广告

浅谈汽车领域的安全三连:Safety、Security和SOTIF (1)

2021-11-23 14:45:44 张心泉 阅读:
功能安全(FuSa)、信息安全(Cybersecurity)和预期功能安全(SOTIF)是今天谈到汽车安全必须提的三个话题。这几个安全话题彼此不同又相互关联,这里我想简单的梳理下它们之间的关系和范畴。

功能安全(Functional Safety,以下简称FuSa)、信息安全(Cybersecurity)和预期功能安全(Safety of the Intended Functionality,以下简称SOTIF)是今天谈到汽车安全必须提的三个话题。10年前我在高校做过部分关于汽车方向Security的工作,FuSa则是跟着公司做过一系列培训,在具体工作中对Security和FuSa都有接触。而SOTIF则比较新,是一个汽车安全领域面向智能化的新生话题。这几个安全话题彼此不同又相互关联,这里我想简单的梳理下它们之间的关系和范畴。pBVednc

“道路千万条,安全第一条。”——《流浪地球2》都开拍了,这个梗也是老梗了,但是道理并不过时。这里的安全指的是驾驶员的操作安全,既不是FuSa,也不是Cybersecurity的安全范畴,而是更贴近于SOTIF预期功能安全的误用(misuse)的内容。安全是一个比较宽泛宏观的概念,同时也是一个相对的概念。刚开始接触安全话题时教授和我说的第一句就是没有百分之一百的安全,一切都是相对的。汽车安全是安全领域的一个细分,和传统的计算机,金融方向的安全话题对比,有很多类似的地方,但也有其特殊的一面。汽车行业的产品安全工程是一个跨领域、系统化的过程,需要相关部门密切交流协作才能达到预期的安全目标。pBVednc

英语Safety可以简单地看成由机器造成的安全问题,而Security则是指由恶意者比如黑客造成的安全问题。可是翻成中文,这两个词的意思都是“安全”,这就尴尬了,其实同样的问题也发生在德语里,德语也是只有一个Sicherheit来指代“安全”,所以不管中国还是德国,在表述汽车安全时,不是要搬出英语来,就是要加上前缀。德国公司把功能安全有时候称为FuSa,有时又称为FuSi(德语版,感觉好听点),也是个薛定谔的安全。中文倾向把Cybersecurity翻译成信息安全,德语也经常加信息的前缀,不知道是谁影响的谁。但这么翻译其实凸显不出背后的人为因素,看到某乎上安全达人博主殷玮说最好叫防护安全,我觉得这样更加贴合,或者叫防御安全,把人的因素表现出来。pBVednc

那么FuSa和SOTIF又有什么区别?我的理解是FuSa针对的是机器出问题了,汽车说我出故障(Malfunction)了,造成安全问题,靠冗余可以解决。而SOTIF则指的是汽车系统没出问题,只是功能不够,或者操作不当,造成功能安全问题了,是汽车说臣妾做不到,冗余也解决不了。SOTIF更主要的是针对辅助驾驶和自动驾驶而言。比如,传感器并没出问题,但是没识别出人和障碍物,撞上去了,或者是人把矿泉水瓶别在方向盘上骗过汽车,汽车以为你在单手操把,这都是SOTIF的范畴。最早特斯拉没识别出白色卡车撞上去,和Uber的车撞人,都在SOTIF的范围内。SOFIT可以理解是为了应对汽车智能时代的到来,填补了FuSa不能应对的空白。pBVednc

理论上,一个产品只有在可以预期预料的使用中不会对人的健康和安全造成风险的时候才可以投入市场。但问题是,如何衡量,是否能定量地衡量,还是得依靠专业经验去衡量。这也使得相应的标准和法规尤为重要。pBVednc

pBVednc

1:跨领域系统化的汽车产品安全。pBVednc

最近看网上维克多(Vector)的第四届汽车安全研讨会,有不少德国整车厂和供应商专家的报告,大家有兴趣可以去看看。1源自博世安全专家Stefan Kriso的讲稿。从安全分析到产品发布,这是一个系统化的过程,涉及到一系列的措施,也涉及一系列的标准。像针对Fusa的ISO26262(2011年11月发布),尚在开发中的面向SOTIF的ISO21448(2022年3月发布)和面向Cybersecurity的ISO21434(今年8月底发布),所以说汽车安全工程也是一个跨领域的过程。对于FuSa而言,传统车企内部一般有安全中心,每个团队一般也有自己的安全专家,很多团队内的安全专家都有在安全中心工作的经验。我所在部门的安全专家就是这样既对部门的全局非常了解,能独当一面,又有非常强的跨部门合作能力。各部门协调分析,明确职责,才能共同实现安全目标到产品发布。pBVednc

从这三个标准的发布可以看出,ISO26262已经马上10岁了,ISO21434才刚一个多月,而ISO21448仍然在开发过程中。所以,相应的FuSa的流程已经很成熟,而后面两个标准听到的次数要少很多。传统车企已经积累了很多FuSa相关的经验和方法论,这些经验和方法论是否适用于另外两种年轻的标准呢?pBVednc

