问题多 跨领域 需联手 解决汽车新型安全问题亟需“整体观”
最近,一辆小米SU7标准版在高速公路行驶中遭遇严重交通事故的新闻,引发社会舆论空前关注,导致高阶智能驾驶的安全性备受质疑甚至被不断拷问。
今年以来,在我国汽车行业,高阶智能驾驶风光无两,“全民智驾时代”、“智驾平权”等口号响彻云霄,市场竞争风起云涌。在喧嚣与冷静之间,在发展与反思背后,“安全”这一汽车领域永恒的话题,由于有了新的内涵与外延,凸显基石性的价值。由传统燃油车时代的车辆被动安全、主动安全延伸,智能化使汽车产品需要关注的安全领域更加广泛。
4月1日,《车联网网络安全异常行为检测机制》(GB/T 45181-2024)正式实施。《智能网联汽车运行安全测试项目和方法》(GB/T 44850-2024)则将于5月1日开始实施。2月28日,工业和信息化部、市场监管总局联合发布《关于进一步加强智能网联汽车产品准入、召回及软件在线升级管理的通知》(以下简称《通知》),旨在进一步规范智能网联汽车准入、召回及软件在线升级(OTA)管理。更多政策标准的出台与落地,正是为了从规范和监管的角度出发,切实保障车辆安全,提升智能网联汽车产品安全水平,推动汽车产业高质量发展。
汽车安全问题也在“跨界”
“我们可以从至少两个维度探讨汽车安全话题。一是消费者视角,随着汽车电动化、智能化的推进,驾乘人员用车场景与习惯有了新变化,从而产生新的安全需求。”国内某高校汽车系教授陆秀耘(化名)在接受《中国汽车报》记者采访时表示,“二是产品角度,在燃油车时代,安全性的提升主要围绕着降低事故发生概率及对驾乘人员的伤害,以及更有效预防事故发生展开。在电动智能汽车的时代,前述这些安全关注依然存在,但由于汽车出现了跨行业的特征,因此产品安全的内涵变得非常广泛,功能安全、预期功能安全、网络安全、数据安全都应该受到关注。”
中国智能网联汽车产业创新联盟副秘书长、国家智能网联汽车创新中心(以下简称“创新中心”)标准与咨询部部长陈桂华告诉记者:“我们经常说,安全是汽车产品最大的‘豪华’。这一理念在当下依然适用,而且受重视程度应该更高。我国汽车行业在电动化的‘上半场’取得了一些领先,当前正身处智能化的‘下半场’,而安全是行稳致远的关键抓手。”
陈桂华提出,汽车正从单纯的交通工具转变为大型移动智能终端、储能单元和数字空间,并且由于产品更新换代的节凑明显加快,很多消费者感受到汽车越来越像一个大型的电子消费品。但与电子消费品截然不同,汽车具有强安全属性。汽车安全的基本特征、安全边界一直处于动态变化之中,随之而来产生的安全风险更为复杂和多样。举个例子,汽车产品上的功能故障成因,不再仅仅由单个域、单一部件导致,而是融合了不同控制域的软件和硬件等多种因素。同时,功能安全、预期功能安全、数据安全、网络安全这些安全领域开始融合。
此外,部分车企对高阶智能驾驶功能夸大宣传,也容易引发消费者的误用或滥用,间接造成安全风险。消费者对于如何使用高阶智能驾驶功能、在使用过程中应遵循哪些要求往往不能正确理解和掌握。同时,汽车安全课题的外部性特征也不断凸显,这也是一个值得重视的变化。例如,智能网联汽车在运行中不断地采集地理信息等各类数据,一旦泄露将对国家安全造成影响。
“随着电动化、智能化、网联化等新技术发展,汽车正由传统机电产品向数字产品和新型互联网终端快速演进,已从单纯的物理系统演变为物理系统和信息系统共同组成。与传统物理系统相比,信息系统安全保障的边界更加难以确定、维度更加广泛,涉及产品全生命周期。”上海机动车检测认证技术研究中心有限公司(以下简称“上海汽检”)相关负责人向记者表示,“随着智舱、智驾、车联网深度融合,近期行业内出现的一些安全领域典型案例涵盖信息安全、功能安全、AI系统与算法安全等不同方向,甚至涉及数据、网络与功能的交叉风险。现阶段,汽车安全风险呈现‘跨域传导’的特征。”
