广告

用智能手机“召唤”汽车时可能面临哪些潜在威胁?

时间:2019-12-23 作者:Junko Yoshida 阅读:
消费级手机设计是否足够安全以控制任务关键型系统?我们是否已考虑清楚用智能手机来“召唤”汽车时可能面临的潜在威胁?
广告
ASPENCORE

智能手机已经主宰了我们的生活和整个世界。但是,应该让它们也接管那些安全攸关的系统吗?RNWEETC-电子工程专辑

您应该还不至于像某位对推特(Twitter)上瘾的总统那样,一整天都“黏”在手机上;不过,我们还是必须面对一个现实:你出门绝对不会忘记带手机。RNWEETC-电子工程专辑

对于行动应用程序(app)开发人员和硬件系统工程师而言,无处不在的智能手机自然而然地成为执行其App和控制其系统时最具吸引力的平台了。RNWEETC-电子工程专辑

目前的智能手机已经可以在远程锁定房屋和汽车、开灯关灯以及控制窗帘开关了,甚至还可以用来应门和监测心率等。RNWEETC-电子工程专辑

那么,为什么不干脆再多要求些功能?RNWEETC-电子工程专辑

然而,如今要讨论的问题是,消费级手机设计是否足够安全,可用于控制任务关键型系统吗?或者更直接地说,我们是否考虑清楚了使用消费级智能手机可能带来的所有潜在威胁和后果?例如用它来远程“召唤”一辆车?RNWEETC-电子工程专辑

智能手机作为“任务接口”

在此讨论一个典型的例子:特斯拉(Tesla)的一位客户上个月曾经在Twitter发表了一则推文(tweet)。他声称有一次当他用iPhone召唤他的特斯拉时,手机屏幕上忽然弹出了低电池电量的警告,而当他移开手指想中止“召唤”指令时,iPhone却忽略了移开手指的动作,导致他的特斯拉继续向前开来。他写道:“这是我遇到过的『模态对话』(modal dialog)方块问题,太可怕了。当低电量警告出现时,应该随即停止召唤动作才是。”RNWEETC-电子工程专辑

RNWEETC-电子工程专辑

电池电量低并不是什么罕见的现象。那么,当手机快要没电时,操作者无法传达“停止”(STOP)讯号时,如何让车辆停下来?是否有备案或安全计划?RNWEETC-电子工程专辑

这并不是说应该禁止使用智能手机。但是,安全攸关系统的设计人员应该为这些命令和控制系统的消费级装置设计一项备份计划。RNWEETC-电子工程专辑

顺道一提,在UL 4600标准草案中,有关“与人和动物互动”的那一章节中明确指出由于装置电池电量不足可能造成的潜在危害和风险(第97页):RNWEETC-电子工程专辑

1) 通讯装置在任务执行期间发生故障造成的影响RNWEETC-电子工程专辑

示例:作为任务接口的用户手机电池电量耗尽RNWEETC-电子工程专辑

UL 4600是自动驾驶产品的第一个综合安全标准,目前正由UL 4600利益相关方委员会进行初步审查中。RNWEETC-电子工程专辑

无论如何,如果这种用户体验是真的,那么使用智能手机控制车辆,就是一个典型 #DidYouThinkofThat 的问题。RNWEETC-电子工程专辑

《EE Times》最近采访了美国知名杂志《消费者报告》(Consumer Reports),以了解他们是否听说或测试过智能手机在电量即将耗尽时对“智能召唤”功能(Smart Summon)的影响。RNWEETC-电子工程专辑

《消费者报告》自动测试总监Jake Fisher指出,他们尚未针对智能手机出现电量不足警告时的Smart Summon功能进行测试。但他测试过当手机出现来电、信息或facetime请求时接管屏幕的类似功能。在这些情况下,特斯拉确实应该先喊“卡”。RNWEETC-电子工程专辑

Fisher无法重建该场景——即特斯拉车主使用Smart Summon功能时,手机恰好出现电池电量不足的警告。他说:“这种提示(电池电量不足警告)很难重现。”RNWEETC-电子工程专辑

