标签: 汽车安全

本期内容以系统架构设计为例，讲解如何在ISO 26262产品开发过程中实施安全分析，半导体层面的芯片设计也可以参考本文相关内容执行安全分析。 安全分析方法 ISO 26262要求根据不同ASIL等级组合地使用“演绎分析”和“归纳分析”，如表1所示： 表1：安全分析方法 根据表1所列信息，开发团队会常常误认为ASIL B是不需要执行“演绎分析”。事实上，ISO 26262的要求对于连续数字（1，2，3……）所列方法，“+”、“++”分别是推荐、强烈推荐实施的。因此，ASIL B也是推荐实施“演绎分析”的（若没有实施，则需要提供理由）。 演绎分析：人们以一定反映客观规律的理论认识为依据，从服从该事物的已知部分，推理得到事物的未知部分的思维方法。即，从一般规律到个例。通常，“演绎分析”方法采用FTA（Fault Tree Analysis，故障树分析）。 归纳分析：人们以一系列经验事物或知识素材为依据，寻找出其服从的基本规律或共同规律，并假设同类事物中的其他事物也服从这些规律。即：从个例到一般规律。通常，“归纳分析”方法采用FMEA（Failure Mode and Effects Analysis，失效模式和影响分析）。 FMEA分析步骤 关于FMEA方法，建议参考AIAG-VDA FMEA手册，市面上已经有很多成熟的软件工具支持FMEA分析。值得一提的是，在根据AIAG-VDA第5版FMEA手册中，增加FMEA-MSR（Monitoring and System Response，监视和系统响应），作为DFMEA的补充。 通常，FMEA按下图所示的七步法进行： 图1：FMEA七步法 1、DFMEA分析步骤 第1步-策划和准备：确定负责人和团队、项目名称、时间安排和分析工具等信息。 第2步-结构分析：结构化分析对象，例如设计系统架构。 第3步-功能分析：产品功能可视化，例如确定系统架构要素的功能。第3步是在第2步的基础上实施的，因此第2步的“要素”和第3步的“功能”是对应的。 第4步-失效分析：每个功能的潜在失效影响，失效模式和失效起因。 第5步-风险分析：分析针对失效起因的现行预防控制；分析针对失效起因和（或）失效模式的现行探测控制。 第6步-优化：识别、实施降低风险的必要措施。 第7步-结果文件化 将上述第1步～第6步的实施情况记录在FMEA模板或分析工具中，形成完整的FMEA报告。FMEA的总结与分析，包含以下内容： a.文件化FMEA过程中的所有分析记录和采取的措施； b.组织内部/顾客/供应商对结果和分析结论进行沟通，组织FMEA评审验证； c.持续跟进预防措施和探测措施的实施情况，定期动态更新AP值，确保在设计定稿前风险已降到可接受的程度。 2、FMEA-MSR 2.1、FMEA-MSR决策流程 FMEA-MSR作为DFMEA的补充，更加关注产品在实际用户条件下的失效，因此进一步地完善了FMEA在安全相关机电系统（所谓机电系统就是系统中至少包括传感器、电子控制器和执行器或它们的组件）领域的应用。在实际项目开发过程中，研发人员容易把DFMEA和FMEA-MSR搞混，导致了许多重复或遗漏的分析工作。 下图展示了FMEA-MSR决策流程，提供了一个DFMEA和FMEA-MSR配合使用的思路。 图2：FMEA-MSR决策流程 1)在上述流程中，若一个失效模式的严重度被评为8、9、10分，则认为是违背法律法规或功能安全要求。 2)若上述1)不成立，继续执行第5、6步的DFMEA分析。可选择性地根据组织现有流程以及改进计划，增加MSR机制。 3)若上述1)成立，则此时需要分析系统是否已经存在针对客户操作期间发生该失效模式的MSR机制。 4)若上述3）不成立，继续执行第5、6步的DFMEA分析，必须增加MSR机制。增加MSR机制后，由于作了设计变更，因此更新DFMEA，更新后上述第3)点成立，执行第5)点。这里需要注意的是，作为MSR本身而言，通过DFMEA来分析即可。 5)若上述3）成立，则此时直接针对该失效模式进行FMEA-MSR分析。 总结上述内容，下图提供一个形成DFMEA文件和FMEA-MSR文件的思路。事实上，两者既可合并在一起，也可以单独形成文件，取决于开发组织自身的流程。 