新型问题带来全新课题与挑战
汽车安全的内涵不断扩展,呈现融合的特征与态势,给行业、企业带来全新挑战。国家智能网联汽车创新中心功能安全部部长刘兴亮认为,首先,安全问题的溯源更加困难。近年来,整车电子电气架构快速演进,从分布式向集中式、跨域融合快速演进。不同域的功能安全等级不同,对可靠性及通讯时延的要求也存在差异。在这样的情况下,一些安全问题的成因高度耦合。例如,汽车底盘出现问题,并不一定是由于底盘域控故障,很可能是上层其他域的控制器或软件导致。由于不同域的不同电子硬件差异、整车产品产生大量代码,出现随机失效和系统性故障的概率在提升,溯源工作更加复杂与困难。其次,安全问题融合态势造成巨大挑战。安全性(Safety)与安防性(Security)问题融合交织,例如由于外部攻击造成车内通信出现阻塞,引发功能安全问题。再次,车辆全生命周期面临安全挑战。以往,车企对安全性的考量在产品设计定型后就冻结了,除非因设计缺陷引发召回。OTA功能的出现,让车辆“常用常新”,也是车企修复过往软件问题的常用手段,但这也让安全问题成为车辆全生命周期的关切。OTA的版本管理,新的软件版本是否做足测试验证、是否与原架构充分适配等也成为新的挑战。
“挑战还来自技术路线的多样性及快速迭代。例如,有些企业比较坚定地选择视觉感知路线,还有些企业沿着多传感器融合感知的路线部署研发。不同的感知路线,应对恶劣天气条件的能力不同,给智驾功能的实现带来较大的不确定性。智驾算法也经历快速迭代,此前行业大量采用以规则驱动的技术路线,感知-规划-决策-控制形成模块化,而去年以来,受大模型的影响,企业从规则驱动转向以数据驱动的端到端技术路线。目前来看,无论一段式还是分段式端到端,都存在人工智能固有的不可解释性等问题。这些都对整车安全性提出巨大的挑战。”陆秀耘向记者介绍道。
政策监管与标准供给的协同
应对汽车安全领域出现的新挑战,行业与企业比任何时候更需要各司其职、通力协作,政策监管也需与技术发展同频共振、不断更新。
陈桂华强调,《通知》的出台体现了监管模式的变化,值得引起企业的高度重视。她认为,这意味着对汽车产品的管理从经典的“准入-召回”两段式演进到“准入-沙盒-召回”三段式模式。此外,《通知》还有很多值得关注的细节点,例如对企业需要提交的组合驾驶辅助系统及OTA升级信息相关的技术参数更加细化;提出健全事件事故报告与研判,规范营销宣传行为、严格履行告知义务、健全产品售后服务管理体系等。“从两部委的联合发文来看,监管之间的顶层协同也在加强。监管模式的变化、监管细节的完善都是对汽车安全起到保驾护航的作用。”陈桂华补充道。
陆秀耘也告诉记者:“此次《通知》出台,起到筑牢汽车安全底线的作用。《通知》强调了企业的安全主体责任,无论采用何种技术路线与方案,都要确保进行有效的安全管理。从监管层面提出明确的要求非常必要,尤其是技术方案不断进化迭代,这意味着企业在功能开发中还需要大量工程方面的探索与积累。在技术进步的过程中,保证产品的安全性是行业发展的生命线。”
上海汽检相关负责人向记者介绍,近年来,众多智能网联汽车安全相关标准陆续发布、实施。在数据安全方面,《汽车数据通用要求》(GB/T 44464-2024)覆盖数据采集、传输、存储、处理、删除等数据全生命周期管理环节的安全要求。《汽车整车信息安全技术要求》(GB 44495-2024)则在网络安全方面提出要求。《道路车辆功能安全》(GB/T 34590-2022)作为中国等同采用ISO 26262的功能安全标准,覆盖汽车电子电气系统全生命周期的安全管理。《智能网联汽车运行安全测试项目和方法》(GB/T 44850-2024)是公安部主导的智能网联汽车运行安全测试标准。《汽车软件升级通用技术要求》(GB 44496-2024)针对汽车软件升级构建了覆盖管理体系、车辆功能、试验方法的完整框架,侧重于升级流程的安全要求。
