第九章智能網聯汽車測試評價與標準法規智能網聯汽車概論1.熟知智能網聯汽車測試與評價技術概述。2.掌握智能網聯汽車評價。3.掌握智能網聯汽車標準和法規。學習目標學習內容

智能網聯汽車測試與評價技術概述

智能網聯汽車評價

智能網聯汽車標準和法規

一、

智能網聯汽車測試與評價技術概述（一）智能網聯汽車測試目的及意義（1）智能網聯汽車測試的目的智能網聯汽車測試的目的是測試汽車零部件和整車的功能、性能是否符合一定的要求，或者與其他汽車相比，是否具備更佳的性能等。智能網聯汽車測試主要有符合性測試、比對測試和研發測試三種。1）符合性測試對于符合性的定義，在不同的標準中表述有所不同，在此所談到的符合性指的是產品、過程或服務及有關結果是否符合指定的規范要求，多指標準符合性測試。標準符合性測試是依據一個標準的描述對標準的某個實現進行測試，判別一個標準的實現與所對應的標準描述是否相一致。通常可以根據符合性測試的結果評價該實現是否符合既定的目標。若測試結果認定目標沒有實現，則須對進行標準符合性測試的對象做修正改進。

2）比對測試比對測試是為了比較各種汽車的性能而進行的測試與評價活動，如各種汽車專業雜志舉辦的各類汽車的性能比較活動，或者在汽車設計初始階段，作為決定質量目標的一種信息來源，對競爭對手的車輛的性能進行調查、比較研究的測試活動。比對測試最重要的目標是通過對兩個或兩個以上對象的對比結果進行分析，獲得或探究某種因素與對象之間的關系，并將之作為某種選擇或決定的依據。例如，在汽車ECU控制軟件開發過程中，為了檢驗和評估所開發的或自動代碼生成的控制器代碼與所設計邏輯的一致程度，往往需要通過比對測試的方式，測量與評價代碼模塊與設計控制器模型在不同設定輸入條件下的輸出結果。基于符合國際汽車功能安全標準ISO

26262規定，在采用基于模型的自動代碼生成開發方式中，采用代碼與模型的一致性對比測試，可以將代碼安全審查的工作轉移到模型安全審查和工具安全審查上，因而大大降低了開發方承擔的工作量和難度。3）研發測試研發測試是為了改進汽車性能和產品開發而進行的測試與評價活動。一般來說，學校、研究所或汽車制造廠商、汽車零部件廠、汽車電子廠商進行的研究或開發測試屬于此范疇。為了適應市場對汽車性能、功能的要求和用戶需求的多樣化，研發階段的測試與評價涉及范圍非常廣，為了適應新技術還需要不斷地制定新的測試與評價方法。研發測試最重要的目標是在最初階段就把相應的質量問題或安全問題考慮進去，以便可以直接把研發設計階段的成果作為生產的模板，如此不但有利于縮短研發時間，而且有利于降低研發成本。由此可見，在研發階段需要進行一定量的模擬測試和實車測試。值得注意的是，研發測試不僅僅是為了證明產品能夠實現既定功能，還要盡可能多地發現產品中的錯誤和缺陷，而且這種發現越早越好，這樣更改產品設計的成本更低。理想情況下，通過所有研發測試意味著車輛開發能夠最終定型，因此，對于研發測試來說，最重要是保障有效性、客觀性和完整性。

（2）智能網聯汽車測試意義

智能網聯汽車的開發與應用一直以來備受關注，當前除了研究智能網聯汽車的新功能和算法之外，智能網聯汽車在行駛環境中的可靠與安全已成為開發的最大難點。因此，只有通過完善的智能網聯汽車測試與評價技術，才能夠盡早在研發階段發現問題，挖掘隱藏的功能缺陷及不合理之處，才能夠保證智能網聯汽車應用的功能完備性及有效性。1）保證車輛行駛的安全智能網聯汽車是汽車產業的發展方向，通常來說，智能網聯汽車是從駕駛輔助逐步提高自動化程度到實現自動駕駛的過程。目前駕駛輔助技術的滲透率正在逐漸上升，部分自動駕駛、有限自動駕駛技術也發展迅速，推動汽車向完全自動駕駛乃至無人駕駛方向前進。但是，汽車的首要功能是能夠將人或者貨物從一個地點運送到另一個地點，車輛的智能化和網聯化是為了更好、更有效地實現上述功能，而安全是首先要保證的。通過對智能網聯汽車的功能和性能進行測試與評價，能夠確保智能網聯汽車安全、高效地完成任務，且不會干擾正常的交通環境。2）推動汽車行業的發展測評和標準本身對整個汽車產業來說是一種推動和促進的作用。完善的測評工作首先能夠對智能網聯汽車進行基本的判斷和分類，根據智能網聯汽車的定義，確定廠商提供的車輛是否屬于智能網聯汽車，并根據車輛的智能化和網聯化的程度對車輛進行分類。同時，通過測評形成標準，能夠促成一些參考架構，使得所有的參與機構能夠基于車聯網和自動駕駛的標準參考架構來促進和實現生態系統的發展。另外，搭建開放共享的測試評價平臺，既能保證各個參與方保持自己獨特的自動駕駛和車聯網的功能，同時滿足標準實現互聯互通。

（二）智能網聯汽車測試原理測試主要涉及兩個方面：一是測量，二是試驗。測量側重于測量工具的使用以及測量獲取數據的處理與分析，而試驗側重于通過設置環境探測產品、設備的某項最優性能或是否滿足某項性能。探求產品、設備某項最優性能或是滿足某項性能時測試方案的常用設計方法是研究的重點，測試方案設計是以概率論與數理統計為理論基礎，經濟地、科學地安排測試的一項科學技術，其主要內容是討論如何合理地安排測試方案和正確地分析測試數據，以達到用盡量少的測試次數盡快地達到測評的目的。測試方案設計實際上是測試優化技術，它是通過在測試過程中運用各種不同的數學方法，達到測評目標以及實現測評過程的最優化，從而達到節省人力、物力、時間的目的，常見的測試方案設計方法有4種。