图3：DFMEA文件和FMEA-MSR文件 2.2、FMEA-MSR分析步骤 FMEA-MSR同样采用图1所示的七步法，且仅第5、6步与DFMEA不同，下面只针对这两个步骤的分析展开描述。 第5步-风险分析（FMEA-MSR）：分析失效模式发生频率F（也可称为频度），指系统在实际工作时间内产生失效的频率，该频率需要统计数据论证其合理性；分析针对失效起因的现行诊断监视；分析针对诊断到失效模式后的现行系统响应；分析MSR起作用后的失效影响严重度。 第6步-优化（FMEA-MSR）：识别、实施降低风险的必要措施。 FMEA分析示例 如下图所示，假设现有一个用于ADAS系统的ALC（自动车道居中）的ECU（电子控制单元）的系统架构，其主要功能是从Ext_01接口接收外部传感器SPI数据，作为MCU的路径规划决策输入。 图4：ALC的ECU系统架构 （注：该架构仅方便用于FMEA分析，不考虑其内部合理性，不作为真实架构用途） 1、DFMEA的分析示例 以下示例假设其中一个模块（Sys_element01）故障，假设ECU针对Sys_element01故障没有任何诊断监视措施，按照DFMEA的分析步骤展开。 图5：带故障的ECU 1）识别每个模块的功能，例如Sys_element01的主要功能是向MCU传输传感器数据；（DFMEA第3步） 2）识别模块的失效行为，例如Sys_element01故障导致传感器数据错误、延迟、丢失等；（DFMEA第4步） 3）确定传感器数据错误将导致的后果严重程度（得到严重度S评分），例如：该故障发生时导致MCU路径规划错误，影响行车安全，严重度达到S=10；（DFMEA第4步） 4）确定是否存在预防控制措施，例如，该系统架构使用可信的设计方案、使用鲁棒性设计、通过设计评审等；（DFMEA第5步） 5）定在上述预防控制措施之下该模块的故障频度（得到频度O评分），例如：已使用可信设计、鲁棒性设计、设计评审后，故障频度可降至O=2；（DFMEA第5步） 6）确定是否存在探测控制措施，例如，功能测试、故障注入测试、DV测试、量产测试等；（DFMEA第5步） 7）确定上述探测控制措施的探测度（得到探测度D评分）；例如：实施功能测试、故障注入测试、DV测试、量产测试后，探测度可达D=3；（DFMEA第5步） 8）根据S、O、D评分，综合得出措施优先级AP值，AP=L；（DFMEA第5步） 9）必要时，根据AP值，制定进一步的风险降低措施；（DFMEA第6步） 10）文件化将上述分析步骤。（DFMEA第7步） 根据第3)步骤显示，该示例中的ECU是一个安全相关的机电系统，且存在失效模式导致违背功能安全，满足2.1节FMEA-MSR决策流程第4)的条件，在后续的设计优化中必须增加MSR机制。 2、FMEA-MSR的分析示例 本节基于前面1节DFMEA的分析示例的ECU示例，在其基础上增加了MSR机制，优化了该ECU的系统架构，如下图所示。其中绿色模块（安全相关）为分配了ASIL等级的安全需求，灰色模块（非安全相关）开发为QM要素。其中： · Sys_element04开发为安全要素； · 增加Sys_element06用于诊断来自Sys_element01的数据的正确性和一致性； · 增加Sys_element07故障收集和诊断模块； · 增加Sys_element08用于诊断MCU内部失效。 图6：优化后的ECU系统架构（注：该架构仅方便用于FMEA分析，不考虑其内部合理性，不作为真实架构用途） 下面同样假设其中一个模块（Sys_element01）故障，假设ECU针对Sys_element01故障已经采取诊断监视措施，按照FMEA-MSR的分析步骤展开。 