本发明涉及一种自主无人系统安全辅助系统。
背景技术:
自主无人系统是替代人类在多种环境下执行预定任务的一类具有自主行为能力的智能系统,它一般由无人平台、指挥控制端、天-空-地信息网络等组成,可在人类视距之外工作,拥有自主规划、自主识别、自主决策、自主控制、自主协同等能力。自主无人系统是人工智能的重要应用之一。自主无人系统一般包括无人机、无人船、无人车、机器人等。
随着自主无人系统进入应用的脚步逐步加快,人们对于此类基于程序执行任务的工具可能被用于恶意目的的担忧从未停止。相较于有人直接操作控制的智能系统,自主无人系统的安全威胁与风险具有“远离视线”、“自主智能”等特殊性。有人操作的系统在发生系统错误时尚且可以人工干预断电断线重启等应急纠错手段及时纠正,而自主无人系统一旦被攻击成功或者内部程序执行出现错乱,将直接导致任务执行受影响、决策执行被干扰,甚至相关系统平台被攻击者接管,进而控制执行危害社会安全的指令等严重影响。特别是自主无人系统大多依赖人工智能算法进行自主决策,而人工智能算法模型与训练集的可靠与安全无法确定,随着对自主无人系统业务需求种类的飞速增长,系统对于人工智能算法的依赖也日益提高。而作为算法“黑箱”的人工智能无法提供其机理的解释性,则其结果正确性与安全性也难以量化,同时深度学习模型也存在泄露的风险。
目前,自主无人系统的安全手段大多是借鉴传统信息系统的安全防护技术,缺乏针对自主无人系统自主智能决策的安全保障技术,特别是人工智能算法的不可解释性,一旦出现事故,无法对事故进行分析还原,也就无法判断事故原因,不能进一步提高自主无人系统的安全性,自主无人系统的应用也会受到影响。
技术实现要素:
针对自主无人系统面临的以上问题,本发明的目的是提供一种自主无人系统安全辅助系统。安全辅助系统能够实现车辆感知信息、决策信息和控制信息的安全可靠记录和读取,为事故进行分析还原、事故原因定位、日常驾驶习惯分析等提供决策依据。
为达到上述目标,本发明采用如下技术方案:
一种自主无人系统安全辅助系统,包括安全boot模块,可重构接口模块,感知决策控制和预警数据解析与融合模块,结构化数据统一描述模块,关键快照数据解析与融合模块,快照数据处理与统一记录模块,存储器控制1模块,存储器控制2模块,异构冗余的存储器模块;所述安全boot模块连接其余模块,所述可重构接口模块分别连接感知决策控制和预警数据解析与融合模块和关键快照数据解析与融合模块;所述感知决策控制和预警数据解析与融合模块连接结构化数据统一描述模块,所述结构化数据统一描述模块连接存储器控制1模块;所述关键快照数据解析与融合模块连接快照数据处理与统一记录模块,所述快照数据处理与统一记录模块连接存储器控制2模块,所述存储器控制1模块和存储器控制2模块分别连接异构冗余的存储器模块;其中,
所述安全boot模块,用于实现安全辅助系统与自主无人系统的安全启动,内部包含异构冗余的存储介质和引导固件,引导启动之前首先对系统进行认证,以防止系统和程序篡改;
所述可重构接口模块,根据接口协议的不同进行定义,满足多样化接口协议需求;
所述感知决策控制和预警数据解析与融合模块,负责对自主无人系统前装感知、决策、控制数据以及后装的感知及预警数据进行解析和融合;
所述结构化数据统一描述模块,负责对感知、决策、控制以及预警的结构化数据进行统一描述与表示,采用统一的数据结构和描述语言对多样化的感知、决策、控制及预警数据进行建模和表示;
所述关键快照数据解析与融合模块,负责对前装和后装的智能辅助系统产生的关键快照数据进行解析和融合;
所述快照数据处理与统一记录模块,负责对关键快照数据进行统一格式的处理和描述;采用统一标准的数据格式和表示方法对不同厂家智能辅助系统产生的关键快照数据进行统一描述,便于存储记录;
所述存储器控制1模块,负责对异构冗余的存储器介质进行控制和管理,将统一描述的感知、决策、控制与预警数据写入异构冗余的存储器,并为外界提供记录读取接口;
