China Road Transport Academy
[常州论坛]英飞凌科技(中国)有限公司汽车电子副总裁徐辉汽车智能化过程中两个安全不可忽视
来源:中国道路运输网 2017年9月28日15:3

英飞凌科技(中国)有限公司汽车电子副总裁 徐辉



  9月24日,由中国电动汽车百人会、交通运输部公路科学研究院主办,常州市天宁区人民政府、国家ITS中心智能驾驶及智能交通产业研究院承办的,中国电动汽车百人会·常州论坛顺利召开。英飞凌科技(中国)有限公司汽车电子副总裁徐辉在论坛上发表演讲,以下为发言实录:

  大家下午好!首先非常荣幸能够接受百人会的邀请,参加今天的论坛和下午的峰会。我从汽车电子系统和技术的角度来分享一下对智能交通、智能出行的一些看法。

  可能我们从传统汽车人角度,绝对不认为将来汽车会变成在四个轮子上的智能终端或者一个手机,我下面讲一讲为什么?因为从我们的角度上来讲,可能后续智能汽车的发展在两方面非常重要,都是跟安全相关的。一个就是所谓的汽车本身的技术安全,我们叫做功能安全;另外一方面,就是信息安全,我们叫做信息安防,今天我的演讲也正好是关于这两个方面的。

  首先,为什么半导体行业会参与到整个智能出行或者智能交通的发展?大家也知道,其实汽车目前可能到今天80%甚至90%的技术革新和创新都是由电子技术来实现的,半导体的行业或者半导体的技术,必须走在整个电子系统技术的前面,半导体的技术能实现,整个电子技术从系统到整车才可以实现,所以现在所谈到的所有跟汽车电子的革新和技术发展相关的,都是必须由半导体技术走在最前列,才能够实现本身的技术的,不管您提到的智能网联也好、自动驾驶也好。

  我们认为,将来汽车行业一定会往四个方向去发展,与经常听到的汽车“四化”也比较相符,首先是新能源,即汽车的节能减排。将来电动汽车是趋势,一定会实现。另外,今天谈到很多的ADAS高级辅助驾驶到将来自动驾驶技术的实现,跟这个相关联的就是智能网联汽车,将来车与车之间、车与环境之间一定会实现网络互通。在这个基础之上必须能够实现整个信息的安全,能够保证在汽车的驾驶过程中和网联的过程中,整个系统和驾乘人员都是安全的,信息的输送和信息的下载也是安全的。

  其实电子系统的原理本身来讲非常简单,其实就是分成三个部分,首先传感部分,就是传感到整个环境的部分,不管是由行人也好,还是由交通设施传递也好,通过各种不同的传感系统能够传感到信息,传输到汽车本身核心计算的部分,通过一些数据的处理,最终在运算部分做出一个判定。判定之后这个信息会发到汽车的各个不同部分,来做最终的执行,可能会是刹车,可能会是转向,也可能会是一些其他的处理。所有的系统,不管是很简单的、很复杂的,其实都是基于这个原理来操作的。

  传感器,无论从传统的汽车行业来讲,还是最终实现的自动驾驶,都是一个核心的器件和核心的技术。传感器有很多不同类型,不管是毫米波雷达、激光雷达、摄像头,还是结合将来的高精地图,所有的传感器将来会是相互配合,达到最好的信息的传输和信息识别的效果,最终汽车会被所有的传感器360度环绕,能够保证汽车最终信息的识别和信息传输的安全。

  自动驾驶也是基于这个原理,就是传感器的系统能够对周围的环境做感知,将来可能甚至会升级到一些人工智能的识别和学习,但是这是基于传感器系统的,最终所有的信息处理会做一个判断和决定,最终到一个驾驶的判定和操作。

  刚刚谈到了,其实我们认为将来最终自动驾驶的系统本身原理很简单,但是实施方面很复杂的一个最主要的原因,就是因为目前来讲,我们所说的电子控制系统是有一个后备方案的,就是驾驶员,就是所有的系统即使在失效或者有一些不清晰的判定的情况下,驾驶员作为后备的系统,去做最后的判断和最后的执行。而自动驾驶难的原因,就是因为后面不会再有一个后备的系统了,就是说其实所有的信息和所有的判断,都是必须由车本身的电子系统去完全操纵、完全执行。这就在于所有的自动驾驶系统需要在最安全的设计架构之上考虑,必须有一个冗余,保证主系统工作的同时会有一个后备的系统能够做一个后备方案处理。

