网联化背景下的“防火墙”：网络安全

在激光雷达上车的热潮中，各家都在技术参数上进行着“你死我活”的拼杀。 那么，参数代表一切吗？举个例子，测距200米的激光雷达一定比测距150米的更好吗？ 可以肯定地说，非也。 兵器虽然锋利，还需用得顺手；激光雷达也是一样，不仅要能用，还得「好用」。 怎样算好用呢？具体来说，包含“安全”和“易用”两方面要素。

激光雷达本身的安全性：要能够保障系统无需担心激光雷达故障而引起的功能安全、网络安全等隐患；

易用性：在产品的软件集成和工程化角度有成熟的方案支持，不仅易于适配上车，上车后也易于维护，用得省心。

篇幅所限，在这篇文章中，我们先聊聊安全相关的内容。 安全，永远是汽车研发中的最关键要素之一。多年来，汽车领域诞生了各种各样的规范和方法论，以保证汽车在全生命周期中的功能安全；而随着智能汽车的蓬勃发展，安全概念从更多维度得到了扩展，比如网络安全和预期功能安全等。 一款极致的激光雷达，对安全的追求也应该是极致的。    

1、做可信赖的激光雷达：功能安全

  从整车的角度来看，汽车安全分为主动安全和被动安全。汽车功能安全，一般属于主动安全的范畴。 如果没有功能安全，乘客就只能寄希望于车辆不发生事故，或是防撞梁足够结实了，这显然不太靠谱。因此满足汽车功能安全要求，是电子电气系统的零部件供应商获得整车项目定点、实现量产上车的必修课。 功能安全，简单来说就是通过完备的安全分析工具，对系统失效和随机硬件失效进行分析，并要求做出对策，以确保即便设备发生故障，车辆行为也不会危害人身安全。 国际上常用ISO 26262标准来对车辆的安全相关的系统进行规范认证。激光雷达作为电子电气零部件，并且是自动驾驶系统中最为重要的传感器之一，亦在功能安全所规范的范围内。

我们可以从自动驾驶系统层面出发，来理解激光雷达功能安全的重要性。 目前绝大多数自动驾驶系统是强依赖于激光雷达输入的，因此也最不希望收到的点云是失效的（特别是由激光雷达本身的原因造成的失效），无法真实反映行驶工况的信息。 由于自动驾驶系统缺乏有效的手段来判断激光雷达点云是否出现失效，却又依赖于点云做后续的感知、决策与控制，这无疑使得自动驾驶系统的安全设计处于进退两难的地步，为整车自动驾驶的安全性埋下了隐患。 比如，假如激光雷达的部分激光器失效，导致了点云扫描视场的部分缺失，但是这个缺失在点云层面并没有特别显著的特征，此时自动驾驶系统就很难感知到激光雷达数据已经不可靠。如果在视场缺失的部分正好存在关键的障碍物，就会造成事故。 反过来讲，假如自动驾驶系统能够提前获知激光雷达点云可能存在失效，那么就可以在系统层面利用工程手段降低其失效带来的影响，确保安全。 以一径科技的补盲激光雷达产品为例，在产品设计之初，就参考了乘用车辅助驾驶与Robotaxi两大领域典型客户的功能安全需求，将他们「顶层、具体的功能安全要求」转化为「经过拆解和转化的内部技术安全需求」，通过FMEA、FTA等分析工具，对激光雷达这一复杂的光机电系统进行拆解，在每一组可能出错的关键链条中加上保护和监控机制。

最终，只要是由其上传给域控的点云，可做到“上传即可靠”。这里的可靠意味着：

避免上传错误的激光雷达点云；

实现激光雷达自我诊断，发生故障后及时诊断报错且及时记录日志，支撑整个自动驾驶系统达到ASIL-D（最高等级）功能安全。

值得注意的是，人眼安全——这个消费者比较关心的性能项，其实也在功能安全考量的范围内。人眼安全的Class I标准也是激光雷达设计时的重要标准输入。

2、网联化背景下的“防火墙”：网络安全

随着自动驾驶汽车及其网联化的落地，汽车与以太网的耦合越来越深入，这增加了不法分子攻击车辆的可能性，给汽车网络安全带来了新的风险。 相比于功能安全强调对人身安全的保护，网络安全（Cybersecurity，也称信息安全）强调的是信息层面的保护，包括黑客对产品系统的侵害，以及相关数据隐私安全等，也就是汽车的“防火墙”。 与功能安全类似，国际标准化组织也制定了网络安全的标准，即ISO 21434，用以保障车辆在网络环境下信息不受篡改和泄露。 在激光雷达产品设计时，需要基于不同应用场景车辆的网络安全接口协议，从威胁和风险分析（TARA）、安全方案设计到测试、生产等整个逻辑链完善网络安全设计，最终实现相关等级的网络安全，保证自动驾驶系统不能成为黑客的“突破口”。    

3安全只有更全面，没有最全面  

在前期的文章提到过，由于补盲需求场景的特殊性，比如补盲激光雷达数量较多且安装在车身周围，而车身周围与环境有更大几率接触，因此补盲激光雷达在安全上有更多特殊的要求。 除了上述功能安全和网络安全，优秀的补盲雷达还需考虑：

支持多台补盲激光雷达在同一狭小空间内正常工作，互不影响；

避免多激光雷达的数据并发对于整车网络造成的拥塞；

要有完善的诊断和日志机制，实现故障实时上报和稳定溯源等，比如产品本身的算法编码、系统设计、日志机制、故障实报等方面都需要将安全因素考虑在内。

一径始终将产品安全放在首位，在新一代补盲激光雷达的设计中，充分考虑产品的功能安全与信息安全，并通过全自主知识产权的光脉冲编码算法实现稳定且鲁棒的抗串扰、使用更智能化的数据分发策略、设计了完整的故障实时上报和稳定溯源机制，将安全考虑到了极致。 安全是底线，但仅安全还无法满足上车要求。拥有安全且通用的软硬件架构，才是补盲激光雷达上车的首要前提。 而在整车集成以及实际的三维感知层面，补盲激光雷达的软件功能有着更加独特的要求，在工程化上也需要更多的软件功能支持才能做到“易用”。

编辑：黄飞