图7：带故障的ECU及其诊断路径 1）识别每个模块的功能，例如Sys_element01的主要功能是向MCU传输传感器数据；（FMEA-MSR第3步） 2）识别模块的失效行为；例如：假设Sys_element01（SPI通信模块）故障导致传感器数据错误；（FMEA-MSR第4步） 3）确定传感器数据错误将导致的后果严重程度（得到严重度S评分），例如：该故障发生时导致MCU路径规划错误，影响行车安全，严重度达到S=10；（FMEA-MSR第4步） 4）确定该模块的故障频率（得到频率F评分），例如，这里假设Sys_element01在其使用生命周期内故障发生的概率非常低（实际项目中应结合可靠性预测结果来评估），频率F=3；（FMEA-MSR第5步） 5）确定系统中是否有监控措施（即监视和系统响应，或者称之为安全机制）及其监控能力，例如，该Sys_element01发生故障时，不能通过Sys_element06的校验，由Sys_element07向上级系统发出错误警报（如图7红色曲线路径所示），假设该安全机制的诊断覆盖率为99%，监视则可评定为M=3。在汽车功能安全中，一个非常重要的概念是FTTI（故障容错时间间隔），如下图所示。 图8：功能安全概念中的时间约束 FTTI可以用来衡量安全机制的有效性，它来自车辆层面的安全目标，用于表示车辆部件在某个场景下发生故障直到产生对人身产生危害事件的这段时间间隔。进一步地细分，相关的时间概念还有FDTI（故障检测时间隔离）、FRTI（故障响应时间时间）以及FHTI（故障处理时间间隔）。在设计监视和系统响应机制时需要考虑上述时间约束，确保系统或子系统满足分配其的时间要求：FDTI + FRTI = FHTI < FTTI。（FMEA-MSR第5步） 6）分析在MSR起有效作用后，即系统响应安全机制后失效的严重度；例如，如上述第5)点的监控措施启动后，车辆通知向驾驶员发出接管方向盘的警示，尽管车道偏离可能已经偏离，但在FTTI的时间内驾驶员已经及时接管方向盘并将方向回正（假设驾驶员有能力处理这种情况），此时原先定义的严重度可适当降低到S=6；（FMEA-MSR第5步） 7）根据S、F、M评分，综合得出措施优先级AP值，AP=L；（FMEA-MSR第5步） 8）必要时，根据AP值，制定进一步的风险降低措施；（FMEA-MSR第6步） 9）文件化将上述分析步骤。（DFMEA第7步） 这里需要注意的是，如2.1FMEA-MSR决策流程第4）点所述，对比DFMEA的分析示例： · Sys_element04由于设计变更（由原先的QM要素开发为安全要素），需要更新其先前的DFMEA结果； · 新增Sys_element06~08的三个模块，需要新增它们的DFMEA。 广电计量功能安全服务能力 广电计量在汽车、铁路系统产品检测方面拥有丰富的技术经验和成功案例，能为主机厂、零部件供应商、芯片设计企业提供整机、零部件、半导体、原材料等全面的检测、认证服务，保障产品的可靠性、可用性、可维护性和安全性。 广电计量拥有技术领先的功能安全团队，专注于功能安全（包括工业、轨道、汽车、集成电路等领域）、信息安全和预期功能安全领域的专家，具有丰富的集成电路、零部件和整机功能安全实施经验，可根据相应行业的安全标准为不同行业的客户提供培训、检测、审核和认证一站式服务。 广电计量半导体服务优势 工业和信息化部“面向集成电路、芯片产业的公共服务平台”。 工业和信息化部“面向制造业的传感器等关键元器件创新成果产业化公共服务平台。 国家发展和改革委员会“导航产品板级组件质量检测公共服务平台”。 广东省工业和信息化厅“汽车芯片检测公共服务平台”。 江苏省发展和改革委员会“第三代半导体器件性能测试与材料分析工程研究中心。 上海市科学技术委员会“大规模集成电路分析测试平台”。 在集成电路及SiC领域是技术能力最全面、知名度最高的第三方检测机构之一，已完成MCU、AI芯片、安全芯片等上百个型号的芯片验证，并支持完成多款型号芯片的工程化和量产。 在车规领域拥有AEC-Q及AQG324全套服务能力，获得了近50家车厂的认可，出具近400份AEC-Q及AQG324报告，助力100多款车规元器件量产。

