摘要：本教程深入探討了人工智能（AI）在嵌入式汽車系統(tǒng)中所面臨的關(guān)鍵網(wǎng)絡(luò)安全和功能安全挑戰(zhàn)，涵蓋了對抗性攻擊、汽車平臺在安全關(guān)鍵環(huán)境中的有限能源資源及多樣化應(yīng)用案例等方面。文檔提供了一系列建議，闡述如何通過機器學(xué)習(xí)的網(wǎng)絡(luò)安全和功能安全工程來解決這些挑戰(zhàn)。同時，它還提供了對當(dāng)前網(wǎng)絡(luò)安全和功能安全工程實踐的概覽，包括最新的法律和技術(shù)前提條件。最后，我們確認了AI邊緣處理在提升嵌入式汽車系統(tǒng)的網(wǎng)絡(luò)安全和功能安全方面的作用。

01. 簡介

在汽車行業(yè)中，人工智能（AI）的發(fā)展，尤其是機器學(xué)習(xí)（ML）的發(fā)展，是推動自動駕駛和智能交通系統(tǒng)發(fā)展的主要驅(qū)動力之一，例如根據(jù)SAE J3061標(biāo)準所定義的L4和L5級別的自動化。作為AI的一個分支，ML是通過計算技術(shù)優(yōu)化模型參數(shù)的過程，使得模型的行為能夠反映數(shù)據(jù)或經(jīng)驗。隨著大數(shù)據(jù)的迅猛增長、5G/6G網(wǎng)絡(luò)的高連通性以及計算能力的加速提升，AI和ML技術(shù)的能力得到了極大的增強。在為自動駕駛技術(shù)提供有效的AI模型的同時，也必須在設(shè)計階段考慮到AI模型的網(wǎng)絡(luò)安全性、保密性、完整性和可用性，以確保部署的模型能夠抵御各種網(wǎng)絡(luò)安全威脅。特別是，應(yīng)當(dāng)對AI輔助應(yīng)用的網(wǎng)絡(luò)安全資產(chǎn)進行嚴格審查，以防ML模型的屬性被操縱和利用，進而在這些模型集成到系統(tǒng)中時引發(fā)功能和安全問題。

ML的網(wǎng)絡(luò)安全性旨在確保在整個生命周期（包括規(guī)劃、數(shù)據(jù)處理、訓(xùn)練、評估和操作階段）中對網(wǎng)絡(luò)安全威脅的抵御能力和風(fēng)險管理。ML的對抗性攻擊包括物理攻擊、邊界攻擊等，這些攻擊可以根據(jù)它們對網(wǎng)絡(luò)安全屬性的影響被分為三種類型：保密性、完整性和可用性（CIA）。如圖1所示，在整個ML生命周期中，都需考慮并實施風(fēng)險管理。

圖1. 在ML產(chǎn)品生命周期中的保密性、完整性、可用性（CIA）

針對ML的網(wǎng)絡(luò)安全工程是關(guān)于管理可能由ML引發(fā)的潛在技術(shù)風(fēng)險。在基于ML的軟件被應(yīng)用于安全關(guān)鍵型應(yīng)用之前，例如自動駕駛功能，這些系統(tǒng)的用戶必須確保其操作的高度可靠性。

圖2展示了ML模型中的安全問題示例（例如，神經(jīng)網(wǎng)絡(luò)（NN）設(shè)計缺陷）。這些缺陷將在神經(jīng)網(wǎng)絡(luò)模型之外引入錯誤，并導(dǎo)致ML功能內(nèi)在不足，最終可能導(dǎo)致事故的發(fā)生。

