相同的条件下发生，重点是故障避免；随机故障是不确定的，可以用概率分布来描述，重点是故障检测。

这些都是车辆自身问题导致的安全问题，那么其他来自外部世界的风险呢？面对外部风险时，由于车联网的系统外在的性质，网络安全变得至关重要。网络安全的目的是防止黑客对系统进行攻击，这种风险是人为造成的，具有不可预测及动态的特性。ISO 26262第二版标准专门阐述了功能安全和网络安全在概念、开发、生产各阶段的潜在交互关系。

再来看功能安全和预期功能安全有什么区别。

ISO/PAS 21448是对ISO 26262的补充，延续了ISO 26262未完成的部分。功能安全的目标是避免系统故障引起的不合理风险，关注故障问题；而预期功能安全的目标是避免系统故障导致的不合理风险以及与功能不足或缺陷相关的潜在危险行为。预期功能安全主要针对辅助驾驶和自动驾驶，也就是功能不足或者操作不当造成的功能安全。比如自动驾驶系统没有识别出障碍物，导致汽车撞了上去，这就是预期功能安全的范畴。

讲了这么多，那么到底如何界定一个问题隶属于哪个或者哪几个标准的范畴呢？图1-9给出了从问题来源（系统内因还是外因）以及问题成因两个维度来确定问题隶属范围的示意。从图中可以看出，并非所有由外因造成的问题都属于网络安全的范畴，也有可能属于预期功能安全或功能安全的范畴。很多问题涵盖了几种安全成因，可以归到不同的ISO标准范畴内。

ISO 26262已经发布快12年了，ISO/SAE 21434制定出来不到3年，而ISO/PAS 21448于2019年1月作为公开的规范发布，当前仍然在开发过程中。下面分别介绍它们。