所述存储器控制2模块,负责对异构冗余的存储器介质进行控制和管理,将统一描述的关键快照数据写入异构冗余的存储器,并为外界提供记录读取接口;
所述异构冗余的存储器模块,由不同介质或结构的异构冗余存储器组成,负责存储统一描述的数据,采用异构冗余的方式保证所存储数据的安全和可信。
所述模块均采用硬件实现:其中,安全boot模块采用fpga flash硬件的方式实现,可重构接口模块、感知决策控制和预警数据解析与融合模块、结构化数据统一描述模块、关键快照数据解析与融合模块、快照数据处理与统一记录模块、存储器控制1模块、存储器控制2模块采用fpga硬件方式实现,异构冗余存储器模块采用异构冗余存储器的硬件方式实现,尽量减少系统的攻击面,保证安全辅助系统自身的安全可靠。
系统可信启动通过安全boot模块实现,安全boot模块包含rom模块、引导固件、安全操作系统;其中rom模块存储不能更改的签名、密钥信息,用于对操作系统启动过程的加密与认证,为确保rom模块自身的安全性,rom模块采取异构冗余的设计方式,分别有三种不同的方式对签名、密钥等信息进行存储;引导固件基于rom信息引导启动安全操作系统,待安全操作系统启动完成后再引导自主无人系统的操作系统进行启动;系统启动整个过程的每个步骤都需要前一个步骤的认证,从而确保自主无人系统的操作系统安全。
系统内部模块之间为单向单线联系:单向联系是指安全辅助系统只从自主无人系统获取操作数据、场景数据和关键快照数据,不对自主无人系统进行任何操作;单线联系是指安全辅助系统内部模块之间采取流水线单向操作模式,上一级模块处理完数据将数据交由下一级模块处理,除此之外,模块之间不产生任何操作,相互之间隔离,保证安全辅助系统内部操作的安全可靠。
系统内部数据采取异构冗余存储模式,数据分别存放不同介质或不同结构的存储器中,读取数据时进行数据比对,防止数据篡改。
所述感知决策控制和预警数据解析与融合模块和关键快照数据解析与融合模块,采用可重构解析模式,能够针对不同结构的数据定义解析功能,实现解析功能的可重构,动态适应不同厂家私有的结构化数据,满足多样化的感知数据需求。
与现有技术相比,本发明具有如下的突出的实质性特点和显著的特征:
本发明的安全辅助系统不仅能够保证自主无人系统的安全启动,还能够实现车辆感知信息、决策信息和控制信息的安全可靠记录和读取,为事故进行分析还原、事故原因定位、日常驾驶习惯分析等提供决策依据。本发明能够有效提高自主无人系统的鲁棒性与安全性保障。
附图说明
图1是一种自主无人系统安全辅助系统内部结构示意图。
图2是本发明系统的工作流程示意图。
具体实施方式
下面结合附图对本发明的具体实施例作进一步描述。
如图1所示,一种自主无人系统安全辅助系统,包括安全boot模块,可重构接口模块,感知决策控制和预警数据解析与融合模块,结构化数据统一描述模块,关键快照数据解析与融合模块,快照数据处理与统一记录模块,存储器控制1模块,存储器控制2模块,异构冗余的存储器模块;所述安全boot模块连接其余模块,所述可重构接口模块分别连接感知决策控制和预警数据解析与融合模块和关键快照数据解析与融合模块;所述感知决策控制和预警数据解析与融合模块连接结构化数据统一描述模块,所述结构化数据统一描述模块连接存储器控制1模块;所述关键快照数据解析与融合模块连接快照数据处理与统一记录模块,所述快照数据处理与统一记录模块连接存储器控制2模块,所述存储器控制1模块和存储器控制2模块分别连接异构冗余的存储器模块;其中,
(1)安全boot模块,基于逐级认证的方法,用于实现安全辅助系统与自主无人系统的安全启动,其内部包含异构冗余的存储介质和引导固件,引导启动之前首先对系统进行认证,以防止系统和程序篡改。
(2)可重构接口模块,由于自主无人系统前装(出厂前预装)系统以及后装(出场后安装)系统接口协议多样且无统一标准,因此,需要安全辅助系统能够支持多样化的接口协议。可重构接口模块采用fpga硬件编程实现,可以根据接口协议的不同进行定义,满足多样化接口协议需求。