  今天不讲具体的技术,首先,谈到一个Fail Operational概念。刚才可能有位嘉宾也谈到,我们从被动安全,比如说安全气囊,到我们今天的主动安全,有一些传感器预防的功能。我们认为将来后续会发展成一个更安全的架构,比如说我们的最主要的几个系统,比如说刹车,比如说自动转向,这些系统一旦失效就会对环境和人员造成损害,这些系统一旦出现风险是不能完全失效的。比如说你的刹车不能完全失效,你的自动驾驶不能完全失效,需要有一个后备系统,能够在这个系统失效的情况下,在最短的时间内能够被用,使得车能够在最快的时间内选择最安全的方式能够工作,这就是我们所说的公路安全的一个理念,就是说在任何的情况下,所有最主要的功能是不能立刻实现的。所以,在后续汽车发展的过程中,在发展到自动驾驶的过程中,这个理念和这个概念非常非常重要,这样才能够最终保证汽车安全,能够达到零事故。

  第二个方面,从我们的角度怎么看信息安全。现在汽车行业面临的一个最激动人心的时刻。因为之前这么多年汽车其实是一个完全封闭的独立的系统可以自己去做控制,而后面一旦车联网实现了、自动驾驶实现了,车就变成了一个完全跟外界互通信息和互通随时的数据的一个新的局面。这对于传统汽车行业来讲,是一个非常非常大的挑。因为其实车内还有海量的数据,会变成黑客攻击的最主要的一个方向,所以必须要考虑到信息安全。

  我们认为,将来从汽车本身内部和信息传输的部分来讲,都会有很大很大的改变,包括在汽车的内部,一些主要的控制系统,都必须有加密的概念和加密的预防的措施。我们也认为目前汽车的加密,主要是通过一些软件的方式来实现的。我们认为这是完全不够的,必须由软件和硬件相配合,而且非常好地融合在一起,才能够最终实现加密和信息安全的保护。我用一个例子来简单讲一下,就是远程软件更新,我们认为软件更新的部分,虽然看起来很简单,但是实际上从加密的工作还是有蛮多工作要做的。

  我们认为远程的软件更新可能分成两部分,第一部分就是从车厂的信息通过远程的网络能够下载到车的处理器;第二部分才是从中央的存储器下载到相关应用部分的控制器,分成这两部分。在第一部分,其实是不需要驾驶员操作的,就是在任何情况,即使在车的行驶的过程中也是可以操作的。第二部分,是必须在车不行进的过程中,就是车必须在静止过程中执行的,这个执行过程中必须有驾驶员的认可。第二,这个过程其实不像手机可以在晚上操作,这个部分必须有监控,而且时间不能太长,我们认为在15—20分钟之内是大家都可以接受的,所以这个信息的量和速度必须要达到我们预期的要求。

  从加密的角度,我们认为三部分必须加密:

  第一部分,信息下载的部分。分成两部分,第一就是网络连接的部分,需要加密的过程;第二是需要通过TPM,就是去确认信息是从所需要的车厂来下载的,比如说您的车可能是长安的汽车,必须有一个TPM确认说这个车的信息是最终从长安车厂发出来的,我们也接受这个信息进行下载的工作。

  第二部分,存储到中央存储期的过程。通过TPM的确认,车内也会有一个加密的硬件,确认这个信息可以下载到中央存储器。

  第三部分,从中央存储器最终下载到需要执行的控制器的这一部分。在控制器的部分也需要有一个加密的确认,确认这个信息可以下载,也是正确的信息,我们认为这三部分是最终可以实现远程软件更新的安全信息的保证。

  最后做一个总结。我们认为,从整个汽车电子的发展来讲,从汽车的电气化和智能化,必须做到完全的安全。两部分,一部分是本身技术的功能安全,第二部分是信息完全安全,才能最终保证整个智能汽车发展和整个智能交通最终实现。

  我的演讲就到这里。谢谢大家!

(责任编辑:魏美茹)