【導讀】要讓人們認識到汽車(chē)網(wǎng)絡(luò )安全的重要性并不容易。隨著(zhù)汽車(chē)向半自動(dòng)駕駛過(guò)渡，汽車(chē)主機廠(chǎng) (OEM) 越來(lái)越關(guān)注汽車(chē)網(wǎng)絡(luò )安全問(wèn)題。對汽車(chē)網(wǎng)絡(luò )實(shí)施控制的理由很明顯，目的是確保除了駕駛員（或在特定和約束條件下替代駕駛員的駕駛系統）之外沒(méi)有人可以控制車(chē)輛。

要讓人們認識到汽車(chē)網(wǎng)絡(luò )安全的重要性并不容易。隨著(zhù)汽車(chē)向半自動(dòng)駕駛過(guò)渡，汽車(chē)主機廠(chǎng) (OEM) 越來(lái)越關(guān)注汽車(chē)網(wǎng)絡(luò )安全問(wèn)題。對汽車(chē)網(wǎng)絡(luò )實(shí)施控制的理由很明顯，目的是確保除了駕駛員（或在特定和約束條件下替代駕駛員的駕駛系統）之外沒(méi)有人可以控制車(chē)輛。

2021 年，聯(lián)合國歐洲經(jīng)濟委員會(huì ) (UNECE) 工作組發(fā)布了 UN-R155，這是一項針對 OEM 的網(wǎng)絡(luò )安全法規，旨在應對日益嚴重的網(wǎng)絡(luò )威脅。自 2022 年 7 月起，該法規對 UNECE 成員國生產(chǎn)的新車(chē)型的審批具有約束力。這意味著(zhù)汽車(chē)供應商必須遵守 ISO 21434，以確保其所有網(wǎng)絡(luò )安全相關(guān)組件均符合該標準。當然，采購符合網(wǎng)絡(luò )安全標準的零件并不能保證 OEM 符合 UNECE 標準。不過(guò)，這是朝著(zhù)這個(gè)方向邁出的重要一步，使 OEM 在實(shí)現這一目標的過(guò)程中處于更有利的地位。本文從先進(jìn)駕駛輔助系統 (ADAS) 和車(chē)艙監控應用中使用的圖像傳感器的角度來(lái)探討網(wǎng)絡(luò )安全問(wèn)題。

為何需要確保圖像傳感器的安全

在汽車(chē)中，有些位置很顯然應實(shí)施網(wǎng)絡(luò )安全，包括網(wǎng)關(guān)、互連、信息娛樂(lè )系統或通過(guò)網(wǎng)絡(luò )連接的任何其他汽車(chē)子系統。然而，大家可能疑惑的是為什么圖像傳感器也需要網(wǎng)絡(luò )安全。隨著(zhù)當今對安全和駕駛輔助的重視，圖像傳感器就是車(chē)輛的“眼睛”。它們用于多種 ADAS 功能，例如車(chē)道偏離警告、行人檢測和自動(dòng)緊急制動(dòng) (AEB)。它們會(huì )評估汽車(chē)周?chē)沫h(huán)境，并為融合系統提供信息輸入以做出決策。未來(lái)，它們將協(xié)助識別和驗證汽車(chē)用戶(hù)的身份，并監控用戶(hù)的生命體征。如果駕駛員喪失行為能力，車(chē)載計算機將能夠接管控制權。在這些情況下，汽車(chē)圖像傳感器必須具有出色的性能（高動(dòng)態(tài)范圍、低照度能力、色調辨別力等）并保持正常工作，特別是在車(chē)輛可能遇到的最極端情況下。由于汽車(chē)的安全將越來(lái)越依賴(lài)圖像傳感器，因此汽車(chē)的中央計算機需要經(jīng)過(guò)授權的正品零件才能與之交互。而且，還必須確保傳輸的任何圖像幀都沒(méi)有被篡改，并且所有幀都是由正品圖像傳感器生成的。此外，圖像傳感器應當只接受汽車(chē)系統而不是任何其他方的配置更改。以下用例說(shuō)明了為什么汽車(chē)行業(yè)不能忽視因使用易受第三方篡改的冒牌圖像傳感器所帶來(lái)的威脅。

威脅 1：圖像傳感器被冒牌部件替換

AEB 系統依靠擋風(fēng)玻璃后面的圖像傳感器來(lái)檢測汽車(chē)前方的物體或行人。如果駕駛員沒(méi)有及時(shí)做出反應，該系統可以決定施加制動(dòng)，以防止發(fā)生碰撞。AEB 系統的運行前提是其圖像傳感器具有特定的特性（如高動(dòng)態(tài)范圍、低照度性能等），并且系統已根據這些規格進(jìn)行了校準。如果用非正品或冒牌部件替換了原裝圖像傳感器，可能會(huì )損害系統性能。雖然替換件可能看起來(lái)與原裝件完全相同，但其性能和特性可能會(huì )大相徑庭。由于 AEB 系統針對原裝圖像傳感器進(jìn)行了優(yōu)化，因此替換件的不同特性將改變系統的性能。這意味著(zhù)系統可能在距離幾米遠時(shí)才能檢測到汽車(chē)前方的物體或行人，使系統沒(méi)有時(shí)間做出適當反應，從而可能釀成悲劇性的后果。用仿冒品代替正品圖像傳感器，就好比讓視力不好的司機不戴眼鏡開(kāi)車(chē)。