（1）單因素測試方案設計單因素測試是指影響測評的主要因素只有一個，一般在為了改進汽車性能和產品開發時進行，根據生產和科研中的不同問題，利用數學原理，合理地安排測試，優化測試流程。通常可以運用常見的一維尋查方法（如序貫實驗的平分法、斐波那契法、黃金分割法、三點二次插值法等）逼近或獲取最優。（2）多因素測試方案設計當影響因素較多時，即需要進行多因素測試方案的設計。一般常采用正交設計法，也可在進行了一輪或多輪多因素測試后找到其中的主要影響因素進行較為細致的單因素測試，用一維尋查法求其最優化結果。

（3）疲勞/壽命測試方案設計

模擬零部件使用載荷對零部件直接進行疲勞測試以確定零部件的疲勞強度與壽命的方法稱為疲勞/壽命測試設計方法。一般常說的疲勞測試主要是指金屬疲勞測試，主要測定金屬及其合金材料在室溫狀態下的拉伸、壓縮或拉、壓交變負荷的疲勞性能。一般來說，在足夠大的交變應力的作用下，于金屬構件外形突變、表面刻痕或內部缺陷等部位，都可能因較大的應力集中引發微觀裂紋。分散的微觀裂紋經過集結溝通將形成宏觀裂紋。已形成的宏觀裂紋逐漸緩慢地擴展，構件橫截面逐步削弱，當達到一定限度時，構件會突然斷裂。這種金屬因交變應力引起的失效現象稱為金屬的疲勞，金屬疲勞測試就是測定金屬材料疲勞極限的方法。

（4）攻防測試方案設計

攻防測試主要是指在信息安全領域通過模擬各種攻擊手段來檢測系統信息安全防護能力的測試，常見的有滲透測試—指為了對一個目標網絡的安全性進行實際檢查，進行帶有攻擊性行為的全面的安全壓力測試。滲透測試是一個在評估目標主機和網絡的安全性時模仿黑客特定攻擊行為的過程。詳細地說，是指安全工程師盡可能完整地模擬黑客使用的漏洞發現技術和攻擊手段，對目標網絡的安全性作深入的探測，發現系統最脆弱環節的過程。測試過程中，會采用各種手段和途徑，包括端口掃描、漏洞掃描、密碼猜測、密碼破解、數據竊聽、偽裝欺騙等技術方式，最終目的就是為了檢驗該網絡各個環節的安全性。

（三）智能網聯汽車測試方法智能網聯汽車常見的測試方法主要包括模型在環測試方法、軟件在環測試方法，模型在環和軟件在環對比測試方法、硬件在環測試方法、臺架在環測試方法和實車測試方法。其中模型在環測試、軟件在環測試和硬件在環測試均屬于計算機測試方法。（1）模型在環、軟件在環測試方法圖9-1模型在環測試和軟件在環測試

（2）硬件在環測試方法汽車系統項目的開發是一項系統工程，科技含量高、工作量大，整車和各零部件的開發同步進行。為了保證項目的進度，將硬件置于測試回路是一種將實物部件和軟件模型聯合、廣泛運用于部件測試或控制系統測試的技術形式如圖9-2所示。硬件在環測試與模型在環測試、軟件在環測試不同之處在于引入了信號的傳遞環節。廣義上來說，硬件在環測試系統可以分為四種類型：圖9-2硬件在環測試

第一類，將真實的控制器置于測試回路，將其余部件的壓力或電力信號用真實信號或者仿真環境模擬的信號納人控制器的控制回路，不包含動力加載裝置。第二類，用計算機快速地建立其控制器模型，而將受控對象作為實物放置在仿真回路中，構造起在環測試系統，這個過程也稱為快速原型設計。第三類，利用動力加載裝置模擬系統其余部件的動力學特性對實物部件進行加載，實物部件輸出的信號反饋回系統模型，構成系統回路。第四類，主要是在第一類的基礎上，將在回路系統模型過程量或實物部件的輸出量納入一個更大的控制器控制回路。

（3）臺架在環測試方法臺架在環測試是指對待測對象的一些指標進行檢測，如汽車發動機臺架測試，可以測試發動機的最高轉速、使用壽命等。發動機臺架測試為發動機及相關零部件提供了測試、驗證以及改進的技術支持。在臺架在環測試中，由于待測的對象實物需要加載裝置提供力矩、速度或電流等參數，將整個臺架系統與其余部件模型構成回路如圖9-3所示，因此，當待測對象為控制對象時還會引人新的控制回路。按照臺架測試的目的，臺架測試分為性能測試和可靠測試。其中性能測試是為了評定發動機的動力性、經濟性及其他重要性能；可靠性測試是通過對發動機及相關零部件施加各種負荷以考驗其可靠性。圖9-3臺架在環測試