圖2. ML失效鏈的示例

在神經(jīng)網(wǎng)絡(luò)（NN）設(shè)計過程中引入的潛在故障包括，例如，NN架構(gòu)未正確指定，訓(xùn)練數(shù)據(jù)集未能模擬預(yù)期目標(biāo)，以及由于初始神經(jīng)元數(shù)量、連接矩陣、增長/學(xué)習(xí)函數(shù)或激活函數(shù)中的錯誤，網(wǎng)絡(luò)在訓(xùn)練前的實現(xiàn)不正確。我們從三個角度總結(jié)了在嵌入式汽車系統(tǒng)中確保ML安全所涉及的挑戰(zhàn)：(1)從ML技術(shù)角度，識別數(shù)據(jù)集和ML模型中的安全問題；(2)從安全過程角度，制定ML的標(biāo)準化安全生命周期，旨在預(yù)防ML設(shè)計和開發(fā)過程中的系統(tǒng)性故障；(3)從系統(tǒng)安全角度，識別與ML技術(shù)相關(guān)的一些架構(gòu)考慮因素，并確保在系統(tǒng)設(shè)計層面上的概念安全。必須使用系統(tǒng)安全論證策略來解釋生成的證據(jù)在何種程度上支持相關(guān)的ML安全問題。

AI邊緣處理確保了嵌入式汽車系統(tǒng)中的網(wǎng)絡(luò)安全和功能安全。以下是需要它的原因：

· 實時決策制定：邊緣處理允許AI算法直接在嵌入式汽車系統(tǒng)上運行，從而實現(xiàn)實時決策能力。在需要立即響應(yīng)以避免事故或降低風(fēng)險的網(wǎng)絡(luò)安全和功能安全關(guān)鍵場景中，這是至關(guān)重要的。

· 降低延遲：通過在邊緣設(shè)備上本地處理AI算法，消除了將數(shù)據(jù)傳輸?shù)郊惺椒?wù)器或云端進行處理的需求。這顯著降低了與數(shù)據(jù)傳輸相關(guān)的延遲，使得安全和防護措施能夠更快速、更具響應(yīng)性。

· 增強隱私和數(shù)據(jù)安全：邊緣處理確保嵌入式汽車系統(tǒng)收集的敏感數(shù)據(jù)保留在設(shè)備上，減少了將數(shù)據(jù)傳輸?shù)酵獠糠?wù)器所帶來的風(fēng)險。它有助于保護用戶隱私，并減輕了數(shù)據(jù)泄露或未經(jīng)授權(quán)訪問關(guān)鍵信息的潛在風(fēng)險。

· 增強對網(wǎng)絡(luò)中斷的魯棒性：嵌入式汽車系統(tǒng)通常在網(wǎng)絡(luò)連接有限或間歇性的環(huán)境中運行。通過利用邊緣處理，即使在網(wǎng)絡(luò)連接中斷的情況下，這些系統(tǒng)也能繼續(xù)自主運行。它確保了不依賴外部資源的持續(xù)網(wǎng)絡(luò)安全和功能安全措施。

· 減少對外部基礎(chǔ)設(shè)施的依賴：邊緣處理減少了對外部基礎(chǔ)設(shè)施（如云服務(wù)器）處理AI算法的依賴。在網(wǎng)絡(luò)連接不可靠或不可用的情況下，例如在偏遠地區(qū)或自然災(zāi)害期間，這可能特別有益。

符合安全標(biāo)準：汽車安全標(biāo)準，如ISO 26262和ISO 21448，要求嵌入式系統(tǒng)具有強大的安全措施。通過整合AI邊緣處理，汽車系統(tǒng)可以通過減少對外部因素的依賴并確保實時決策能力來滿足必要的安全要求。

總的來說，在嵌入式汽車系統(tǒng)中的AI邊緣處理對于可靠性、網(wǎng)絡(luò)安全和功能安全至關(guān)重要。可靠性側(cè)重于性能的一致性，網(wǎng)絡(luò)安全關(guān)注于防止網(wǎng)絡(luò)威脅，而功能安全強調(diào)安全關(guān)鍵性操作。在復(fù)雜系統(tǒng)中，這三個概念往往相互重疊，需要綜合考慮，以創(chuàng)造出穩(wěn)健、安全和可靠的解決方案，確保系統(tǒng)的完整性、可用性和可靠性。