圖 1：用冒牌產(chǎn)品代替正品圖像傳感器的后果

威脅 2：圖像傳感器設置被修改

車(chē)輛系統經(jīng)過(guò)校準和編程，可對圖像傳感器進(jìn)行最佳配置，以始終盡可能真實(shí)地呈現車(chē)前的場(chǎng)景。但是，如果有人（或物）修改了圖像傳感器的配置，其性能就會(huì )受到影響，以致于可能不再能保證汽車(chē)系統能夠正確、完全或最佳地感知汽車(chē)所面對的場(chǎng)景，這就相當于向人類(lèi)駕駛員的眼睛里投擲灰塵。

圖 2：篡改圖像傳感器設置的后果

威脅 3：圖像傳感器被繞過(guò)

圖像傳感器向圖像處理器提供原始視頻數據，然后圖像處理器使用這些數據提取有關(guān)前方障礙物的關(guān)鍵信息，以便汽車(chē)能夠做出適當的響應。例如，圖像處理器可以檢測到正在接近的車(chē)輛，然后從安全第一的角度來(lái)選擇是剎車(chē)還是駕駛汽車(chē)遠離危險。但是，如果有未經(jīng)授權方試圖通過(guò)修改或繞過(guò)圖像傳感器來(lái)篡改系統，圖像處理器就無(wú)法再獲得反映真實(shí)場(chǎng)景的原始視頻數據。在這種情況下，系統可能無(wú)法再檢測到正在接近的物體。相反，圖像處理元件可能只能接收到?jīng)]有障礙物的暢通道路的循環(huán)圖像，其后果可能與人類(lèi)駕駛員將視線(xiàn)完全從路面上移開(kāi)一樣難以承受。

安森美 (onsemi) 的圖像傳感器符合網(wǎng)絡(luò )安全標準

圖 3：圖像傳感器被繞過(guò)的后果

安森美于 2018 年開(kāi)始在其圖像傳感器中加入網(wǎng)絡(luò )安全功能，時(shí)間甚至比 ISO 21434 網(wǎng)絡(luò )安全標準發(fā)布還要早。最初，這樣做是為了滿(mǎn)足早期客戶(hù)的需求，但后來(lái)經(jīng)過(guò)逐步發(fā)展，匯聚成了寶貴的網(wǎng)絡(luò )安全專(zhuān)業(yè)知識。因此，安森美的圖像傳感器已經(jīng)為網(wǎng)絡(luò )安全做好了準備。其中一個(gè)關(guān)鍵功能是身份驗證，這使它們能夠向主機證明它們是正品，過(guò)程中需要使用證書(shū)鏈和預共享密鑰。另一個(gè)重要功能是，它們可以確保視頻數據的完整性，證明傳感器和系統之間的視頻數據流沒(méi)有被篡改。這種完整性是通過(guò)消息驗證碼 (MAC) 提供的。此外，通過(guò)特定密鑰寄存器在嵌入式數據視頻線(xiàn)路上使用 MAC，可防止傳感器控制和配置數據被篡改。

網(wǎng)絡(luò )安全組件是實(shí)現汽車(chē)網(wǎng)絡(luò )安全的第一步

網(wǎng)絡(luò )安全合規性是汽車(chē)圖像傳感器的必備條件，以防止圖像傳感器成為外界入侵復雜汽車(chē)電子系統的特洛伊木馬。對于 OEM 而言，為了確保網(wǎng)絡(luò )安全合規性，需要的不僅僅是在圖像傳感器中添加網(wǎng)絡(luò )安全控制電路，但它們對于 ADAS 和車(chē)艙監控系統實(shí)現全面的網(wǎng)絡(luò )安全合規性至關(guān)重要。

（作者：Ludovic Rota，安森美產(chǎn)品營(yíng)銷(xiāo)經(jīng)理）

免責聲明：本文為轉載文章，轉載此文目的在于傳遞更多信息，版權歸原作者所有。本文所用視頻、圖片、文字如涉及作品版權問(wèn)題，請聯(lián)系小編進(jìn)行處理。

推薦閱讀：

什么樣的電源設計，能讓無(wú)人機載荷更大、飛得更遠？

從4個(gè)到256個(gè)通道，GaN技術(shù)如何創(chuàng )新5G基站系統的緊湊設計

RSC6218A LLC諧振電源案例分享

羅姆：先進(jìn)的半導體功率元器件和模擬IC助力工業(yè)用能源設備節能

ST推出汽車(chē)級慣性模塊，助力汽車(chē)廠(chǎng)商打造經(jīng)濟高效的ASIL B級功能性安全應用