智能驾驶系统:危害分析与风险评估案例分析文档
|
文件状态: [√] 草稿 [ ] 正式发布 [ ] 正在修改 |
|
发文件起草分工: 1. |
|
编制: |
签名: 日期: |
|
审核: |
签名: 日期: |
|
批准: |
签名: 日期: |
|
所有权声明 |
|
该文档及其所含的信息是财产。该文档及其所含信息的复制、使用及披露必须得到的书面授权。 |
1 系统规范定义和设计
1.1 功能规范
车辆实时检测前方道路上的交通参与者的运动状态,当检测到车辆即将与前方车道上的交通参与者发生碰撞时,在判断相临车道上没有交通参与者或者与相临车道上的交通参与者保持足够的安全距离后车辆自动换道来避免与前方交通参与者发生碰撞;
系统应识别 ODD 状态、自动驾驶系统失效、动态驾驶任务接管用户的接管能力,并在即将不满足 ODD 或系统失效或接管能力可能即将不满足时有可能无法响应接管请求,系统应进入 MRC ,并在一定时间内继续执行动态驾驶任务;
驾驶员需要在规定时间内重新接管车辆,如果驾驶员未接管车辆,自动紧急换道系统应执行风险减缓策略;
驾驶员接管时自动紧急换道系统应立即解除车辆控制权。
系统的设计运行条件如表 1-1 所示。
表 1-1 设计运行条件
|
ODD 分类 |
ODD 内明确允许元素 |
明确超出 ODD 元素 |
||
|
ODD |
静态 实体 |
道路类型 |
具有分隔栏的快速路或 城市道路 |
|
|
道路表面 |
道路材质:沥青、混泥土 道路路面:干燥或湿滑,特殊 覆盖(减速带等) |
积水 / 积雪 / 结冰 / 油污路 损坏严重路面 |
||
|
道路几何 |
平面:直线、曲线、加宽、超高 纵断面:上坡、下坡、平面 横断面:分离,道路边缘屏障 |
不分离道路,人行道 |
||
|
车道特征 |
标线清晰 车道宽度: ≥3.5m 车道方向:靠右行驶 |
模糊 / 临时 / 可变车道线 其他车道类型 |
||
|
交通标志 |
固定标志,所有状态 |
临时标志,信号灯 |
||
|
道路边缘 |
路肩,屏障,边界线清晰 |
临时 / 无边界线 |
||
|
道路设施 |
固定设施 |
特殊设施:收费站 / 桥 / 隧道临时设施;铁路交叉口, |
||
|
区域 |
|
学校,交通管理区域 |
||
|
环境 条件 |
风 |
不超过 6 级风( <=13.8m/s |
|
|
|
能见度 |
≥2km |
|
||
|
雨天 |
小雨:日降雨量 ≤10mm (需低速行驶) |
|
||
|
光照度 |
>=1000 lu x |
|
||
|
光照方向 |
所有方向 光照前侧:隧道口强光除外 |
|
||
|
光照角度 |
地平线及地平线以上 |
|
||
|
光照来源 |
太阳光 |
|
||
|
连接性 |
V2V 通信和 GPS, 北斗定位 , 高 精地图,在长隧道时需要路测辅助定位设施 |
|
||
|
动态 实体 |
交通条件 |
无需前方有车 |
|
|
|
道路使用者 |
机动车(事故车除外) |
行人,非机动车 |
||
|
道 路使用者 |
|
动物,其他动态障碍物 |
||
|
驾乘人员状态元素要求 |
||
|
驾乘人员状态 |
驾驶员 / 远程驾驶员 / 动态驾驶任务后援用户状态 |
非疲劳 |
|
注意力无分散 |
||
|
驾驶姿态正常 |
||
|
在驾驶位 |
||
|
无极端异常状态 |
||
|
安全带系上 |
||
|
乘客状态 |
无抢夺驾驶设备行为 |
|
|
无极端异常状态 |
||
|
安全带系上 |
||
|
车辆状态元素要求 |
||
|
车辆 状态 |
激活速度范围( 20- 8 0 ) km/h |
|
|
功能状态满足要求 |
||
动态驾驶任务包括以下几个子任务:
通过转向控制车辆横向运动(操作);
通过减速控制车辆纵向运动(操作);
通过目标和事件检测、识别、分类和响应准备(操作和策略)监控驾驶环境;
对象和事件响应执行(操作和策略);
机动规划(策略);
动态驾驶任务的权限级别:
DDT 性能发生在 ADS 功能常规 / 正常操作条件下,也就是说,该功能在正常运行和 ODD (如果有的话)范围内执行完整的 DDT 。
当 ADS 无法继续执行完整的 DDT (即在常规 / 正常操作下)时,会发生 DDT 接管。当人类应急准备用户(车内或远程)将响应干预请求或动觉明显的车辆故障,如果车辆保持可操作,则恢复 DDT 性能,如果车辆不可操作,则实现最低风险条件。
1) 质量要求
AES 系统应具备高可靠性,能够在各种环境条件下稳定工作,减少故障和失效的发生;系统应具备良好的耐久性,能够承受长期使用和恶劣环境带来的 磨损和老化。
2) 性能要求
响应时间: AES 系统应具备快速的响应时间,能够在检测到碰撞风险时迅速做出反应,避免或减轻碰撞事故的发生。
转向精度:系统应能够准确控制车辆的转向角度和速度,确保车辆能够按照预定的路径行驶。
环境适应性: AES 系统应能够适应不同的道路和气候条件,包括雨天、雾天、雪天等恶劣环境。
3) 可用性要求
用户友好性: AES 系统的操作界面应简洁明了,易于驾驶员理解和操作。
透明度:系统应向驾驶员提供清晰、准确的信息反馈,使驾驶员能够了解系统的状态和运行情况。
可维护性: AES 系统应具备良好的可维护性,便于维修人员进行故障诊断和修复 。
AES 智能驾驶系统状态可以划分为关闭状态和激活状态两大类,其中激活状态进一步细分为待机状态、预警状态、干预状态以及恢复状态。以下是对这些状态及其转换的定义。
1) 关闭状态
定义: AES 智能驾驶系统处于关闭状态时,监测车辆周围的行驶环境,但是不会对车辆进行任何主动控制。这通常发生在驾驶员手动关闭系统或系统因故障自动关闭时。
特点:系统不消耗额外电力,不会对车辆行驶产生影响。
2) 激活状态
① 待机状态
定义:当 AES 系统被激活且未检测到碰撞风险时,系统处于待机状态。此时,系统持续监测车辆前方、侧方及侧后方的行驶环境,准备在必要时进行干预。
特点:系统保持低功耗运行,持续监测但不对车辆进行主动控制。
② 预警状态
定义:当系统检测到潜在的碰撞风险时(如前方车辆突然减速、行人横穿等),会进入预警状态。此时,系统会通过声音、视觉或触觉等方式提醒驾驶员注意。
特点:系统发出预警信号,但尚未采取自动转向措施。
③ 干预状态
定义:如果驾驶员未能及时响应预警,或者系统判断碰撞风险进一步增加, AES 系统会进入干预状态。在此状态下,系统会自动控制车辆的转向,以避开障碍物或减轻碰撞后果。
特点:系统直接控制车辆转向,确保行车安全。
④ 恢复状态
定义:在成功避免碰撞或碰撞风险解除后(如障碍物移开、车辆减速等), AES 系统会评估当前行驶环境的安全性,并适时从干预状态恢复到待机状态。
特点:系统重新进入待机状态,持续监测但不再进行主动控制。
3) AES 智能驾驶系统状态转换
① 从关闭状态到激活状态
驾驶员手动开启 AES 系统或系统自检通过后自动激活。
② 从待机状态到预警状态
当系统检测到潜在的碰撞风险时,自动从待机状态切换到预警状态。
③ 从预警状态到干预状态
如果驾驶员未响应预警或碰撞风险增加,系统会从预警状态切换到干预状态。
④ 从干预状态到恢复状态
在成功避免碰撞或风险解除后,系统评估安全性并恢复到待机状态
1) 法规遵循
AES 系统必须严格遵守各国及地区的交通法规和行业标准。例如,在欧洲, AES 系统可能需要符合联合国欧洲经济委员会( UNECE )的相关法规,如 ECE-R 系列法规中关于 ADAS 系统的具体要求 。
2) 标准认证
AES 系统需要通过相应的标准认证,以证明其符合行业规范和安全要求。例如,某些国家可能要求 AES 系统通过 ISO 26262 等国际标准认证,以确保其功能安全。
1.2 系统架构与规范
应对自动驾驶系统的范围进行定义,明确属于该系统的子系统和要素,并识别与其存在交互关系的外部系统或要素,该部分包括 以下内容。
图 1.1 系统的组成
AES 智能驾驶系统如图 1.1 所示,主要由传感器、控制器和执行器三大核心部分组成。
1) 传感器
前视摄像头:负责捕捉车辆前方的图像信息,为系统提供视觉感知能力。
前置毫米波雷达:通过发射和接收毫米波信号,探测车辆前方的障碍物和车辆,提供距离和速度信息。
GPS/IMU (全球定位系统 / 惯性测量单元):提供车辆的精确定位和姿态信息,确保车辆在地图上的准确位置和方向。
V2X (车联网通信技术):实现车辆与车辆、车辆与基础设施之间的通信,共享交通信息,提高行驶安全性和效率。
驾驶员状态监控摄像头:监测驾驶员的注意力、疲劳程度等状态,确保驾驶员在需要时能够接管车辆控制。
2) 控制器
自动驾驶域控制器:作为系统的 “ 大脑 ” ,处理来自传感器的数据,进行决策和规划,并控制执行器执行相应的操作。
3) 执行器
线控转向系统:根据控制器的指令,控制车辆的转向动作,实现自动驾驶中的路径跟踪和避障。
线控制动系统:控制车辆的制动动作,包括紧急制动和减速,确保车辆在需要时能够安全停车。
人机交互系统:提供驾驶员与智能驾驶系统之间的交互接口,包括显示车辆状态、接收驾驶员指令等功能 。
1) 与道路交通基础设施的交互
通过 V2X 技术, AES 智能驾驶系统能够与交通信号灯、道路标识、路侧单元等基础设施进行通信,获取实时交通信息,提高行驶安全性和效率。
2) 与其他车辆的交互
同样通过 V2X 技术,系统能够与其他车辆共享行驶状态、位置、速度等信息,实现协同避撞、编队行驶等功能。
3) 与驾驶员的交互
人机交互系统能够实时显示车辆状态、行驶路径、潜在风险等信息给驾驶员,并在必要时发出接管请求或警告。同时,驾驶员也可以通过人机交互系统输入指令或调整设置。
4) 与云端系统的交互
AES 智能驾驶系统可能还会与云端服务器进行通信,上传行驶数据、接收远程指令或更新软件等。云端系统还可以提供地图更新、路径规划等支持服务。
1) 娱乐系统
干扰方式:娱乐系统可能占用大量的系统资源(如处理器、内存和网络带宽),导致 AES 系统响应延迟或性能下降。
信息交换:娱乐系统与 AES 系统之间可能不存在直接的信息交换,但它们的资源竞争会间接影响 AES 系统的运行。
使用假设:在设计时,应假设娱乐系统在高负载情况下不会对 AES 系统造成不可接受的干扰。
2) 导航系统
干扰方式:导航系统可能提供与 AES 系统冲突的驾驶指令,导致驾驶员或系统产生困惑。
信息交换:导航系统应与 AES 系统保持信息同步,确保驾驶指令的一致性。
使用假设:导航系统应能够识别 AES 系统的运行状态,并在必要时调整其指令以避免冲突。
3) 蓝牙 /Wi-Fi 通信
干扰方式:无线通信设备可能引入电磁干扰,影响 AES 系统传感器的性能。
信息交换:虽然蓝牙 /Wi-Fi 通信本身不直接与 AES 系统交换驾驶控制信息,但它们可能通过影响传感器数据来间接影响 AES 系统。
使用假设:应确保无线通信设备在车辆上的使用不会对 AES 系统的传感器造成显著干扰。
4) 车辆控制系统
干扰方式:车辆控制系统的故障或异常操作可能直接影响 AES 系统的执行效果。
信息交换: AES 系统需要与车辆控制系统紧密协作,共享控制指令和传感器数据。
使用假设:车辆控制系统应具有高可靠性和稳定性,以确保 AES 系统能够准确执行其预期功能。
5) 其他 ADAS 功能
干扰方式:多个 ADAS 功能可能同时运行,导致系统资源紧张或功能间冲突。
信息交换:这些功能之间需要共享传感器数据和控制指令,以确保整体驾驶辅助效果的一致性。
使用假设: ADAS 功能之间应具有良好的协调机制,以避免相互干扰并确保整体系统的稳定性和安全性
图 1.2 系统的组成
系统组件的主要功能和性能目标如表 1.2 所示,包括组件的数量、对组件的功能与性能目标进行描述。
表 1.2 系统组件功能主要功能和性能目标
|
传感器 |
数量 |
功能说明 |
探测范围 |
|
前视摄像头 (单目) |
1 |
探测目标信息、车道线信息 |
0-200m |
|
前置雷达 (毫米波雷达) |
|
探测目标信息 |
0-200m |
|
GPS+IMU |
1 |
当前车辆的实际定位信息 |
厘米级 |
|
V2X |
1 |
接收周围路测设备信息,实现车路协同感知 |
0-200m |
|
控制器 |
数量 |
功能说明 |
备注 |
|
自动驾驶域 控制器 |
1 |
负责自动驾驶控制的中心单元,将传感器输入的相关信息进行分析处理与计算,并采用一定的决策控制算法进行决策,最后生成执行指令输出给控制器执行,其过程中要求根据执行器的反馈的执行情况实时调整输出指令 |
|
|
执行器 |
数量 |
功能说明 |
|
|
转向系统 (转向电机) |
1 |
控制车辆进行转向 |
|
|
制动系统 |
1 |
控制车辆制动减速和停车 |
|
|
HMI |
1 |
人机交互 |
|
系统感知组件的工作方式与异常影响如表 1.3 所示,包括感知组件信号的输入输出形式、正常的工作范围以及可能存在的异常影响。
表 1.3 感知组件的工作方式与异常影响
|
感知组件 |
信号输入形式 |
信号输出形式 |
正常工作范围 |
异常影响 |
|
单目摄像头 |
图像数据:单目摄像头捕捉车辆前方的二维图像,这些图像包含了丰富的视觉信息,如道路、车辆、行人、交通标志等 |
处理后的图像或数据:经过图像处理和算法分析,单目摄像头可以输出目标物体的位置、大小、类别等信息,这些信息将作为 AES 智能驾驶系统决策的依据 |
视野范围:单目摄像头的视野范围取决于其镜头的焦距、安装位置和角度,通常能够覆盖车辆前方的较宽区域。 环境条件:在光照充足、无遮挡、无严重干扰(如雨雪、雾霾等)的环境下,单目摄像头能够正常工作。但在极端天气或光照条件下,其性能可能会受到影响。 |
如果单目摄像头出现故障或异常(如镜头污染、损坏、图像传感器故障等),将导致输入给 AES 智能驾驶系统的图像数据缺失或错误,从而影响系统的环境感知和决策能力。 |
|
毫米波雷达 |
电磁波信号:毫米波雷达发射电磁波并接收其回波,通过处理这些信号来获取周围环境的信息。 |
目标信息:毫米波雷达能够输出周围目标物体的距离、速度、方位等信息,这些信息对于 AES 智能驾驶系统的决策至关重要 |
探测距离:毫米波雷达的探测距离较远,通常能够达到 200 米以上,且能够在全天候(包括不良天气和夜晚)条件下工作。 分辨率:尽管毫米波雷达的分辨率相对较低,但其测距和测速精度较高,能够满足自动驾驶系统的基本需求。 |
如果毫米波雷达出现故障或异常(如传感器损坏、信号处理电路故障等),将导致系统无法准确获取周围目标的信息,从而影响 AES 智能驾驶系统的决策和安全性。 |
|
V2X |
通信信号: V2X ( Vehicle to Everything )技术允许车辆与周围的基础设施、其他车辆以及行人等进行通信。 V2X 感知组件通过接收这些通信信号来获取周围环境的信息。 |
实时交通信息: V2X 感知组件能够输出实时交通信息,包括道路状况、交通信号灯状态、行人行为等,这些信息对于 AES 智能驾驶系统的路径规划和决策具有重要意义。 |
通信范围: V2X 技术的通信范围取决于其使用的通信标准和设备性能,通常能够覆盖车辆周围的较宽区域。 环境条件: V2X 技术能够在各种环境条件下工作,包括城市、郊区、高速公路等场景 |
如果 V2X 感知组件出现故障或异常(如通信模块故障、网络中断等),将导致系统无法实时获取周围环境的交通信息,从而影响 AES 智能驾驶系统的路径规划和决策能力。此外,通信中断还可能导致车辆与其他车辆或基础设施之间的协同失效,增加交通事故的风险。 |
系统感知组件的关键安装信息如表 1.4 所示,包括感知组件安装位置、部件外表面材料、尺寸、形状、光洁度以及对 ADS 安全性能具有较大影响的安装规范。
表 1.4 感知系统组件的关键安装信息
|
感知组件 |
安装位置 |
部件外表面材料、尺寸、形状、光洁度 |
对 ADS 安全性能具有较大影响的安装规范 |
|
单目摄像头 |
前视单目摄像头安装在前挡风玻璃内侧或上方,靠近后视镜的位置,以确保最佳的视野范围和视角。这种安装位置有助于摄像头捕捉前方路况、车辆、行人及障碍物等信息。 |
材料:摄像头外壳多采用耐候性强、抗紫外线、防刮擦的塑料或金属材质,以保护内部精密元件。 尺寸与形状:尺寸和形状因车型和制造商而异,但一般设计为紧凑、流线型,以减少空气阻力和对驾驶员视线的影响。形状多为扁平的矩形或圆形。 光洁度:摄像头镜头表面需要保持高度的光洁度,通常采用镀膜或特殊材料处理,以减少反光、眩光,并确保图像的清晰度和准确性。 |
视野无遮挡:确保摄像头视野范围内无遮挡物,如车内后视镜、雨刮器、遮阳板等,以保证图像的完整性和准确性。 角度调整:根据车辆的实际使用情况,精确调整摄像头的拍摄角度,确保能够捕捉到所需的路况信息,并减少盲区。 固定稳固:摄像头应牢固安装在车辆上,避免在行驶过程中因震动或碰撞而松动或脱落。 防水防尘:对于可能暴露在恶劣环境下的摄像头,需具备防水防尘功能,以确保其长期稳定运行。 |
|
毫米波雷达 |
前置毫米波雷达安装在前保险杠中间位置,以确保能够探测到前方较远距离的目标。 |
材料:雷达外壳多采用耐候性强、抗腐蚀的塑料或金属材质,以应对恶劣的外部环境。 尺寸与形状:尺寸和形状因车型和制造商而异,但通常设计为扁平的矩形或圆形,以便与车辆外观相协调。 光洁度:雷达表面应保持一定的光洁度,以减少对雷达波的反射和散射,提高探测准确性。同时,需避免使用金属漆等可能干扰雷达信号的材料。 |
安装角度:雷达的安装角度需要精确控制,以确保探测范围和精度的准确性。任何微小的角度偏差都可能导致探测结果的偏差。 避免干扰:雷达前方应避免有金属、金属漆等可能干扰雷达信号的材料或物体,以确保雷达波能够正常发射和接收。 固定稳固:雷达应固定稳固,避免因车辆行驶过程中的震动而导致探测结果的不稳定。 散热考虑:对于功率较大的毫米波雷达,需考虑散热问题,确保雷达在工作过程中不会因过热而损坏。 |
|
V2X ( T-BOX ) |
T-BOX ( Telematics BOX )安装在车辆内部,靠近车辆中心位置,以便与车辆其他系统(如 CAN 总线)进行通信,并接收和发送数据。 |
材料: T-BOX 外壳多采用耐候性强、抗腐蚀的塑料或金属材质,以保护内部电子元件。 尺寸与形状:尺寸和形状因制造商和车型而异,但一般设计为紧凑、易于安装和维护的结构。 光洁度:外壳表面应保持整洁,无划痕和凹陷,以确保良好的散热和防尘效果。 |
网络连接:确保 T-BOX 能够稳定连接到车辆的网络系统(如 CAN 总线),以便实时接收和发送数据。 电源供应:为 T-BOX 提供稳定可靠的电源供应,确保其能够持续正常工作。 防水防尘:对于可能暴露在恶劣环境下的 T-BOX ,需具备防水防尘功能,以确保其长期稳定运行。 安全性: T-BOX 应安装在安全位置,避免被人为破坏或盗窃。同时,需确保其数据传输过程中的安全性,防止数据泄露或被篡改。 |
车辆行驶在 ODC 条件下,当判断无法通过制动的方式来避免与前车发生碰撞并且相临车道足够安全进行换道时,该项目为车辆规划五次项多项式的轨迹变道到安全的车道上,在执行变道的过程中认为是足够安全的,一旦触发变道模式,将通过 MPC 算法来控制转向电机来驱动前轮转向直到完成变道才退出变道模式,在变道模式中,该项目接管驾驶员的操作,驾驶员的操作对车辆不起作用。
1.3 外部交互
包括对驾驶员提醒的方式和预期的行为,驾驶员干预的条件,及如何使用交互以减轻已知的可合理预见的误用;
提醒方式: AES 系统通过视觉(如仪表盘显示、 HUD 抬头显示)、听觉(声音警报、语音提示)和触觉(方向盘震动、安全带收紧)等多种方式提醒驾驶员。
预期行为:系统期望驾驶员在接收到提醒后,根据具体情况采取相应措施,如接管车辆控制、确认系统操作或调整驾驶行为。
驾驶员干预条件:当系统检测到潜在危险或超出其设计运行范围时,会要求驾驶员接管控制。这些条件可能包括系统失效、复杂或不可预测的交通环境等。
减轻误用:通过清晰的界面设计、用户手册和驾驶培训,教育驾驶员如何正确使用 AES 系统,避免误操作。
交互: AES 系统可能通过远程监控和控制系统与后台操作人员交互,报告系统状态、接收指令或进行远程故障诊断。
依赖:在自动驾驶出租车或物流车辆等场景中,后台操作人员可能负责监控车辆状态,并在必要时介入控制。
交互: AES 系统通过传感器(雷达、摄像头、路测单元)监测周围环境,预测并响应其他道路使用者的行为。
依赖:系统的安全性和效率高度依赖于对其他道路使用者行为的准确预测和及时响应。
依赖: AES 系统的性能受天气(如雨、雪、雾)、光照条件(如夜间、黄昏)、道路状况(如湿滑、坑洼)等环境因素影响。
交互:系统通过传感器感知环境变化,并调整其算法和策略以适应不同环境。
依赖: AES 系统依赖道路标志、标线、交通信号灯等基础设施来导航和遵守交通规则。
交互:系统通过 V2X ( Vehicle-to-Everything )通信技术与道路基础设施交换信息,提高安全性和效率。
关于车路云的详细定义见章节 1.5 。
交互:车辆通过无线连接接收来自制造商或服务提供商的软件更新,以修复漏洞、改进性能或增加新功能。
依赖:系统的持续改进和安全性依赖于及时的软件更新。
图 1.3 系统车内网络架构
图 1.3 为系统的车内网络架构示意图,展示了车辆内部各个关键组件之间的通信和连接关系。其中毫米波雷达通过 CAN 通讯将信息传输给自动驾驶域控制器,单目摄像头、 IMU 、驾驶员监视摄像头通过以太网将信息传输给自动驾驶域控制器, V2X 通过 T-BOX 通过以太网将信息传输给自动驾驶域控制器,自动驾驶域控制器将接受到的信息进行处理通过 CAN 通讯将决策规划与驾驶信息传输给中央网关,中央网关将这些信息通过 CAN 传输给线控制动 ECU 与线控转向 ECU 以及人机交互系统。
1.4 系统安全与响应策略
自动驾驶系统操控车辆应确保不在 ODD 之外激活驾驶自动化功能,确保自 动驾驶系统操控车辆能够在 ODD 中定义的所有道路条件下运行 , 而不违反预期的功能。
表 1.5 描述了系统已知的功能安全失效,潜在安全影响及相关安全措施。
表 1.5 已知的功能安全失效,潜在安全影响及相关安全措施
|
已知的功能安全失效 |
潜在安全影响 |
相关安全措施 |
|
传感器故障 描述:传感器(如雷达、摄像头、激光雷达等)是智能驾驶系统获取外界信息的重要途径,其故障可能导致系统无法准确感知周围环境。 潜在影响:传感器故障可能导致系统误判、漏判障碍物,进而引发碰撞风险。
|