（4）實車測試方法模型在環、軟件在環、硬件在環和臺架試驗適用于控制器、部件、系統或總成的測試，但當把這些零部件或總成組裝在一起時，也常常會產生意想不到的故障或問題，所以必須做整車的測試評價。進行整車的測試與評價，一般需要借助于試驗場或一些通用大型測試設備。1）汽車試驗場汽車試驗場是進行汽車整車道路試驗的場所。為滿足汽車的實際行駛要求，汽車試驗場的主要設施是集中修建的各種各樣的試驗道路，包括汽車高速行駛的環形跑道、可造成汽車強烈顛簸的凸凹不平的道路以及動力學廣場、坡道、ABS試驗路、噪聲試驗路等，給汽車提供穩定的路面試驗條件。汽車試驗場有大有小，試驗道路的形態和長短也不盡相同，而且隨著汽車技術的發展，不斷會提出修筑新的試驗設施的要求。汽車試驗場是重現汽車使用中遇到的各種各樣道路條件和使用條件的試驗場地。試驗道路是實際存在的各種各樣的道路經過集中、濃縮、不失真的強化并典型化的道路。汽車在試驗場試驗比在實驗或一般行駛條件下的試驗更嚴格、更科學、更真實。其王要任務包括：汽車產品的質量鑒定測評；汽車新產品的研發、認證測試；為實驗室試驗提供路譜采集條件；汽車法規、標準的研究和測評等。2）通用大型試驗設備通用大型試驗設備包括環境試驗設備、碰撞試驗設備、電波暗室和半消聲室等。①環境試驗設備。為了保障汽車在使用環境中發揮期望的性能，需要在不同氣候環境下進行汽車試驗。由于實地試驗所消耗的時間成本和經濟成本過高，因此期望有高精度模擬世界各地氣候條件的環境試驗設備，從而快速檢驗汽車的環境適應性。常見的環境試驗設備有高溫環境風洞試驗室、低溫環境風洞試驗室、低壓試驗室、防塵性能試驗室、淋雨試驗室等。②碰撞試驗設備。為了保證車輛的安全性，車輛必須經過嚴格的碰撞測試檢驗。最典型的碰撞試驗設備是碰撞試驗室，一般通過牽引系統將車輛牽引到規定的速度后釋放。車輛依靠慣性與固定壁障、蜂窩鋁壁障或其他車輛等進行碰撞，檢驗車輛的車身結構和約束系統是否能夠為乘員提供良好的保護。當前一些典型的碰撞試驗，如正面全重疊碰撞、正面40%偏置碰撞、側碰等都已經形成標準，也是新車碰撞測試（New

Car

Assessment

Program,NCAP)確定車輛安全星級的基礎。同時，針對車輛的開發，一些更接近現實生活的事故形態，如正面25%小重疊率碰撞、正面撞柱等也被納入碰撞試驗中。另外，為提高測試效率同時降低測試成本，臺車也是廣泛采用的碰撞試驗設備。

③電波暗室。隨著汽車電子系統占比的逐漸提高，車載電子設備的性能要求越來越重要。由于車載電子設備的振動、溫度和電磁等環境較為惡劣，為確保車載電子的性能可靠，需要衡量其電磁干擾抗性和電波噪聲，因此可以建立電波暗室，排除室外電磁環境的干擾。④半消聲室。隨著汽車安靜性能要求的提開，噪聲的相關要求逐漸嚴格，為了進行有效測量，往往需要采用半消聲室。（四）智能網聯汽車常用評價方法評價需要解決的主要問題是分類、排序和整體評價，評價方法主要圍繞此類目的展開。有關系統評價的理論和方法大致可以分為3類：一是以數理理論為基礎的方法，它以數學理論和解析方法對評價系統進行定量描述和計算，通常需要在一定的假設條件下進行評價，評價方法主要有模糊分析法、灰色系統分析法、技術經濟分析法等；二是以統計分析為主的方法，其特點是把統計樣本數據看作隨機數據處理，對指標數據進行轉化，所得均值、方差、協方差反映指標潛在的規律，通過統計方法對指標體系進行分析，得出在大樣本數據下對評價對象的綜合認識，評價方法有主成分分析法、因子分析法、聚類分析法、判別分析法、關聯分析法、層次分析法等；三是重現決策支持的方法，以計算機系統仿真和模擬技術為主，研究如何使系統的運行和人類行為目標一致，以此得出系統評價結果。

二、智能網聯汽車評價（一）功能安全評價

目前智能網聯汽車功能安全評價主要指功能安全標準ISO26262的符合性測評，對此ISO26262的符合性要求為：1）如果要宣稱符合ISO26262，那必須是符合其每個要求，除非有如下情況之一。①根據ISO26262-2中，對不適用的要求進行安全行為的裁剪；②針對不符合項，提出其說明理由，并對該理由根據ISO26262-2進行評估。2）所有安全行為的輸出物都在ISO26262中有明確的規定。

（1）安全完整性等級評估ISO26262標準中對系統做功能安全設計時，前期重要的一個步驟是對系統進行危害分析和風險評估，識別出系統的危害并且對危害的風險等級—ASIL等級(AutomotiveSafetyIntegrationLevel，汽車安全完整性等級)進行評估。（2）安全完整性等級依據ISO26262標準進行功能安全測評時，首先需要確定系統危害事件的安全完整性等級。根據定義，功能故障和駕駛場景的組合叫做危害事件(hazardevent)，危害事件確定后，可以根據ISO26262的3個關鍵因子—嚴重度等級(Severity)、暴露概率等級(Exposure)和可控性等級(Controllability)評估危害事件的風險級別—ASIL等級。其中嚴重度是指在可能發生潛在危害的場景下，對一個或多個人員造成傷害程度的預估；暴露概率是指人員暴露在系統的失效能夠造成危害的場景中的概率；可控性是指通過所涉及人員的及時反應，也可能通過外部措施的支持，避免特定的傷害或損傷的能力。這3個因子分別在表9-1、表9-2和表9-3中給出。