在本教程中，第2節(jié)提供了與汽車行業(yè)相關(guān)的最新法規(guī)和標(biāo)準要求，涉及網(wǎng)絡(luò)安全和功能安全。第3節(jié)列出了與機器學(xué)習(xí)（ML）的網(wǎng)絡(luò)安全和功能安全相關(guān)的現(xiàn)有工作概述。考慮到特定汽車系統(tǒng)的要求，第4節(jié)提出了AI邊緣處理在未來的角色所面臨的挑戰(zhàn)和機遇。第5節(jié)得出結(jié)論。

02. 最新法規(guī)和標(biāo)準

ISO/IEC TR 24368專注于人工智能中的信任度概述，該標(biāo)準概述了責(zé)任、問責(zé)制、治理、功能安全、網(wǎng)絡(luò)安全、隱私、偏見、不可預(yù)測性和不透明性等原則。信任度是可驗證地滿足利益相關(guān)者期望的能力。網(wǎng)絡(luò)安全和功能安全評估是ML信任度分析的關(guān)鍵要素。它們是在開發(fā)任何嵌入式ML系統(tǒng)時的基本先決條件，并且是批準這類創(chuàng)新解決方案的初步步驟和綜合過程。汽車領(lǐng)域?qū)⒆裱钚【W(wǎng)絡(luò)安全保護原則。由于UNECE R155的實施，這是量化最小網(wǎng)絡(luò)安全要求的強制性規(guī)定。由ISO/SAE 21434定義的網(wǎng)絡(luò)安全保障級別（CAL）是網(wǎng)絡(luò)安全驗收標(biāo)準的額外參考。此外，美國國家標(biāo)準與技術(shù)研究院（NIST）還提供了不同類型的攻擊、防御和后果的分類安排，其中術(shù)語定義了與AI系統(tǒng)中ML的網(wǎng)絡(luò)安全相關(guān)的關(guān)鍵術(shù)語。

對于基于ML的系統(tǒng)，系統(tǒng)級別的安全要求是根據(jù)安全參考資料進行的安全分析生成的，包括ISO 26262功能安全和ISO 21448預(yù)期功能安全（SOTIF）。風(fēng)險分析，如危害分析和風(fēng)險評估（HARA）、系統(tǒng)理論過程分析（STPA）以及使用中的安全分析，是用于識別和評估系統(tǒng)級別相關(guān)危害和風(fēng)險的主要方法。操作概念、系統(tǒng)和功能規(guī)格、HARA以及系統(tǒng)安全要求是推導(dǎo)基于ML的子系統(tǒng)或組件級別的安全要求的主要輸入。ISO PAS 8800規(guī)范正在開發(fā)中，旨在解決道路車輛中與安全相關(guān)的自動駕駛?cè)蝿?wù)中廣泛的AI/ML應(yīng)用和技術(shù)。它將描述在論證AI/ML的安全性時應(yīng)滿足的一般原則，并包括AI/ML的參考安全生命周期。

03. ML網(wǎng)絡(luò)安全/功能安全問題及緩解方法

從網(wǎng)絡(luò)安全的角度來看，ML的安全性是確保AI模型能夠抵御對抗性攻擊。此外，如何在工業(yè)實踐中滿足最低網(wǎng)絡(luò)安全要求，這在最新的法規(guī)和標(biāo)準中被廣泛討論。圖3列出了在機器學(xué)習(xí)規(guī)劃、數(shù)據(jù)、訓(xùn)練、評估和操作階段的攻擊和預(yù)防措施。表1總結(jié)了上述攻擊，這些可以根據(jù)對安全屬性的妥協(xié)進行分類。具體來說，訓(xùn)練數(shù)據(jù)是神經(jīng)網(wǎng)絡(luò)開發(fā)中的一個關(guān)鍵組成部分。訓(xùn)練數(shù)據(jù)質(zhì)量的關(guān)鍵方面包括：代表性、準確性、完整性、一致性、相關(guān)性、倫理考慮、數(shù)據(jù)增強、驗證和測試集、適應(yīng)性以及隱私和安全。