交通事故风险增加:任何一种失效都可能导致智能驾驶系统无法正常工作,从而增加车辆与其他道路使用者发生碰撞的风险。 乘客和行人安全受威胁:智能驾驶系统的失效可能直接威胁到车内乘客和车外行人的生命安全。
数据泄露与隐私侵犯:软件漏洞可能导致车辆数据被非法获取,进而引发数据泄露和隐私侵犯问题。
|
传感器冗余与融合: 措施:采用多传感器融合技术,通过多个传感器相互补充和验证,提高系统对外界环境的感知能力。 效果:降低单个传感器故障对系统整体性能的影响。 |
|
软件系统漏洞 描述:智能驾驶系统的运行高度依赖软件系统,软件中的漏洞或错误可能被恶意利用,或被无意触发。 潜在影响:软件漏洞可能导致系统失控、数据泄露或被远程操控,对车辆安全构成严重威胁。
|
软件安全性保障: 措施:对软件进行全面的安全性审计和测试,采用安全编码规范和动态 / 静态检查工具,及时发现并修复漏洞。 效果:提高软件系统的安全性和稳定性。
|
|
|
算法缺陷 描述:智能驾驶系统的决策算法可能存在设计缺陷或逻辑错误。 潜在影响:算法缺陷可能导致系统做出错误的驾驶决策,如错误变道、急刹车等,增加事故风险。
|
算法优化与验证: 措施:对智能驾驶算法进行持续优化和验证,确保其在各种场景下都能做出正确的驾驶决策。 效果:降低算法缺陷导致的错误驾驶决策风险。
|
|
|
硬件失效 描述:包括控制单元、执行机构等硬件部件的故障。 潜在影响:硬件失效可能导致系统无法执行正确的驾驶指令,或执行错误的指令,影响车辆安全。
|
硬件备份与容错: 措施:为关键硬件部件设计备份和容错机制,确保在硬件失效时系统仍能继续运行或安全停车。 效果:提高硬件系统的可靠性和安全性。
|
1) 直接误用
直接误用通常指的是驾驶员或乘客直接对系统进行的错误操作或不当使用。在自动紧急驾驶系统的上下文中,直接误用可能包括:
① 误触系统激活按钮
驾驶员或乘客可能无意中触碰到系统的激活按钮,导致系统在不必要的情况下启动。这要求系统设计有明确的激活条件和用户反馈机制,以防止误触。
② 错误理解系统功能。
驾驶员可能错误地理解自动紧急驾驶系统的功能和限制,从而在不适当的情况下依赖系统或忽视系统的警告。系统应提供清晰的用户手册和 / 或车内培训功能,以增强驾驶员对系统的理解。
③ 故意滥用系统
极少数情况下,驾驶员可能故意滥用系统,例如试图利用系统来避免交通违规或事故责任。这要求系统在设计时考虑到潜在的恶意使用场景,并采取相应的防护措施。
2) 间接误用
间接误用则是指由于系统与其他车辆系统、驾驶员行为或外部环境之间的相互作用而导致的错误使用。在自动紧急驾驶系统的背景下,间接误用可能包括:
① 与其他车辆系统的干扰
自动紧急驾驶系统可能需要与其他车辆系统(如 ABS 、 ESP 、车道保持辅助等)进行通信和协作。如果这些系统之间存在通信故障或冲突,可能会导致自动紧急驾驶系统的错误激活或失效。系统设计时需要充分考虑这些潜在的干扰因素,并制定相应的防护措施。
② 驾驶员行为的影响
驾驶员的行为模式、驾驶习惯和注意力水平都可能对自动紧急驾驶系统的性能产生影响。例如,驾驶员在疲劳驾驶或分心驾驶时可能无法及时响应系统的警告或接管控制。系统应能够识别驾驶员的状态并采取相应的辅助措施。
③ 外部环境的变化
外部环境因素(如天气条件、道路状况、交通流量等)也可能对自动紧急驾驶系统的性能产生影响。例如,在恶劣的天气条件下,系统的传感器可能无法准确感知障碍物或车辆,导致系统误判或失效。系统设计时需要充分考虑这些外部环境因素,并制定相应的应对策略。
避免误用措施
为了减少可合理预见的直接误用和间接误用,自动紧急驾驶系统在设计时需要考虑以下几个方面:
① 用户友好性
系统应提供清晰、直观的用户界面和反馈机制,以便驾驶员能够轻松理解和使用系统。
② 冗余设计
系统应采用冗余设计来提高可靠性和安全性。例如,使用多个传感器和算法来感知障碍物和预测碰撞风险。
③ 故障检测和诊断
系统应具备故障检测和诊断功能,以便在出现问题时及时通知驾驶员或维修人员。
表 1.6 系统及其要素的潜在的性能局限
|
SOTIF 相关要素 |
局限类型 |
性能局限 |
|
前视单目 摄像头 |
外部 因素 |
摄像头工作温度范围小,过高过低气温下无法工作 |
|
摄像头受光照影响,无法识别目标车辆 |
||
|
摄像头受能见度影响,无法识别目标车辆 |
||
|
摄像头受湿度影响,起水雾无法识别目标车辆 |
||
|
|
||
|
自身 因素 |
摄像头被覆盖,无法识别目标车辆 |
|
|
摄像头无法识别异形目标车辆 |
||
|
道路曲率过大时,摄像头视角偏转,无法识别目标车辆 |
||
|
摄像头安装 / 固定位置不正确,无法识别目标车辆 |
||
|
FOV 过小,视觉存在盲区,目标车辆过晚被识别到 |
||
|
|
||
|
毫米波雷达 |
自身 因素 |
毫米波雷达采样频率过低,无法识别高速目标车辆 |
|
毫米波雷达采样分辨率过低,无法识别高速目标车辆 |
||
|
道路曲率过大时,毫米波雷达视角偏转,无法识别目标车辆 |
||
|
毫米波雷达被覆盖,无法识别目标车辆 |
||
|
毫米波雷达安装 / 固定位置不正确,无法识别目标车辆 |
||
|
FOV 过小,视觉存在盲区,目标车辆过晚被识别到 |
||
|
|
||
|
|
|
毫米波雷达工作温度范围小,过高过低气温下无法工作 |
|
毫米波雷达能透度影响,大雨大雪雾霾天气下无法工作 |
||
|
|
||
|
|
|
|
1) ODC 边界的探测
AES 智能驾驶系统通过集成多种传感器(如雷达、摄像头、激光雷达等)和高级算法,实时感知车辆周围的行驶环境,并据此判断当前行驶状态是否处于 ODC 范围内。系统会根据预设的 ODC 边界条件(如道路类型、道路表面、天气条件、交通状况等)对外部环境进行持续监测和评估。
当系统检测到即将离开 ODC 边界时(如进入未标记的道路、恶劣天气条件、复杂交通环境等),会立即触发相应的预警机制,通知驾驶员和系统本身做好应对准备。
2) 应对措施
① 预警与提示
系统会通过声音、视觉或触觉等多种方式向驾驶员发出预警信号,提醒驾驶员注意即将离开 ODC 边界的情况。同时,系统会在显示屏上显示相关信息,帮助驾驶员了解当前行驶环境的安全状况。
② 控制权限转换
当系统判断即将离开 ODC 且驾驶员未及时接管车辆时,系统会主动发起控制权限的转换过程。在这个过程中,系统会逐步减少智能驾驶系统的控制权,并增加对驾驶员的接管提示和辅助。例如,系统可能会通过逐渐减弱自动驾驶模式下的转向辅助和速度控制,同时增加方向盘和加速 / 刹车踏板的阻力,来引导驾驶员接管车辆。
③ 保障安全运行
在控制权限转换过程中,系统会持续监测车辆状态和外部环境变化,确保转换过程的安全进行。如果系统检测到潜在的危险情况(如突然出现的障碍物、其他车辆的紧急变道等),会立即采取紧急避险措施(如紧急制动、避让等),以保障车辆和乘客的安全。
④ 驾驶权妥善移交
当驾驶员成功接管车辆后,系统会立即退出智能驾驶模式,并将控制权完全交给驾驶员。同时,系统会记录并分析此次控制权限转换过程中的相关数据(如响应时间、驾驶员接管能力等),以便后续对系统进行优化和改进。
1) 报警策略
自动紧急转向系统( AES )的报警策略是确保在紧急情况下能够及时通知驾驶员并准备采取相应措施的关键部分。通常, AES 系统的报警策略包括以下几个方面:
① 预警阶段 当系统检测到前方存在潜在的碰撞风险时,会首先进入预警阶段。此时系统会通过视觉(如仪表盘上的警示灯)、听觉(如蜂鸣声)或触觉(如方向盘震动)等方式提醒驾驶注意。
② 紧急报警
如果驾驶员未能及时响应预警信号,且碰撞风险进一步增加,系统会发出紧急报警。这种报警通常更加强烈和明显,以确保驾驶员能够立即注意到并采取相应的避撞措施。
③ 自动干预准备
在紧急报警之后,如果驾驶员仍未采取行动,且系统判断碰撞风险极高,系统会准备自动进行紧急转向干预。此时,系统可能会通过更加明显的信号(如仪表盘上的紧急提示、安全带预紧等)来告知驾驶员即将发生的自动干预。
2) DDT 后援
对于 AES 系统而言, DDT 后援的条件和方案通常包括:
① 接管条件
当 AES 系统检测到自身无法单独处理当前的碰撞风险,或者驾驶员的干预对于避免碰撞至关重要时,系统会触发接管请求。这通常发生在系统判断碰撞风险极高,且自动干预可能无法完全避免碰撞的情况下。
② 接管方案
一旦触发接管请求,系统会通过多种方式提醒驾驶员接管控制。这些方式可能包括视觉、听觉和触觉提示,以及车辆动态行为的改变(如减速、轻微转向等)。同时,系统可能会暂时禁用或减弱自动转向功能,以确保驾驶员能够顺利接管控制。
③ 后援系统
在某些情况下,如果驾驶员无法及时接管控制,或者自动驾驶系统需要更高级别的后援支持,系统可能会将控制权转移到另一个系统(如车辆稳定性控制系统、紧急制动系统等)以进一步降低碰撞风险。
3) 最小风险状态方案
对于 AES 系统而言,最小风险状态方案可能包括:
① 自动靠边停车
在检测到碰撞风险极高且无法避免时,系统可能会自动控制车辆向路边或安全区域靠边停车。这有助于减少与其他车辆的碰撞风险,并为驾驶员提供更安全的环境来应对紧急情况。
② 在路径中停车
如果自动靠边停车不可行(如道路狭窄、交通拥堵等),系统可能会选择在当前行驶路径中安全地停车。这要求系统能够准确判断当前道路状况和车辆动态,以选择最合适的停车位置。
③ 后援用户
在某些情况下,如果自动驾驶系统无法单独处理紧急情况,系统可能会通过远程支持或车内紧急呼叫系统联系后援用户(如道路救援、紧急救援等)以提供进一步的帮助和支持。
4) 驾驶员监控系统及其对后援策略的影响
驾驶员监控系统是自动驾驶系统中的重要组成部分,它负责实时监测驾驶员的状态和注意力水平。对于 AES 系统而言,驾驶员监控系统对后援策略的影响主要体现在以下几个方面:
① 监测驾驶员状态
通过摄像头、传感器等设备实时监测驾驶员的面部表情、眼神注视方向、头部动作等,以判断驾驶员是否处于分心、疲劳或困倦等状态。
② 评估驾驶员反应能力
根据驾驶员对系统预警和接管请求的响应速度和准确性,评估驾驶员的反应能力和注意力水平。
③ 调整后援策略
根据驾驶员的实时状态和后援请求的紧急程度,系统可以动态调整后援策略。例如,在驾驶员状态良好且能够迅速接管控制的情况下,系统可能会延迟或减弱自动干预;而在驾驶员状态不佳或无法及时接管控制的情况下,系统则会采取更加果断和激进的措施来降低碰撞风险。
1.5 车路云通信规范定义
定义车路云通信的属性 。
1) 时延要求
① 车路云通信时延
车路云一体化系统需要实现车辆与道路基础设施、云平台之间的实时通信。因此,车路云通信时延应尽可能低,以确保车辆能够迅速获取路况信息、交通信号等关键数据,并据此做出准确的驾驶决策。
② 数据处理时延
云平台需要对接收到的数据进行快速处理和分析,以提供实时的路况信息、交通预测等服务。因此,数据处理时延也应尽可能低,以确保服务的及时性和准确性。
2) 可靠性要求
① 设备可靠性
车辆、道路基础设施和云平台中的设备应具有高可靠性,能够在恶劣环境下正常工作,并具备故障自诊断和自恢复能力。
② 数据传输可靠性
车路云一体化系统需要确保数据传输的可靠性,防止数据丢失、错误或篡改。这可以通过采用冗余通信链路、加密传输等技术手段来实现。
③ 系统容错能力
系统应具备强大的容错能力,能够在部分设备或链路出现故障时,通过冗余设备或链路继续提供服务,确保系统的连续性和稳定性。
3) 互操作性要求
① 数据标准统一
车辆、道路基础设施和云平台之间应采用统一的数据标准,以确保数据的互操作性和跨平台兼容性。这包括交通数据标准、数据通信标准等。
② 接口标准化
系统应提供标准化的接口,以便与其他系统或设备进行连接和通信。这有助于降低系统集成难度和成本,提高系统的可扩展性和灵活性。
③ 协议兼容性
系统应支持多种通信协议和接口协议,以便与不同厂家生产的设备和系统进行兼容和互操作。这有助于促进产业链上下游的协同发展,推动智能网联汽车技术的普及和应用
1) 物体或事件的准确率要求
① 位置精度
要求车路云消息中物体的位置数据误差不超过 ±5 厘米( 95% 置信区间)。这可以通过 GPS 系统结合高精度地图和传感器融合技术实现。例如,使用 RTK (实时动态载波相位差分技术) GPS 系统,结合 毫米波 雷达和摄像头数据,可以显著提高位置定位的精度。
② 时间精度
时间戳的精度需达到毫秒级( ≤10ms ),以确保事件发生的时序关系准确无误。这可以通过高精度的时间同步协议(如 NTP 或 PTP )来实现,确保车路云系统中所有设备的时间保持高度一致。
2) 物体或事件的完整性要求
① 数据完整性校验
采用 CRC (循环冗余校验)或更高级别的校验算法(如 SHA-256 )对车路云消息进行完整性校验。确保在数据传输和存储过程中,任何对数据的篡改或损坏都能被及时发现并处理。
② 冗余备份
关键数据需进行冗余备份,以防止单点故障导致的数据丢失。例如,在云端和边缘计算节点同时存储数据副本,确保数据的可靠性和可用性。
3)v 精确度要求
① 平均值的标准差
对于速度、加速度等连续变化的数据,要求平均值的标准差不超过 ±0.1m/s (或根据具体应用场景调整)。这可以通过多次测量取平均值,并结合卡尔曼滤波等算法进行数据处理,以提高数据的精确度。
4) 分辨率要求
① 位置分辨率
要求位置数据的分辨率达到厘米级,即两个相邻位置点的最小差值不超过 1 厘米。这有助于精确描述车辆和周围物体的位置关系。
② 速度 / 加速度分辨率
对于速度、加速度等参数,要求分辨率达到 0.01m/s 或更高,以满足高精度驾驶控制的需求。
5) 可追溯性要求
① 日志记录
系统需详细记录数据的来源、处理过程、传输路径及接收时间等信息,形成完整的日志记录。这有助于在出现问题时快速定位原因,并进行质量追溯。
② 版本控制
对软件和数据模型实施版本控制,确保每次变更都有记录可查,便于追踪和回滚。
6) 一致性要求
① 互操作性标准
遵循 ISO/IEC 、 IEEE 等国际标准化组织制定的相关标准,如 ISO/IEC 20022 、 IEEE 1609 等,确保车路云系统与其他智能交通系统之间的互操作性。
② 基本通信要求
采用低延迟、高可靠性的通信协议(如 5G 、 V2X 等),确保车路云消息能够实时、准确地传输。
③ 基本防护要求
④ 实施数据加密、访问控制、防火墙等安全措施,保护车路云数据免受未授权访问和攻击。
⑤ 安全要求
通过安全审计、漏洞扫描、渗透测试等手段,定期评估系统的安全性,并及时修复发现的安全漏洞。
⑥ 信任和保证等级要求
根据系统的应用场景和重要性程度,设定相应的信任和保证等级(如 ISO 27001 、 CMMI 等),确保系统满足特定的安全性和可靠性要求。例如,对于自动驾驶车辆的关键控制系统,可能需要达到最高的信任和保证等级。
图 1.4 系统车外网络架构
图 1.5 车路云网络架构
图 1.6 车路云功能架构
上面三图为 系统的车外网络架构示意图,展示了车辆与外部各个关键组件之间的通信和连接关系。
LTE-V 架构是一个复杂的网络架构,它集成了多种通信技术和服务,以实现车辆与周围环境之间的高效通信和数据共享。在这个架构中, TSP 云服务平台扮演着核心角色,负责数据处理、存储和分析,并为其他节点提供支持和服务。
1); TSP 云服务平台
作为整个系统的中枢, TSP 云服务平台接收来自各个节点的数据,包括车辆状态、位置信息、路况数据等,并进行处理和分析。处理后的数据可以被用于导航、安全预警、交通管理等多种应用。
2); 基站
基站是 LTE-V-Cell 架构中的关键节点,它们负责提供无线通信覆盖,使车辆、路测单元、智能设备等能够接入网络并与 TSP 云服务平台进行通信。基站通过 LTE4-V-Cell 技术与其他节点相连,确保数据的可靠传输。
3); 路测单元
路测单元通常部署在道路上,用于收集路况信息和车辆行驶数据。它们通过 LTE4-V-Cell 技术与 TSP 云服务平台通信,将收集到的数据上传至云端进行分析和处理。路测单元还可以通过 LTE4-V-Direct 技术直接与车辆进行通讯,将收集到的数据分享给周边的车辆。
4) 其他车辆
在 LTE-V 架构中,车辆除了通过 LTE4-V-Cell 技术与 TSP 云服务平台进行通信外,车辆之间还可以实现 V2V ( Vehicle-to-Vehicle )通信。通过车载 T-BOX 和 LTE4-V-Direct 技术,车辆可以与其他车辆共享行驶速度、位置、刹车状态等信息,提高行驶安全性和交通效率。
智能设备:智能设备如智能手机、智能手表等可以通过蓝牙、 Wi-Fi 或 USB 接口与车载 T-BOX 相连,实现远程控制车辆、查看车辆状态等功能。这些设备也可以作为 TSP 云服务平台与车主之间的桥梁,接收平台推送的通知和提醒信息。
5) 车载 T-BOX
车载 T-BOX 是车辆与 TSP 云服务平台之间的通信终端。它负责采集车辆的各种数据(如行驶速度、位置、驾驶员状态等),并通过 LTE4-V-Cell 技术将数据上传至 TSP 云服务平台。同时,车载 T-BOX 也可以接收 TSP 云服务平台发送的控制指令,实现远程控制车辆的功能。
6) 卫星通讯和 GPS
在 LTE-V 架构中,卫星通讯和 GPS 技术用于提供全球定位和导航服务。车辆通过 GPS 定位自己的位置,并通过卫星通讯与 TSP 云服务平台保持联系,确保数据的实时传输和准确性。
1) 超出道路设施的覆盖范围
① 覆盖范围有限
车路云一体化系统依赖于道路基础设施(如路侧设备、摄像头、雷达等)的广泛覆盖,以实现车辆与道路之间的实时信息交互。然而,目前道路设施的覆盖范围仍然有限,特别是在偏远地区、乡村道路或未开发区域,这些设施可能尚未部署或部署不足,导致 AES 智能驾驶系统在这些区域无法正常工作或性能受限。
② 跨区域通信难题
当车辆跨越不同的道路设施覆盖范围时,可能面临通信中断或延迟的问题。这会影响 AES 智能驾驶系统对路况信息的实时获取和处理能力,进而影响驾驶决策的准确性和安全性。
2) 其他设备的干扰
① 无线信号干扰
车路云一体化系统依赖于无线通信技术进行数据传输。然而,无线通信信号可能受到其他无线设备的干扰,如其他车辆的通信设备、路边广告牌上的无线设备、甚至是一些非法的无线电信号发射器等。这些干扰可能导致数据传输中断、延迟或数据错误,从而影响 AES 智能驾驶系统的正常运行。
② 网络攻击和恶意干扰
智能网联汽车的通信环境具有开放性和高速移动性,这使得其容易受到网络攻击和恶意干扰。例如,恶意节点或犯罪团伙可能通过发送虚假消息给车辆或信号灯来干扰 AES 智能驾驶系统的正常运行,甚至可能引发道路安全和交通堵塞问题。
1.6 AI 系统架构
针对 AI 系统中的 AI 模型部分,其架构设计中还需要包含以下内容:
YOLOv4-tiny 是一个轻量级的深度学习模型,其整体结构包括输入层、主干网络( Backbone )、颈部网络( Neck )和头部网络( Head )。具体来说,它通常包含以下模块:
1) 输入层
接收图像数据,可能包括数据预处理步骤,如调整图像大小、归一化等。
2) 主干网络( Backbone )
用于提取图像中的特征。 YOLOv4-tiny 使用 CSPDarknet53-tiny 作为主干网络,这是一个经过修改的 Darknet53 网络,具有更少的参数和层数。
3) 颈部网络( Neck )
在主干网络和头部网络之间,用于进一步提取和融合特征。 YOLOv4-tiny 通常使用特征金字塔网络( FPN )来实现这一点。
4) 头部网络( Head )
用于根据提取的特征进行目标检测和分类。 YOLOv4-tiny 的头部网络通常包含多个卷积层,用于生成最终的检测结果。
1) 输入层
功能:接收图像数据,进行必要的预处理(如调整图像大小、归一化等),以适应模型训练或推理的要求。
特点:输入层通常不包含可学习的参数,但预处理步骤对模型的性能有重要影响。
2) 主干网络( Backbone )
组件: YOLOv4-tiny 的主干网络通常采用 CSPDarknet53 的简化版本,即 CSPDarknet53-tiny 。
BasicConv 块:由卷积层、批量归一化( BN )层和 LeakyReLU 激活函数组成,用于基本的特征提取。
Resblock_body 块:残差块,通过残差连接将输入与输出相结合,有助于缓解深层网络中的梯度消失问题。 CSPDarknet53-tiny 中包含多个 Resblock_body 块,每个块由多个 BasicConv 块和可能的池化层组成。
特点:主干网络负责提取图像中的深层特征,为后续的检测任务提供丰富的信息。
3) 颈部网络( Neck )
组件: YOLOv4-tiny 的颈部网络通常采用特征金字塔网络( FPN )或其变体,用于进一步提取和融合不同尺度的特征。
上采样层:通过上采样操作将深层特征图的尺寸放大,以便与浅层特征图进行融合。
横向连接:将上采样后的深层特征图与浅层特征图进行融合,增强特征图的表达能力。
特点:颈部网络通过多尺度特征融合,提高了模型对不同大小目标的检测能力。
4) 头部网络( Head )
组件:头部网络包含多个卷积层,用于将融合后的特征图转换为最终的检测结果。
检测层:每个检测层负责预测一定尺度下的目标边界框、置信度和类别概率。 YOLOv4-tiny 通常包含两个或更多的检测层,以覆盖不同尺度的目标。
锚点框( Anchors ):每个检测层都会预设一组锚点框,用于预测目标的边界框。锚点框的尺寸和比例是根据训练数据集中的目标统计信息来确定的。
特点:头部网络是模型进行目标检测的关键部分,它利用主干网络和颈部网络提取的特征来预测目标的详细信息。
5) 激活函数与损失函数
激活函数: YOLOv4-tiny 在卷积层之后通常使用 LeakyReLU 作为激活函数,它有助于缓解 ReLU 函数在输入小于 0 时导致的神经元死亡问题。
损失函数:损失函数用于评估模型预测结果与实际标签之间的差异,并指导模型的训练过程。 YOLOv4-tiny 的损失函数通常包括分类损失、定位损失和置信度损失等部分,这些损失项通过加权求和得到最终的损失值。
6) 其他组件
数据增强:在训练过程中,为了提高模型的泛化能力,通常会采用数据增强技术来增加训练数据的多样性。 YOLOv4-tiny 在训练时可能会使用 Mosaic 数据增强等技术。
优化器:用于更新模型参数的算法,如 SGD 、 Adam 等。优化器的选择对模型的训练速度和最终性能有重要影响。
学习率调度器:用于在训练过程中动态调整学习率,以加速模型收敛并避免过拟合。 YOLOv4-tiny 在训练时可能会使用学习率余弦退火衰减等技术来调整学习率。
1) 输入层与主干网络( Backbone )之间的接口