智能网联汽车信息安全 随着信息技术的快速发展和智能化趋势的持续推进，智能网联汽车为人们出行带来了前所未有的便利和智能化体验，但是随之而来的用户隐私泄露和网络攻击等安全问题也敲响了警钟。 信息安全问题已成为制约智能网联汽车发展的一大难题。本期“专家访谈”栏目，邀请到广电计量信息化服务事业部副总经理唐迪博士，为大家解读智能网联汽车信息安全建设面临的挑战及应对思路。 唐 迪 副研究员/博士 毕业于美国密歇根州立大学，博士后，长期从事数据安全、个人信息保护、车联网信息安全等方面的研究和检测评估工作。在国内外期刊会议发表文章三十余篇，主持和参与国际标准、国家标准与行业标准十余项。承担国家重点研发项目、国家自然基金项目等国家、省部级项目十余个。 担任国际标准化组织 ISO/IEC JTC1 SC27信息安全、网络安全及隐私保护技术标准化技术委会JWG 6网联汽车设备安全技术要求与测评活动联合工作组召集人，代表我国担任ISO/IEC JTC1 SC27 安全测评、大数据安全工作组注册技术专家，全国信标委生物特征识别分标委委员，上海市标准化专家 强标即将落地，信息安全管理已成刚需 根据Upstream Security发布的《2022年全球汽车网络安全报告》，全球联网汽车将从2018年的3.3亿辆增长到2023年的7.75亿辆，增幅达134%。增长过程中，汽车行业受到的网络攻击规模、频率和复杂程度都在呈指数级增长，影响的范围也有所扩大。 随着汽车信息技术安全风险不断提升，国际和国内持续出台信息技术安全的严格标准、法规以及行业管理规定。目前国外已经实施R155和R156两项关于信息安全和软件升级方面的法规，在欧洲及日韩等国外市场售卖的车辆需要取得相应认证后，才可以在市场进行销售。而ISO/SAE 21434作为覆盖汽车网络安全组织管理、流程管理、生命周期各阶段活动要求等的网络安全工程标准，其涉及的网络安全工程过程文件，是主机厂和供应商开展R155和R156合规认证的重要依据。 2023年5月，中国首个汽车信息安全领域国家强制性标准《 汽车整车信息安全技术要求 》（以下简称“强标”）公开征求意见，对生产企业及车辆产品在信息安全方面提出了具体要求。强标中明确指出“企业开展车辆信息安全一般要求评估和信息安全技术要求测试验证前，应通过汽车信息安全管理体系要求审核”，这一规定为企业搭建信息安全管理体系提供了依据。 为确保企业充分考虑 信息安全风险 ，强标中要求汽车制造商及供应链上下游企业的 信息安全管理体系 中应涵盖必要流程，即要求企业从内部管理流程、风险处置流程、信息安全测试流程、网络安全问题监测和响应流程等角度开展信息安全体系建设，这意味着国家在信息安全方面的监管力度进一步加强。 长远看，汽车网络安全发展将成为必然趋势，即将推出的《汽车整车信息安全技术要求》只是一个开始。随着汽车智能化的发展，有关汽车软件升级、自动驾驶数据记录系统、自动驾驶预期功能安全等相关标准也会不断完善。 可以预见的是，这些强制性标准的推出，会让汽车在开发生命周期中有更高的严格性、更多的功能要求以及更大的投资。 信息安全任重道远，汽车企业如何应对？ 车辆信息安全是长远的工作，网络技术的更新迭代不会停止，给汽车这个传统机械行业的带来的将是全新的挑战。而汽车信息安全的实施并非一蹴而就，建议汽车厂商基于数据安全法律法规要求，尽早采取一系列车联网安全保障与支撑措施，以免造成在业务扩展或者法规层面的被动。 首先在组织治理层面，企业应首先明确产品网络安全职责的定义和设计。这包括在研发设计部门中设立新的职位，例如首席产品网络安全官作为负责人。 信息安全活动需要跨组织的协同，需要与法规、质量、采购、售后市场等部门密切合作和协调。通过这种方式，企业组织各部门共同实施车辆网络安全相关活动以确保合规性。 在汽车产品的开发过程中，企业应将信息安全活动纳入产品开发的全过程，解决从方案确定到生产启动（SOP）的整体开发过程中的安全目标设定、安全要求设计、安全方案设计、安全开发以及安全确认与验证到安全运维等核心环节的问题。这要求在产品开发的不同阶段，与相应的安全要求相匹配，以确保整个开发过程中的信息安全。 在团队规划方面，企业应根据业务发展需求，建设不同专业的网络安全团队。例如，在TARA分析、安全方案设计、安全开发、安全测试、法规导入、安全运维、质量管理等专业领域，应根据企业发展情况，及时构建所需的能力团队。这样，企业可以确保在各个阶段都具备足够的网络安全能力，以保障业务的合规需求和安全需求。 在能力建设方面，为了满足监管要求，企业应根据自身实际情况，分阶段展开能力建设。例如，在产品开发的核心能力建设方面，企业需要建立风险评估、安全目标设计、安全要求设计、安全方案设计的能力。