表9-1嚴重度等級

等級S0S1S2S3描述無傷害輕度和中度傷害嚴重的和危及生命的傷害（有存活的可能）危及生命的傷害（存活不確定），致命的傷害

表9-2暴露概率等級

等級E0E1E2E3E4描述不可能非常低的概率低概率中等概率高概率表9-3可控性等級

等級C0C1C2C3描述原則上可控（一般，易控）簡單可控正常可控（一般）難以控制或不可控

（3）危害分析與風險評估依據ISO26262標準進行功能安全測評時，首先審核被測系統的功能，并審核分析其所有可能的功能故障(Malfunction)，可采用的分析方法有HAZOP、FTA、FMEA、頭腦風暴等。如果在系統測評的過程中發現沒有識別出來的故障，都要回到這個階段，進行更新。功能故障在特定的駕駛場景下才會造成傷亡事件，比如近光燈系統，其中一個功能故障就是燈非預期熄滅，如果在漆黑的夜晚行駛在山路上，駕駛員看不清道路狀況，可能會掉入懸崖，造成車毀人亡；如果此功能故障發生在白天就不會產生任何的影響。所以進行功能故障分析后，要進行情景分析，識別與此故障相關的駕駛情景，比如：高速公路超車、車庫停車等。分析駕駛情景可以從公路類型：比如國道、城市道路、鄉村道路等；路面情況：比如濕滑路面、冰雪路面、干燥路面；車輛狀態：比如轉向、超車、制動、加速等；環境條件：比如風雪交加、夜晚、隧道燈；交通狀況：擁堵、順暢、紅綠燈等；人員情況：比如乘客、路人等幾個方面去考慮。（二）信息安全評價（1）信息安全測評的定義信息安全測評(又稱信息安全測試與評估)作為信息系統安全工程過程(ISSE)中的關鍵環節，在整個信息系統的生命周期中具有十分重要的作用，關系到信息系統安全建設的成敗。信息安全測評的對象從傳統的通信系統、操作系統、網絡系統發展到涵蓋技術和管理在內的完整的信息安全保障體系。信息安全測評主要是通過測評技術及手段，進而保證信息的完整性、可用性、真實性、保密性、可靠性及未授權拷貝和所寄生系統的安全性。通俗來說，信息安全測評的目的就是要保護信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性。包括如何防范商業企業機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等，以及采用網絡環境下的信息安全體系等手段保證信息安全，包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、消息認證、數據加密等)，乃至安全系統，如UniNAC、DLP等。

（2）傳統信息安全存在問題在這個信息爆炸的年代，現代人每天不論于公于私，都會經手大量數據信息，而在信息安全問題上會出現各種麻煩，信息安全重要性日益凸顯。信息已經成為各企事業單位的重要資源，也是一種重要的“無形財富”。互聯網和IT技術的普及，使得應用信息突破了時間和空間上的障礙，信息的價值在不斷提高。但與此同時，網頁篡改、計算機病毒、系統非法入侵、數據泄密、網站欺騙、服務癱瘓、漏洞非法利用等信息安全事件時有發生。為分析當前的信息安全問題，列舉以下幾個典型的急需解決的信息安全問題。一是網絡共享與惡意代碼防控。網絡共享方便了不同用戶、不同部門、不同單位等的信息交換，但是，惡意代碼利用信息共享、網絡環境擴散等漏洞，影響越來越大。如果對惡意信息交換不加限制，將導致網絡的QoS下降，甚至系統癱瘓不可用。二是信息化建設超速與安全規范不協調。網絡安全建設缺乏規范操作，常常采取“亡羊補牢”之策，導致信息安全共享難度遞增，也留下了安全隱患。

三是信息產品國外引進與安全自主控制。國內信息化技術嚴重依賴國外，從硬件到軟件都不同程度地受制于人。目前，國外廠商的操作系統、數據庫、中間件、辦公文字處理軟件、瀏覽器等基礎性軟件都大量地部署在國內的關鍵信息系統中，但是這些軟件或多或少存在一些安全漏洞，使得惡意攻擊者有機可乘。目前，我們國家的大型網絡信息系統許多關鍵信息產品長期依賴于國外，一旦出現特殊情況，后果將不堪設想。

四是IT產品單一性和大規模攻擊問題。信息系統中軟硬件產品單一性，如同一版本的操作系統、同一版本的數據庫軟件等，這樣一來攻擊者可以通過軟件編程，實現攻擊過程的自動化，從而導致大規模網絡安全事件的發生，如網絡蠕蟲、計算機病毒、“零日”攻擊等安全事件。

五是IT產品類型繁多和安全管理滯后的矛盾。目前，信息系統部署了眾多的IT產品，包括操作系統、數據庫平臺、應用系統。但是不同類型的信息產品之間缺乏協同，特別是不同廠商的產品，不僅產品之間安全管理數據缺乏共享，而且各種安全機制缺乏協同，各產品缺乏統一的服務接口，從而造成信息安全工程建設困難。系統中安全功能重復開發，安全產品難以管理，也給信息系統管理留下了安全隱患。

六是IT系統復雜性和漏洞管理。多協議、多系統、多應用、多用戶組成的網絡環境復雜性高，存在難以避免的安全漏洞。據統計，絕大部分操作系統存在安全漏洞。由于管理、軟件工程難度等問題，新的漏洞被不斷地引入到網絡環境中，所有這些漏洞都將可能成為攻擊切入點，攻擊者可以利用這些漏洞入侵系統、竊取信息。為了解決來自漏洞的攻擊，一般通過打補丁的方式來增強系統安全。但是，由于系統運行的不可間斷性及漏洞修補風險的不可確定性，即使發現網絡系統存在安全漏洞，系統管理員也不敢輕易地安裝補丁。特別是大型的信息系統，漏洞修補是一件極為困難的事。因為漏洞既要做到修補，又要能夠保證在線系統正常運行。

七是網絡攻擊突發性和防范響應滯后。網絡攻擊者常常掌握主動權，而防守者被動應付。攻擊者處于暗處，而攻擊目標則處于明處。以漏洞的傳播及利用為例，攻擊者往往先發現系統中存在的漏洞，然后開發出漏洞攻擊工具，最后才是防守者提出漏洞安全對策。

