SASETECH
是国内首个由汽车安全专家发起组建的技术社区,致力于为汽车安全的从业者提供交流、学习、合作的中立性平台。
引言
厘清功能安全VS预期功能安全
VS网络安全的关系
功能安全/预期功能安全/网络安全是解决智能网联汽车安全的三大方法论,三者即相互关联各有侧重,本文尝试来厘清三者的关系。
➡本文主要内容分为2个部分(约2700字,10钟阅读)
随着汽车的智能网联化,电子电气系统在车上扮演的角色越来越重要,其安全性也越来越受到重视。功能安全/预期功能安全/信息安全都是解决电子电气系统安全的方法论,三者既相互关联又有各自不同的侧重点,电子电气系统的安全通常需要综合三个维度考虑、互相补充来解决,这一定程度上让它们的关系和边界变得没有那么容易划分清楚,本文尝试来厘清三者的关系。
和不少⼈交流发现,对于题⽬中⼏个概念的理解,有时候⼤家在理解上还是不太清晰,希望通过本⽂为⼤家梳理清楚这⼏个概念,以及它们之间的关系。
先来对⼀些基础的概念做⼀下对应。
功能安全:英文Functional Safety,很多资料使用 FuSa表述(两个单词的前两个字⺟),对应标准ISO26262;
预期功能安全:英⽂Safety Of The Intended Functionality,取⾸字母缩写为SOTIF,⼤家见到的基本都是用SOTIF,对应的标准ISO21448;
网络安全:英⽂Cyber Security,对应的标准ISO21434。
功能安全,旨在防止由于电子电气故障引起的(对人的)危害,其核心点在于规避故障,所以它解决的是电子电气系统的故障问题。对电子电气系统而言,主要存在两类故障,一类是随机性故障(硬件随机发⽣,不可避免和消除,只能控制),另⼀类是系统性故障(⼈为错误导致,通过流程和异构冗余机制避免)。
预期功能安全,从字面上理解,它主要强调功能的预期性,主要防⽌因为功能和预期存在不⼀致引起的风险,进而对预期不⼀致产⽣的原因做了限定:性能局限或误用。 性能局限比如超出了传感器的标称精度导致的感知不准确,误用即⼈对功能错误的使用。可以看到,这个时候系统并没有出现故障,是完全正常的运行状态。所以预期功能安全侧重于解决系统在⾮故障状态下,仍然可能面临的风险。
网络安全,有些地方将其翻译为信息安全,个人觉得网络安全更加精准和贴切,当然这里的网络不应简单的理解为仅仅指的互联网,相关项对外界开放一定的控制接口并通过一定的通信方式进行控制交互的,都属于这里的网络安全关注范畴,包括互联网、4G/5G,甚至还包括相关项与相关项之间的CAN通信等。它主要是防止由于重要的控制系统对外部开放了控制接口而导致被蓄意/恶意攻击导致⻛险。
接下来重点分析⼀下三者的关系。
功能安全、预期功能安全、网络安全三者的共性: 都是解决电子电气系统的风险问题, 实施的流程步骤也⼤体相似,都是要进行危害分析,安全机制设计,安全确认等。其差异点在于产⽣危害的原因:功能安全产生危害的原因是故障;预期功能安全产⽣危害的原因是非故障的性能局限或误用;网络安全产生危害的原因是恶意的主动攻击。
由此可见, 三者的关系是递进式的来保证电子电气系统安全运行的:功能安全是基础,一个是电子电气系统,⾸先要解决的就是故障问题,如果连故障问题都解决不了,那安全的基础就不存在;其次是预期功能安全,系统没有故障的情况下,是不是会因为性能不足或人为的误用引起的风险?通过限制功能或改进系统来达到规避这样的风险, 功能安全和预期功能安全两者叠加在⼀起,共同保证系统自身的(内部)安全,即系统在没有受到外部主动攻击的情况下的安全;网络安全是更大的⼀道防线,即在前两者共同保证系统自身内部安全的前提下,进⼀步规避系统受到外部⼈为恶意攻击带来的风险,通过审视电子电气系统⼀切与外部可以连接、易受到攻击的环节,并制定合理的防范机制。
综上,⼀个安全相关的电子电气系统的安全运行,需要从功能安全、预期功能安全、网络安全三个层面上共同去解决,互为补充,缺⼀不可,任何⼀个层面上出现短板,都会导致其他两个层面的考虑功亏⼀篑。比如,⼀个系统,即便从功能安全和预期功能安全层面设计的安全机制近乎完美,但系统与外部连接的安全没有防范机制,同样是达不到应有的功能安全等级的。
对一些典型问题的思考
#1
近⼏年,信息安全&网络安全为啥备受重视,国内相关标准强制化?