圖3.機器學(xué)習(xí)生命周期中的潛在攻擊和預(yù)防

表1.根據(jù)安全屬性對ML的現(xiàn)有攻擊

從功能安全的角度來看，ML中的安全問題指的是可能對系統(tǒng)整體安全性產(chǎn)生不利影響的基礎(chǔ)性問題。它們可能是ML功能的功能或性能限制的根本原因。根據(jù)ISO 21448，功能不足是系統(tǒng)中固有的，可能導(dǎo)致危害。例如，這種不足可能以性能限制的形式出現(xiàn)，導(dǎo)致對環(huán)境的感知不完整或錯誤。安全問題還可能指一個系統(tǒng)，特別是涉及深度學(xué)習(xí)或復(fù)雜算法的系統(tǒng)，表現(xiàn)出難以理解或預(yù)測的行為，這使得論證和評估系統(tǒng)安全變得困難。針對基于ML的系統(tǒng)的功能安全工程需要一個全面的、基于證據(jù)的安全論證，以顯示所有安全問題都已被識別、分析和緩解。表2提供了安全問題、它們在系統(tǒng)級別上的影響以及推薦的緩解方法的概述。它旨在幫助ML開發(fā)者和功能安全工程師更好地理解和管理安全問題。

表2. 機器學(xué)習(xí)（ML）的安全問題及其推薦的緩解方法

04. AI邊緣處理在網(wǎng)絡(luò)安全和功能安全方面的挑戰(zhàn)與機遇

對低功耗和低延遲實時AI推理的需求推動了必須定制設(shè)計和制造的應(yīng)用特定電路和系統(tǒng)的采用。在AI系統(tǒng)的功能安全和網(wǎng)絡(luò)安全方面，本節(jié)首先強調(diào)了對集成電路（IC）制造和使用中的信任挑戰(zhàn)。接下來，參考圖4，討論了各種邊緣計算實現(xiàn)的權(quán)衡。最后，介紹了傳感器融合和仿生算法硬件協(xié)同設(shè)計方法等新興機遇。

（1）IC設(shè)計公司將制造外包給海外代工廠，以抵消半導(dǎo)體制造的高昂成本，并利用規(guī)模經(jīng)濟。然而，這種全球合作也引入了一系列威脅，包括硬件木馬（HT）的注入和被測試拒絕的IC銷售，這危及整個系統(tǒng)的安全。例如，硬件木馬被嵌入到硬件系統(tǒng)中，而無需設(shè)計者的授權(quán)。硬件木馬可以作為硬件加速器上的附加電路實現(xiàn)，占用額外的面積。此外，硬件木馬可以在FPGA查找表（LUT）網(wǎng)絡(luò)中注入，而不會產(chǎn)生面積開銷。

圖4. 實現(xiàn)大型AI模型的各種邊緣計算硬件的權(quán)衡

為了應(yīng)對硬件安全漏洞，正在進行的研究揭示了AI模塊的漏洞，以開發(fā)用于緩解安全風(fēng)險的檢測方法。另一方面，為安全而設(shè)計的架構(gòu)提供了預(yù)防措施，以防止偽造、知識產(chǎn)權(quán)盜竊和未經(jīng)授權(quán)出售不合格IC。例如，U. Guin等人介紹了一種架構(gòu)，支持在使用正確密鑰激活之前進行測試。嵌入AES加密塊以增加可滿足性（SAT）攻擊的難度。然而，在保持強大安全性的同時，必須考慮硅面積開銷。

（2）AI推理的準確性和延遲對AI系統(tǒng)的功能安全有貢獻。然而，邊緣實現(xiàn)面臨著在利用參數(shù)數(shù)量高的大規(guī)模神經(jīng)網(wǎng)絡(luò)模型的同時優(yōu)化能源和面積效率的挑戰(zhàn)。典型的馮·諾依曼架構(gòu)，包括CPU和GPU，由于內(nèi)存和處理核心之間頻繁的數(shù)據(jù)移動，需要高能耗。為了實現(xiàn)高能源效率，已經(jīng)提出了定制的硬件架構(gòu)，例如內(nèi)存中計算（CIM）和內(nèi)存附近計算（CNM），以減少各種神經(jīng)形態(tài)系統(tǒng)中的功耗。