八是口令安全設置和口令易記性難題。在一個網絡系統中，每個網絡服務或系統都要求不同的認證方式，用戶需要記憶多個口令。據估算，用戶平均至少需要4個口令，特別是系統管理員，需要記住的口令就更多，如開機口令、系統進入口令、數據庫口令、郵件口令、Telnet口令、FTP口令、路由器口令、交換機口令等。按照安全原則，口令設置既要復雜，口令長度還要足夠長，但是口令復雜則記不住，因此，用戶選擇口令只好用簡單的、重復使用的口令，以便于保管。這樣一來，攻擊者只要猜測到某個用戶的口令，就極有可能引發系列口令泄露事件。

九是遠程移動辦公和內網安全。隨著網絡普及，移動辦公人員在大量時間內需要從互聯網上遠程訪問內部網絡。由于互聯網是公共網絡，安全程度難以得到保證，如果內部網絡直接允許遠程訪問，則必然帶來許多安全問題，而且移動辦公人員計算機又存在失竊或被非法使用的可能性。“既要使工作人員能方便地遠程訪問內部網，又要保證內部網絡的安全”就成了許多單位都面臨的一個問題。

十是內外網絡隔離安全和數據交換方便性。由于網絡攻擊技術不斷增強，惡意入侵內部網絡的風險性也相應急劇升高。網絡入侵者可以滲透到內部網絡系統，竊取數據或惡意破壞數據。同時，內部網的用戶因為安全意識薄弱，可能有意或無意地將敏感數據泄露出去。為了實現更高級別的網絡安全，有的安全專家建議內外網及上網計算機實現物理隔離，以求減少來自外網的威脅。但是，從目前網絡應用來說，許多企業或機構都需要從外網采集數據，同時內網的數據也需要發布到外網上。因此，要想完全隔離開內外網并不太現實，網絡安全必須既要解決內外網數據交換需求，又要能防止安全事件出現。

（3）信息安全保護對象1）終端產品保護

通過對代碼、端口、網絡連接、移動存儲設備接入、數據文件加密、行為審計進行分級控制，實現操作系統加固及信息系統的自主、可控、可管理，保障終端系統及數據的安全。2）安全軟件保護

實現軟件數據的強制訪問控制和統一管理控制、敏感文件及加密密鑰的冗余存儲備份，包括文件權限管理、用戶管理、共享管理、外發管理、備份管理、審計管理等。3）關鍵網絡和基礎設施的防御

關鍵網絡及基礎設施，可以從兩個方面來理解：一個是信息網絡基礎設施中的關鍵部分；另一個是關鍵基礎設施中的信息部分。前者通常包括電信網絡、廣播電視網絡、域名系統、電子簽名認證系統等，后者即我們通常所說的重要信息系統。實際上，隨著信息技術的發展，國家關鍵基礎設施普遍網絡化和信息化，這兩個方面的融合度已經越來越高。一般通過檢測骨干網可用性、無線網安全框架、VPN和緊耦合連接程度等，對網絡和基礎設施的業務連接能力、自主可控能力、數據安全防御能力等進行評測。

4）邊界防御

通過對外界硬件或程序進入系統的監控掃描，在非法攻擊、病毒尚未被運行時即可被判定為安全或不安全，從而最大限度地保障對本地機器的安全防護。一般通過網絡訪問控制、遠程訪問策略、多級別安全策略、入侵檢測系統等進行評測。5）計算環境防御

計算機環境分為物理環境、虛擬環境等。為保證計算機系統的安全可靠性，在計算機系統對信息進行采集、處理、傳輸、存儲過程中，不至受到人為(包括未授權的使用計算機資源)或自然因素的危害，而使信息丟失、泄露或破壞，需對計算機設備、設施(包括機房建筑、供電、空調等)、環境、人員等采取適當的安全措施。一般通過對端用戶環境、應用系統安全進行檢測，對計算機系統涉及設施、人員進行審查等。6）支撐性基礎設施

相對于關鍵基礎設施而言，支撐性基礎設施主要是輔助網絡信息系統中關鍵業務執行、數據傳輸等能夠安全有效地運行。一般從整個信息系統運作流程中，

反饋并評測出支撐性基礎設施的KMI/PKI指數，以及業務監視和響應情況。

（4）測試與評價的意義

隨著科學技術的迅猛發展和信息技術的廣泛應用，特別是我國國民經濟和社會信息化進程的全面加快，信息化帶動了工業化的發展，初步實現了互聯互通、資源共享、跨越式發展的信息化發展目標。基礎信息網絡與重要信息系統的基礎性、全局性作用日益增強，已成為國家和社會發展新的重要戰略資源。與此同時，隨著社會信息化的依賴程度越來越高，網絡和信息系統的安全問題愈加重要。保障基礎網絡和重要信息系統安全，更好地維護國家安全、保障社會穩定和經濟命脈，是信息化發展中必須要解決的重大問題，也是我們開展信息安全測評的重大意義。（三）服務系統評價

智能網聯汽車云平臺服務系統是智能網聯汽車的核心部分，主要是面向各種網聯化汽車的應用，為了實現智能網聯汽車的廣泛應用，需要構筑數據平臺、運營平臺和支撐平臺，負責車輛運行中的動態、靜態信息的采集以及管理、底層設備的初始化、維護管理、安全管理、系統管理以及信息發布等工作，同時提供挖掘整理后的數據信息。智能網聯汽車所收集到的交通信息量將非常巨大，如果不對這些數據進行有效處理和利用，就會迅速被信息所湮沒。因此需要采用數據挖掘、人工智能等方式提取有效信息，同時過濾掉無用信息。考慮到車輛行駛過程中需要依賴的信息具有很大的時間和空間關聯性，因此有些信息的處理需要非常及時，對計算能力要求很高，所以需要深入學習以下兩種技術。

（1）智能網聯汽車服務系統技術

一是智能技術。智能網聯汽車應該是一種智能化的新型網絡，需要在網聯化當中采用一些先進的智能技術。通過使用智能技術，可以使車輛具備一定的智能性，能夠主動感知環境的變化、實時交通狀況甚至是駕駛員的需求等。智能技術研究的主要內容包括人工智能理論、智能控制系統、信號處理識別、信息融合等方面的內容。被寄予重望的汽車無人駕駛、交通智能導航等應用都要以智能技術的運用為基礎。

