劉法旺，徐曉慶，陳 貞，李艷文，李京泰，潘 鵬，張晉崇，張志強(qiáng)

（1.工業(yè)和信息化部裝備工業(yè)發(fā)展中心，北京 100846；2.中國(guó)汽車工程研究院股份有限公司，重慶 401122；3.北京鏑石數(shù)據(jù)科技有限公司，北京 100176；4.襄陽達(dá)安汽車檢測(cè)中心有限公司，湖北，襄陽 441004；5.國(guó)汽（北京）智能網(wǎng)聯(lián)汽車研究院有限公司，北京 100176；6.中國(guó)汽車技術(shù)研究中心有限公司，天津 300300）

智能網(wǎng)聯(lián)汽車是汽車產(chǎn)業(yè)轉(zhuǎn)型升級(jí)的重要戰(zhàn)略方向，正處于技術(shù)快速演進(jìn)、產(chǎn)業(yè)加速布局的商業(yè)化前期階段。隨著搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車技術(shù)及產(chǎn)業(yè)的快速發(fā)展，功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全等安全風(fēng)險(xiǎn)更加凸顯。安全測(cè)試與評(píng)估是推動(dòng)車輛產(chǎn)品量產(chǎn)、保障車輛安全運(yùn)行的關(guān)鍵環(huán)節(jié)。然而，搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估方法還不成熟，傳統(tǒng)的車輛測(cè)試驗(yàn)證方法無法覆蓋新的安全風(fēng)險(xiǎn)，這也為其規(guī)?；踩珣?yīng)用帶來了挑戰(zhàn)。

針對(duì)智能網(wǎng)聯(lián)汽車的安全管理，國(guó)內(nèi)外行業(yè)管理部門均高度重視并持續(xù)開展研究，通過制定相關(guān)政策、法規(guī)、標(biāo)準(zhǔn)等不斷完善智能網(wǎng)聯(lián)汽車安全管理體系，促進(jìn)智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)生態(tài)的迭代優(yōu)化。聯(lián)合國(guó)世界車輛法規(guī)協(xié)調(diào)論壇自動(dòng)駕駛工作組（WP.29/GRVA）審議通過了《自動(dòng)駕駛框架文件》，針對(duì)搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車，明確工作原則、安全愿景以及優(yōu)先關(guān)注的原則性要求，為附屬工作組提供工作指導(dǎo)。歐盟、美國(guó)、日本等國(guó)家或組織積極參與聯(lián)合國(guó)法規(guī)研討，并先后頒布了多部智能網(wǎng)聯(lián)汽車相關(guān)政策和法規(guī)，初步建立了對(duì)智能網(wǎng)聯(lián)汽車產(chǎn)品的安全要求框架，明確了各相關(guān)管理部門的職責(zé)和協(xié)同機(jī)制，加速智能網(wǎng)聯(lián)汽車的開發(fā)與部署，為搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車獲得型式批準(zhǔn)奠定了基礎(chǔ)。為助力智能網(wǎng)聯(lián)汽車的研發(fā)測(cè)試和示范應(yīng)用，我國(guó)有關(guān)部委發(fā)布了智能網(wǎng)聯(lián)汽車相關(guān)政策，明確管理的原則要求及基本框架，引導(dǎo)地方開展智能網(wǎng)聯(lián)汽車道路測(cè)試與示范應(yīng)用，為智能網(wǎng)聯(lián)汽車產(chǎn)業(yè)營(yíng)造了良好的測(cè)試和示范應(yīng)用環(huán)境，為搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車的規(guī)模化應(yīng)用管理積累了經(jīng)驗(yàn)。

對(duì)搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車開展安全測(cè)試及評(píng)估，是一項(xiàng)復(fù)雜的系統(tǒng)工程，面臨諸多挑戰(zhàn)。例如，智能網(wǎng)聯(lián)汽車應(yīng)用場(chǎng)景復(fù)雜，無法保障場(chǎng)景覆蓋、邏輯覆蓋等測(cè)試要求；自動(dòng)駕駛功能依賴人工智能技術(shù)，測(cè)試驗(yàn)證面臨黑箱難題；預(yù)期功能安全、數(shù)據(jù)安全等領(lǐng)域，面臨從理論研究到技術(shù)實(shí)踐的落地問題。目前看，很難通過傳統(tǒng)的測(cè)試方法全面有效地驗(yàn)證智能網(wǎng)聯(lián)汽車的安全性。