还是从ISO26262说起。说FuSa,必然要说到危害分析和风险评估(Hazard Analysis and Risk Assessment,以下简称HARA)和车辆安全完整性等级(Automotive Safety Integrity Level,以下简称ASIL),可以通过清楚的公式和列表来进行风险评估分析。前面已经提到,FuSa是针对汽车本身出故障的,没有人为因素,其实是个统计学问题。驾驶时长和故障率是相互独立的统计学事件,时间到了,不管哪辆车,故障是按概率来发生,而不以人的意志为转移。而转到Cybersecurity的话题,这个大背景前提就发生了变化,黑客是否攻击你的车是有意识的,和驾驶情况不再是统计学独立的了。比如王胖子和胡八一都买一样的车,黑客可能盯着王胖子的车黑,而完全不去黑胡八一的车。这就使依赖于统计独立性的ASIL对Cybersecurity不再适用。但这也并不等于说ISO21434和相应的威胁分析和风险评估(Threat Analysis and Risk Assessment,以下简称TARA)完全要从零开始另起炉灶,它的过程有部分还是借鉴了HARA的过程,也借鉴了传统计算机安全领域的标准,比如通用评估准则(Common Criteria,以下简称CC)。pBVednc

pBVednc

2:博世公司的TARA过程。pBVednc

博世给出的TARA方案如2所示。和CC类似,基于统计学的内容基本消失了,更多的是基于场景、经验和知识的评估。Safety和Security在出问题时造成的危害、严重性、可操控性,以及想要达到的安全目标,这几部分是相通的(见图中的星号标注),所以可以借鉴。在信息安全或者防御安全领域的CIA(保密性、完整性、有效性)上,汽车行业的Security和传统电信行业的Security也是相通的(见图中三角标注),所以也能借鉴。TARA也是站在已有标准的肩膀上起步的。pBVednc

pBVednc

3ISO21448中安全相关话题与ISO标准的关联总览pBVednc

pBVednc

4被污染的交通标志。(图片来源:https//winfuture.de/news,99034.html)pBVednc

说了这么多,那么到底如何界定一个问题隶属于哪个或者哪几个标准的范畴呢?博世同样给出了从系统内因外因,以及问题产生的成因来确定问题隶属范围的界定。看完会发现并不是像第一印象那样所有外部因素造成的问题都属于Security的范畴,也有可能是SOTIF或FuSa。ISO21448中阐述了3中的分类,可以把它作为一个基础去理解与之相应的这三种安全话题。好多问题其实都涵盖了几种成因,也可以落实在不同的ISO标准范畴内。pBVednc

比如,被涂鸦或者污染的交通指示牌(如4),可能会造成汽车视觉系统识别错误,这种就属于SOTIF的范畴。而如果遇到有人用投影仪投一个逼真的虚拟指示牌在路边墙上,汽车视觉系统识别之后也可能会产生安全问题,这就不再是SOTIF的范畴,而是Security的范畴了。后面我会再写一篇从几个实例的方向去了解SOTIF和相关的安全问题,也继续谈谈自己对安全这个话题的一些看法。pBVednc

还是那句话,道路千万条,安全第一条。不管是按照标准稳扎稳打的传统车企,还是绕开标准做法激进的某些新兴车企,安全是所有人绕不开的话题。智能化的汽车到底有多安全?占据各大头条的某些新闻,到底是汽车安全事故还是一场闹剧?关于汽车安全的争论此起彼伏,莫衷一是,但是两点是肯定的:如果不重视汽车安全,墨菲定律会不断应验,“亲人两行泪”还会继续发生;但同时,过分追求安全也可能变成一套铐住传统车企的枷锁,让它在面对激进的新兴车企的竞争时更加压力重重。pBVednc

安全,是把双刃剑……pBVednc

参考文献

Stefan Kriso. (2021). Presentation on 4th Automotive Cybersecurity SymposiumpBVednc