二是云計算。云計算平臺也稱為云平臺，云計算是近年來發展起來的一種新的計算形態，體現了一種全新概念的信息服務模式，運用虛擬化技術、分布式計算、并行計算技術等將資源按需供給，因其自動化IT資源調度和高速信息部署以及優異的擴展而著稱。隨著移動互聯網的發展，移動云計算的發展亦如火如茶，克服移動終端資源受限的缺陷，用戶通過移動云計算便可以不受已有設備局限地使用感興趣的網絡服務。

（2）智能網聯汽車服務系統應用

從功能上，智能網聯汽車服務系統主要完成以下兩部分的功能：一是通過車載網絡把信息傳感設備與車輛設備連接起來，實現車輛智能化監控和管理；二是運用移動通信技術把車載網絡與外部網絡連接起來，實現車與人、車與車、車與路、車與遠程終端之間的信息交換。隨著智能汽車和車聯網技術的發展，汽車電控系統越來越多，汽車將不再是一個孤立的單元，而是成為可移動的網絡節點。智能網聯汽車服務系統在車內構成獨立的網絡，

同時也連接車外網絡(如汽車門禁、NFC近距離通信、DSRC專用短程通信等)，成為整個物聯網智慧交通平臺的一個重要環節。智能網聯汽車服務系統的應用領域廣泛，各地區側重點也有所不同。北美比較注意安全應用，政府導向的服務比較多，如E911服務等；歐洲、日本路況比較復雜，服務系統應用以導航居多；中國目前主要以增強用戶行車體驗為主，但中國城市交通矛盾突出，智能網聯汽車服務系統的應用范圍將會非常廣泛。其典型應用簡介如下。

1）活動道路安全應用

活動道路安全應用主要是為了減少交通事故的概率和交通參與者(乘員、行人等)的生命財產損失。每年在世界各地發生的交通事故中，相當部分事故比例都是在路口處碰撞所致。活動道路安全應用，主要提供信息幫助司機避免此類事故。這類事故可以通過共享車輛與用來預測碰撞的路側單元的信息來完成。這些信息可以代表路口的位置、車輛的位置、速度和車頭距離。此外，車輛和路側單元之間的信息交換還可以用來定位道路上的危險位置，如濕滑或坑洼路段。有關活動道路安全應用的具體應用包括：交叉口碰撞預警、超速警告、盲點警告、車輛超車警告、頭部碰撞預警、追尾警告、緊急車輛(救護車、警車等)警告、緊急制動警告、逆行預警、禁行警告、靜止的車輛警告、交通條件的預警、交通信號違規警告、碰撞風險預警、十字路口處預警、危險位置通知、禁止疲勞或酗酒駕駛、失控車輛警告。

2）交通效率和管理應用

交通效率和管理應用主要是提高車流量，交通協調和輔助，以及提供動態的現場信息、地圖等，可分為速度管理和協同導航兩大部分。速度管理：速度管理應用主要是協助駕駛員對自身車輛的速度進行管理，以保證車輛的順暢駕駛，以避免不必要的停車。如：綜合考慮限速及綠燈的最佳速度咨詢(路側單元將信號燈信息廣播給車輛，車輛收到信息后可以根據自身情況而調整車速，避免不必要停車或等紅燈的時間浪費)。協同導航：通過車輛之間的合作、車輛和路側單元之間的合作來管理車輛的導航系統以提高交通效率。主要包含以下幾部分：交通信息和行程建議、提高路線指引和導航、限制訪問警告和繞行通知、車內交通信號接收、電子不停車收費、協同自適應巡航控制系統、協同公路一車輛自動系統、智能交通誘導系統、交通信號燈的智能控制、交通信息預測系統等。

3）信息娛樂應用

信息娛樂應用包括本地服務和Internet服務等。本地服務包括：興趣點通知、ITS本地電子商貿(如停車、購物等)、媒體下載等。Internet服務包括：保險和金融服務、車隊管理、車輛軟件/數據的配置和更新、氣象服務、出行信息等。

4）公共服務應用

公共服務應用主要是為方便普通大眾而提供的服務。如：公交車智能調度系統：根據車輛、駕駛員或路側單元發回來的當前人流量信息，對公交車進行智能調度，減少延遲。智能停車場管理系統：入停車場時，自動識別車牌號，更新數據庫，放行。出停車場時，再次自動識別車牌號，數據庫端對車牌號進行匹配，匹配成功，扣除相應的停車費，余額不足或匹配失敗時，系統向管理員發出警告信息。多式聯運：對貨物的位置、發車時間、運輸方式、行駛時間、里程、當前貨物狀況等進行實時遠程跟蹤管理，隨時調整交通工具或貨物運輸方式。營運車輛管理：車輛終端記錄下車輛當前的速度、行駛里程、超車次數、停車次數、行駛時間形成報表，

通過網絡，

如GPRS、3G通信發回控制中心。根據衛星定位系統對車輛進行跟蹤記錄下車輛的當前位置，控制中心可對車輛遠程智能管理，根據報表可以對駕駛員的駕駛習慣進行相關獎勵或糾正。

（3）智能網聯汽車服務系統發展現狀

隨著智能網聯汽車技術發展，車輛操控和車內外部網絡互聯已成為未來汽車發展方向。就技術共融性而言，汽車制造商可以選擇和互聯網公司合作，如通用汽車選擇與人機交互系統領先的谷歌聯合，

福特與微軟推出SYNC系統。另外，其他汽車制造商也開始自身車載信息系統的研發，如奔馳COMAND系統、奧迪MMI以及豐田G-book系統等。從技術角度來說，車聯網即為物聯網一個重要分支。物聯網技術發展比較迅猛，微軟、Linux、蘋果、谷歌、黑莓等IT(互聯網)公司，有自主推出了車載服務系統，也有基于汽車與移動互聯網技術的結合，在已有的汽車嵌入式操作系統上推出新的車載服務系統。