(3)感知决策控制和预警数据解析与融合模块,该模块负责对自主无人系统前装感知、决策、控制数据以及后装的感知及预警数据进行解析和融合。由于自主无人系统前装和后装的各种智能辅助系统输出的大多为私有化结构数据,数据协议格式各不相同,且针对同一物体有不同的感知数据,比如摄像头与雷达系统感知数据等,因此首先需要对大量多样的私有结构化数据进行解析,然后根据场景进行融合。
(4)结构化数据统一描述模块,该模块负责对感知、决策、控制以及预警的结构化数据进行统一描述与表示。采用统一的数据结构和描述语言对多样化的感知、决策、控制及预警数据进行建模和表示。
(5)关键快照数据解析与融合模块,该模块负责对前装和后装的智能辅助系统产生的关键快照数据进行解析和融合。由于当前并没有统一的标准,不同厂家生产的智能辅助系统产生的关键快照数据格式为私有定义格式,因此需要专门的解析与融合模块进行关键快照数据的解析与融合。
(6)快照数据处理与统一记录模块,该模块负责对关键快照数据进行统一格式的处理和描述。采用统一标准的数据格式和表示方法对不同厂家智能辅助系统产生的关键快照数据进行统一描述,便于存储记录。
(7)存储器控制1模块,该模块负责对异构冗余的存储器介质进行控制和管理,将统一描述的感知、决策、控制与预警数据写入异构冗余的存储器,并为外界提供记录读取接口,采用异构冗余的存储器保证存储数据的安全。
(8)存储器控制2模块,该模块负责对异构冗余的存储器介质进行控制和管理,将统一描述的关键快照数据写入异构冗余的存储器,并为外界提供记录读取接口,采用异构冗余的存储器保证存储数据的安全。
(9)异构冗余的存储器模块,该模块由不同介质或结构的异构冗余存储器组成,负责存储统一描述的数据,采用异构冗余的方式是为了保证所存储数据的安全和可信。
如图2所示,本实施例自主无人系统安全辅助系统工作流程如下:
(1)安全辅助系统安全启动,
(1.1)接收到自主无人系统外部的启动命令后,首先对安全辅助系统进行认证,认证通过以后启动安全辅助系统;如果认证失败,说明安全辅助系统存在安全隐患,禁止安全辅助系统启动;
(1.2)安全辅助系统启动以后,同时开始安全辅助系统中应用和自主无人系统的安全认证,认证通过以后,启动安全辅助系统中的应用以及启动自主无人系统;
(1.3)自主无人系统启动以后,开始自主无人系统中应用和程序的认证,认证通过以后,开始启动自主无人系统中的应用和程序;认证失败,则意味应用和程序可能存在安全隐患,禁止启动,下线进行检测。
(2)安全辅助系统可重构接口模块读取自主无人系统输出的感知、决策、控制、预警以及关键快照数据,并将数据分别送到相应的下级模块;
(3)解析与融合模块分别对接收到的各种类型各种结构的数据进行解析,解析以后根据场景物体类型、属性等进行数据融合,比如雷达和摄像头对同一物体的感知数据,数据融合以后发送至下一级模块进行处理;
(4)结构化数据统一描述模块采用统一的场景描述模型和语言对融合数据进行场景建模和描述;快照数据处理与统一记录模块采用统一记录方式对融合后的关键快照数据进行统一存储并实现快速检索机制;
(5)存储控制器模块控制异构冗余存储器的读写,负责将统一描述的数据存入异构冗余存储器,并对外提供读取数据的接口。
1.一种自主无人系统安全辅助系统,其特征在于,包括安全boot模块,可重构接口模块,感知决策控制和预警数据解析与融合模块,结构化数据统一描述模块,关键快照数据解析与融合模块,快照数据处理与统一记录模块,存储器控制1模块,存储器控制2模块,异构冗余的存储器模块;所述安全boot模块连接其余模块,所述可重构接口模块分别连接感知决策控制和预警数据解析与融合模块和关键快照数据解析与融合模块;所述感知决策控制和预警数据解析与融合模块连接结构化数据统一描述模块,所述结构化数据统一描述模块连接存储器控制1模块;所述关键快照数据解析与融合模块连接快照数据处理与统一记录模块,所述快照数据处理与统一记录模块连接存储器控制2模块,所述存储器控制1模块和存储器控制2模块分别连接异构冗余的存储器模块;其中,