接口定义:输入层接收预处理后的图像数据(通常为固定尺寸,如 416x416 或 608x608 像素),并将其作为主干网络的输入。
数据流动:图像数据经过预处理后,其尺寸、像素值等已满足主干网络的要求,可以直接传递给主干网络进行特征提取。
2) 主干网络( Backbone )与颈部网络( Neck )之间的接口
接口定义:主干网络输出不同尺度的特征图,这些特征图作为颈部网络的输入。
数据流动:主干网络通过卷积层、残差块等结构提取图像中的深层特征,并输出多个尺度的特征图。这些特征图随后被送入颈部网络进行进一步的特征融合和增强。
3) 颈部网络( Neck )与头部网络( Head )之间的接口
接口定义:颈部网络输出融合后的多尺度特征图,这些特征图作为头部网络的输入。
数据流动:颈部网络通过特征金字塔网络( FPN )等结构将不同尺度的特征图进行融合,生成具有丰富语义信息的特征图。这些特征图随后被送入头部网络进行目标检测。
4) 头部网络( Head )与输出层之间的接口
接口定义:头部网络输出目标的边界框、置信度和类别概率,这些输出数据通过输出层进行格式化处理,最终得到检测结果。
数据流动:头部网络通过卷积层等结构将融合后的特征图转换为检测结果,包括目标的边界框坐标、置信度得分和类别概率。这些输出数据经过格式化处理后,可以直接用于后续的评估或可视化。
5) 组件内部接口
卷积层与激活函数:卷积层输出特征图后,通常会接入激活函数(如 LeakyReLU )进行非线性变换,以增强模型的表达能力。
残差连接:在主干网络和某些颈部网络组件中,残差连接允许输入数据直接跳过某些层,与后续层的输出相加,有助于缓解深层网络中的梯度消失问题。
上采样与横向连接:在颈部网络中,上采样层将深层特征图的尺寸放大,以便与浅层特征图进行融合。横向连接则负责将上采样后的深层特征图与浅层特征图进行拼接或相加 。
YOLOv4-tiny 模型是 YOLOv4 的一个轻量级版本,它保留了 YOLOv4 的高效性和准确性,但减少了模型的复杂性和计算量,使其更适合在资源受限的设备上运行,如边缘计算设备和移动设备等。在讨论 YOLOv4-tiny 的配置与参数时,我们可以将其分为超参数( Hyperparameters )和模型参数( Model Parameters ,包括权重和偏置)两类。
1) 超参数( Hyperparameters )
超参数是在模型训练之前设置的参数,它们不是通过学习得到的,而是根据经验或实验来选择的。 YOLOv4-tiny 的超参数包括但不限于:
学习率( Learning Rate ):控制模型在训练过程中权重更新的步长。 YOLOv4-tiny 可能使用了一个动态调整的学习率策略,如阶梯式下降或余弦退火等。
批大小( Batch Size ):每次迭代中用于训练的数据样本数。较小的批大小可能导致训练过程更加稳定,但可能增加训练时间;较大的批大小可以加速训练,但可能牺牲一定的稳定性。
训练轮次( Epochs ):整个训练集被遍历的次数。过多的轮次可能导致过拟合,而过少的轮次则可能导致欠拟合。
优化器( Optimizer ):用于更新模型权重的算法。 YOLOv4-tiny 可能使用了如 SGD (随机梯度下降)、 Adam 等优化器。
损失函数( Loss Function ):衡量模型预测值与实际值之间差异的函数。 YOLOv4-tiny 通常使用了一个组合的损失函数,包括边界框回归损失、置信度损失和分类损失。
数据增强( Data Augmentation ):在训练过程中随机改变输入数据以增强模型的泛化能力。 YOLOv4-tiny 可能使用了如随机裁剪、旋转、缩放、色彩抖动等数据增强技术。
锚框( Anchor Boxes ):预定义的边界框尺寸,用于 YOLO 模型中的边界框预测。 YOLOv4-tiny 通过聚类算法在训练集上学习得到一组合适的锚框尺寸。
2) 模型参数( Model Parameters ,包括权重与偏置)
模型参数是在训练过程中学习得到的,包括权重( Weights )和偏置( Biases )。这些参数是模型的核心,它们决定了模型如何将输入数据映射到输出预测上。
权重( Weights ):连接神经网络中相邻层节点的参数。在 YOLOv4-tiny 中,权重用于在特征提取和预测过程中计算不同特征之间的相关性。
偏置( Biases ):在神经网络层中的每个节点上添加的常数项。偏置项可以帮助模型更好地适应数据的分布特性。
由于模型参数的数量非常庞大(特别是对于深度学习模型而言),并且它们的值是通过训练过程自动学习的,因此通常不会手动设置这些参数的值。相反,我们会在训练过程中使用优化算法来逐步调整这些参数的值,以最小化损失函数。
1) 静态特性
① 模型结构
层数: YOLOv4-tiny 模型的网络架构包含 38 层,相较于 YOLOv4 的原版大幅简化。
组件:模型整合了三个残差单元,并使用了 LeakyReLU 作为激活函数。为了优化目标的分类与回归,模型采用了两个特征层,并利用特征金字塔( FPN )网络有效地合并了这些特征层。
创新结构:引入了 CSPnet 结构,对特征提取网络进行了通道分割,将 3x3 卷积后的特征层通道分为两部分,仅选取第二部分使用,以减少计算量并提高特征提取效率。
② 参数与计算量
参数数量: YOLOv4-tiny 的参数数量大幅减少至仅 600 万,约为 YOLOv4 原版本的十分之一,这使得模型更加轻量化。
计算复杂度:通过优化网络结构和减少参数数量, YOLOv4-tiny 在计算复杂度上相较于原版显著降低,从而提高了检测速度。
③ 性能表现
精度与速度:在 COCO 数据集上的测试结果显示, YOLOv4-tiny 达到了 40.2% 的 AP50 和 371FPS (或根据某些改进版本达到更高的 FPS ),相较于其他轻量化模型,其性能表现尤为突出。
多任务处理能力:模型能够同时进行目标的分类与回归,实现参数共享,降低过拟合的风险。
2) 动态特性
① 实时性
由于其轻量化的设计和高效的特征提取能力, YOLOv4-tiny 模型在实际应用中能够实现实时目标检测,尤其适用于对检测速度要求较高的场景。
② 适应性
多尺度处理:通过融合下采样和上采样的数据, YOLOv4-tiny 能够识别不同尺度的目标,增强了模型的适应性。
注意力机制:模型中的注意力机制有助于模型更加关注目标区域的特征,提高处理速度和准确性。
训练与优化:
在模型训练过程中,可以采用多种技术来提高训练速度和检测精度,如 Mosaic 数据增强、标签平滑以及学习率余弦退火衰减等。这些技术能够丰富检测目标的背景、增加输入图像的变化性、减少过拟合现象,并提升模型的泛化性能 。
1) 深度学习框架
PyTorch 或 TensorFlow :选择适合智能驾驶域控制器硬件的深度学习框架,用于加载和转换 YOLOv4-tiny 模型。这些框架提供了丰富的 API 和工具来支持模型的训练、推理和优化。
2) 模型优化与加速库
CUDA 和 cuDNN (如果支持 GPU 加速):用于在 NVIDIA GPU 上加速模型的推理过程。 CUDA 是 NVIDIA 的并行计算平台和编程模型,而 cuDNN 则是针对深度神经网络的 GPU 加速库。
TensorRT : NVIDIA 的高性能深度学习推理引擎,可以进一步优化模型在 GPU 上的推理性能,减少延迟并提高吞吐量。
3) 图像处理库
OpenCV :用于图像的读取、预处理(如调整大小、归一化等)以及后处理(如非极大值抑制 NMS )。 OpenCV 是智能驾驶领域常用的图像处理库,提供了丰富的功能来支持模型的输入和输出处理。
4) 部署工具
Docker :用于将模型和依赖项打包成一个可移植的容器,确保模型在不同智能驾驶域控制器上的一致性和可重复性。 Docker 容器化技术可以简化模型的部署过程,并降低对目标系统环境的依赖。
5) 智能驾驶相关库和工具
自动驾驶 SDK :如果智能驾驶域控制器厂商或第三方提供了自动驾驶 SDK ,可以考虑使用这些 SDK 来集成 YOLOv4-tiny 模型,以便与其他智能驾驶组件进行交互。
ROS ( Robot Operating System )(可选):如果智能驾驶域控制器支持 ROS ,并且项目中有其他基于 ROS 的组件,可以考虑将 YOLOv4-tiny 模型集成到 ROS 中,以便实现更灵活的通信和协作。
6) 开发和调试工具
IDE (集成开发环境):如 Visual Studio Code 、 PyCharm 等,用于编写和调试 Python 代码。这些 IDE 提供了代码补全、调试、版本控制等功能,可以提高开发效率。
接下来从 AES 的各个组件的数据的获取、传输与处理的功能出发,首先运用 基于数据流图的 HAZOP 结合 STRIID 的分析方法,借助 “ 丧失、错误、不足、过多、卡滞、过早、过晚、时延、丢包、失真、欺骗、篡改 ” 等引导词,借助数据流图进行识别各功能存在的潜在功能缺陷推导出潜在的整车危害与威胁情景,然后结合对应的运行场景,进行整车级别的危害事件,进而运用 HARA 以及 HEAVENS 的评估方法对危害事件进行风险评估,最终确定各危害事件的 ASIL 等级,以及对应的安全目标。
2.1 潜在危害分析
|
|
系统组件 资产与功能 |
类型 |
引导词 |
潜在危害与威胁情况 |
危害 |
|
|
物理实体图像 |
交互体 |
错误 |
现实物理实体图像遭到激光干扰导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 |
|
|
|
|
欺骗 |
虚假目标图像导致识别到虚假目标 |
前方无危险时,车辆预警或紧急转向 |
|
|
获取图像数据 |
进程 |
丧失 |
单目摄像头丧失图像获取能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
单目摄像头图像获取不足导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
单目摄像头图像获取 延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
发送图像数据 |
进程 |
丧失 |
单目摄像头丧失图像 发送 能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
单目摄像头图像发送 错误导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
单目摄像头图像发送 延迟导致误判前方目标危险状况 |
存在危险时,车辆未能预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
单目摄像头图像发送 丢包导致误判前方目标危险状况 |
|
|
|
图像数据 |
数据流 |
丧失 |
图像数据 传输失败导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
图像数据传输 丢包导致误判前方目标危险状况 |
存在危险时,车辆未能预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
图像数据传输 延迟导致误判前方目标危险状况 |
|
|
|
|
|
篡改 |
图像数据传输 过程被篡改导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
图像数据传输过程被 泄露 |
交通参与者隐私被泄露 |
|
|
|
|
|
|
|
|
|
接收图像数据 |
进程 |
丧失 |
域控制器丧失图像接收能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器图像接收错误导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器图像接收延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
域控制器图像接收丢包导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
目标检测跟踪 |
进程 |
丧失 |
域控制器丧失目标检测跟踪能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器目标检测跟踪错误导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器目标检测跟踪实时差导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
目标检测跟踪算法被篡改导致无法正确识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
目标检测跟踪算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
目标检测结果 |
数据流 |
丧失 |
域控制器丧失目标检测结果传输能力导致无法识别危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
目标检测结果传输中丢包导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
目标检测结果传输中延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
篡改 |
目标检测结果传输中被篡改导致无法正确识别危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
物理实体点云 |
交互体 |
欺骗 |
虚假目标实体导致识别到虚假目标 |
前方无危险时,车辆预警或紧急转向 |
|
|
获取点云数据 |
进程 |
丧失 |
毫米波雷达丧失点云获取能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
毫米波雷达点云数据获取不足导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
毫米波雷达点云数据获取延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
发送点云数据 |
进程 |
丧失 |
毫米波雷达丧失点云数据发送能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
毫米波雷达点云发送错误导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
毫米波雷达点云发送延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
毫米波雷达点云发送丢包导致误判前方目标危险状况 |
|
|
|
点云数据 |
数据流 |
丧失 |
图像数据传输失败导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
图像数据传输丢包导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
图像数据传输延迟导致误判前方目标危险状况 |
|
|
|
|
|
篡改 |
图像数据传输中被篡改无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
接收点云数据 |
进程 |
丧失 |
自动驾驶域控制器丧失点云接收能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器点云接收错误导致无法识别到前方目标 |
|
|
|
|
|
卡滞 |
自动驾驶域控制器点云接收延迟导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
自动驾驶域控制器点云接收丢包导致误判前方目标危险状况 |
|
|
|
目标检测跟踪 |
进程 |
丧失 |
域控制器丧失目标检测跟踪能力导致无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器目标检测跟踪错误导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器目标检测跟踪实时差导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
目标检测跟踪算法被篡改导致无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
目标检测跟踪算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
目标检测结果 |
数据流 |
丧失 |
域控制器丧失目标检测结果传输能力导致无法识别危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
目标检测结果传输中丢包导致误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
目标检测结果传输中延迟导致误判前方目标危险状况 |
|
|
|
|
|
篡改 |
目标检测结果传输中被篡改导致无法正确识别危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
TSP |
交互体 |
丧失 |
TSP 丧失远程服务导致无法识别到前方目标、远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
TSP 远程错误导致无法识别到前方目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
欺骗 |
虚假的 TSP 识别到虚假目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
云端数据流 |
数据流 |
丧失 |
云端数据流数据通讯失效无法识别到前方目标、远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
云端数据流数据通讯错误无法识别到前方目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
云端数据流数据通讯延迟误判前方目标危险状况远程控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
云端数据流数据通讯丢包误判前方目标危险状况远程控制错 |
|
|
|
|
|
篡改 |
云端数据通讯中被篡改无法正确识别目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
获取云端信息 |
进程 |
丧失 |
T-BOX 丧失云端信息获取能力无法识别到前方目标、远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 云端信息获取错误无法正确识别到危险目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 云端信息获取延迟延迟误判前方目标危险状况远程控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 云端信息获取丢包延迟误判前方目标危险状况远程控制错误 |
|
|
|
发送云端信息 |
进程 |
丧失 |
T-BOX 丧失云端信息发送能力无法识别到前方目标、远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 云端信息发送错误无法正确识别到危险目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 云端信息发送延迟误判前方目标危险状况远程控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 云端信息发送丢包误判前方目标危险状况远程控制错误 |
|
|
|
云端信息 |
数据流 |
丧失 |
云端信息数据传输失效无法识别到危险目标且远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
云端信息数据传输错误无法正确识别到危险目标且远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
云端信息数据传输丢包误判前方目标危险状况远程控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
云端信息数据传输延迟误判前方目标危险状况远程控制错误 |
|
|
|
|
|
篡改 |
云端信息数据传输中被篡改无法正确识别目标、远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
接收云端信息 |
进程 |
丧失 |
域控制器丧失云端信息接收能力无法识别到危险目标且远程控制失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器云端信息接收错误无法正确识别到危险目标且远程控制错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器云端信息接收延迟误判前方目标危险状况远程控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
域控制器云端信息接收丢包误判前方目标危险状况远程控制错误 |
|
|
|
|
|
|
|
|
|
|
RSU |
交互体 |
丧失 |
RSU 丧失路测信息共享能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
RSU 路测信息共享错误无法正确识别到危险 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
欺骗 |
虚假的 RSU 提供虚假的路测信息识别到虚假目标 |
前方无危险时,车辆预警或紧急转向 |
|
|
|
|
泄露 |
RSU 路测信息被泄露 |
交通参与者隐私被泄露 |
|
|
路端数据流 |
数据流 |
丧失 |
路端数据流数据通讯失效无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
