決勝汽車圖像傳感器網絡安全賽道，為駕駛體驗保駕護航

向自動駕駛過渡的趨勢，加上公眾對無人駕駛汽車安全性的擔憂，使網絡安全成為汽車原始設備制造商(OEM)的首要關注點。必須保障汽車系統的完整性和對車輛的控制，從而確保駕駛員、乘客和行人的安全。網絡安全對于通過網絡連接的汽車子系統等必不可少，對用于先進駕駛輔助系統 (ADAS)和駕駛員監控的圖像傳感器也同樣至關重要。

圖像傳感器相當于汽車的眼睛，支持 ADAS 功能，例如車道偏離警告、行人檢測和緊急制動。它們幫助汽車系統評估周圍環境并監控駕駛員的行為。未來，它們還將協助識別和驗證汽車用戶的身份并監控他們的生命體征，以便在駕駛員喪失行為能力時通過車載計算機來控制汽車。因此，圖像傳感器必須保持正常使用，尤其是在汽車可能遇到的極端情況下。

網絡安全威脅

汽車圖像傳感器主要受到四種網絡安全威脅的影響：偽造、篡改、繞過和竊聽（特別是對于車內應用）。

由于汽車半導體行業當前的供應短缺問題，假冒產品呈上升趨勢。雖然安裝非正版部件可能并非出于惡意，但它會影響系統性能。由于非正版部件使用的是不同的啟動過程、協議、固件和軟件，最輕微的后果是 ADAS 系統根本無法運行。最糟糕的情況是，系統使用性能嚴重退化的不合格部件，導致系統的安全功能受到損害。

自動緊急制動 (AEB) 系統運行的前提是其圖像傳感器具有明確的特性（如高動態范圍和低光性能）并按照這些規格（如曝光控制和每秒幀數）進行校準。假冒的傳感器可能看起來與正品相同，但其性能和特性卻大相徑庭。例如，假冒偽劣的攝像頭可能使用的是相同的傳感器，但沒有經過測試以保證最終的組件滿足性能要求，這可能表現為會在高強度工作下出現故障。也就是說，它在正常條件下可以工作，但在其它條件（例如炎熱、陽光充足的白天或寒冷的冬夜）下會出現性能降級或干脆失效。一些復雜的仿冒品可能會模仿真實的傳感器支持初始化操作或簡單的設備健康檢查，但其在動態范圍或幀速率方面的性能會大打折扣。由于 AEB 系統是使用正品部件進行的優化，因此假冒替代品的性能下降同樣會影響系統的性能，可能還會帶來災難性的后果。比如，本來可以在車前較遠的距離就檢測到物體或行人，留下幾秒鐘的反應時間，現在可能只能在幾米內檢測到，沒有足夠的時間避免碰撞（圖 1）。

圖 1：用假冒產品代替正版圖像傳感器的后果

篡改圖像傳感器配置也會損害其性能。汽車系統通過編程來配置圖像傳感器，以優化機器視覺算法的圖像質量，這些算法已針對特定實現方案進行了認證和測試。但是，如果有人（或某程序）修改了配置，則性能可能會受到影響?？赡軣o法再保證汽車系統能正確感知汽車面臨的場景（圖 2）。

圖 2：篡改圖像傳感器設置的后果

圖像傳感器不正常工作會讓汽車“失明”，無法檢測到潛在威脅。圖像傳感器向圖像處理器提供原始視頻數據，這些數據可用于提取有關前方障礙物的關鍵信息，以便汽車能夠做出適當的響應。例如，從傳感器接收原始視頻數據的系統可以發現正在靠近的車輛，并按照最安全的操作來選擇是踩剎車還是駕駛汽車遠離危險。如果圖像傳感器不正常工作，系統將不再接收到原始視頻數據，并且可能根本無法檢測到正在靠近的車輛（圖 3）。

圖 3：圖像傳感器不正常工作的后果

確保符合規范

2021 年，聯合國歐洲經濟委員會 (UNECE) 工作組發布了 UN-R155 網絡安全法規，要求 OEM 建立網絡安全管理系統 (CSMS)。該法規自 2022 年 7 月起生效，以應對上述日益增長的威脅。汽車供應商必須確保所有相關組件符合 ISO 21434 網絡安全標準。雖然僅使用符合 ISO 21434 標準的部件還不足以滿足 UNECE 的要求，但這是符合規范的關鍵要素。

安森美 (onsemi) 自 2018 年開始在部分 ADAS 圖像傳感器中部署網絡安全功能，使其符合網絡安全規范。這些傳感器有望在 2024 年之前達到網絡安全標準。身份驗證功能使安森美的圖像傳感器能夠向主機證明它是正品。這一過程通過使用證書鏈或預共享密鑰來實現。為確保視頻數據的完整性，必須使用消息身份驗證碼（或 MAC）來證明傳感器和主機之間的視頻數據流未被篡改。最后是保護傳感器控制和配置數據，防止使用 MAC 篡改特定密鑰寄存器。由于防篡改協議因系統而異，因此系統處理器在檢測篡改情況時將擁有最終決定權。

總之，網絡安全規范對于防止汽車圖像傳感器成為汽車復雜電子系統中的特洛伊木馬至關重要。對 OEM 而言，要想符合規范，需要的不僅僅是圖像傳感器中的網絡安全控制電路。而含網絡安全的圖像傳感器是使 ADAS 和車內監控系統完全符合網絡安全規范的基本要求。