所述安全boot模块,用于实现安全辅助系统与自主无人系统的安全启动,内部包含异构冗余的存储介质和引导固件,引导启动之前首先对系统进行认证,以防止系统和程序篡改;
所述可重构接口模块,根据接口协议的不同进行定义,满足多样化接口协议需求;
所述感知决策控制和预警数据解析与融合模块,负责对自主无人系统前装感知、决策、控制数据以及后装的感知及预警数据进行解析和融合;
所述结构化数据统一描述模块,负责对感知、决策、控制以及预警的结构化数据进行统一描述与表示,采用统一的数据结构和描述语言对多样化的感知、决策、控制及预警数据进行建模和表示;
所述关键快照数据解析与融合模块,负责对前装和后装的智能辅助系统产生的关键快照数据进行解析和融合;
所述快照数据处理与统一记录模块,负责对关键快照数据进行统一格式的处理和描述;采用统一标准的数据格式和表示方法对不同厂家智能辅助系统产生的关键快照数据进行统一描述,便于存储记录;
所述存储器控制1模块,负责对异构冗余的存储器介质进行控制和管理,将统一描述的感知、决策、控制与预警数据写入异构冗余的存储器,并为外界提供记录读取接口;
所述存储器控制2模块,负责对异构冗余的存储器介质进行控制和管理,将统一描述的关键快照数据写入异构冗余的存储器,并为外界提供记录读取接口;
所述异构冗余的存储器模块,由不同介质或结构的异构冗余存储器组成,负责存储统一描述的数据,采用异构冗余的方式保证所存储数据的安全和可信。
2.根据权利要求1所述的自主无人系统安全辅助系统,其特征在于,所述模块均采用硬件实现:其中,安全boot模块采用fpga flash硬件的方式实现,可重构接口模块、感知决策控制和预警数据解析与融合模块、结构化数据统一描述模块、关键快照数据解析与融合模块、快照数据处理与统一记录模块、存储器控制1模块、存储器控制2模块采用fpga硬件方式实现,异构冗余存储器模块采用异构冗余存储器的硬件方式实现,尽量减少系统的攻击面,保证安全辅助系统自身的安全可靠。
3.根据权利要求1所述的自主无人系统安全辅助系统,其特征在于,系统可信启动通过安全boot模块实现,安全boot模块包含rom模块、引导固件、安全操作系统;其中rom模块存储不能更改的签名、密钥信息,用于对操作系统启动过程的加密与认证,为确保rom模块自身的安全性,rom模块采取异构冗余的设计方式,分别有三种不同的方式对签名、密钥等信息进行存储;引导固件基于rom信息引导启动安全操作系统,待安全操作系统启动完成后再引导自主无人系统的操作系统进行启动;系统启动整个过程的每个步骤都需要前一个步骤的认证,从而确保自主无人系统的操作系统安全。
4.根据权利要求1所述的自主无人系统安全辅助系统,其特征在于,系统内部模块之间为单向单线联系:单向联系是指安全辅助系统只从自主无人系统获取操作数据、场景数据和关键快照数据,不对自主无人系统进行任何操作;单线联系是指安全辅助系统内部模块之间采取流水线单向操作模式,上一级模块处理完数据将数据交由下一级模块处理,除此之外,模块之间不产生任何操作,相互之间隔离,保证安全辅助系统内部操作的安全可靠。
5.根据权利要求1所述的自主无人系统安全辅助系统,其特征在于,系统内部数据采取异构冗余存储模式,数据分别存放不同介质或不同结构的存储器中,读取数据时进行数据比对,防止数据篡改。
6.根据权利要求1所述的自主无人系统安全辅助系统,其特征在于,所述感知决策控制和预警数据解析与融合模块和关键快照数据解析与融合模块,采用可重构解析模式,能够针对不同结构的数据定义解析功能,实现解析功能的可重构,动态适应不同厂家私有的结构化数据,满足多样化的感知数据需求。
技术总结