路端数据流数据通讯错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
路端数据流数据通讯延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
路端数据流数据通讯丢包误判前方目标危险状况 |
|
|
|
|
|
篡改 |
路端数据流数据通讯中被篡改无法正确识别目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
获取路端信息 |
进程 |
丧失 |
T-BOX 丧失路端信息获取能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 路端信息获取错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 路端信息获取延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 路端信息获取丢包误判前方目标危险状况 |
|
|
|
发送路端信息 |
进程 |
丧失 |
T-BOX 丧失路端信息发送能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 路端信息发送错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 路端信息发送延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 路端信息发送丢包误判前方目标危险状况 |
|
|
|
路端信息 |
数据流 |
丧失 |
路端信息数据传输失效无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
路端信息数据传输错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
路端信息数据传输丢包误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
路端信息数据传输延迟误判前方目标危险状况 |
|
|
|
|
|
篡改 |
路端信息数据传输中被篡改无法正确识别目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
接收路端信息 |
进程 |
丧失 |
域控制器丧失路端信息接收能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器路端信息接收错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器路端信息接收延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
域控制器路端信息接收丢包误判前方目标危险状况 |
|
|
|
|
|
|
|
|
|
|
OBU |
交互体 |
丧失 |
OBU 丧失车端信息共享能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
OBU 车端信息共享错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
欺骗 |
虚假的 OBU 提供虚假的车端信息识别到虚假目标 |
前方无危险时,车辆预警或紧急转向 |
|
|
|
|
泄露 |
OBU 车端信息被泄露 |
交通参与者隐私被泄露 |
|
|
车端数据流 |
数据流 |
丧失 |
车端数据流数据通讯失效无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
车端数据流数据通讯错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
车端数据流数据通讯延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
车端数据流数据通讯丢包误判前方目标危险状况 |
|
|
|
|
|
篡改 |
车端数据流数据通讯中被篡改无法正确识别目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
获取车端信息 |
进程 |
丧失 |
T-BOX 丧失车端信息获取能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 车端信息获取错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 车端信息获取延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 车端信息获取丢包误判前方目标危险状况 |
|
|
|
发送车端信息 |
进程 |
丧失 |
T-BOX 丧失车端信息发送能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 车端信息发送错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 车端信息发送延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 车端信息发送丢包误判前方目标危险状况 |
|
|
|
车端信息 |
数据流 |
丧失 |
车端信息数据传输失效无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
车端信息数据传输错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
车端信息数据传输丢包误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
车端信息数据传输延迟误判前方目标危险状况 |
|
|
|
|
|
篡改 |
车端信息数据传输中被篡改无法正确识别目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
接收车端信息 |
进程 |
丧失 |
域控制器丧失车端信息接收能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
域控制器车端信息接收错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
域控制器车端信息接收延迟误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
域控制器车端信息接收丢包误判前方目标危险状况 |
|
|
|
|
|
|
|
|
|
|
GPS |
交互体 |
丧失 |
GPS 丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
GPS 定位错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
欺骗 |
虚假的 GPS 提供虚假的位置 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
GPS 信号流 |
数据流 |
丧失 |
GPS 信号流数据通讯失效丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
GPS 信号流数据通讯错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
GPS 信号流数据通讯延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
GPS 信号流数据通讯丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
篡改 |
GPS 信号流数据通讯中被篡改无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
获取 GPS 信号 |
进程 |
丧失 |
T-BOX 丧失 GPS 信号获取能力丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
T-BOX 其 GPS 信号获取错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
T-BOX 其 GPS 信号获取延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
T-BOX 其 GPS 信号获取丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
发送 GPS 信号 |
进程 |
丧失 |
T-BOX 丧失车端信息发送能力丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
T-BOX 其 GPS 信号发送错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
T-BOX 其 GPS 信号发送延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
T-BOX 其 GPS 信号发送丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
GPS 信号 |
数据流 |
丧失 |
GPS 信号数据传输失效丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
GPS 信号数据传输错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
GPS 信号数据传输丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
GPS 信号数据传输延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
篡改 |
GPS 信号数据传输中被篡改无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
|
|
|
|
|
接收 GPS 信号 |
进程 |
丧失 |
自动驾驶域控制器丧失 GPS 信号接收能力丧失定位能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器 GPS 信号接收错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器 GPS 信号接收延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器 GPS 信号接收丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
|
|
|
|
|
自车驾驶信息 |
数据流 |
丧失 |
自车驾驶信息数据传输失效无法识别危险目标且远程操作错误 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自车驾驶信息数据传输错误无法正确识别危险目标且远程操作错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
自车驾驶信息数据传输丢包误判前方目标危险状况且远程操作错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
自车驾驶信息数据传输延迟误判前方目标危险状况且远程操作错误 |
|
|
|
|
|
篡改 |
自车驾驶信息数据传输中被篡改无法正确识别危险目标且远程操作错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
接收驾驶信息 |
进程 |
丧失 |
T-BOX 丧失驾驶信息接收能力无法识别危险目标且远程操作错误 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 驾驶信息接收错误无法正确识别危险目标且远程操作错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 驾驶信息接收延迟误判前方目标危险状况且远程操作错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 驾驶信息接收丢包误判前方目标危险状况且远程操作错误 |
|
|
|
发送驾驶信息 |
进程 |
丧失 |
T-BOX 丧失驾驶信息发送能力无法识别危险目标且远程操作错误 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
T-BOX 驾驶信息发送错误无法正确识别危险目标且远程操作错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
T-BOX 驾驶信息发送延迟误判前方目标危险状况且远程操作错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
T-BOX 驾驶信息发送丢包误判前方目标危险状况且远程操作错误 |
|
|
|
|
|
|
|
|
|
|
车辆姿态信息 |
交互体 |
错误 |
车辆姿态信息错误无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
获取姿态数据 |
进程 |
丧失 |
IMU 丧失车辆姿态信息获取能力无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
IMU 车辆姿态信息获取延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
发送姿态数据 |
进程 |
丧失 |
IMU 丧失车辆姿态信息发送能力无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
IMU 车辆姿态信息发送错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
IMU 车辆姿态信息发送延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
IMU 车辆姿态信息发送丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
姿态信息 |
数据流 |
丧失 |
车辆姿态信息传输失败无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
车辆姿态信息传输丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
车辆姿态信息传输延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
篡改 |
车辆姿态信息传输中被篡改无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
|
|
|
|
|
接收姿态数据 |
进程 |
丧失 |
自动驾驶域控制器丧失姿态数接收能力无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器姿态数接收错误无法正确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器姿态数接收延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器姿态数接收丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
|
|
|
|
|
车辆位置定位 |
进程 |
丧失 |
自动驾驶域控制器丧失车辆定位能力无法定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器车辆定位错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器车辆定位延迟无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器车辆定位丢包无法准确定位 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
车辆运动参数 |
数据流 |
丧失 |
车辆运动参数传输失败无法识别危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
车辆运动参数传输丢包误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
车辆运动参数传输延迟误判前方目标危险状况 |
|
|
|
|
|
篡改 |
车辆运动参数传输中被篡改无法正确识别危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
感知信息融合 |
进程 |
丧失 |
自动驾驶域控制器丧失感知信息融合能力无法识别到前方目标 |
存在危险时,车辆未能预警或紧急转向标 |
|
|
|
|
错误 |
自动驾驶域控制器感知信息融合错误无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向标 |
|
|
|
|
卡滞 |
自动驾驶域控制器感知信息融合实时差误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向标 |
|
|
|
|
权限提升 |
感知信息融合算法被篡改无法正确识别到前方目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
感知信息融合算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
感知融合结果 |
数据流 |
丧失 |
感知融合结果传输失败无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
感知融合结果传输丢包误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
感知融合结果传输延迟误判前方目标危险状况 |
|
|
|
|
|
篡改 |
感知融合结果传输中被篡改无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
场景理解 |
进程 |
丧失 |
自动驾驶域控制器丧失场景理解能力无法识别到危险目标 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器场景理解错误无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
自动驾驶域控制器场景理解实时差误判前方目标危险状况 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
场景理解算法被篡改无法正确识别到危险目标 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
场景理解算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
危险目标信息 |
数据流 |
丧失 |
危险目标信息传输失败无法评估碰撞风险 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
危险目标信息传输丢包错误评估碰撞风险 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
危险目标信息传输延迟错误评估碰撞风险 |
|
|
|
|
|
篡改 |
危险目标信息传输中被篡改错误评估碰撞风险 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
碰撞风险评估 |
进程 |
丧失 |
自动驾驶域控制器丧失碰撞风险评估能力 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器碰撞风险评估错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
自动驾驶域控制器碰撞风险评估实时差错误评估碰撞风险 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
碰撞风险评估算法被篡改错误评估碰撞风险 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
碰撞风险评估算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
碰撞类型风险 |
数据流 |
丧失 |
碰撞类型风险传输失败无法决策规划 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
碰撞类型风险传输丢包导致错误决策规划 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
碰撞类型风险传输延迟导致决策规划延迟 |
|
|
|
|
|
篡改 |
碰撞类型风险传输中被篡改导致错误决策规划 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
状态决策规划 |
进程 |
丧失 |
自动驾驶域控制器丧失状态决策规划能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器状态决策规划错误 |
|
|
|
|
|
卡滞 |
自动驾驶域控制器状态决策规划实时差导致决策规划延迟 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
状态决策规划算法被篡改导致错误决策规划 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