作者观点:
两个层⾯, 数据&隐私安全,出于对个人信息保护的强化;汽车智能网联化:汽车上安全相关的系统与系统之间的连通性以及汽车与云端/外界网络的互联性大大增强,导致网络安全风险的攻击面大大增加。⾃动驾驶系统将汽车从感知单元、到⾃动驾驶处理单元、再到汽车横纵向控制串联成⼀个整体,使得汽车只要受到任⼀个部分的攻击都可能造成失控风险,比如要让汽车出现意外加速,对智能网联汽车而言,只需要攻击让传感器->自动驾驶控制单元->车辆动力控制单元控制链上的任意⼀环,而自动驾驶系统又不可避免的需要接⼊互联网(云端数据交换等需求),这极大的增加了网络安全实现的难度(既需要系统保持正常的联网又需要保证不被⼈恶攻击);相比对于传统汽车要达到相同的攻击效果,只有攻击动⼒相关的控制系统这⼀条路径,并且出于安全考虑动力控制系统根本不会接⼊网络,所以基本上不需要额外考虑额外的网络安全机制。这就是为什么对智能网联汽车而言,网络安全⼀定是⽆法回避的话题,功能安全和预期功能安全同样是。
预期功能安全仅适用于自动驾驶吗?
作者观点:
提到预期功能安全,很多人通常会认为只和自动驾驶有关系,其实不然,所有的自动化功能都可能产生预期功能风险。比如,汽车上的玻璃⼀键自动升降功能也有预期功能安全的话题:玻璃自动上升过程中夹伤⼈的风险与预期功能安全有一定关联,当然由于车窗防夹设计一般采用电机堵转阈值检测等方案来实现防夹功能,属于比较成熟可信的技术方案,可以归为SOTIF标准里面的well-established & well-trusted design了,所以不需要进行重点的SOTIF开发了,但从范畴上讲,仍应归属到SOTIF范畴,原因是一键升窗功能即使不做防夹功能,从功能安全角度上仍具备功能的完备性,只是在SOTIF维度的功能完备性不充分(随着SOTIF概念逐渐完善,原来一些功能安全标准里考虑的合理可预见的误用会逐步迁移到SOTIF)。那为什么⼀提到预期功能安全就会自然地联想到自动驾驶呢?这是因为⾃动驾驶让汽⻋自动化程度产生质的飞跃,各种传感器局限性、算法上的不足&不可预知性、人员误用等问题成为无法忽视的对系统安全产生重大影响的问题,上升到必须要建立一套完整的方法论来解决这些问题,这套方法论,就是SOTIF。所以,对自动驾驶,尤其是高阶(L3,L4,L5),预期功能安全也是绕不过去的坎。
#2
END
免责声明:如涉及侵权请及时与我们联系反馈,我们会在第一时间做更正声明或做删除处理。文章版权及解释权归原作者及发布单位所有,仅供参考学习。
往 期 精 选
JOIN US
SASETECH
原文始发于微信公众号(sasetech):厘清功能安全VS预期功能安全VS网络安全的关系
