谈谈汽车信息安全与功能安全的区别.pdfVIP

谈谈汽车信息安全与功能安全的区别

随着汽车技术的发展，功能安全和信息安全也逐步成为了汽车研

发的热点，同样是安全，那它们到底有哪些区别呢？是否可以完美的

融合在系统开发过程中？笔者有幸于此撰文描述，期待抛砖引玉，能

够引出更为深刻的行业探讨。

Part1发展历史不同

1.1功能安全的历史

功能安全肇始于20世纪70年代美国阿波罗计划后电子工业对于

非合理风险的管控，同时因切尔诺贝利核泄漏而加强的核工业安全，

可看到如下Farmer曲线：

Note:图片源至BING搜索

Farmer曲线表明，人对风险有一条红色接受曲线，横轴是严重度，

纵轴是风险概率，当事件点（严重度，发生概率）在曲线上时，人是

临界风险接受状态，而当事件点（严重度，发生概率）高于曲线时，

人是不能接受该事件，如果事件点低于该曲线，则人可以接受该事件。

沿着该思路，IEEE协会将其运用在电子工业上，于2000年代生

成第一版IEC61508，并定义了安全完整性等级（SafetyIntegrity

Level），而随后的汽车电子工业从2008年开始致力于IEC61508在

汽车上的运用，并最终于2011年，完成了ISO26262的正式诞生。

ISO26262的诞生，其ASIL矩阵如下，我们稍微改变组合，数轴

变成E和C的组合，而横向为S值，此处我们可以得到Farmer曲线

在红色部分。红色曲线上方的ASIL级别在ASILA或以上，而红色曲线

下方的ASIL级别是QM，非安全相关。

汽车功能安全在Farmer曲线定义之后，其技术上有两个假设前提：

-人不是完美的，是肯定会犯错，所以存在系统性失效

-物质本身不是完美的，所以存在硬件随机性失效

以上两个前提也是汽车功能安全所需要考虑的两大失效类型。

1.2汽车预期功能安全的历史

伴随着汽车智能化浪潮，随着SAE在2016年对智能汽车分级以

来，汽车的预期功能安全随之诞生，这个概念源之于

-电子电器系统自身性能缺陷

-电子电器系统自身功能局限

-或

-人的非合理误用

而引起的非合理风险，在正式发布的ISOPAS21448版本中，其

本身主要将风险划分为四个区域：

ZONE1:已知安全场景

ZONE2:已知不安全场景

ZONE3:未知不安全场景

ZONE4:未知安全场景

如上四个区域，预期功能安全的目标是将ZONE2和ZONE的风

险降低到可以接受的低水平。从目前主流的方法来说，预期功能安全

主要的做法是：

-增强单个电子电器系统的可靠性

-增强单个电子电器系统的质量

-增强场景的仿真、虚拟、模拟路试等

-增强人工智能等非线性算法的应用，降低误报率（这块可以参考

关于人工智能算法或神经网络分析文章

）

-增强人机交互系统可信性及人误用概率降低

-etc

1.3信息安全的历史

信息安全本身存在的有两个前提：

-世界上存在有攻击资产的人：系统外或资产外肯定存在外部威胁

和攻击（可以有形和无形）

-资产保护体系不能100%防御：资产所在系统内在防控设计体系

不完美

上述两个假定是整个信息安全的前提，而信息安全的历史可以追

溯到公元前古罗马恺撒大帝时期，彼时出现的恺撒密码是一种替换加

密的技术，明文中的所有字母都在字母表上向后（或向前）按照一个

固定数目进行偏移后被替换成密文。例如，当偏移量是3的时候，所

有的字母A将被替换成D，B变成