對(duì)于智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估方法，國(guó)內(nèi)外相關(guān)機(jī)構(gòu)都在不斷研究探索。聯(lián)合國(guó)自動(dòng)駕駛驗(yàn)證方法非正式工作組（VMAD IWG）提出一種新的測(cè)試評(píng)估方法，包括場(chǎng)景目錄和五類技術(shù)手段（模擬仿真測(cè)試、封閉場(chǎng)地測(cè)試、實(shí)際道路測(cè)試、審核評(píng)估和在用監(jiān)測(cè)報(bào)告），逐步獲得行業(yè)共識(shí)，整體框架也在不斷完善。我國(guó)工業(yè)和信息化部也在持續(xù)推進(jìn)智能網(wǎng)聯(lián)汽車準(zhǔn)入管理研究，逐步明確智能網(wǎng)聯(lián)汽車產(chǎn)品準(zhǔn)入在產(chǎn)品過程保障、測(cè)試驗(yàn)證等方面的要求。

參考國(guó)內(nèi)外測(cè)試評(píng)估方法研究，結(jié)合我國(guó)智能網(wǎng)聯(lián)汽車的安全管理需求，本文以搭載3級(jí)和4級(jí)自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車作為研究對(duì)象，重點(diǎn)針對(duì)車輛在智能化、網(wǎng)聯(lián)化背景下面臨的功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等安全風(fēng)險(xiǎn)，從第三方視角出發(fā)，研究提出一種系統(tǒng)、可復(fù)用、可擴(kuò)展的安全測(cè)試與評(píng)估方法，實(shí)現(xiàn)對(duì)特定設(shè)計(jì)運(yùn)行條件（Operational Design Condition，ODC）下搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車的綜合安全評(píng)估。

1 安全測(cè)試與評(píng)估方法

1.1 總體思路

由于具有ODC要素組合多樣、應(yīng)用場(chǎng)景復(fù)雜、安全問題動(dòng)態(tài)等特點(diǎn)，僅靠傳統(tǒng)測(cè)試手段難以實(shí)現(xiàn)對(duì)搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車安全性的科學(xué)全面評(píng)估。本方法將智能網(wǎng)聯(lián)汽車的安全測(cè)試與評(píng)估分為基礎(chǔ)測(cè)評(píng)和監(jiān)測(cè)調(diào)整兩個(gè)階段，即在基礎(chǔ)測(cè)評(píng)階段綜合評(píng)估產(chǎn)品對(duì)過程保障及測(cè)試要求的滿足情況，在監(jiān)測(cè)調(diào)整階段對(duì)車輛實(shí)際安全狀態(tài)進(jìn)行監(jiān)測(cè)，根據(jù)監(jiān)測(cè)結(jié)果適時(shí)調(diào)整評(píng)估結(jié)果。智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估方法的框架，如圖1所示。

圖1 智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估方法框架

3級(jí)和4級(jí)自動(dòng)駕駛功能是基于ODC設(shè)計(jì)開發(fā)的，汽車生產(chǎn)企業(yè)應(yīng)建立相適應(yīng)的功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全和軟件升級(jí)等安全保障能力，并應(yīng)在科學(xué)規(guī)范的產(chǎn)品過程保障要求下開展產(chǎn)品的研發(fā)及測(cè)試驗(yàn)證。對(duì)于搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車的產(chǎn)品安全要求，也是基于ODC提出的，主要包含技術(shù)要求、過程保障要求和測(cè)試要求3個(gè)方面。其中，技術(shù)要求包含動(dòng)態(tài)駕駛?cè)蝿?wù)執(zhí)行和后援、人機(jī)交互等；過程保障要求包含功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等，重點(diǎn)針對(duì)駕駛自動(dòng)化系統(tǒng)，應(yīng)覆蓋產(chǎn)品開發(fā)過程中要求的軟硬件級(jí)、系統(tǒng)級(jí)和整車級(jí)；測(cè)試要求包含模擬仿真、封閉場(chǎng)地、實(shí)際道路、網(wǎng)絡(luò)安全和數(shù)據(jù)安全、軟件升級(jí)、數(shù)據(jù)記錄等，用于支撐整車級(jí)產(chǎn)品測(cè)試驗(yàn)證和安全評(píng)估。