状态决策规划算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
换道轨迹规划 |
进程 |
丧失 |
自动驾驶域控制器丧失换道轨迹规划能力 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器换道路径轨迹错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器换道轨迹规划不足以避开障碍 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过早 |
安全模型过于保守,安全裕量过大 |
存在危险时,车辆预警或紧急转向过于频繁 |
|
|
|
|
过晚 |
自动驾驶域控制器换道轨迹规划太晚 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
权限提升 |
换道轨迹规划算法被篡改导致轨迹规划错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
泄露 |
换道轨迹规划算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
轨迹规划信息 |
数据流 |
丧失 |
路径规划信息传输失败无法执行紧急转向 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
路径规划信息传输丢包错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
路径规划信息传输延迟错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
篡改 |
路径规划信息传输中被篡改错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
纵横向控制 |
进程 |
丧失 |
自动驾驶域控制器丧失纵横向控制能力 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器纵横向控制错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器纵横向控制不足以避开障碍 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过多 |
自动驾驶域控制器纵横向控制过多 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
自动驾驶域控制器纵横向控制太晚 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
权限提升 |
纵横向控制算法被篡改 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
泄露 |
纵横向控制算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
横向控制指令 |
数据流 |
丧失 |
横向控制指令传输失败无法执行紧急转向 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
横向控制指令传输丢包错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
横向控制指令传输延迟错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
篡改 |
横向控制指令传输中被篡改错误紧急转向 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
发送横向指令 |
进程 |
丧失 |
自动驾驶域控制器丧失横向控制指令发送能力 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器横向控制指令发送错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器横向控制指令发送延迟 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器横向控制指令发送丢包 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
碰撞预警 |
进程 |
丧失 |
自动驾驶域控制器丧失碰撞预警能力 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器碰撞预警错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
自动驾驶域控制器碰撞预警不足 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过早 |
安全模型过于保守,安全裕量过大 |
存在危险时,车辆预警或紧急转向过于频繁 |
|
|
|
|
过晚 |
自动驾驶域控制器碰撞预警太晚 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
权限提升 |
碰撞预警算法被篡改 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
泄露 |
碰撞预警算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
碰撞预警信号 |
数据流 |
丧失 |
碰撞预警信号传输失败碰撞预警失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
碰撞预警信号传输丢包间断碰撞预警 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
碰撞预警信号传输延迟碰撞预警太晚 |
|
|
|
|
|
篡改 |
碰撞预警信号传输中被篡改碰撞预警错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
发送预警信号 |
进程 |
丧失 |
自动驾驶域控制器丧失预警信号发送能力碰撞预警失效 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
自动驾驶域控制器预警信号发送错误碰撞预警错误 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
卡滞 |
自动驾驶域控制器预警信号发送延迟碰撞预警太晚 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
自动驾驶域控制器预警信号发送丢包间断碰撞预警 |
|
|
|
|
|
|
|
|
|
|
接收横向指令 |
进程 |
丧失 |
线控转向系统丧失横向控制指令接收能力无法执行紧急转向 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
线控转向系统横向控制指令接收错误导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
卡滞 |
线控转向系统横向控制指令接收延迟紧急转向太晚 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
线控转向系统横向控制指令接收丢包导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
前轮转角控制 |
进程 |
丧失 |
线控转向系统丧失前轮转角控制能力无法执行紧急转向 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
错误 |
线控转向系统丧失前轮转角控制错误导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
不足 |
线控转向系统丧失前轮转角控制不足导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过多 |
线控转向系统丧失前轮转角控制导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
过晚 |
线控转向系统前轮转角控制太晚导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
权限提升 |
前轮转角控制算法被篡改导致紧急转向错误 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
|
|
泄露 |
前轮转角控制算法泄露 |
车企或供应商的核心技术被窃取 |
|
|
|
|
|
|
|
|
|
驾乘人员 |
交互体 |
误用 |
不合理的驾驶操作 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
|
驾驶信号 |
数据流 |
丧失 |
驾驶信号传输失败 |
存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
不足 |
驾驶信号传输丢包 |
存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
过晚 |
驾驶信号传输延迟 |
|
|
|
|
|
篡改 |
驾驶信号传输中被篡改 |
前方无危险时,车辆预警或紧急转向 存在危险时,车辆预警或紧急转向但导致碰撞 存在危险时,车辆未能预警或紧急转向 |
|
|
|
|
|
|
|
|
|
驾乘人员状态 |
交互体 |
错误 |
驾乘人员状态图像遭到激光干扰 |
系统错误激活导致车辆换道发生碰撞 |
|
|
获取状态数据 |
进程 |
丧失 |
车载摄像头丧失驾乘人员状态获取能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
车载摄像头驾乘人员状态获取不足 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
车载摄像头驾乘人员状态获取延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
发送状态数据 |
进程 |
丧失 |
车载摄像头丧失驾乘人员状态发送能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
车载摄像头驾乘人员状态发送错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
车载摄像头驾乘人员状态发送时延 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
车载摄像头驾乘人员状态发送丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
驾乘状态图像 |
数据流 |
丧失 |
驾乘人员状态图像传输失败 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
驾乘人员状态图像传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
过晚 |
驾乘人员状态图像传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
驾乘人员状态图像传输被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
泄露 |
驾乘人员状态图像被泄露 |
驾乘人员隐私被泄露 |
|
|
|
|
|
|
|
|
|
接收状态数据 |
进程 |
丧失 |
自动驾驶域控制器丧失驾乘人员状态数据接收能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器驾乘人员状态数据接收错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器驾乘人员状态数据接收延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器驾乘人员状态数据接收丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
驾乘状态估计 |
进程 |
丧失 |
自动驾驶域控制器丧失驾乘状态估计能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器驾乘状态估计错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器驾乘状态估计实时差 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
|
|
|
|
|
接收系统状态 |
进程 |
丧失 |
自动驾驶域控制器丧失系统状态数据接收能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器系统状态数据接收错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
系统运行信息 |
数据流 |
丧失 |
系统运行状态数据传输失败 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
系统运行状态数据传输错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
系统运行状态数据传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
系统运行状态数据传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
系统运行状态数据传输被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
系统状态评估 |
进程 |
丧失 |
自动驾驶域控制器丧失系统状态评估能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器系统状态评估错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器系统状态评估实时差 |
系统错误激活导致车辆换道发生碰撞 |
|
|
驾驶场景评估 |
进程 |
丧失 |
自动驾驶域控制器丧失驾驶场景评估能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器驾驶场景评估错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器驾驶场景评估实时差 |
系统错误激活导致车辆换道发生碰撞 |
|
|
驾乘状态信息 |
数据流 |
丧失 |
驾乘状态信息传输失败 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
驾乘状态信息传输错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
驾乘状态信息传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
驾乘状态信息传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
驾乘状态信息传输中被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
场景评估信息 |
数据流 |
丧失 |
场景评估信息传输失败 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
场景评估信息传输错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
场景评估信息传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
场景评估信息传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
场景评估信息传输中被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
系统状态信息 |
数据流 |
丧失 |
系统状态信息传输失败 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
系统状态信息传输错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
系统状态信息传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
系统状态信息传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
系统状态信息传输中被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
激活命令 |
数据流 |
丧失 |
激活命令传输失败 |
系统无法激活导致车辆无法换道发生碰撞 |
|
|
|
|
错误 |
激活命令传输错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
激活命令传输延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
激活命令传输丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
篡改 |
激活命令传输中被篡改 |
系统错误激活导致车辆换道发生碰撞 |
|
|
接收激活命令 |
进程 |
丧失 |
自动驾驶域控制器丧失激活命令接收能力 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器激活命令接收错误 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器激活命令接收延迟 |
系统错误激活导致车辆换道发生碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器激活命令接收丢包 |
系统错误激活导致车辆换道发生碰撞 |
|
|
系统激活关闭 |
进程 |
丧失 |
自动驾驶域控制器丧失系统激活关闭能力 |
系统无法激活关闭导致车辆换道发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器系统激活关闭错误 |
系统激活关闭错乱导致车辆换道发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器系统激活关闭延迟 |
系统激活关闭延迟导致车辆换道发生碰撞 |
|
|
系统激活状态 |
数据流 |
丧失 |
系统激活状态数据传输失败 |
系统错误激活导致车辆换道发生碰撞 驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
错误 |
系统激活状态数据传输错误 |
系统错误激活导致车辆换道发生碰撞 驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
系统激活状态数据传输延迟 |
系统错误激活导致车辆换道发生碰撞 驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
不足 |
系统激活状态数据传输丢包 |
系统错误激活导致车辆换道发生碰撞 驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
篡改 |
系统激活状态数据传输中被篡改 |
系统错误激活导致车辆换道发生碰撞 驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
发送系统状态 |
进程 |
丧失 |
自动驾驶域控制器丧失系统状态发送能力 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器系统状态发送错误 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器系统状态发送延迟 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器系统状态发送丢包 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
|
|
|
|
|
接收系统状态 |
进程 |
丧失 |
HMI 丧失系统状态数据接收能力 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
错误 |
HMI 系统状态数据接收错误 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
HMI 系统状态数据接收延迟 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
不足 |
HMI 系统状态数据接收丢包 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
显示系统状态 |
进程 |
丧失 |
HMI 丧失系统状态显示能力 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
错误 |
HMI 系统状态数据显示错误 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
HMI 系统状态数据显示延迟 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
|
|
不足 |