(责编:赵明灿)pBVednc

本文为《电子技术设计》2021年12月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里pBVednc

本文为电子技术设计原创文章,未经授权禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
张心泉
目前在德国某一线整车大厂工作,是研发总部中央网关部门的一名车载以太网和交换机相关的功能负责人。过去十几年还曾就职过Harman公司和卡尔斯鲁厄应用技术大学。主要工作方向就是车载总线和以太网相关的设计开发测试以及项目管理,也曾在大学讲过这两方面的课程。前几年利用业余时间曾给国内科技媒体撰写过文章。由于工作内容相关,一直对国内外关于车载以太网和汽车安全的话题非常感兴趣,所以想写一下这方面的文章。一方面梳理下自己对这个话题的认知,同时也希望能抛砖引玉,如果能起到点桥梁的作用,那就更好了。
  • 微信扫一扫
    一键转发
  • 最前沿的电子设计资讯
    请关注“电子技术设计微信公众号”
  • 商务部暂停天然砂对台湾地区出口,台积电难受了 据EDN电子技术设计了解,商务部网站8月3日早晨8点发布最新消息,表示将从即日起暂停天然砂对台湾地区出口。不少网友认为暂停天然砂对台湾地区的出口,此举将严重影响台湾的建筑业,实则影响不仅仅如此。台湾地区天然砂进口量的90%以上来自大陆,而台湾芯片占台湾2021年出口额的34.8%。网友称商务部暂停天然砂对台湾地区出口是捏到了台湾半导体制造业的七寸。
  • 深圳允许完全自动驾驶车辆上路,主驾无需坐人 据EDN电子技术设计引援央视财经报道,从8月1日开始,《深圳经济特区智能网联汽车管理条例》正式实施,智能网联汽车列入国家汽车产品目录或者深圳市智能网联汽车产品目录,这也让深圳成为了国内首个允许L3级别自动驾驶车辆合法上路的城市。
  • 理想ONE高速起火烧成光架,其1.2T三缸增程器曾被指隐藏 近期,网络平台上发布了一段理想ONE在行驶过程中,车辆出现起火的视频内容。现场拍摄的灭火后图片显示,该轿车过火后仅剩骨架,车辆前部增程器位置受损严重,车辆尾门已经在过火后从车身主体脱落。此前,曾有国内汽车媒体对一台行驶了10万公里的理想ONE的东安1.2T三缸增程发动机进行拆解,被指隐藏暗病。
  • GaN是否可靠? GaN产业已经建立一套方法来保证GaN产品的可靠性,因此问题并不在于“GaN是否可靠?”,而是“如何验证GaN的可靠性?”
  • 华为天才少年稚晖君用108天打了个字,重新定义客制化键 自称“鸽王”的稚晖君终于更新啦。这次他带来的新项目则是:一把完全客制化、带屏幕模块的机械键盘!有网友表示,稚晖君的这个新项目,为键圈乃至整个键盘行业提供了新的设计思路,甚至有望改变目前客制化以换壳为本的囧境。
  • 因眼睛小车主被辅助驾驶误判“开车睡觉”,小鹏、蔚来回 昨日,汽车博主@常岩CY 发博称自己突然上了热搜,原来就是因自己眼睛小被小鹏汽车自动驾驶误判“开车睡觉”,不住的发出提醒。此外,@常岩CY 称在多款车型上都收到此困扰。无论是红外还是摄像头,只要开始检测眼睛,就会判定过度疲劳。小鹏P7会提示他睡觉,蔚来ET7一开车就认为其疲劳和走神,岚图FREE会在冬天为了让其“别困”而打开冷风……
  • 碳化硅电力电子应用不止于汽车 第三代宽禁带半导体——碳化硅(SiC)——正在发挥其众所周知的潜力,在过去五年内,汽车行业一直是该材料的公开试验场。然而,电气化议程不会以汽车开始和结束。更广泛的运输应用将很快出现,包括卡车和公共汽车、船舶和航运、火车的进一步电气化,甚至飞机。在供电方面,并网太阳能发电系统和通过高压直流链路传输能源,对于低碳能源的生产和分配也至关重要。
  • 成本100元,缓解M2 MacBook Air过热问题 国外有喜欢DIY的网友发现了一种简单且廉价的解决方案来缓解 M2 MacBook Air 过热问题的方法。但值得提醒的是,这种DIY方法会导致M2 MacBook Air的保修失效,因此,想要效仿的读者们要三思而后行哦。
  • 中信拆了辆特斯拉Model 3,发现多个领域技术引领行业 EDN电子技术设计在6月底报道了海通国际手动拆解十万元的比亚迪“元”的详细拆解图,如今不到一个月的时间,中信证券微信公众号发表了一篇《从拆解Model 3看智能电动汽车发展趋势》的文章,文中称对特斯拉Model 3的E/E架构、三电、热管理、车身等进行了详细深入地分析,并坚定看好中国智能电动化发展趋势,引起了广泛关注。
  • 带电路板、可玩AR、嵌金刚石,这些录取通知书科技感十足 伴随着高考大考的落幕,各大高校目前纷纷寄出独具特色的录取通知书,不仅有颜值高,创意新颖的竹子卷轴、锦凤递书,还科技感满满的“电路板”录取通知书、摩斯密码......寄托着对于即将踏进大学校园的学子们的深深祝福和期许。
  • Nordic为什么收购嵌入式内存供货商? 着眼于内存日益成为超低功耗IoT芯片设计的重要组成,挪威半导体大厂Nordic将购并美国嵌入式内存IP供货商Mobile Semiconductor...
  • 为什么步进电机的微步没有想象的那么好? 在使用步进电机设计运动控制系统时,不能假设电机的额定保持转矩在微步时仍然适用,因为增量转矩会大大降低。这可能会导致意外的定位误差。在某些情况下,增加微步分辨率并不能提高系统精度。
广告
热门推荐
广告
广告
EE直播间
在线研讨会
广告
广告
面包芯语
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了