大部分汽車創新和特性相關新聞中都開始提及全球三大趨勢——汽車的互聯化、電氣化和自動化。這三大趨勢塑造著當前大環境，在創新和財務回報方面為企業提供了千載難逢的機遇，更重要的是，這些趨勢還創造了一項重大的使命——

類似最初在瑞典提出的“Vision Zero”等項目旨在減少因交通事故造成的傷亡，并在全球多個轄區作為一種模式進行推廣。另一個類似的項目是由美國國家安全委員會提出的“Road To Zero”，旨在將每年130萬的道路交通死亡人數降至零。

互聯化和自動化技術為保障安全無憂出行奠定了基礎 (National Safety Council, 2018)。

汽車安全的技術挑戰

讓車輛成為“車輪上的服務器”，這不僅關系到新型車輛的車載計算水平，而且還關系到車輛與車輛外部各種系統間的連接。最基本的系統之一就是全球導航衛星系統(GNSS)，包括GPS定位、DSRC或基于移動網絡的車輛對車輛(V2V)和車輛對基礎設施(V2I)技術，它們允許車輛與其他車輛和基礎設施通信，如用于狀況感知的交通信號燈以及用于信息娛樂的數據連接?；ヂ撔詫τ谲浖S護和更新也十分重要。美國的普通駕駛員平均每天在車里待1個小時 (AAA Foundation for Traffic Safety, 2019)，在車里的大部分時間里，互聯性對于提供娛樂和效用來說必不可少。

一個安全的系統需要可靠的設備，以防因設備故障發生事故；需要功能安全，以防因系統故障導致事故；還需要安全防護，以防因系統遭到黑客攻擊發生事故。這些功能的有機結合有效防范了人為錯誤，從而提高了車輛的總體安全性。

圖1  安全系統的要素

安全防護對于互聯車輛和自動駕駛車輛來說不可或缺，否則其功能安全性就會受到損害。自2015年以來，已發生超過25起車輛黑客事故，最嚴重的一次公開事故影響了140萬輛汽車 (Drozhzhin, 2015)。到2030年，汽車所產生數據估值將達到7500億美元 (McKinsey & Company, 2016)。汽車系統十分復雜，每輛車有100多個ECU和1億多行代碼，高復雜性可能會造成更多無法預見的漏洞，就像大規模召回的情況一樣。隨著無線接口的廣泛應用，允許不對車輛進行物理訪問即可修復安全漏洞。 

與其他非汽車應用的安全嵌入式電子系統類似，業內通過在汽車設計中采用先進的核心安全原則來解決這些安全性挑戰。  汽車的外部接口不但需要抵御物理攻擊，還需要保持通信的完整性和保密性。這就需要安全的域隔離，并且系統也需要能夠抵御邏輯攻擊。車輛內部通信，以及各種ECU和汽車MCU的軟件操作，都需要得到保障。  需要車輛網關來安全可靠地互連和處理這些異構車載網絡中的數據。  網關提供物理隔離和協議轉換，用于在功能域（動力傳動、底盤與安全系統、車身控制、信息娛樂、遠程信息處理、ADAS）之間路由數據。功能域通過共享數據實現新功能。通過網關，工程師可設計出更穩健、功能性更強的車載網絡，從而增強駕駛體驗 (Simacsek, 2019)。 

圖2  核心安全原則

車輛制造商(OEM)積極致力于研發新功能，以期從競爭中脫穎而出。自動駕駛需要安全連接和功能域ECU之間的高帶寬通信，因此要想實現自動駕駛，網關必不可少。  網關作為車載網絡的核心，也非常適合用來支持全車范圍的應用，如無線(OTA)更新和車輛數據分析，以及與OEM服務器（云）的安全通信。

圖3  網關具有對車輛數據的中央訪問權

機器學習(ML)技術在自動駕駛系統中的應用創造了其他潛在的攻擊手段。系統需要能夠避免機器學習模型可能被盜的情況，或者提供識別被盜機器學習模型的方法。系統需要防止用戶生物識別信息等與隱私相關的信息丟失，如果車輛具有用戶識別功能，那就可以用對抗性的方法保護系統免受這些系統的欺騙。機器學習還可以通過檢測異常情況來防范這些攻擊，或用于建立更強大的防御機制。

汽車安全的標準考量

安全性是一種法律責任，因此對于汽車市場來說至關重要。用戶需要能夠相信他們的車輛會做它應該做的事情。安全性還可以實現平臺合并和系統一致性。隨著自動化等級超過SAE 2級(L2)，持續監控駕駛環境的責任也從人類駕駛員轉移到了自動駕駛系統。 

圖4  安全概念的演變