在基礎(chǔ)測(cè)評(píng)階段，應(yīng)結(jié)合汽車生產(chǎn)企業(yè)和檢驗(yàn)檢測(cè)機(jī)構(gòu)的差異化功能定位，綜合發(fā)揮兩者的比較優(yōu)勢(shì)，對(duì)智能網(wǎng)聯(lián)汽車開展基于場(chǎng)景的測(cè)試，以及網(wǎng)絡(luò)安全和數(shù)據(jù)安全測(cè)試、數(shù)據(jù)記錄測(cè)試、軟件升級(jí)測(cè)試等，測(cè)試驗(yàn)證應(yīng)具備足夠的覆蓋度。在此基礎(chǔ)上，綜合考慮產(chǎn)品對(duì)過程保障及測(cè)試要求的滿足情況，形成對(duì)智能網(wǎng)聯(lián)汽車產(chǎn)品的綜合安全評(píng)估結(jié)果。

在監(jiān)測(cè)調(diào)整階段，通過對(duì)車輛實(shí)際安全狀態(tài)進(jìn)行有針對(duì)性的監(jiān)測(cè)分析，適時(shí)修正評(píng)估結(jié)果，并不斷細(xì)化完善智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估體系。同時(shí)，通過狀態(tài)監(jiān)測(cè)，也有利于加強(qiáng)對(duì)汽車生產(chǎn)企業(yè)軟件升級(jí)活動(dòng)的監(jiān)督管理，保障車輛產(chǎn)品持續(xù)滿足相關(guān)安全管理要求及產(chǎn)品生產(chǎn)一致性要求。

1.2 基于場(chǎng)景的測(cè)試

基于場(chǎng)景的測(cè)試方法，圍繞產(chǎn)品安全分析輸出的測(cè)試場(chǎng)景，采用模擬仿真、封閉場(chǎng)地和實(shí)際道路等測(cè)試方法，測(cè)試評(píng)估搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車的行駛安全性。模擬仿真、封閉場(chǎng)地和實(shí)際道路3種測(cè)試方法的優(yōu)缺點(diǎn)，見表1。

表1 基于場(chǎng)景的測(cè)試方法優(yōu)缺點(diǎn)對(duì)比

3種測(cè)試方法各有側(cè)重，實(shí)際測(cè)試中需要遵循一定的邏輯關(guān)系，實(shí)現(xiàn)三者優(yōu)勢(shì)互補(bǔ)?；谧詣?dòng)駕駛功能的ODC，構(gòu)建充分合理的場(chǎng)景數(shù)據(jù)集，通過模擬仿真測(cè)試，初步評(píng)估智能網(wǎng)聯(lián)汽車的行駛安全性并驗(yàn)證ODC邊界，識(shí)別出危險(xiǎn)場(chǎng)景；通過封閉場(chǎng)地測(cè)試，基于選定的典型場(chǎng)景，驗(yàn)證智能網(wǎng)聯(lián)汽車的功能；通過實(shí)際道路測(cè)試，基于足夠的測(cè)試?yán)锍碳皽y(cè)試場(chǎng)景要素覆蓋，評(píng)估智能網(wǎng)聯(lián)汽車應(yīng)對(duì)實(shí)際交通的安全性和可靠性，并將實(shí)際道路中有價(jià)值的新場(chǎng)景更新到場(chǎng)景數(shù)據(jù)集中。