HMI 系统状态数据显示丢包 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
驾乘人员 |
交互体 |
误用 |
驾乘人员对系统状态显示理解错误 |
驾驶员误判系统状态未能紧急转向发生碰撞 |
|
|
接管请求信号 |
数据流 |
丧失 |
接管请求信号数据传输失败 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
错误 |
接管请求信号数据传输错误 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
接管请求信号数据传输延迟 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
不足 |
接管请求信号数据传输丢包 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
篡改 |
接管请求信号传输中被篡改 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
|
|
|
|
|
发送接管请求 |
进程 |
丧失 |
自动驾驶域控制器丧失系统状态接收能力 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
错误 |
自动驾驶域控制器系统状态接收错误 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
自动驾驶域控制器系统状态接收延迟 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
不足 |
自动驾驶域控制器系统状态接收丢包 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
|
|
|
|
|
接收接管请求 |
进程 |
丧失 |
HMI 丧失接管请求接收能力 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
错误 |
HMI 接管请求接收错误 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
HMI 接管请求接收延迟 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
不足 |
HMI 接管请求接收丢包 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
显示接管请求 |
进程 |
丧失 |
HMI 丧失接管请求显示能力 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
错误 |
HMI 接管请求显示错误 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
卡滞 |
HMI 接管请求显示延迟 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
|
|
不足 |
HMI 接管请求显示丢包 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
驾乘人员 |
交互体 |
误用 |
驾乘人员对接管请求显示理解错误 |
驾驶员不能及时接管系统而未能紧急转向发生碰撞 |
|
|
接收预警信号 |
进程 |
丧失 |
HMI 丧失预警信号接收能力 |
系统未能碰撞预警而发生碰撞 |
|
|
|
|
错误 |
HMI 预警信号接收错误 |
系统未能碰撞预警而发生碰撞 |
|
|
|
|
卡滞 |
HMI 预警信号接收延迟 |
系统未能及时碰撞预警而发生碰撞 |
|
|
|
|
不足 |
HMI 预警信号接收丢包 |
系统未能碰撞预警而发生碰撞 |
|
|
预警信号提示 |
进程 |
丧失 |
HMI 丧失预警信号提示能力 |
系统未能碰撞预警而发生碰撞 |
|
|
|
|
错误 |
HMI 预警信号提示错误 |
系统未能碰撞预警而发生碰撞 |
|
|
|
|
卡滞 |
HMI 预警信号提示延迟 |
系统未能及时碰撞预警而发生碰撞 |
|
|
|
|
不足 |
HMI 预警信号提示丢包 |
系统未能碰撞预警而发生碰撞 |
|
|
驾乘人员 |
交互体 |
误用 |
驾乘人员对预警信号提示理解错误 |
驾驶员未能紧急转向发生碰撞 |
|
|
|
|
|
|
|
|
|
驾乘人员 |
交互体 |
误用 |
驾乘人员错误激活系统 |
系统错误激活而发生碰撞 |
|
|
系统激活开关 |
进程 |
丧失 |
HMI 丧失系统激活开关能力 |
系统无法激活而发生碰撞 |
|
|
|
|
错误 |
HMI 丧失系统激活开关错误 |
系统错误激活而发生碰撞 |
|
|
|
|
卡滞 |
HMI 丧失系统激活开关延迟 |
系统激活延迟而发生碰撞 |
|
|
|
|
不足 |
HMI 丧失系统激活开关错乱 |
系统错误激活而发生碰撞 |
|
|
发送激活命令 |
进程 |
丧失 |
HMI 丧失系统激活开关能力 |
系统无法激活而发生碰撞 |
|
|
|
|
错误 |
HMI 丧失系统激活开关错误 |
系统错误激活而发生碰撞 |
|
|
|
|
卡滞 |
HMI 丧失系统激活开关延迟 |
系统激活延迟而发生碰撞 |
|
|
|
|
不足 |
HMI 丧失系统激活开关错乱 |
系统错误激活而发生碰撞 |
|
|
|
|
|
|
|
2.2 整车危害
|
编号 |
整车危害 |
|
HE01 |
前方无危险时,车辆预警或紧急转向 |
|
HE02 |
存在危险时,车辆预警或紧急转向过于频繁 |
|
HE03 |
存在危险时,车辆预警或紧急转向但导致碰撞 |
|
HE04 |
存在危险目标时,车辆未能预警或紧急转向 |
|
HE05 |
驾乘人员与其他交通参与者隐私被泄露 |
|
HE06 |
车企或供应商的核心技术被窃取 |
|
HE07 |
系统错误激活关闭导致车辆发生碰撞 |
|
HE08 |
系统无法激活关闭导致车辆发生碰撞 |
|
HE09 |
驾驶员误判系统状态导致车辆发生碰撞 |
|
HE10 |
驾驶员未能接管系统导致车辆发生碰撞(不能及时接管与无法接管) |
2.3 与安全相关的风险评估
本案例分析的驾驶场景为一般的天气晴朗、路面良好的三车道多车直线道路环境,驾驶场景如图 2.1 所示。本车初始以 72km/h (本系统的 ODD 道路使用范围为具有分隔栏的城市道路以及城市快速路,考虑到城市道路以及城市快速的最高限速范围通常在 70km/h-80km/h ,为了使得系统能够在 ODC 范围内都尽可能的保证安全,因此设置 72km/h 的初始速度)的速度行驶在三车道的中间车道,本车的前方三个车道中均有行驶的车辆,本车需要实时感知前方车辆的运动状态,包括相对位置、相对速度以及车辆的驾驶意图来避免与前方车辆发生碰撞,在本案例中,本车通过自动换道的操作来对前方车辆进行避障。
图 2.1 驾驶场景图
在本案例中仅仅考虑前方车辆对自车造成的驾驶危险,假设后方车辆在自车变道过程中不会对自车造成的驾驶危险,因此在该案例中的驾驶场景主要有四种情况,分别是前方主车道有车旁车道有车、前方主车道无车旁车道有车、前方主车道有车旁车道无车、前方主车道无车旁车道无车,当前方主车道无车旁车道无车,不管车辆进不进行变道操作都不会发生碰撞,因此不对前方主车道无车旁车道无车的驾驶场景进行分析,只对前方主车道有车旁车道有车、前方主车道无车旁车道有车、前方主车道有车旁车道无车三种驾驶情况进行分析,需要注意的是无车包括前方车辆不会造成危险以及前方没有车辆两种情况,有车包括前方车辆会造成危险以及前方有车辆两种情况。
在 HARA 对潜在危害进行风险评估时,需要对潜在危害在驾驶场景中导致的危害时间在 S 、 E 、 C 三个维度进行评估,本文档中对 S 、 E 、 C 的判断依据以下面的评估标准为参考,该评估标准为 ISO 26262 中所提到的规则。
对于 S 的评估标准如表 2.1( 来源于 ISO 26262 附录 ) 与表 2.2( 来源于 GB/Z 42285-2022 附录 ) 所示。
表 2.1 严重度等级举例
|
严重程度等级 |
S0 |
S1 |
S2 |
S3 |
|
描述 |
无伤害 |
轻度和中度伤害 |
严重的和危及生命的伤害(有存活的可能) |
危及生命的伤害(存活可能不确定),致命的的伤害 |
|
示例 |
—— 冲撞路边设施 —— 撞到路边邮筒、围栏 —— 轻微刮痕损害 —— 在进入或退出停车位置时损害 —— 没有碰撞或者侧翻的情景下离开道路 |
—— 侧面碰撞一个狭窄 的静止物体,例如, 乘用车以非常低的 速度撞上一棵树 (影响到驾驶舱) —— 以非常低的速度和 其他乘用车后碰 / 正碰 —— 没有乘员舱变形的 正面碰撞(例如,追 尾其他车辆、半挂 车) |
—— 侧面碰撞一个狭窄 的静止物体,例如, 乘用车以低速撞上 一棵树(影响到乘 员舱) —— 以低速和其他乘用 车后碰 / 正碰 —— 以低速造成的行人 或自行车事故
|
—— 侧面碰撞一个狭窄 的静止物体,例如, 乘用车以中速撞上 一棵树(影响到乘 员舱) —— 以中速和其他乘用 车后碰 / 正碰 —— 有乘员舱变形的正面碰撞(例如,追 尾其他车辆、半挂 车) |
表 2.2 不同事故数据库的各种分析中得出的最小和最大速度范围( Δv )
|
碰撞类型 |
范围 |
S0 |
S1 |
S2 |
S3 |
|
正碰 |
最小速度 |
|
>4km/h~10km/h |
>20km/h~50km/h |
>40km/h~65km/h |
|
最大速度 |
<4km/h~10km/h |
<20km/h~50km/h |
≥40km/h~65km/h |
|
|
|
后碰 |
最小速度 |
|
>4km/h~10km/h |
>20km/h~50km/h |
>40km/h~60km/h |
|
最大速度 |
<4km/h~10km/h |
<20km/h~50km/h |
≤40km/h~60km/h |
|
|
|
侧碰 |
最小速度 |
|
>2km/h~10km/h |
≥8km/h~30km/h |
>16km/h~40km/h |
|
最大速度 |
<2km/h~10km/h |
<8km/h~30km/h |
<8km/h~40km/h |
|
注:表 2.2 中的数据来源为 GIDAS 等全球不同数据库。
对于 E 的评估标准如表 2.3( 来源于 ISO 26262 附录 ) 所示。
表 2.3 基于运行场景持续时间的暴露度概率等级
|
运行场景暴露概率等级 |
E1 |
E2 |
E3 |
E4 |
|
描述 |
非常低的概率 |
低概率 |
中等概率 |
高概率 |
|
持续时间(平均运行时间的百分比) |
无定义 |
<1% 的平均运行时间 |
1%~10% 的平均运行时间 |
>10% 的平均运行时间 |
|
道路类型示例 |
—————————— |
—— 乡间道路交叉口 —— 高速公路出口匝道 |
—— 单行道(城市道路) |
—— 高速公路 —— 乡间道路 —— 城市道路 |
|
道路类型示例 |
—————————— |
—— 冰雪路面 —— 有很多光滑树叶的 路面 |
—— 车辆在斜坡上 —— 湿滑路面 |
—————————— |
|
驾驶操控类型示例 |
—— 下坡时关闭发动机 |
—— 倒车 —— 超车 —— 停车 |
—— 交通拥挤(频繁启停) |
—— 加速 —— 减速 —— 停在城市道路 —— 变道 |
对于 C 的评估标准如表 2.4( 来源于 ISO 26262 附录 ) 所示。
|
可控性等级 |
C0 |
C1 |
C3 |
C4 |
|
描述 |
可控 |
简单可控 |
一般可控 |
难以控制或不可控 |
|
驾驶因素和场景 |
常规可控 |
超过 99% 的普通驾驶员或交通参与者能够避免伤害 |
90% 到 99% 的普通驾驶员或交通参与者能够避免伤害 |
不到 90% 的普通驾驶员或交通参与者能够避免伤害 |
|
处于高等级自动驾驶功能时驾驶员不在环的示例 |
—————————— |
—————————— |
—————————— |
未能尝试保持预期的行驶路线 |
|
整车危害 |
驾驶场景 |
危害事件 |
S |
依据 |
E |
依据 |
C |
依据 |
ASIL |
安全目标 |
编号 |
|
系统错误激活关闭导致车辆发生碰撞 |
以 72km/h 车速行驶在前方无车,旁车道有车的城市道路或快速路上 |
系统误导驾驶员进行换道甚至主动进行换道以较高车速与旁车道车辆发生侧碰 / 正碰 |
3 |
自车车速 72km/h, 车速较高,与旁边车辆正碰时的相对车速可能超过 40km/h~65km/h 与旁边车辆侧碰时的相对车速可能超过 16km/h~40km/h 自车以中速和其他乘用车后碰 / 正碰,因此严重度等级为 S3
|
4 |
车辆行驶在具有一般的城市道路中,且道路类型为干燥的沥青水泥路面并且为一般普遍的驾驶行为,本车道无车旁边车道有车在驾驶平均运行时间通常超过 10% 因此暴露概率等级为 E4 |
3 |
一旦系统触发换道,在换道过程中,从触发换道到换道结束系统完全接管车辆,驾驶员的操作对车辆不起作用,驾驶员处于不在环的状态,此时很难控制车辆不发生碰撞,因此 可控性等级为 C3 |
D |
应避免因系统错误激活关闭导致车辆发生碰撞 |
SG-01 |
|
系统无法激活关闭导致车辆发生碰撞 |
以 72km/h 车速行驶在前方无车,旁车道有车的城市道路或快速路上 |
系统误导驾驶员进行换道甚至主动进行换道以较高车速与旁车道车辆发生侧碰 / 正碰 |
3 |
同上 |
4 |
同上 |
3 |
同上 |
D |
应避免系统无法激活关闭导致车辆发生碰撞 |
SG-02 |
|
驾驶员误判系统状态导致车辆发生碰撞 |
以 72km/h 车速行驶在前方有车,旁车道有车的城市道路或快速路上 |
驾驶员误判系统状态系统不能提醒驾驶员进行换道并且无法进行主动换道以较高车速与本车道车辆发生侧碰 / 正碰 |
3 |
自车车速 72km/h, 车速较高,与本车车道车辆正碰时的相对车速可能超过 40km/h~65km/h 与本车车道车辆侧碰时的相对车速可能超过 16km/h~40km/h 自车以中速和其他乘用车后碰 / 正碰,因此严重度等级为 S3
|
4 |
车辆行驶在具有一般的城市道路中,且道路类型为干燥的沥青水泥路面并且为一般普遍的驾驶行为,本车道有车旁边车道有车在驾驶平均运行时间通常超过 10% 因此暴露概率等级为 E4 |
2 |
系统不会触发换道,驾驶员仍然接管车辆,驾驶员处于在环的状态,驾驶员可以通过自己的判断来自行操作避障,但是在紧急避障中对驾驶要求较高,因此 可控性等级为 C2 |
C |
应避免因驾驶员误判系统状态导致车辆发生碰撞 |
SG-03 |
|
驾驶员未能接管系统导致车辆发生碰撞 |
以 72km/h 车速行驶在前方有车,旁车道有车的城市道路或快速路上 |
系统不能提醒驾驶员进行换道并且无法进行主动换道以较高车速与本车道车辆发生侧碰 / 正碰 |
3 |
同上 |
4 |
同上 |
2 |
同上 |
C |
应避免因驾驶员未能接管系统导致车辆发生碰撞 |
SG-04 |
|
前方无危险时,车辆预警或紧急转向 |
以 72km/h 车速行驶在前方无车,旁车道有车的城市道路或快速路上 |
系统误导驾驶员进行换道甚至主动进行换道以较高车速与旁车道车辆发生侧碰 / 正碰 |
3 |
自车车速 72km/h, 车速较高,与旁边车辆正碰时的相对车速可能超过 40km/h~65km/h 与旁边车辆侧碰时的相对车速可能超过 16km/h~40km/h 自车以中速和其他乘用车后碰 / 正碰,因此严重度等级为 S3
|
4 |
车辆行驶在具有一般的城市道路中,且道路类型为干燥的沥青水泥路面并且为一般普遍的驾驶行为,本车道无车旁边车道有车在驾驶平均运行时间通常超过 10% 因此暴露概率等级为 E4 |
3 |
一旦系统触发换道,在换道过程中,从触发换道到换道结束系统完全接管车辆,驾驶员的操作对车辆不起作用,驾驶员处于不在环的状态,此时很难控制车辆不发生碰撞,因此 可控性等级为 C3 |
D |
应避免因无危险障碍物时错误进行换道导致的车辆碰撞事故的发生 |
SG-05 |
|
存在危险时,车辆预警或紧急转向过于频繁 |
以 72km/h 车速行驶在前方有车,旁车道有车的城市道路或快速路上 |
系统误导驾驶员频繁进行换道甚至主动进行换道以较高车速与本 / 旁车道车辆发生侧碰 / 正碰 |
3 |
自车车速 72km/h, 车速较高,与本 / 旁边车辆正碰时的相对车速可能超过 40km/h~65km/h 与本 / 旁边车辆侧碰时的相对车速可能超过 16km/h~40km/h 自车以中速和其他乘用车后碰 / 正碰,因此严重度等级为 S3
|
4 |
车辆行驶在具有一般的城市道路中,且道路类型为干燥的沥青水泥路面并且为一般普遍的驾驶行为,本车道有车旁边车道有车在驾驶平均运行时间通常超过 10% 因此暴露概率等级为 E4 |
3 |
系统频繁触发换道,在换道过程中,从触发换道到换道结束系统完全接管车辆,驾驶员的操作对车辆不起作用,驾驶员处于不在环的状态,此时很难控制车辆不发生碰撞,因此 可控性等级为 C3 |
D |
应避免因过于频繁进行换道导致的车辆碰撞事故的发生 |
SG-06 |
|
存在危险时,车辆预警或紧急转向但导致碰撞 |
以 72km/h 车速行驶在前方有车,旁车道有车的城市道路或快速路上 |
系统进行主动换道但是仍然与本 / 旁车道发生侧碰 / 正碰 |
3 |
同上 |
4 |
同上 |
3 |
一旦系统触发换道,在换道过程中,从触发换道到换道结束系统完全接管车辆,驾驶员的操作对车辆不起作用,驾驶员处于不在环的状态,此时很难控制车辆不发生碰撞,因此 可控性等级为 C3 |
D |
应避免因主动换道导致的车辆碰撞事故的发生 |
SG-07 |
|
存在危险目标时,车辆未能预警或紧急转向 |
以 72km/h 车速行驶在前方有车,旁车道有车的城市道路或快速路上 |
系统无法进行主动换道与本 / 旁车道发生侧碰 / 正碰 |
3 |
同上 |
4 |
同上 |
2 |
系统不会触发换道,驾驶员仍然接管车辆,驾驶员处于在环的状态,驾驶员可以通过自己的判断来自行操作避障,但是在紧急避障中对驾驶要求较高,因此 可控性等级为 C2 |
C |
应避免因无法进行主动换道导致的车辆碰撞事故的发生 |
SG-08 |
在进行与网络安全相关的危害评估时,需要对潜在威胁进行攻击路径分析以及攻击可行性分析,对于与生命安全相关的潜在威胁,需要综合考虑暴露度、严重度、可控性,这里将攻击可行性等级映射到暴露度上,如下表所示。
对于与生命安全不相关的潜在威胁,则通过 HEAVENS 网络安全分析方法进行评估。
|
威胁场景映射编号 |
攻击路径 |
攻击可行性评估 |
汽车完整性等级评估 |
|||||||||
|
耗时 |
专业知识 |
组织知识 |
机会窗口 |
设备器材 |
总和 |
攻击可行性等级 |
暴露度 |
严重度 |
可控性 |
ASIL |
||
|
操作影响 |
经济影响 |
隐私影响 |
CAL |
|||||||||
|
CSG01 |
通过 wifi 入侵汽车网络将对抗性扰动注入到摄像头 T-BOX->CAN 总线 -> 感知模块 > 单目摄像头 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C2 |
B |
|
CSG02 |
通过 wifi 入侵汽车网络篡改图像数据 T-BOX->CAN 总线 -> 感知模块 -> 图像数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG03 |
通过 wifi 入侵汽车网络使图像数据泄露 T-BOX->CAN 总线 -> 感知模块 -> 图像数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E3(4) |
|
P3 |
C/ 高 |
|
CSG04 CSG05 |
通过 wifi 入侵汽车对网络卷积神经网络进行后门攻击 T-BOX->CAN 总线 -> 感知模块 -> 目标跟踪模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
E2(4) |
S3 |
C3 |
B |
|
CSG06 |
通过 wifi 入侵汽车网络对毫米波雷达进行干扰攻击 T-BOX->CAN 总线 -> 感知模块 -> 毫米波雷达 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG07 |
通过 wifi 入侵汽车网络破坏点云数据通讯 T-BOX->CAN 总线 -> 感知模块 -> 点云数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG08 |
通过 wifi 入侵汽车对点云数据处理模块进行攻击 T-BOX->CAN 总线 -> 感知模块 -> 目标跟踪模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
E2(4) |
S3 |
C3 |
B |
|
CSG09 |
通过 wifi 入侵汽车对目标跟踪算法进行篡改 T-BOX->CAN 总线 -> 感知模块 -> 目标跟踪模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
E2(4) |
S3 |
C3 |
B |
|
CSG10 |
通过 wifi 入侵汽车窃取目标跟踪算法 T-BOX->CAN 总线 -> 感知模块 -> 目标跟踪模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG11 |
通过蜂窝网络入侵 TSP 后台 蜂窝网络 -> 基站 ->TSP 后台 |
<1 周 |
多位专家 |
机密 |
容易 |
标准 |
17 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG12 |
||||||||||||
|
CSG13 |
通过 DOS 攻击来破坏网络通讯 蜂窝网络 -> 基站 |
<1 天 |
专家 |
限制 |
容易 |
标准 |
10 |
A4 |
E4(4) |
S3 |
C2 |
C |
|
CSG14 |