CIM通過定位運行時內(nèi)存并以低內(nèi)存密度為代價直接在內(nèi)存內(nèi)執(zhí)行計算，最大限度地減少了功耗。例如，為了滿足計算和數(shù)據(jù)存儲的需要，通過添加額外的一對晶體管來修改典型的6T SRAM，以解耦共享一位線的每個SRAM單元，解決了計算周期中的讀擾問題，代價是降低了密度。另外，還提出了基于新型非易失性內(nèi)存的CIM解決方案，以增加密度并降低待機能耗。盡管密度得到了改善，但RRAM存在可靠性和耐久性問題。例如，由于RRAM可靠性瞬態(tài)失效，系統(tǒng)準確性可能從91.6%降低到43%。另一方面，其耐久性可以通過算法來延長。CNM提供了增強的可擴展性，但不可避免地增加了延遲。最近，除了電路級探索外，還進行了架構(gòu)級調(diào)查，實現(xiàn)了結(jié)合CIM和CNM的異構(gòu)架構(gòu)。負責(zé)系統(tǒng)級操作的算法被分割成兩部分，分別映射到CIM宏和CNM宏，利用兩個宏的優(yōu)勢。

（3）AI邊緣處理帶來了在注重安全的汽車應(yīng)用領(lǐng)域與硬件設(shè)計合作開發(fā)定制算法的挑戰(zhàn)。

傳感器融合結(jié)合多個傳感器以增強系統(tǒng)的安全性和準確性。例如，毫米波雷達傳感器和激光雷達傳感器是互補的。雷達傳感器可以在各種能見度條件下提供長檢測范圍。然而，雷達數(shù)據(jù)分辨率低，缺乏高度信息。

另一方面，激光雷達可以在短距離內(nèi)提供詳細的感知數(shù)據(jù)，但在能見度低的條件下無法工作。然而，由于毫米波雷達和激光雷達特征之間的差異，有效融合兩種傳感器并非易事。先前的研究探索了雙向激光雷達毫米波雷達融合方案，以提高3D物體檢測的準確性。在以往研究中，探索了毫米波雷達和激光雷達融合，以提供邊緣處理的早期融合和節(jié)能。AI邊緣處理需要為硬件-算法協(xié)同設(shè)計定制算法。例如，對于機器人和汽車應(yīng)用需要執(zhí)行準確的同時定位與地圖構(gòu)建（SLAM）。雖然有各種計算方法可用，但由于對大型矩陣計算、數(shù)據(jù)預(yù)處理和后處理的廣泛需求，概率SLAM（如擴展卡爾曼濾波器（EKF））對于邊緣實現(xiàn)來說并不實用。現(xiàn)有的EKF SLAM實現(xiàn)只能通過嵌入式矩陣乘法加速器部分加速EKF算法，同時仍然依賴CPU處理復(fù)雜任務(wù)，如矩陣分區(qū)、三角函數(shù)計算和數(shù)據(jù)流管理。潛在的算法開發(fā)機會正在等待，以滿足邊緣處理的嚴格要求。有研究工作展示了一種生物啟發(fā)式的輕量級SLAM算法及其低功耗邊緣硬件實現(xiàn)。然而，需要進一步的工作，通過傳感器融合來提高其魯棒性，并提高其準確性和精度。

05. 結(jié)論

本教程深入探討了在嵌入式汽車系統(tǒng)中人工智能（AI）面臨的網(wǎng)絡(luò)安全和功能安全的重大挑戰(zhàn)。這些挑戰(zhàn)涵蓋了一系列因素。教程提供了適應(yīng)機器學(xué)習(xí)的網(wǎng)絡(luò)安全和功能安全工程的概述和建議。此外，它還提供了網(wǎng)絡(luò)安全和功能安全工程中最新法規(guī)和標(biāo)準的概述。最后，教程強調(diào)了AI邊緣處理在嵌入式汽車系統(tǒng)中加強網(wǎng)絡(luò)安全和功能安全的重要性。它實現(xiàn)了即時決策制定，最小化延遲，加強數(shù)據(jù)隱私和安全，保證網(wǎng)絡(luò)中斷時的彈性，減少對外部基礎(chǔ)設(shè)施的依賴，并促進遵守重要的安全標(biāo)準。