在實(shí)際測(cè)試過程中，需評(píng)估自動(dòng)駕駛功能及ODC、測(cè)試項(xiàng)目以及測(cè)試環(huán)境（軟件、硬件、車輛、駕駛員、道路環(huán)境等），綜合研究制定測(cè)試策略，通常按照模擬仿真測(cè)試、封閉場(chǎng)地測(cè)試、實(shí)際道路測(cè)試的順序依次開展測(cè)試工作，但也可以針對(duì)特定的安全測(cè)試需求進(jìn)行調(diào)整和補(bǔ)充。

1.3 安全評(píng)估

智能網(wǎng)聯(lián)汽車安全評(píng)估是實(shí)現(xiàn)車輛產(chǎn)品安全管理的關(guān)鍵支撐，主要采用系統(tǒng)工程方法，開展產(chǎn)品過程保障、測(cè)試驗(yàn)證等審核工作。安全評(píng)估應(yīng)充分考慮產(chǎn)品開發(fā)過程中對(duì)功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等過程保障要求的滿足情況，同時(shí)應(yīng)保障產(chǎn)品測(cè)試驗(yàn)證策略具備足夠的覆蓋度。測(cè)試驗(yàn)證應(yīng)充分考慮汽車生產(chǎn)企業(yè)為滿足產(chǎn)品過程保障要求開展的研發(fā)測(cè)試，以及必要的檢驗(yàn)檢測(cè)結(jié)果。

安全評(píng)估在考慮產(chǎn)品滿足各類測(cè)試要求的基礎(chǔ)上，還應(yīng)綜合考慮不同測(cè)試方法的優(yōu)缺點(diǎn)，實(shí)現(xiàn)不同測(cè)試方法之間的相互補(bǔ)充，提高安全評(píng)估的科學(xué)性、針對(duì)性和有效性。

1.4 監(jiān)測(cè)評(píng)估

監(jiān)測(cè)評(píng)估可以分為基礎(chǔ)測(cè)評(píng)和監(jiān)測(cè)調(diào)整兩個(gè)階段?；A(chǔ)測(cè)評(píng)階段主要針對(duì)計(jì)劃量產(chǎn)的研發(fā)測(cè)試車輛，支撐對(duì)車輛開展綜合性安全評(píng)估。監(jiān)測(cè)調(diào)整階段則是針對(duì)已投入使用的車輛，主要發(fā)揮3個(gè)方面的作用。一是基于監(jiān)測(cè)結(jié)果，及時(shí)發(fā)現(xiàn)前期安全評(píng)估

2 過程保障及測(cè)試方法

結(jié)果與車輛實(shí)際安全狀態(tài)之間的偏差，適時(shí)調(diào)整評(píng)估結(jié)果；二是基于車輛運(yùn)行數(shù)據(jù)的反饋分析，有效支撐對(duì)產(chǎn)品安全要求、測(cè)試與評(píng)估方法等管理體系的評(píng)估與調(diào)整；三是車輛實(shí)際使用過程中可能會(huì)遇到新的有價(jià)值場(chǎng)景，可用于更新和完善場(chǎng)景數(shù)據(jù)集。

2.1 功能安全過程保障

功能安全定義為不存在由電子電氣系統(tǒng)的功能異常行為引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。對(duì)于搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車，駕駛權(quán)可能發(fā)生轉(zhuǎn)移，功能安全風(fēng)險(xiǎn)更加突出。

為保障智能網(wǎng)聯(lián)汽車達(dá)到一定的功能安全水平，需要對(duì)智能網(wǎng)聯(lián)汽車，尤其是自動(dòng)駕駛系統(tǒng)，提出功能安全保障要求。一是設(shè)計(jì)方面，要滿足失效識(shí)別、危害分析和風(fēng)險(xiǎn)評(píng)估、安全分析等要求；二是驗(yàn)證方面，要滿足功能安全集成測(cè)試和確認(rèn)要求；三是開發(fā)接口方面，要保障系統(tǒng)、硬件和軟件各層級(jí)滿足整車功能安全要求。功能安全過程保障側(cè)重對(duì)產(chǎn)品開發(fā)過程提出要求，核心是保障智能網(wǎng)聯(lián)汽車安全運(yùn)行的魯棒性。