20191223-201.jpgRNWEETC-电子工程专辑
RNWEETC-电子工程专辑
2016年,当特斯拉首次推出“召唤”(Summon)功能Beta版时(非“智能召唤”),《消费者报告》也曾经做过测试。RNWEETC-电子工程专辑

当时,《消费者报告》指出,“召唤功能带来不必要的风险”。特斯拉V7.1软件更新版的Summon功能的设计,最初是为了与遥控钥匙或特斯拉智能手机App配合使用。当时的《消费者报告》是这么写道:RNWEETC-电子工程专辑

“……我们开始担心,在紧急情况下使用者可能无法立即将车子停下来,例如他们可能一紧张就按错遥控钥匙的按钮,因为那些按钮并没有明确的标记,或者不小心掉了钥匙。透过iPhone 6S上的特斯拉App进行操作时也出现了问题。当我们在汽车行驶中关闭了App (这种意外很可能发生),汽车却还在继续行驶。”RNWEETC-电子工程专辑

当时,《消费者报告》给特斯拉的建议是,“特斯拉的控制应设计为『警醒开关』(dead-man’s switch)操作,它需要使用者持续地以触觉来进行操作。”BMW已经实施了类似设计,其欧洲版7系列(7-Series)车款配备的遥控停车功能即需要车主持续长握遥控钥匙,才能保持车辆的移动。RNWEETC-电子工程专辑

Fisher告诉我们,为了解释这个问题,他的团队曾经与特斯拉CEO马斯克(Elon Musk)、特斯拉的工程团队进行了40多分钟的交谈。最终,特斯拉听取了他们的意见,开发了“一种新的软件升级程序,限制Summon的操作仅可在手机App上使用,并要求用户的手指必须持续长按住手机屏幕——基本上就是将其作为警醒开关来操作。”RNWEETC-电子工程专辑

现在的Smart Summon功能要求车主持续长按住手机,即是基于警醒开关的经验而设计的。RNWEETC-电子工程专辑

然而,到目前为止,关于以低电量手机执行Smart Summon功能可能带来什么意外的后果,《消费者报告》尚未与特斯拉有更多的讨论。RNWEETC-电子工程专辑

特斯拉是一种IoT装置

在连网的“智慧家庭”(smart home)场景中,物联网(IoT)市场中充斥着消费者经历的各种安全漏洞警告,以及透过智能手机控制各种家庭装置造成麻烦的种种抱怨。例如,使用的智能手机是Android还是iPhone?哪一种型号?哪一个OS版本?连接的家庭装置五花八门,从门廊灯到百叶窗,各种连接复杂程度堪称噩梦。RNWEETC-电子工程专辑
准确地说,特斯拉的Smart Summon也算是一种IoT技术。正如VSI Labs创办人兼负责人Phil Magney所指出的,「“Smart Summon需要永不断线的因特网(Internet)联机才能正常工作,因此,它依赖于蜂窝网络。”RNWEETC-电子工程专辑

问题是,针对生命安全和数据保护方面,特斯拉对于Smart Summon功能究竟进行了多少压力测试?RNWEETC-电子工程专辑

概括地说,Smart Summon所需的技术建构模块包括:视线(这是基于安全目的;距离操作员的极限距离约为200英呎)、蜂窝数据连接以及手机中的GPS系统(用于确定操作员的位置) 。但是正如Magney所言,Smart Summon完全透过云端完成,“手机与车辆之间并未直接通讯。”RNWEETC-电子工程专辑

Magney补充说:“高层级的路径规划是在云端中制定的(最终呈现在手机上),但是战术演练(如感应车辆周围、避开物体等)则由车辆动态地执行。”RNWEETC-电子工程专辑

Magney认为,Twitter上提到车辆在手机电池电量不足时仍持续运转的这个说法“很有趣”。但是他补充说,“一旦断开连接,根据我的经验,车辆应该就会停下来。”RNWEETC-电子工程专辑

但是,这又引发了另一个问题,如果车子离原定目的地还很远时,手机突然断线了,又将会发生什么?RNWEETC-电子工程专辑

车子可不是玩具

The Linley Group资深分析师Mike Demler表示:“我认为低电池电量问题只是Elon Musk最近的诡计之一。美国国家公路交通安全管理局(NHTSA)应该取缔它,这太危险了!”RNWEETC-电子工程专辑