“标准是应对汽车新型安全挑战的重要工具与方法,因此建设相关标准体系极为重要和紧迫。由于智能网联汽车具有多行业交叉的特点,跨行业、跨领域的标准统筹与协调也非常必要。”陈桂华告诉记者,“标准体系具有二元结构,一是政府属性标准,例如国家标准、行业标准、地方标准等,二是市场属性标准,例如团体标准、企业标准等。前者起到安全兜底和政府监管的作用,后者具有‘短平快’的特点,能够快速反映市场需求及技术创新,平衡技术创新与安全保障,尤其是在跨行业交叉领域可以充分发挥对政府属性标准的先行先试。”
据悉,2017~2024年,工业和信息化部、公安部、交通运输部、国家标准化管理委员会共同组织制定《国家车联网产业标准体系建设指南》系列文件,智能网联汽车、信息通信、车辆智能管理、智能交通、电子产品与服务、网络安全和数据安全、基础地图等领域陆续出台国家标准体系建设指南,为打造创新驱动、开放协同的车联网产业提供支撑;创新中心在多个细分技术领域牵头或参与多项国家标准的制定。团体标准方面,截至2024年底,中国汽车工程学会发布60多项智能网联汽车团体标准,另有60余项立项在研。创新中心还与通信、智能交通、测绘领域的行业标准组织开展大量合作,推动标准协同,发布多项跨行业多标号标准。
企业如何下好安全“先手棋”
面对新的产品安全问题与挑战以及新的监管模式出现,整车企业需要尽快厘清思路,调整自己的组织架构、资源配置。
“《通知》对汽车企业提出新的能力要求,可以概括为三‘全’、一‘责任’。”上海汽检相关负责人表示,首先是全过程能力要求,由于安全边界的不确定性,《通知》着重强调了汽车生产与相关企业要有产品开发、生产、运行等阶段的全过程安全管理保障能力,型式检验需要与全过程保障相结合;其次是全周期能力要求,针对物理信息系统安全智联涉及产品全生命周期的特点,《通知》提出,整车生产企业应重构能力框架,强化产品质量安全责任、强化组合驾驶辅助系统新车准入与在用车召回、强化OTA升级活动,推动智能汽车产业从功能优先向安全闭环转型,从单一功能开发扩展至开发、生产、运行全生命周期闭环安全管理;第三是全维度能力要求,针对物理信息系统的特点,功能安全和预期功能安全外,《通知》还对网络信息安全和OTA升级过程的安全管理提出要求。同时,企业要落实质量安全的主体责任。《通知》要求企业提供生产一致性承诺,禁止通过OTA 升级规避缺陷召回,禁止夸大宣传组合驾驶辅助系统为自动驾驶功能,并强化履行告知义务,进一步强化OTA升级的影响评估、分类管理、测试报告、用户告知、事件响应和重新申请准入等工作。
在上海汽检相关负责人看来,汽车生产与相关企业需尽快提高全生命周期质量体系保障能力,产品准入的分类与召回管理能力,事件、事故的快速报告与研判能力,产品持续运行中的未知风险量化能力,用户告知与风险提示能力。他称:“种种新的实践都共同指明智能网联汽车的安全发展路径,正从单一环节的漏洞修补升级为全链条的韧性构建。企业需处理好创新与安全的关系,避免‘为功能牺牲安全’的短视行为。”
陆秀耘直言:“企业传统的开发验证、测试仿真等手段不足以应对新型安全问题,必须形成自己的系统思考。我的判断是单独依靠车企自己的力量不够,甚至依靠传统的检测机构力量也很难应对层出不穷的新型安全问题,需要创新手段与方法,组织更广泛的力量关注这一领域。”