通过 wifi 入侵汽车网络破坏驾驶信息数据通讯 T-BOX->CAN 总线 -> 驾驶信息数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG15 |
通过 wifi 入侵汽车网络篡改驾驶信息数据 T-BOX->CAN 总线 --> 驾驶信息数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG16 |
通过 wifi 入侵 T-BOX , T-BOX 无法正常发送数据 wifi->T-BOX |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C2 |
B |
|
CSG17 |
通过 V2I 通讯发送虚假信息,破坏 ICVs 的运行 ->V2I 通讯 |
<1 周 |
专家 |
机密 |
容易 |
专业 |
19 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG18 |
通过 V2I 通讯使 RSU 路测信息被泄露 V2I 通讯 ->RSU |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
|
|
P3 |
C/ 高 |
|
CSG19 |
通过 V2V 通讯使 OBU 车端信息信息被泄露 V2V 通讯 ->OBU |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
|
F2 |
|
B/ 中 |
|
CSG20 |
通过 wifi 入侵 T-BOX , T-BOX 无法正常接收 OBU 信息 wifi->T-BOX |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG21 |
通过 wifi 入侵 T-BOX , T-BOX 无法正常接收 GPS 信号 wifi->T-BOX |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG22 |
通过 GPS 通讯进行 GPS 干扰攻击 ->GPS 通讯 |
<1 天 |
专家 |
机密 |
容易 |
专业 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG23 |
通过 wifi 入侵汽车网络篡改 GPS 数据 T-BOX->GPS 数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
13 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG24 |
通过 wifi 入侵汽车网络干扰 IMU 工作 T-BOX->CAN 总线 --> 定位模块 -->IMU |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG25 |
通过 wifi 入侵汽车破坏车辆姿态信息数据通讯 T-BOX->CAN 总线 --> 定位模块 -->IMU 通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
C |
|
CSG26 |
通过 wifi 入侵汽车篡改车辆姿态信息数据 T-BOX->CAN 总线 --> 定位模块 -->IMU 通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG27 |
通过 wifi 入侵汽车攻击车辆定位模块 T-BOX->CAN 总线 --> 定位模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG28 CSG29 |
通过 wifi 入侵汽车攻击感知融合模块 T-BOX->CAN 总线 --> 感知融合模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG30 |
通过 wifi 入侵汽车窃取感知融合算法 T-BOX->CAN 总线 --> 感知融合模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG31 |
通过 wifi 入侵汽车破坏感知融合结果数据通讯 T-BOX->CAN 总线 --> 感知融合结果数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG32 CSG33 |
通过 wifi 入侵汽车攻击场景理解模块 T-BOX->CAN 总线 --> 场景理解模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG34 |
通过 wifi 入侵汽车窃取场景理解算法 T-BOX->CAN 总线 --> 感知融合模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG35 |
通过 wifi 入侵汽车破坏危险目标信息数据通讯 T-BOX->CAN 总线 --> 危险目标信息数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D
|
|
CSG36 CSG37 |
通过 wifi 入侵汽车攻击碰撞风险评估模块 T-BOX->CAN 总线 --> 碰撞风险评估模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG38 |
通过 wifi 入侵汽车窃取碰撞风险评估算法 T-BOX->CAN 总线 --> 碰撞风险评估模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F2 |
|
B/ 中 |
|
CSG39 |
通过 wifi 入侵汽车破坏碰撞类型风险数据通讯 T-BOX->CAN 总线 --> 碰撞类型风险数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG40 |
通过 wifi 入侵汽车篡改碰撞类型风险数据 T-BOX->CAN 总线 --> 碰撞类型风险数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG41 CSG42 |
通过 wifi 入侵汽车攻击换道轨迹规划模块 T-BOX->CAN 总线 --> 换道轨迹规划模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG43 |
通过 wifi 入侵汽车窃取换道轨迹规划算法 T-BOX->CAN 总线 --> 换道轨迹规划模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG44 |
通过 wifi 入侵汽车破坏轨迹规划数据通讯 T-BOX->CAN 总线 --> 轨迹规划数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG45 |
通过 wifi 入侵汽车篡改轨迹规划数据 T-BOX->CAN 总线 --> 轨迹规划数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG46 CSG47 |
通过 wifi 入侵汽车攻击纵横向控制模块 T-BOX->CAN 总线 --> 纵横向控制模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG48 |
通过 wifi 入侵汽车窃取纵横向控制算法 T-BOX->CAN 总线 --> 纵横向控制模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG49 |
通过 wifi 入侵汽车破坏横向控制指令数据通讯 T-BOX->CAN 总线 --> 横向控制指令数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG50 |
通过 wifi 入侵汽车篡改横向控制指令 T-BOX->CAN 总线 --> 横向控制指令数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG51 CSG52 |
通过 wifi 入侵汽车攻击碰撞预警模块 T-BOX->CAN 总线 --> 碰撞预警模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG53 |
通过 wifi 入侵汽车窃取碰撞预警算法 T-BOX->CAN 总线 --> 碰撞预警模块 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
E2(4) |
S3 |
C3 |
B |
|
CSG54 |
通过 wifi 入侵汽车破坏碰撞预警信号数据通讯 T-BOX->CAN 总线 --> 碰撞预警信号数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG55 |
通过 wifi 入侵汽车篡改碰撞预警信号数据 T-BOX->CAN 总线 --> 碰撞预警信号数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG56 CSG57 |
通过 wifi 入侵汽车攻击前轮转角控制模块 T-BOX->CAN 总线 --> 线控转向系统 ECU |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
O4 E3(4)E3(4) |
S3 S3 |
C2 C3 |
C/ 高 B C |
|
CSG58 |
通过 wifi 入侵汽车篡改前轮转角控制算法 T-BOX->CAN 总线 --> 线控转向系统 ECU |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
O4 E2(4) |
S3 |
C3 |
C/ 高 B |
|
CSG59 |
通过 wifi 入侵汽车窃取前轮转角控制算法 T-BOX->CAN 总线 --> 线控转向系统 ECU |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
|
F3 |
|
B/ 中 |
|
CSG60 |
通过 wifi 入侵汽车网络将对抗性扰动注入到摄像头 T-BOX->CAN 总线 -> 驾乘状态估计模块 -> 车载摄像头 |
<1 月 |
专家 |
机密 |
适中 |
标准 |
22 |
A2 |
E2(4) |
S3 |
C3 |
B |
|
CSG61 |
通过 wifi 入侵汽车篡改驾乘人员图像数据 T-BOX->CAN 总线 --> 驾乘状态估计模块 -> 驾乘数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG62 |
通过 wifi 入侵汽车使驾乘人员图像数据泄露 T-BOX->CAN 总线 --> 驾乘状态估计模块 -> 驾乘数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
|
P3 |
C/ 高 |
|
CSG63 |
通过 wifi 入侵汽车攻击驾乘状态估计模块 T-BOX->CAN 总线 --> 驾乘状态估计模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG64 |
通过 wifi 入侵汽车攻击系统状态评估模块 T-BOX->CAN 总线 --> 系统状态评估模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG65 |
通过 wifi 入侵汽车攻击驾驶场景评估模块 T-BOX->CAN 总线 --> 驾驶场景评估模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG66 |
通过 wifi 入侵汽车破坏驾乘场景信息数据通讯 T-BOX->CAN 总线 --> 驾乘场景信息数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E3(4) |
S3 |
C3 |
C |
|
CSG67 |
通过 wifi 入侵汽车篡改系统状态信息 T-BOX->CAN 总线 --> 系统状态信息数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG68 |
通过 wifi 入侵汽车破坏激活命令数据通讯 T-BOX->CAN 总线 --> 激活命令数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG69 CSG70 |
通过 wifi 入侵汽车攻击系统激活关闭模块 T-BOX->CAN 总线 --> 系统激活关闭模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG71 |
通过 wifi 入侵汽车破坏系统激活状态数据通讯 T-BOX->CAN 总线 --> 系统激活状态数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG72 |
通过 wifi 入侵汽车篡改系统激活状态数据 T-BOX->CAN 总线 --> 系统激活状态数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG73 |
通过 wifi 入侵汽车攻击 HMI 接收系统状态模块 T-BOX->CAN 总线 -->HMI 接收系统状态模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG74 CSG75 |
通过 wifi 入侵汽车攻击 HMI 系统状态显示模块 T-BOX->CAN 总线 -->HMI 系统状态显示模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG76 |
通过 wifi 入侵汽车破坏接管请求信号数据通讯 T-BOX->CAN 总线 --> 接管请求信号数据通讯 |
<1 天 |
专家 |
限制 |
适中 |
标准 |
13 |
A4 |
E4(4) |
S3 |
C3 |
D |
|
CSG77 |
通过 wifi 入侵汽车篡改接管请求信号 T-BOX->CAN 总线 --> 接管请求信号数据通讯 |
<1 周 |
专家 |
限制 |
适中 |
标准 |
14 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG78 CSG79 |
通过 wifi 入侵汽车攻击 HMI 显示接管请求模块 T-BOX->CAN 总线 -->HMI 显示接管请求模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
CSG80 |
通过 wifi 入侵汽车攻击 HMI 预警信号提示模块 T-BOX->CAN 总线 -->HMI 预警信号提示模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4) |
S3 |
C3 |
C |
|
CSG81 CSG82 |
通过 wifi 入侵汽车攻击 HMI 系统激活开关模块 T-BOX->CAN 总线 -->HMI 系统激活开关模块 |
<1 周 |
专家 |
机密 |
适中 |
标准 |
18 |
A3 |
E3(4)E3(4) |
S3 S3 |
C2 C3 |
B C |
|
潜在危害与威胁情况 |
致因分析 |
安全层面 |
安全目标 |
编号 |
ASIL |
|
单目摄像头丧失图像获取能力导致无法识别到前方目标 |
单目摄像头软硬件故障 |
功能 |
避免因单目摄像头丧失图像获取能力而无法识别到前方目标导致车辆发生碰撞 |
FSG01 |
C |
|
极端天气 / 光照差导致无法获取图像(雨、雪、雾 / 黑夜) |
预期功能 |
SSG01 |
C |
||
|
单目摄像头遭到网络攻击无法采集图像 |
网络 |
保护单目摄像头采集图像的可用性 |
CSG01 |
B |
|
|
图像数据传输过程被篡改导致无法正确识别到前方目标 |
图像数据传输过程中遭到网络攻击数据被篡改 |
网络 |
保护单目摄像头图像数据的完整性 |
CSG02 |
C |
|
图像数据传输过程被泄露 |
图像数据传输过程中遭到网络攻击数据被泄露 |
网络 |
保护单目摄像头图像数据的机密性 |
CSG03 |
C/ 高 |
|
|
|
|
|
|
|
|
域控制器丧失目标检测跟踪能力导致无法识别到前方目标 |
域控制器软硬件故障 |
功能 |
避免因域控制器丧失目标检测跟踪能力而无法识别到前方目标导致车辆发生碰撞 |
FSG02 |
C |
|
目标检测跟踪性能局限性 |
预期功能 |
SSG02 |
C |
||
|
目标检测跟踪遭到网络攻击 |
网络 |
保护域控制器目标检测跟踪的可用性 |
CSG04 |
B |
|
|
域控制器目标检测跟踪错误导致无法识别到前方目标 |
域控制器软硬件故障 |
功能 |
避免因域控制器目标检测跟踪错误而无法识别到前方目标导致车辆发生碰撞 |
FSG03 |
D |
|
目标检测跟踪性能局限性 |
预期功能 |
SSG03 |
D |
||
|
目标检测跟踪遭到网络攻击 |
网络 |
保护域控制器目标检测跟踪的可用性 |
CSG05 |
B |
|
|
毫米波雷达丧失点云获取能力导致无法识别到前方目标 |
毫米波雷达软硬件故障 |
功能 |
避免因毫米波雷达丧失点云获取能力而无法识别到前方目标导致车辆发生碰撞 |
FSG03 |
C |
|
极端天气导致无法获取图像(雾霾) |
预期功能 |
SSG04 |
C |
||
|
毫米波雷达遭到网络攻击无法采集点云 |
网络 |
保护单目摄像头点云获取的可用性 |
CSG06 |
C |
|
|
点云数据传输丢包导致误判前方目标危险状况 |
点云数据通讯链路故障 点云数据通讯链路遭到网络攻击 |
功能 |
避免因点云数据传输丢包延迟而误判前方目标危险状况导致车辆发生碰撞 |
FSG04 |
D |
|
点云数据传输延迟导致误判前方目标危险状况 |
网络 |
保护点云数据传输的真实性 |
CSG07 |
D |
|
|
域控制器目标检测跟踪实时差导致误判前方目标危险状况 |
域控制器软硬件故障 |
功能 |
避免因域控制器目标检测跟踪实时差而误判前方目标危险状况导致车辆发生碰撞 |
FSG05 |
D |
|
目标检测跟踪性能局限性 |
预期功能 |
SSG05 |
D |
||
|
目标检测跟踪遭到网络攻击 |
网络 |
保护目标检测跟踪的真实性 |
CSG08 |
B |
|
|
目标检测跟踪算法被篡改导致无法正确识别到前方目标 |
目标检测跟踪遭到网络攻击 |
网络 |
保护目标检测跟踪算法的完整性 |
CSG09 |
B |
|
目标检测跟踪算法泄露 |
目标检测跟踪遭到网络攻击 |
网络 |
保护目标检测跟踪算法的机密性 |
CSG10 |
B/ 中 |
|
|
|
|
|
|
|
|
TSP 丧失远程服务导致无法识别到前方目标、远程控制失效 |
TSP 后台软硬件故障中断服务 |
功能 |
避免因 TSP 丧失远程服务而无法识别到前方目标、远程控制失效导致车辆发生碰撞 |
FSG06 |
C |
|
TSP 后台遭到网络攻击中断服务 |
网络 |
保护 TSP 远程操作的可用性 |
CSG11 |
B |
|
|
TSP 远程错误导致无法识别到前方目标、远程控制错误 |
TSP 后台软硬件故障错误操作 |
功能 |
避免因 TSP 远程错误而无法识别到前方目标、远程控制失效导致车辆发生碰撞 |
FSG07 |
D |
|
TSP 远程操作性能局限性 |
预期功能 |
SSG06 |
D |
||
|
TSP 后台遭到网络攻击错误操作 |
网络 |
保护 TSP 远程操作的可用性 |
CSG12 |
C |
|
|
T-BOX 云端信息获取延迟误判前方目标危险状况远程控制错误 |
T-BOX 软硬件故障
T-BOX 遭到网络攻击 |
功能 |
避免因 T-BOX 云端信息获取丢包延迟而误判前方目标危险状况远程控制错误导致车辆发生碰撞 |
FSG08 |
D |
|
T-BOX 云端信息获取丢包误判前方目标危险状况远程控制错误 |
网络 |
保护 T-BOX 云端信息获取的真实性 |
CSG13 |
C |
|
|
自车驾驶信息数据传输丢包误判前方目标危险状况且远程操作错误 |
自车驾驶信息数据传输链路 故障 自车驾驶信息数据传输链路 遭到网络攻击 |
功能 |
避免因自车驾驶信息数据传输丢包延迟而误判前方目标危险状况远程控制错误导致车辆发生碰撞 |
FSG09 |
D |
|
自车驾驶信息数据传输延迟误判前方目标危险状况且远程操作错误 |
网络 |
保护自车驾驶信息数据传输的真实性 |
CSG14 |
D |
|
|
自车驾驶信息数据传输中被篡改无法正确识别危险目标且远程操作错误 |
自车驾驶信息数据传输链路 遭到网络攻击数据被篡改 |
网络 |
保护自车驾驶信息数据传输的完整性 |
CSG15 |
C |
|
T-BOX 丧失驾驶信息发送能力无法识别危险目标且远程操作错误 |
T-BOX 软硬件故障
T-BOX 遭到网络攻击 |
功能 |
避免因 T-BOX 丧失驾驶信息发送能力而误判无法识别危险目标且远程操作错误导致车辆发生碰撞 |
FSG10 |
D |
|
T-BOX 驾驶信息发送错误无法正确识别危险目标且远程操作错误 |
网络 |
保护 T-BOX 驾驶信息发送的真实性 |
CSG16 |
B |
|
|
虚假的 RSU 提供虚假的路测信息识别到虚假目标 |
网络攻击虚构虚假的 RSU |
网络 |
保护 RSU 提供路测信息的真实性 |
CSG17 |
C |
|
RSU 路测信息被泄露 |
RSU 遭到网络攻击 |
网络 |
保护 RSU 路测信息的机密性 |
CSG18 |
C/ 高 |
|
OBU 车端信息被泄露 |
OBU 遭到网络攻击 |
网络 |
保护 OBU 车端信息的机密性 |
CSG19 |
B/ 中 |
|
T-BOX 丧失路端信息获取能力无法识别到危险目标 |
T-BOX 软硬件故障
T-BOX 遭到网络攻击 |
功能 |