2.2 預(yù)期功能安全過程保障

預(yù)期功能安全定義為不存在因設(shè)計(jì)不足、性能局限或人員誤用引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。對(duì)于搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車，由于場(chǎng)景的復(fù)雜性、性能局限導(dǎo)致的非失效風(fēng)險(xiǎn)增多，預(yù)期功能安全的重要性更加凸顯。

為保障智能網(wǎng)聯(lián)汽車達(dá)到一定的預(yù)期功能安全水平，需要對(duì)智能網(wǎng)聯(lián)汽車，尤其是自動(dòng)駕駛系統(tǒng)，提出預(yù)期功能安全保障要求。一是開發(fā)過程方面，提出規(guī)范設(shè)計(jì)、功能不足和觸發(fā)條件的識(shí)別評(píng)估、功能改進(jìn)等迭代設(shè)計(jì)要求；二是驗(yàn)證確認(rèn)方面，要滿足已知危害場(chǎng)景和未知危害場(chǎng)景驗(yàn)證確認(rèn)要求；三是開發(fā)接口要求方面，要保障零部件符合對(duì)應(yīng)的預(yù)期功能安全設(shè)計(jì)開發(fā)、驗(yàn)證、確認(rèn)等規(guī)定。預(yù)期功能安全過程保障的核心是通過迭代開發(fā)、驗(yàn)證確認(rèn)等方式，滿足對(duì)已知和未知風(fēng)險(xiǎn)的合理控制，保障智能網(wǎng)聯(lián)汽車安全。

2.3 網(wǎng)絡(luò)安全和數(shù)據(jù)安全過程保障

網(wǎng)絡(luò)安全是指通過采取必要措施，使汽車的電子電氣系統(tǒng)、組件和功能免受網(wǎng)絡(luò)威脅，確保車輛及其功能處于被保護(hù)的狀態(tài)。數(shù)據(jù)安全是指通過采取必要措施，確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

按照網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理要求，針對(duì)汽車產(chǎn)品概念、開發(fā)、生產(chǎn)、運(yùn)維和報(bào)廢5個(gè)階段，汽車生產(chǎn)企業(yè)應(yīng)有針對(duì)性地建立管理體系，規(guī)范產(chǎn)品的開發(fā)流程并指導(dǎo)產(chǎn)品開發(fā)。同時(shí)，企業(yè)應(yīng)落實(shí)管理體系要求，保障產(chǎn)品滿足相應(yīng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理要求。

2.4 模擬仿真測(cè)試

模擬仿真測(cè)試是指以實(shí)際采集、計(jì)算推理等建模的方式將搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車及其應(yīng)用場(chǎng)景進(jìn)行數(shù)字化還原，建立盡可能接近真實(shí)世界的車輛和環(huán)境仿真模型，通過對(duì)車輛在仿真環(huán)境中的運(yùn)行分析，評(píng)估計(jì)算ODC內(nèi)的失效概率，以達(dá)到對(duì)智能網(wǎng)聯(lián)汽車進(jìn)行有效測(cè)試的目的。對(duì)于模擬仿真測(cè)試，應(yīng)說明測(cè)試過程中所涉及的測(cè)試方法、通過條件等，并確保模擬仿真測(cè)試結(jié)果的可追溯性。

模擬仿真測(cè)試可用于評(píng)估智能網(wǎng)聯(lián)汽車在多樣化場(chǎng)景和復(fù)雜條件下的功能及性能，對(duì)全面評(píng)估智能網(wǎng)聯(lián)汽車的安全性具有重要作用，與實(shí)車測(cè)試等共同構(gòu)建形成完備的測(cè)試評(píng)估體系。模擬仿真測(cè)試場(chǎng)景應(yīng)至少包括充分、合理的標(biāo)稱場(chǎng)景、危險(xiǎn)場(chǎng)景和邊緣場(chǎng)景，以支撐驗(yàn)證智能網(wǎng)聯(lián)汽車是否滿足安全要求。同時(shí)，應(yīng)使用高置信度的模擬仿真測(cè)試工具鏈，在仿真環(huán)境中評(píng)估智能網(wǎng)聯(lián)汽車是否滿足安全要求，尤其是針對(duì)危險(xiǎn)場(chǎng)景及邊緣場(chǎng)景下功能實(shí)現(xiàn)的安全驗(yàn)證。