Demler还提到特斯拉的另一个问题,即其侧面超音波传感器无法检测车库门的开启状态,他说,“这很容易导致汽车碰撞儿童、轮椅、婴儿车或其他任何在附近的物体。”RNWEETC-电子工程专辑

实际上,车主们报告过很多起特斯拉的缺陷,如车辆无法直线行驶,它左摇右摆或驶过路面,甚至在单行道上逆向行驶等。RNWEETC-电子工程专辑

简而言之, Demler指出:“特斯拉不能再把车子当成玩具了。一台2吨重的无人机如果失控就可能成为杀人机器。”RNWEETC-电子工程专辑

责编:Yvonne GengRNWEETC-电子工程专辑

(参考原文:Are Smartphones Equipped to Control a Vehicle?,by Junko Yoshida)RNWEETC-电子工程专辑

本文同步刊登于电子技术设计杂志2019年12月刊RNWEETC-电子工程专辑

 RNWEETC-电子工程专辑

ASPENCORE
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
Junko Yoshida
ASPENCORE全球联席总编辑,首席国际特派记者。曾任把口记者(beat reporter)和EE Times主编的Junko Yoshida现在把更多时间用来报道全球电子行业,尤其关注中国。 她的关注重点一直是新兴技术和商业模式,新一代消费电子产品往往诞生于此。 她现在正在增加对中国半导体制造商的报道,撰写关于晶圆厂和无晶圆厂制造商的规划。 此外,她还为EE Times的Designlines栏目提供汽车、物联网和无线/网络服务相关内容。 自1990年以来,她一直在为EE Times提供内容。
  • 硅谷50年来最大商业秘密犯罪案,谷歌前工程师获刑一年半 北京时间5日消息,美国旧金山地方法官威廉·阿尔萨普(William Alsup)周二裁定,判处谷歌前工程师安东尼-莱万多夫斯基(Anthony Levandowski)一年半监禁,因其在2016年窃取谷歌自动驾驶汽车相关的商业秘密,并在几个月后加入Uber的自动驾驶部门。
  • 30家国产MCU厂商综合实力对比 ASPENCORE旗下《电子工程专辑》分析师团队经过半年的第一手跟踪调查和分析,加上各家公司的官网信息和公开数据,挑选出30家国内MCU厂商,并对他们进行了适当的量化评估和综合实力陈述。这是继《中国IC设计行业30家上市公司综合实力排名》分析报告之后,China Fabless 100系列行业分析的又一重量级报告,相信会让读者更加全面而深入地了解中国MCU市场及国内MCU厂商的现状和未来发展趋势。
  • 汇顶科技宣布收购德国芯片设计公司DCT 8月3日,汇顶科技宣布已完成收购系统级芯片设计公司德国Dream Chip Technologies GmbH (下称“DCT”)。据了解,这是汇顶科技为推进多元化发展战略之举,有助于深化汇顶科技在智能终端、汽车电子、图像处理等领域的技术创新及应用落地。
  • 谁说驾驶员监控系统(DMS)只是一种临时过渡方案? 是时候认真看待驾驶员监控系统(DMS)了!究竟是选DMS还是自动驾驶还是自己拿主意。只是请一定确保完全了解Euro NCAP和欧洲GSR规范对驾驶员监控的要求,包括驾驶员困意和注意力分散监控。
  • 最严苛的ISO 26262认证,如何带来最放心的汽车安全? 汽车功能安全标准 ISO 26262是汽车领域的电气/电子相关功能安全国际标准,贯穿于整个车辆的生命周期。在2018年颁布的第2版中,还新增了半导体元器件作为支持自动驾驶功能安全的核心产品。如何在取得ISO 26262认证过程中做好流程认证、产品认证、开发端口协议责任等细致完备的工作,对每一家企业来说都绝非易事。
  • 汇顶 X 索纳塔:国产车规级触控方案打入国际车企 7月22日,现代B级车第十代索纳塔(SONATA)登陆中国市场。其智能座舱采用绕式双连屏中控台,其中12.3英寸8:3的中控大屏采用汇顶科技车规级触控方案。现代全新索纳塔的上市,也标志着汇顶科技汽车电子产品获得了国际汽车品牌认可……
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了