避免因 T-BOX 丧失路端信息获取能力而无法识别到危险目标导致车辆发生碰撞 |
FSG11 |
D |
|
T-BOX 车端信息获取错误无法正确识别到危险目标 |
网络 |
保护 T-BOX 车端信息获取的真实性 |
CSG20 |
C |
|
|
T-BOX 丧失 GPS 信号获取能力丧失定位能力 |
T-BOX 软硬件故障
T-BOX 遭到网络攻击 |
功能 |
避免因 T-BOX 丧失 GPS 信号获取能力而丧失定位能力导致车辆发生碰撞 |
FSG12 |
C |
|
T-BOX 其 GPS 信号获取错误无法正确定位 |
网络 |
保护 T-BOX 其 GPS 信号获取的真实性 |
CSG21 |
C |
|
|
GPS 信号数据传输丢包无法准确定位 |
GPS 信号数据链路传输 故障 GPS 信号数据链路传输 遭到网络攻击 |
功能 |
避免因 GPS 信号数据传输丢包延迟而无法准确定位导致车辆发生碰撞 |
FSG13 |
D |
|
GPS 信号数据传输延迟无法准确定位 |
网络 |
保护 GPS 信号数据传输的真实性 |
CSG22 |
C |
|
|
GPS 信号数据传输中被篡改无法正确定位 |
GPS 信号数据链路传输 遭到网络攻击数据被篡改 |
网络 |
保护 GPS 信号数据传输的完整性 |
CSG23 |
C |
|
IMU 丧失车辆姿态信息获取能力无法定位 |
IMU 故障 IMU 遭到网络攻击 |
功能 |
避免因 IMU 丧失车辆姿态信息获取能力而无法定位导致车辆发生碰撞 |
FSG14 |
C |
|
IMU 车辆姿态信息获取延迟无法准确定位 |
网络 |
保护 IMU 车辆姿态信息获取的真实性 |
CSG24 |
C |
|
|
车辆姿态信息传输丢包无法准确定位 |
车辆姿态信息传输 链路传输 故障 车辆姿态信息传输 链路传输 遭到网络攻击 |
功能 |
避免因车辆姿态信息传输丢包延迟而无法准确定位导致车辆发生碰撞 |
FSG15 |
D |
|
车辆姿态信息传输延迟无法准确定位 |
网络 |
保护车辆姿态信息传输的真实性 |
CSG25 |
C |
|
|
车辆姿态信息传输中被篡改无法正确定位 |
车辆姿态信息传输 链路 遭到网络攻击数据被篡改 |
网络 |
保护车辆姿态信息传输的完整性 |
CSG26 |
C |
|
自动驾驶域控制器丧失车辆定位能力无法定位 |
域控制器定位模块故障 域控制器定位模块遭到网络攻击 |
功能 |
避免因域控制器丧失车辆定位能力而无法定位导致车辆发生碰撞 |
FSG16 |
C |
|
自动驾驶域控制器车辆定位错误 |
网络 |
保护域控制器车辆定位的可用性 |
CSG27 |
C |
|
|
|
|
|
|
|
|
|
自动驾驶域控制器丧失感知信息融合能力无法识别到前方目标 |
感知信息融合模块软硬件故障 |
功能 |
避免因域控制器丧失感知信息融合能力而无法识别到前方目标导致车辆发生碰撞 |
FSG17 |
D |
|
感知信息融合模块遭到网络攻击 |
网络 |
保护域控制器感知信息融合的可用性 |
CSG28 |
B |
|
|
自动驾驶域控制器感知信息融合错误无法正确识别到前方目标 |
感知信息融合模块软硬件故障 |
功能 |
避免因域控制器感知信息融合错误而无法识别到前方目标导致车辆发生碰撞 |
FSG18 |
D |
|
感知信息融合算法性能局限性 |
预期功能 |
SSG07 |
D |
||
|
感知信息融合模块遭到网络攻击 |
网络 |
保护域控制器感知信息融合的可用性 |
CSG29 |
C |
|
|
感知信息融合算法泄露 |
感知信息融合模块遭到网络攻击 |
网络 |
保护域控制器感知信息融合的机密性 |
CSG30 |
B/ 中 |
|
感知融合结果传输丢包误判前方目标危险状况 |
感知融合结果传输 链路传输 故障 感知融合结果传输 链路传输 遭到网络攻击 |
功能 |
避免因感知融合结果传输丢包时延而误判前方目标危险状况导致车辆发生碰撞 |
FSG19 |
D |
|
感知融合结果传输延迟误判前方目标危险状况 |
网络 |
保护感知融合结果传输的真实性 |
CSG31 |
D |
|
|
自动驾驶域控制器丧失场景理解能力无法识别到危险目标 |
场景理解模块软硬件故障 |
功能 |
避免因域控制器丧失场景理解能力而无法识别到危险目标导致车辆发生碰撞 |
FSG20 |
C |
|
场景理解模块遭到网络攻击 |
网络 |
保护域控制器场景理解的可用性 |
CSG32 |
B |
|
|
自动驾驶域控制器场景理解错误无法正确识别到危险目标 |
场景理解模块软硬件故障 |
功能 |
避免因域控制器场景理解能力错误而无法识别到危险目标导致车辆发生碰撞 |
FSG21 |
D |
|
场景理解算法性能局限性 |
预期功能 |
SSG08 |
D |
||
|
场景理解模块遭到网络攻击 |
网络 |
保护域控制器场景理解的可用性 |
CSG33 |
C |
|
|
场景理解算法泄露 |
场景理解模块遭到网络攻击 |
网络 |
保护域控制器场景理解的机密性 |
CSG34 |
B/ 中 |
|
危险目标信息传输丢包错误评估碰撞风险 |
危险目标信息传输 链路传输 故障 危险目标信息传输 链路传输 遭到网络攻击 |
功能 |
避免因危险目标信息传输丢包时延而错误评估碰撞风险目标导致车辆发生碰撞 |
FSG22 |
D |
|
危险目标信息传输延迟错误评估碰撞风险 |
网络 |
保护域控制器危险目标信息传输的真实性 |
CSG35 |
D |
|
|
自动驾驶域控制器丧失 碰撞风险评估 能力 |
碰撞风险评估 模块软硬件故障 |
功能 |
避免因域控制器丧失碰撞风险评估能力导致车辆发生碰撞 |
FSG23 |
C |
|
碰撞风险评估 模块遭到网络攻击 |
网络 |
保护域控制器碰撞风险评估的可用性 |
CSG36 |
C |
|
|
自动驾驶域控制器 碰撞风险评估 错误 |
碰撞风险评估 模块软硬件故障 |
功能 |
避免因驾驶域控制器碰撞风险评估错误导致车辆发生碰撞 |
FSG24 |
D |
|
碰撞风险评估 算法性能局限性 |
预期功能 |
SSG09 |
D |
||
|
碰撞风险评估 模块遭到网络攻击 |
网络 |
保护域控制器碰撞风险评估的可用性 |
CSG37 |
C |
|
|
碰撞风险评估 算法泄露 |
碰撞风险评估 模块遭到网络攻击 |
网络 |
保护碰撞风险评估算法的机密性 |
CSG38 |
B/ 中 |
|
碰撞类型风险传输丢包导致错误决策规划 |
碰撞类型风险传输 链路传输 故障 碰撞类型风险传输 链路传输 遭到网络攻击 |
功能 |
避免因碰撞类型风险传输丢包时延而错误决策规划导致车辆发生碰撞 |
FSG25 |
D |
|
碰撞类型风险传输延迟导致决策规划延迟 |
网络 |
保护碰撞类型风险传输的真实性 |
CSG39 |
D |
|
|
碰撞类型风险传输中被篡改导致错误决策规划 |
碰撞类型风险传输 链路传输 遭到网络攻击 |
网络 |
保护碰撞类型风险传输的完整性 |
CSG40 |
C |
|
自动驾驶域控制器丧失换道轨迹规划能力 |
换道轨迹规划模块软硬件故障 |
功能 |
避免因域控制器丧失换道轨迹规划能力导致车辆发生碰撞 |
FSG26 |
C |
|
换道轨迹规划模块遭到网络攻击 |
网络 |
保护域控制器换道路径轨迹的可用性 |
CSG41 |
B |
|
|
自动驾驶域控制器换道路径轨迹错误 |
换道轨迹规划模块软硬件故障 |
功能 |
避免因域控制器换道路径轨迹错误导致车辆发生碰撞 |
FSG27 |
D |
|
换道轨迹规划算法性能局限性 |
预期功能 |
|
D |
||
|
换道轨迹规划模块遭到网络攻击 |
网络 |
保护域控制器换道路径轨迹的可用性 |
CSG42 |
C |
|
|
自动驾驶域控制器换道轨迹规划不足以避开障碍 |
换道轨迹规划算法性能局限性 |
预期功能 |
避免因域控制器换道路径轨迹不足导致车辆发生碰撞 |
SSG10 |
D |
|
换道轨迹规划算法泄露 |
换道轨迹规划模块遭到网络攻击 |
网络 |
保护换道路径轨迹算法的机密性 |
CSG43 |
B/ 中 |
|
路径规划信息传输丢包错误紧急转向 |
路径规划信息传输 链路传输 故障 路径规划信息传输 链路传输 遭到网络攻击 |
功能 |
避免因路径规划信息传输丢包时延而错误紧急转向导致车辆发生碰撞 |
FSG28 |
D |
|
路径规划信息传输延迟错误紧急转向 |
网络 |
保护路径规划信息传输的真实性 |
CSG44 |
D |
|
|
路径规划信息传输中被篡改错误紧急转向 |
路径规划信息传输 链路传输 遭到网络攻击 |
网络 |
保护路径规划信息传输的完整性 |
CSG45 |
C |
|
自动驾驶域控制器丧失纵横向控制能力 |
纵横向控制模块软硬件故障 |
功能 |
避免因域控制器丧失纵横向控制能力导致车辆发生碰撞 |
FSG29 |
D |
|
纵横向控制模块遭到网络攻击 |
网络 |
保护域控制器纵横向控制的可用性 |
CSG46 |
B |
|
|
自动驾驶域控制器纵横向控制错误 |
纵横向控制模块软硬件故障 |
功能 |
避免因域控制器纵横向控制错误导致车辆发生碰撞 |
FSG30 |
D |
|
纵横向控制算法性能局限性 |
预期功能 |
SSG11 |
D |
||
|
纵横向控制模块遭到网络攻击 |
网络 |
保护域控制器纵横向控制的可用性 |
CSG47 |
C |
|
|
自动驾驶域控制器纵横向控制不足以避开障碍 |
纵横向控制算法性能局限性 |
预期功能 |
避免因域控制器纵横向控制不足导致车辆发生碰撞 |
SSG12 |
D |
|
自动驾驶域控制器纵横向控制过多 |
纵横向控制算法性能局限性 |
预期功能 |
避免因域控制器纵横向控制过多导致车辆发生碰撞 |
SSG13 |
D |
|
纵横向控制算法泄露 |
纵横向控制模块遭到网络攻击 |
网络 |
保护纵横向控制算法的机密性 |
CSG48 |
B/ 中 |
|
横向控制指令传输丢包错误紧急转向 |
横向控制指令传输 链路传输 故障 横向控制指令传输 链路传输 遭到网络攻击 |
功能 |
避免因横向控制指令传输丢包时延而错误紧急转向导致车辆发生碰撞 |
FSG31 |
D |
|
横向控制指令传输延迟错误紧急转向 |
网络 |
保护横向控制指令传输的真实性 |
CSG49 |
D |
|
|
横向控制指令传输中被篡改错误紧急转向 |
横向控制指令传输 链路传输 遭到网络攻击 |
网络 |
保护横向控制指令传输的完整性 |
CSG50 |
C |
|
自动驾驶域控制器丧失 碰撞预警 能力 |
碰撞预警 模块软硬件故障 |
功能 |
避免因域控制器丧失碰撞预警能力导致车辆发生碰撞 |
FSG32 |
C |
|
碰撞预警 模块遭到网络攻击 |
网络 |
保护域控制器碰撞预警的可用性 |
CSG51 |
B |
|
|
自动驾驶域控制器 碰撞预警 错误 |
碰撞预警 模块软硬件故障 |
功能 |
避免因域控制失碰撞预警错误导致车辆发生碰撞 |
FSG33 |
D |
|
碰撞预警 算法性能局限性 |
预期功能 |
|
D |
||
|
碰撞预警 模块遭到网络攻击 |
网络 |
保护域控制器碰撞预警的可用性 |
CSG52 |
C |
|
|
自动驾驶域控制器 碰撞预警 不足 |
碰撞预警 算法性能局限性 |
预期功能 |
避免因域控制器碰撞预警不足导致车辆发生碰撞 |
SSG14 |
C |
|
安全模型过于保守,安全裕量过大 |
碰撞预警 算法性能局限性 |
预期功能 |
避免因安全模型过于保守而转向频繁导致车辆发生碰撞 |
SSG15 |
C |
|
自动驾驶域控制器 碰撞预警 太晚 |
碰撞预警 算法性能局限性 |
预期功能 |
避免因域控制器碰撞预警太晚导致车辆发生碰撞 |
SSG16 |
C |
|
碰撞预警算法泄露 |
碰撞预警 模块遭到网络攻击 |
网络 |
保护碰撞预警算法的机密性 |
CSG53 |
B |
|
碰撞预警信号 传输丢包间断碰撞预警 |
碰撞预警信号 传输 链路传输 故障 碰撞预警信号 传输 链路传输 遭到网络攻击 |
功能 |
避免因碰撞预警信号传输丢包时延而碰撞预警太晚导致车辆发生碰撞 |
FSG34 |
D |
|
碰撞预警信号 传输延迟碰撞预警太晚 |
网络 |
保护碰撞预警信号传输的真实性 |
CSG54 |
D |
|
|
碰撞预警信号 传输中被篡改碰撞预警错误 |
碰撞预警 模块遭到网络攻击 |
网络 |
保护碰撞预警信号传输的完整性 |
CSG55 |
C |
|
线控转向系统丧失前轮转角控制能力无法执行紧急转向 |
线控转向系统前轮转角控制模块软硬件故障 |
功能 |
避免因线控转向系统丧失前轮转角控制能力而无法执行紧急转向导致车辆发生碰撞 |
FSG35 |
D |
|
线控转向系统前轮转角控制模块遭到网络攻击 |
网络 |
保护线控转向系统前轮转角控制的可用性 |
CSG56 |
B C/ 高 |
|
|
线控转向系统前轮转角控制错误导致紧急转向错误 |
线控转向系统前轮转角控制模块软硬件故障 |
功能 |
避免因线控转向系统前轮转角控制错误而紧急转向错误导致车辆发生碰撞 |
FSG36 |
D |
|
线控转向系统前轮转角控制算法性能局限性 |
预期功能 |
SSG17 |
D |
||
|
线控转向系统前轮转角控制模块遭到网络攻击 |
网络 |
保护线控转向系统前轮转角控制的可用性 |
CSG57 |
C C/ 高 |
|
|
线控转向系统前轮转角控制不足导致紧急转向错误 |
线控转向系统前轮转角控制算法性能局限性 |
预期功能 |
避免因线控转向系统前轮转角控制不足而紧急转向错误导致车辆发生碰撞 |
SSG18 |
D |
|
线控转向系统前轮转角控制过多导致紧急转向错误 |
线控转向系统前轮转角控制算法性能局限性 |
预期功能 |
避免因线控转向系统前轮转角控制过多而紧急转向错误导致车辆发生碰撞 |
SSG19 |
D |
|
线控转向系统前轮转角控制太晚导致紧急转向错误 |
线控转向系统前轮转角控制算法性能局限性 |
预期功能 |
避免因线控转向系统前轮转角控制太晚而紧急转向错误导致车辆发生碰撞 |
SSG20 |
D |
|
前轮转角控制算法被篡改导致紧急转向错误 |
线控转向系统前轮转角控制模块遭到网络攻击 |
网络 |
保护线控转向系统前轮转角控制算法的完整性 |
CSG58 |
C/ 高 |
|
前轮转角控制算法泄露 |
线控转向系统前轮转角控制模块遭到网络攻击 |
网络 |
保护线控转向系统前轮转角控制算法的机密性 |
CSG59 |
B/ 中 |
|
车载摄像头丧失驾乘人员状态获取能力 |
车载摄像头软硬件故障 |
功能 |
避免因车载摄像头丧失驾乘人员状态获取能力导致车辆发生碰撞 |
FSG37 |
C |
|
光照差导致无法获取图像 |
预期功能 |
|
C |
||
|
车载摄像头遭到网络攻击无法采集图像 |
网络 |
保护车载摄像头采集图像的可用性 |
CSG60 |
B |
|
|
车载摄像头驾乘人员状态获取不足 |
车载摄像头位置安装不当不足以采集完整 |
预期功能 |
避免因车载摄像头驾乘人员状态获取不足导致车辆发生碰撞 |
SSG21 |
D |
|
驾乘人员状态图像传输被篡改 |
车载摄像头遭到网络攻击图像被篡改 |
网络 |
保护驾乘人员状态图像传输的可用性 |
CSG61 |
C |
|
驾乘人员状态图像被泄露 |
车载摄像头遭到网络攻击图像被泄露 |
网络 |
保护驾乘人员状态图像传输的机密性 |
CSG62 |
C/ 高 |
|
自动驾驶域控制器丧失驾乘状态估计能力 |
驾乘状态估计模块软硬件故障 |
功能 |
避免因域控制器丧失驾乘状态估计能力导致车辆发生碰撞 |
FSG38 |
C |
|
驾乘状态估计模块遭到网络攻击 |
网络 |
保护域控制器驾乘状态估计的可用性 |
CSG63 |
C |
|
|
自动驾驶域控制器系统状态评估错误 |
系统状态评估模块软硬件故障 |
功能 |
避免因域控制器系统状态评估错误导致车辆发生碰撞 |
FSG39 |
D |
|
系统状态评估算法性能局限性 |
预期功能 |
SSG22 |
D |
||
|
系统状态评估模块遭到网络攻击 |
网络 |
保护域控制器驾乘状态估计的可用性 |
CSG64 |
C |
|
|
自动驾驶域控制器驾驶场景评估实时差 |
驾驶场景评估模块软硬件故障 |
功能 |
避免因域控制器驾驶场景评估实时差导致车辆发生碰撞 |
FSG40 |
D |
|
驾驶场景评估算法性能局限性 |
预期功能 |
SSG23 |
D |
||
|
驾驶场景评估模块遭到网络攻击 |
网络 |
保护域控制器驾驶场景评估的可用性 |
CSG65 |
C |
|
|
驾乘状态信息传输延迟 |
驾乘状态场景评估信息传输 链路传输 故障 驾乘状态场景评估信息传输 链路传输 遭到网络攻击 |
功能 |
避免因驾乘状态信息传输延迟丢包导致车辆发生碰撞 |
FSG41 |
D |
|
场景评估信息传输丢包 |
网络 |
保护驾乘状态信息传输的真实性 |
CSG66 |
C |
|
|
系统状态信息传输中被篡改 |
系统状态信息传输 链路传输 遭到网络攻击 |
网络 |
保护驾乘状态信息传输的完整性 |
CSG67 |
C |
|
激活命令传输失败 |
激活命令传输 链路传输 故障 激活命令传输 链路传输 遭到网络攻击 |
功能 |
避免因激活命令传输失败错误导致车辆发生碰撞 |
FSG42 |
C |
|
激活命令传输错误 |
网络 |
保护激活命令传输的真实性 |
CSG68 |
D |
|
|
自动驾驶域控制器丧失系统激活关闭能力 |
系统激活关闭模块软硬件故障 |
功能 |
避免因域控制器丧失系统激活关闭能力导致车辆发生碰撞 |
FSG43 |
C |
|
系统激活关闭模块遭到网络攻击 |
网络 |
保护域控制器系统激活关闭的可用性 |
CSG69 |
B |
|
|
自动驾驶域控制器系统激活关闭错误 |
系统激活关闭模块软硬件故障 |
功能 |
避免因域控制器系统激活关闭错误导致车辆发生碰撞 |
FSG44 |
D |
|
系统激活关闭算法性能局限性 |
预期功能 |
SSG24 |
D |
||
|
系统激活关闭模块遭到网络攻击 |
网络 |
保护域控制器系统激活关闭的可用性 |
CSG70 |
C |
|
|
系统激活状态数据传输延迟 |
系统激活状态数据传输 链路传输 故障 系统激活状态数据传输 链路传输 遭到网络攻击 |
功能 |
避免因系统激活状态数据传输延迟丢包导致车辆发生碰撞 |
FSG45 |
D |
|
系统激活状态数据传输丢包 |
网络 |
保护系统激活状态数据传输的真实性 |
CSG71 |
D |
|
|
系统激活状态数据传输中被篡改 |
系统激活状态数据传输 链路传输 遭到网络攻击 |
网络 |
保护系统激活状态数据传输的完整性 |
CSG72 |
C |
|
HMI 系统状态数据接收延迟 |
HMI 接收系统状态模块故障 HMI 接收系统状态模块遭到网络攻击 |
功能 |
避免因 HMI 系统状态数据接收延迟丢包导致车辆发生碰撞 |
FSG46 |
D |
|
HMI 系统状态数据接收丢包 |
网络 |
保护 HMI 系统状态数据接收的完整性 |
CSG73 |
C |
|
|
HMI 丧失系统状态显示能力 |
HMI 显示系统状态模块故障 |
功能 |
避免因 HMI 丧失系统状态显示能力导致车辆发生碰撞 |
FSG47 |
D |
|
HMI 显示系统状态模块遭到网络攻击 |
网络 |
保护 HMI 系统状态显示的可用性 |
CSG74 |
B |
|
|
HMI 系统状态数据显示错误 |
HMI 显示系统状态模块软硬件故障 |
功能 |
避免因 HMI 系统状态数据显示错误导致车辆发生碰撞 |
FSG48 |
D |
|
HMI 显示系统状态算法性能局限性 |
预期功能 |
SSG25 |
D |
||
|
HMI 显示系统状态模块遭到网络攻击 |
网络 |
保护 HMI 系统状态数据显示的可用性 |
CSG75 |
C |
|
|
接管请求信号数据传输延迟 |
接管请求信号数据传输 链路传输 故障 接管请求信号传输 链路传输 遭到网络攻击 |
功能 |
避免因接管请求信号数据传输延迟丢包导致车辆发生碰撞 |
FSG49 |
C |
|
接管请求信号数据传输丢包 |
网络 |
保护接管请求信号数据传输的真实性 |
CSG76 |
D |
|
|
接管请求信号传输中被篡改 |
接管请求信号传输 链路传输 遭到网络攻击 |
网络 |
保护接管请求信号数据传输的完整性 |
CSG77 |
C |
|
HMI 丧失接管请求显示能力 |
HMI 显示接管请求模块故障 |
功能 |
避免因 HMI 丧失接管请求显示能力导致车辆发生碰撞 |
FSG50 |
D |
|
HMI 显示接管请求模块遭到网络攻击 |
网络 |
保护 HMI 接管请求显示能力的可用性 |
CSG78 |
B |
|
|
HMI 接管请求显示错误 |
HMI 显示接管请求模块软硬件故障 |
功能 |
避免因 HMI 接管请求显示错误导致车 辆发生碰撞 |
FSG51 |
D |
|
HMI 显示接管请求算法性能局限性 |
预期功能 |
SSG26 |
D |
||
|
HMI 显示接管请求模块遭到网络攻击 |
网络 |
保护 HMI 接管请求显示能力的可用性 |
CSG79 |
C |
|
|
HMI 预警信号提示错误 |
HMI 预警信号提示模块软硬件故障 |
功能 |
避免因 HMI 预警信号提示错误导致车辆发生碰撞 |
FSG52 |
C |
|
HMI 预警信号提示算法性能局限性 |
预期功能 |
SSG27 |
C |
||
|
HMI 预警信号提示模块遭到网络攻击 |
网络 |
保护 HMI 预警信号提示的可用性 |
CSG80 |
C |
|
|
HMI 丧失 系统激活开关 能力 |
HMI 系统激活开关 模块故障 |
功能 |
避免因 HMI 丧失系统激活开关能力导致车辆发生碰撞 |
FSG53 |
C |
|
HMI 系统激活开关 模块遭到网络攻击 |
网络 |
保护 HMI 系统激活开关的可用性 |
CSG81 |
B |
|
|
HMI 系统激活开关 错误 |
HMI 系统激活开关 模块软硬件故障 |
功能 |
避免因 HMI 系统激活开关错误导致车辆发生碰撞 |
FSG54 |
C |
|
HMI 系统激活开关 算法性能局限性 |
预期功能 |
SSG28 |
C |
||
|
HMI 系统激活开关 模块遭到网络攻击 |
网络 |
保护 HMI 系统激活开关的可用性 |
CSG82 |
C |