針對車載服務系統，從技術來源的角度來劃分，可分為以下3類：第一類是IT(互聯網)公司自主推出車載信息系統，如蘋果CarPlay系統、谷歌OAA平臺(即OpenAutomotiveAlliance開放汽車聯盟)、TelsaOS(操作系統)、Win8CC(即WindowsConnectCar系統)等；第二類是汽車與IT公司相結合產物，如福特SYNC系統、寶馬iDrive系統，以及QNXCAR平臺等；第三類為汽車制造商在已有的嵌入式系統基礎上，自主研發的車載信息系統，如奔馳COMAND、豐田G-Book系統、TelsaOS等。

（4）兩種智能網聯汽車服務系統

1）安吉星(Onstar)

安吉星(OnStar)主要依賴于CDMA網絡進行語音、數據通信以及GPS衛星進行定位和導航服務。其在北美主要與美國的VerizonWireless和加拿大的BellMobility兩家移動運營商合作，而在中國，OnStar與中國電信簽訂了相關的協議，消費者使用的OnStar系統將基于中國電信的CDMA網絡運行。OnStar系統通過應用全球衛星定位系統(GPS)和無線通信技術提供汽車安全信息服務，2)SYNC系統汽車與互聯網公司結合，其代表性的如福特與微軟的結合，共同開發的SYNC技術，目前該系統已搭載超過1000萬輛汽車。此類車載信息系統應用前景大，發展趨勢比較明顯，歸根到底，也是以微軟為代表的IT業和以福特為代表的汽車制造商兩者多年的技術積累，具有一定的技術優勢。

三、智能網聯汽車標準和法規（一）國家智能網聯汽車法律法規（1）國家智能網聯汽車法律法規的重要性全球的汽車工業正在面臨電動化、智能化、網聯化的轉型升級，各國紛紛通過發展智能網聯汽車來保障交通安全、提升出行效率、促進節能減排，進而構建智能社會。發展智能網聯汽車是提升國家綜合競爭力、構建智能強國的重要抓手。近年來，美、日、歐等國家和地區都相繼出臺了以車輛智能化、網聯化為核心的發展戰略，制定專門的政策，加緊完善相關標準，修訂或新制定專門的法律法規，政府大力推動完善相關政策規定，為智能網聯汽車的發展掃除障礙，構建有利的發展環境。政策、法規是智能網聯汽車研發、測試、生產、商用等各個環節的基礎與保障，是智能網聯汽車長遠發展的內部驅動。因此，我國要在智能網聯汽車新一輪的競爭中占據制高點與主動權，就必須有相關政策給予指導，由法律法規提供制度保障。

（2）國家智能網聯汽車法律法規的主要內容

近年來，我國對智能網聯汽車的研究日益重視，自國務院2015年發布《中國制造2025》《關于積極推進“互聯網+”行動的指導意見》將智能網聯汽車發展明確為國家戰略以來，國家發改委、工信部、科技部等部門組織出臺了有關智能網聯汽車的一系列政策文件，見表9-5。此外，《中國智能網聯汽車產業發展總體推進方案》等文件目前還在研制之中，有望在不久的將來發布，從而為智能網聯汽車產業的進一步發展壯大提供更全面、細致、立體的政策保障。

表9-5有關智能網聯汽車的政策文件名稱出臺部門時間《汽車產業中長期發展規劃》工信部聯合國家發改委、科技部2017年4月《國家車聯網產業標準體系建設指南》工信部、國家標準化管理委員會2017年12月《新一代人工智能發展規劃》國務院2017年7月

（二）智能網聯汽車質量標準（1）智能網聯汽車質量標準的重要性一輛傳統燃油汽車在上市之前要經歷殘酷的考驗：整車可靠耐久性測試、整車排放耐久性和極端環境耐久性測試。同樣地，智能網聯汽車在正式推向市場之前，除了傳統汽車的“考試科目”之外，必須要在更為復雜的場景中完成技術考核。因此，為保證智能網聯汽車的質量，在智能網聯汽車產品開發階段就需要滿足一定的質量標準，實現與道路、設施及其他交通參與者的協調。（2）智能網聯汽車質量的相關標準內容目前有關智能網聯汽車質量的相關標準主要有《道路車輛功能安全標準ISO26262》和《合作式智能運輸系統車用通信系統應用層及應用數據交互標準》。

1）《道路車輛功能安全標準ISO26262》

安全在將來的汽車研發中是關鍵要素之一，新的功能不僅用于輔助駕駛，也應用于車輛的動態控制和涉及安全工程領域的主動安全系統。隨著系統復雜性的提高，軟件和機電設備的應用，

來自系統失效和隨機硬件失效的風險也日益增加，ISO26262為避免這些風險提供了可行性的要求和流程。道路車輛功能安全標準ISO26262是IEC61508對E/E系統在道路車輛方面的功能安全要求的具體應用。ISO26262系列標準分為10本，從ISO26262-1到ISO26262-10，分別從功能安全管理、概念、系統級研發、軟硬件研發、生產和操作等方面對產品的整個生命周期進行了規范和要求，從而使得產品在各個生命周期都比較完善地考慮了其安全功能。ISO26262為汽車安全提供了一個生命周期(管理、開發、生產、經營、服務、報廢)理念，并在這些生命周期階段中提供必要的支持。該標準涵蓋功能性安全方面的整體開發過程(包括需求規劃、設計、實施、集成、驗證、確認和配置)。此外，ISO26262標準根據安全風險程度對系統或系統某組成部分劃分了由A到D的汽車安全完整性等級(AutomotiveSafetyIntegtyLevel，ASIL)，其中D級為最高等級，需要最苛刻的安全需求。伴隨著ASIL等級的增加，針對系統硬件和軟件開發流程的要求也隨之提高。