2.5 封閉場(chǎng)地測(cè)試

封閉場(chǎng)地測(cè)試是指在封閉場(chǎng)地內(nèi)開展的針對(duì)搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車的實(shí)車測(cè)試，用于驗(yàn)證車輛在典型場(chǎng)景下的功能和性能。封閉場(chǎng)地測(cè)試具有交通參與者與目標(biāo)物可控、場(chǎng)景可復(fù)現(xiàn)等特點(diǎn)，測(cè)試過程中可以確保測(cè)試環(huán)境、設(shè)備、方法及流程的一致性，能夠有效保證測(cè)試結(jié)果的準(zhǔn)確性和可追溯性。

封閉場(chǎng)地測(cè)試應(yīng)充分結(jié)合車輛自動(dòng)駕駛功能及ODC，提出封閉場(chǎng)地測(cè)試的典型場(chǎng)景，以及對(duì)應(yīng)的測(cè)試方法和通過條件，搭建封閉場(chǎng)地測(cè)試場(chǎng)景，有針對(duì)性地開展相應(yīng)測(cè)試工作，同時(shí)驗(yàn)證模擬仿真測(cè)試結(jié)果。

2.6 實(shí)際道路測(cè)試

實(shí)際道路測(cè)試是指在公開道路上開展的針對(duì)搭載自動(dòng)駕駛功能智能網(wǎng)聯(lián)汽車的實(shí)車測(cè)試。實(shí)際道路測(cè)試應(yīng)在車輛通過了充分的模擬仿真和封閉場(chǎng)地測(cè)試后開展，可以測(cè)試車輛在真實(shí)交通環(huán)境中的行為表現(xiàn)，同時(shí)可以用于驗(yàn)證模擬仿真和封閉場(chǎng)地測(cè)試結(jié)果?；跍y(cè)試?yán)锍?、測(cè)試場(chǎng)景要素等，驗(yàn)證車輛應(yīng)對(duì)真實(shí)交通環(huán)境的能力。

實(shí)際道路測(cè)試應(yīng)選取與ODC相匹配的道路開展測(cè)試。在實(shí)際道路測(cè)試過程中，被測(cè)車輛應(yīng)在ODC下持續(xù)執(zhí)行動(dòng)態(tài)駕駛?cè)蝿?wù)；應(yīng)遵守道路交通通行規(guī)則；應(yīng)對(duì)測(cè)試車輛進(jìn)行監(jiān)測(cè)和對(duì)測(cè)試過程進(jìn)行記錄，確保測(cè)試結(jié)果的可追溯性。

2.7 網(wǎng)絡(luò)安全和數(shù)據(jù)安全測(cè)試

網(wǎng)絡(luò)安全和數(shù)據(jù)安全測(cè)試，重點(diǎn)針對(duì)車輛已經(jīng)實(shí)施的網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)或者風(fēng)險(xiǎn)處置措施，驗(yàn)證與車輛安全目標(biāo)的匹配情況，主要用于確認(rèn)產(chǎn)品網(wǎng)絡(luò)安全和數(shù)據(jù)安全達(dá)到規(guī)定要求。

網(wǎng)絡(luò)安全測(cè)試重點(diǎn)保障產(chǎn)品網(wǎng)絡(luò)安全管理目標(biāo)的落實(shí)，以整車為試驗(yàn)對(duì)象，從車輛的外部連接接口、通信信道、數(shù)據(jù)代碼安全等層面開展。數(shù)據(jù)安全測(cè)試側(cè)重于保障數(shù)據(jù)處理活動(dòng)的安全性，主要針對(duì)車輛數(shù)據(jù)丟失、數(shù)據(jù)泄漏的威脅以及關(guān)鍵數(shù)據(jù)非法盜取、破壞、越權(quán)訪問的威脅。