而安全组件的开发及安全验证的能力可以通过委外的方式实现。 此外，企业还应建立安全响应能力，例如具备态势感知监测的能力，建立漏洞管理平台等。这些能力将有助于企业及时应对各种网络安全事件，提高整体安全性。 供应链安全的管理也是重中之重。智能网联汽车的供应链非常长，如果在最后整车装配阶段再考虑信息安全，那么即使发现了信息安全问题也很难定位，在这个阶段发现的问题既有可能是部件的问题，也有可能是零部件之间的连接中存在安全风险。因此，企业需要拆解信息安全合规要求，逐级要求供应商提供的产品，并在每个产品交付前认真履行安全检测与评估。其次，为保障供应商提供的产品能够持续保证安全水平，应要求供应商也执行与企业自身相近的标准化的安全管理流程。 同时，企业也需要密切关注供应链企业持续对智能网联汽车提供的服务安全。智能网联汽车的OTA需求、移动应用的持续服务，有可能成为攻击者攻击的对象、供应商也有可能超范围收集数据，针对供应商及其提供的持续服务，需要构建严格的供应商服务安全管理方法，配置安全产品，也可优先选择通过安全认证的服务和应用。 最后，为了加强项目成果转化，企业应该通过量产项目来萃取知识，建设知识体系并形成成果转化。这意味着企业应该从实际项目中总结经验教训，提取有用的知识和技能，并将其应用于未来的项目中。通过这种方式，企业可以逐步建立起自己的信息安全核心能力，提高整体竞争力，也更从容应对未来时变时新的汽车信息安全技术环境及法规标准。 测试+技术咨询，“一站式”服务助力产品合规 当前，信息安全实施方法还并不完善，选择具有丰富实践经验的合作伙伴能够大幅提升效率、降低成本。针对快速发展的智能网联汽车产业及国内外市场对信息安全的愈发重视，广电计量作为国有第三方计量检测机构，致力于汽车在新四化产业进程中的大安全融合服务，为汽车客户构建了“一站式”智能网联汽车信息安全测评体系。 流程及产品开发咨询服务 我们通过技术咨询协助企业建立相关流程体系，完善开发流程，协助企业获取流程认证。同时我们也可以针对企业要开发的相应产品，提供产品开发的技术咨询（如TARA分析，安全目标制定等），协助企业开发的产品满足相应信息安全要求，并根据需求获取产品认证。 测试服务 广电计量建有汽车信息安全试验实验室，在汽车信息安全方面可以通过符合性测试、功能测试、漏洞扫描、模糊测试、渗透测试等服务。 （1）符合性测试 依据GB/T 40855、GB/T 40856、GB/T40857、GB/T41578 等推荐性国标开展汽车零部件的符合性测试，依据标准逐项开展安全功能测试和验证工作，并出具由国家认可认监委（ CNAS ）认可的检测报告。同时，可依据即将发布GB《汽车整车信息安全技术要求》开展汽车信息安全的型式检验试验。 （2）安全测试 主要基于ISO 21434 产出的Cybersecurity Verification and Validation specification （网络安全验证和确认测试规范），覆盖安全性能测试、资源安全测试、响应安全测试、接口安全测试、控制流和数据流的验证等。一般由企业安全功能开发团队执行验证测试，资源有限情况下委托独立第三方技术机构验证。 （3）漏洞扫描 基于 CVE 、CNVD等最新漏洞库测试是否存在已知漏洞，覆盖静态代码漏洞扫描、固件漏洞扫描、组件 (第三方/开源)漏洞扫描、系统内核漏洞扫描、系统端口漏洞扫描、应用程序漏洞扫描、通信协议 (WiFi、蓝牙等) 漏洞扫描等。 （4）渗透测试 通过模拟真实攻击手法对整车及零部件进行实战检验的过程，目的是进一步发现使用普通安全分析手段无法发现/遗漏的安全隐患，包括通过黑盒、灰盒和白盒方法工作，覆盖硬件安全、系统/固件安全、应用软件安全数据安全、CAN/以太网/无线通信安全管理平台安全等不同类别。 （5）模糊测试 黑客普遍使用的攻击手段，也是对复杂逻辑进行鲁棒性分析的常用方法，且具有发现的错误不存在误报的优势。主要针对接口和协议通过注入随机数据分析未知漏洞。包括硬件接口模糊测试CAN模糊测试、车载以太网模糊测试、DolP模糊测试、开放端口模糊测试、蓝牙模糊测试、WiFi模糊测试GNSS模糊测试、传感器通用电磁信号模糊测试、MEMS传感器超声信号模糊测试等。