2）《合作式智能運輸系統車用通信系統應用層及應用數據交互標準》

為推進網聯化(V2X)技術在提升汽車安全性、經濟性及交通系統效率等方面的深度應用，適應V2X通信技術(DSRC、LTE-V、5G)的多樣性及演進，推動智能網聯汽車技術在我國的發展，各車企及后裝V2X產品需要一個獨立于底層通信技術的、面向V2X應用的數據交換標準及接口，以便在統一的規范下進行V2X應用的開發、測試并推動工程化。大規模測試和工程化應用都需要先建立統一的規范，定義基礎服務和統一的數據交互需求和協議，實現相關車輛與車輛之間、車輛與道路設施之間、其他交通參與者之間的信息交互，以實現不同品牌車輛及V2X系統的互聯互通和具備統一的基礎功能。因此，我國智能網聯汽車產業創新聯盟V2X工作組制定了《合作式智能運輸系統車用通信系統應用層及應用數據交互標準》。

①標準關注范圍參考國際標準化組織(ISO)制定的通信系統七層參考模型，以及美國、歐洲正在制定的車用通信系統相關標準的系統架構，車用通信系統通常可以分為系統應用、應用層、傳輸層、網絡層、數據鏈路層和物理層。該標準關注應用層及應用層與上下相鄰兩層的數據交互接口如圖9-4所示。應用層協議主要包括消息集和消息集內的數據幀與數據元素，以及消息的數據結構和編碼方式。圖9-4標準范圍示意圖

該標準并不指定底層的通信技術，可以用于不同的傳輸層、網絡層和數據鏈路層、物理層。該標準通過向上制定與系統應用對接的應用編程接口(API)，可以讓不同的應用開發者獨立開發能實現互聯互通的應用，無須擔心使用何種通信方式或者通信設備；同時通過向下制定與不同通信設備對接的服務提供接口(SPI)，以實現車用通信系統與不同通信方式或者通信設備的兼容，并滿足通信技術不斷更新的需求。

②標準主要內容總體來講，該標準通過對道路安全、通行效率和信息服務等基礎應用的分析，定義在實現各種應用時，車輛與其他車輛、道路交通設施及其他交通參與者之間的信息交互內容、交互協議與接口等。具體來講，該標準選擇了涵蓋安全、效率、信息服務三大類的17個典型應用作為一期應用，包括前向碰撞預警、交叉路口碰撞預警、異常車輛提醒、綠波車速引導、前方擁堵提醒、汽車進場支付等。此外在應用定義、主要場景、系統基本原理、通信方式、基本性能要求和數據交互需求6個方面對這17個一期應用分別進行了描述，根據各應用對通信頻率和時延的不同需求進行了分類。同時，該標準還對應用層數據集字典、數據交互標準及接口規范進行了定義，并給出了車輛基本安全消息、地圖消息、信號燈消息、制動系統狀態、車道屬性等一系列數據集的代碼，這些均可直接載人V2X系統中應用。可以說，此次標準的出臺填補了國內V2X應用層標準的空白，為國內各車企及后裝V2X產品提供了一個獨立于底層通信技術的、面向V2X應用的數據交換標準及接口，以便在統一的規范下進行V2X應用的開發、測試，對于V2X大規模路試和產業化將起到推動作用。（三）智能網聯汽車信息安全標準（1）智能網聯汽車信息安全的重要性汽車信息安全作為汽車發展的重中之重，在一開始就受到了電信行業、汽車行業、汽車電子設備行業以及互聯網服務商的重視。現代車輛由許多互聯的、基于軟件的IT部件組成，為了避免安全問題，需要進行非常細致的測試。然而在汽車領域，通過系統性的安全測試發現潛在的安全威脅并不是一個常規的流程。汽車中使用的智能聯網系統沿襲了既有的計算和聯網架構，所以也繼承了這些系統天然的安全缺陷。隨著汽車中ECU和連接的增加，也大大增加了黑客對汽車的攻擊面，尤其是汽車通過通信網絡接人互聯網連接到云端之后，每個計算、控制和傳感單元，每個連接路徑都有可能因存在安全漏洞而被黑客利用，從而實現對汽車的攻擊和控制。汽車作為公共交通系統的重要組成部分，一旦被黑客控制，不僅會造成駕駛人的個人信息和隱私被泄露，還會直接帶來人身傷害和財產損失，同時還會導致品牌和聲譽受損，甚至上升成為危及國家安全的社會問題。因此，制定智能網聯汽車信息安全標準就尤為重要。

（2）智能網聯汽車信息安全的相關內容1）《智能網聯汽車信息安全白皮書》為指導智能網聯汽車信息安全建設工作的全面深人展開，2017年6月中國汽車工程學會、北京航空航天大學、梆梆安全研究院聯合發布了《智能網聯汽車信息安全白皮書》，首次建立了智能網聯汽車信息安全方法論，從本質層面解智能網聯汽車信息安全之所急。《智能網聯汽車信息安全白皮書》綜合分析了國內外智能網聯汽車安全產業現狀與發展趨勢，解析了智能網聯汽車所面臨的安全威脅，深人地探討了智能網聯汽車的本質安全問題所在，構筑了能夠對智能網聯汽車未來信息安全起到核心支撐作用的方法論，描繪出了智能網聯汽車整體信息安全框架。此外，還深入探討了智能網聯汽車關鍵安全防護技術，繪制了典型智能網聯汽車攻擊路徑圖。此白皮書總結提出，當前智能網聯汽車主要面臨來自節點(T-BOX、IVI、終端升級、車載OS、車載診斷系統接口、車內無線傳感器)、網絡傳輸、云平臺、外部互聯生態安全4個層面的12大安全威脅見表9-6。在黑客攻擊的威脅下，