2.8 數(shù)據(jù)記錄測(cè)試

搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車應(yīng)具備事件數(shù)據(jù)等關(guān)鍵數(shù)據(jù)的記錄功能，并能存儲(chǔ)記錄自動(dòng)駕駛功能激活期間的車輛實(shí)時(shí)工作狀態(tài)。存儲(chǔ)記錄的數(shù)據(jù)可用于自動(dòng)駕駛相關(guān)的事故重建與分析、責(zé)任主體判定、功能優(yōu)化升級(jí)等。

目前，智能網(wǎng)聯(lián)汽車數(shù)據(jù)記錄功能主要通過汽車事件數(shù)據(jù)記錄系統(tǒng)（Events Data Recorder，EDR）和自動(dòng)駕駛數(shù)據(jù)記錄系統(tǒng)（Date Storage System for Autonomous Driving Vehicle，DSSAD）實(shí)現(xiàn)。EDR測(cè)試應(yīng)包含對(duì)碰撞事件、數(shù)據(jù)記錄、記錄功能、數(shù)據(jù)提取等的測(cè)試，DSSAD測(cè)試應(yīng)包含對(duì)記錄元素種類、觸發(fā)驗(yàn)證機(jī)制、數(shù)據(jù)存儲(chǔ)機(jī)制、數(shù)據(jù)安全讀取機(jī)制等的測(cè)試。

2.9 軟件升級(jí)測(cè)試

軟件升級(jí)是指將某版本的軟件程序或配置參數(shù)更新到另一個(gè)版本的過程，軟件是指電子控制系統(tǒng)中由數(shù)字?jǐn)?shù)據(jù)和指令組成的部分。智能網(wǎng)聯(lián)汽車軟件升級(jí)日益頻繁，部分軟件會(huì)影響車輛的功能和性能，進(jìn)而帶來車輛行駛安全風(fēng)險(xiǎn)。

為保障軟件升級(jí)過程的安全性與可靠性，汽車生產(chǎn)企業(yè)應(yīng)針對(duì)軟件升級(jí)建立管理體系，提升車輛安全保障能力。此外，還應(yīng)針對(duì)車輛軟件升級(jí)進(jìn)行必要的測(cè)試驗(yàn)證工作，至少包括升級(jí)包的真實(shí)性和完整性、車輛安全、升級(jí)失敗處理等測(cè)試。

3 結(jié)語

本文從第三方視角出發(fā)，參考國(guó)內(nèi)外測(cè)評(píng)方法研究，結(jié)合我國(guó)智能網(wǎng)聯(lián)汽車安全管理需要，針對(duì)特定ODC下搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車面臨的主要安全風(fēng)險(xiǎn)，研究提出了一種安全測(cè)試與評(píng)估方法。該方法從基礎(chǔ)測(cè)評(píng)和監(jiān)測(cè)調(diào)整兩個(gè)階段，分別基于車輛研發(fā)測(cè)試過程中對(duì)過程保障和測(cè)試要求的滿足情況，以及車輛實(shí)際使用過程中安全狀態(tài)的監(jiān)測(cè)情況，有針對(duì)性地開展安全綜合評(píng)估。此外，還對(duì)功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等過程保障方法及主要要求，以及模擬仿真、封閉場(chǎng)地、實(shí)際道路、網(wǎng)絡(luò)安全和數(shù)據(jù)安全、軟件升級(jí)、數(shù)據(jù)記錄等測(cè)試驗(yàn)證方法及主要要求，分別進(jìn)行了闡述。

本文對(duì)搭載自動(dòng)駕駛功能的智能網(wǎng)聯(lián)汽車安全測(cè)試與評(píng)估方法進(jìn)行了初步探索，致力于為智能網(wǎng)聯(lián)汽車的安全管理提供方法參考。