智能汽车的安全挑战

挑战1：域控架构/集成式EE架构的复杂度

功能安全开发所有的开发活动中，都要求尽最大可能降低功能和系统的复杂度，复杂度的上升，对于安全实现的难度而言，是指数级上升的。然而域控架构和集中式EE架构的复杂度是天然的。原来一个功能相对简单的ASILD控制器的功能安全实现已经相当困难了，域控架构的安全实现难度可想而知。

挑战2：整车安全功能和系统的"耦合"

相对于原来相互没有任何交集的驱动、制动、转向控制系统，如今因为电动化将制动（涉及到传统制动与能量回收制动分配）与驱动控制耦合成一个更复杂的功能系统；因为自动&辅助驾驶将整车所有的横纵向控制全部耦合成一个最复杂的大系统（自动驾驶可控制转向，制动，驱动等所有安全强相关的功能系统），原来独立、封闭和解耦的安全相关的控制系统完全被打开，这对于功能安全的影响来说是颠覆性的。

挑战3：OEM自研安全Know-how

传统开发模式下，功能安全更多是由Tier1来实践的，OEM更多的是做最上层的安全需求以及最后端的整车集成验证，如今OEM自研模式下，需要独立的挑起“功能安全大梁”，这需要Know-how的积累。

挑战4：“变”是安全的天敌

功能/系统安全的实现需要非常繁复和仔细的论证，一旦论证OK，在稳定的沿用的基础上，做逐步的优化是最好的选择，安全设计有时候不是一蹴而就的，需要逐步在分析、测试验证以及运行中不断的打磨。而来自于“非优化或完善维度”的变更，有时候对已有的安全策略和方案是颠覆，影响分析和论证需要重新进行，然而在如今功能/软件变更频率如此高的背景下，一个完整的安全论证几乎是不可能完成，在安全论证不充分的情况下，将变更引入的同时也引入了风险。

挑战5：自动驾驶功能的复杂

功能安全主要是解决由于系统的失效（系统性失效和硬件随机失效）带来的安全风险，在自动驾驶功能引入之前，汽车上电子系统安全挑战主要是来自于这种失效引起的，自动驾驶功能引入后，除了上面提到了带来了系统复杂度的安全挑战（功能安全）外，又引入了另一个：预期功能安全。

预期动能安全主要是解决由于系统性能局限和人的误用带来的安全风险，简单来说就是系统即使没有失效（完全做到了功能安全），仍然不能规避这类安全风险。比如摄像头在没有任何功能安全失效的情况下，仍然有可能因为误识别而做出危险的决策控制，比如“非预期的刹车”、“非预期的没有刹车”，以及“非预期的转向”等。

挑战6：不仅“内忧”还有“外患”

功能安全和预期功能安全，都是在解决系统内部的安全，可谓“内忧”。除了这些，还有来自于系统外部的安全风险，那就是网络安全（信息安全）。