结合目前企业在研发工作中的实际情况,刘兴亮提出几点建议:第一,企业有必要建立一个高层级、高权限贯通所有部门与流程的汽车安全部门,甚至应由公司最高决策人直接参与,以贯彻安全第一,灵活协调研发、设计、验证等工作,从组织上保证汽车安全问题的独立性;第二,需要不断探索传统的V模型开发与敏捷开发如何协同,兼顾开发效率与安全性的问题;第三,应当加强对工程技术人员的培训,尤其是可以考虑借助第三方智库力量,不断更新一线工程师的知识结构;第四,要提升内部测试验证体系建设的优先级,压实主体责任;第五,对供应链的管理也要在质量、成本等传统因素基础上,加入对安全的考量,例如对供应链企业开发接口协议(DIA)的管理与检查等。
联动协同机制建设势在必行
“新技术快速涌现,以及物理信息系统在产品安全边界、安全维度和全生命周期技术要求的不确定性,对传统的标准体系、测试验证、企业经典开发方式带来新的挑战,检测机构应从‘合规测试’升级到‘安全赋能’。”上海汽检相关负责人认为,可以从3个方面进行能力提升。首先,检测机构需要积极使用AI驱动的检测工具,利用大数据和AI模型进行风险预测,以便提升自身的风险识别能力,例如建立攻击场景数据库、使用自动化渗透测试平台,模拟黑客攻击路径,提升漏洞发现效率;构建虚拟车辆模型与仿真场景,测试极端场景下的系统可靠性。其次,检测机构应具备以数据为基础、功能为对象的跨域检测能力,提供一站式检测服务,整合功能安全、网络安全、数据安全、智能驾驶仿真、场地与实车测试,AI系统安全与鲁棒性检测等检测能力。同时,检测机构提供认证,例如帮助企业积极解读《通知》与各项新出台的技术标准,协助企业制定合规方案,辅导企业进行自愿性认证,确保企业产品符合标准要求。最后,检测机构可以通过AI技术自动检测图像视频的匿名化效果,协助企业进行数据安全测评,开发隐私计算工具,在数据“可用不可见”的前提下完成检测任务等,满足《数据安全法》、《汽车数据通用要求》、《信息安全技术汽车数据处理安全要求》等数据处理要求与数据跨境安全评估。
上海汽检相关负责人进一步告诉记者,面对未来技术快速迭代和对产品安全的更高要求,检测机构还应重视产学研协同。在AI技术方面与高校共建安全检测实验室,积极培养检测领域的复合型人才。同时积极参与行业协会与联盟,通过参与标准的制定和修订,与行业专家团队相互合作,确保检测方法的科学性、有效性与最佳实践。
与此同时,一些新手段、新方法、新力量也在为应对汽车安全问题做出自己的努力。例如,鹏城网络靶场利用分布式异构靶场互联、分布式异构态势数据分析与展示,跨地域大数据融合计算等关键技术,在网络安全技术研究与验证方面与汽车行业展开协同攻关。
“应对汽车新型安全问题,需要各方协同努力、相互配合。我们期待出台车用AI算法安全要求与技术标准;建设智能网联汽车安全大数据云平台,支撑重大事故的深度调查与快速应急响应;建立客观的销售风险告知与产品功能说明,提供适当、必要的培训。”上海汽检相关负责人表示,“当然,我们还要在责任认定与保险创新方面有所作为,实现由‘数据说话’,以数据证据链构建可有效还原事故细节,支撑保险据此动态对组合驾驶辅助系统开发定制化的保费策略或专项险种。”
“从产业发展进步的速度来看,应该说现有的标准体系、测试验证手段距离满足智能网联汽车安全的需要还是有一定的距离,因为法规、标准制定本身就有一定的滞后性。此外,我们也不能仅仅把目光局限于组合驾驶辅助功能,还要着眼于为高等级自动驾驶阶段做准备。智能网联汽车交叉融合的特征,要求行业树立安全的整体观念,整车企业、供应商、经销商、用户,以及政府有关监管部门应建立更有效的联动协同机制。”陆秀耘最后说道。
