功能安全、預(yù)期功能安全與信息安全的差異與協(xié)同

今天的汽車行業(yè)面臨最大的挑戰(zhàn)之一，就是從過(guò)去基于硬件的車輛過(guò)渡到軟件定義汽車的時(shí)代。當(dāng)軟件成為造車行業(yè)發(fā)展的主要領(lǐng)域，越來(lái)越多的OEM和零部件供應(yīng)商逐步轉(zhuǎn)型為軟件公司。汽車也單純的從出行工具變成了移動(dòng)的計(jì)算機(jī)，汽車的開發(fā)越來(lái)越像在四個(gè)輪子上去開發(fā)車載電腦。

隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，新技術(shù)不斷涌現(xiàn)，如可通過(guò)OTA技術(shù)遠(yuǎn)程進(jìn)行軟件更新升級(jí)或?qū)崿F(xiàn)與個(gè)人數(shù)字設(shè)備的集成等等。這些智能網(wǎng)聯(lián)汽車上新技術(shù)的廣泛應(yīng)用對(duì)整車的信息技術(shù)安全（或稱網(wǎng)絡(luò)安全）提出了額外的要求，典型的如ISO21434國(guó)際標(biāo)準(zhǔn)，道路車輛信息安全工程的關(guān)于網(wǎng)絡(luò)安全方面的專業(yè)標(biāo)準(zhǔn)，此標(biāo)準(zhǔn)也給工程應(yīng)用實(shí)踐提供了一系列的解決方案。

當(dāng)前大多數(shù)OEM 及零部件供應(yīng)商遵循功能安全的開發(fā)過(guò)程，考慮基于ISO 26262功能安全和ISO21448的預(yù)期功能安全開發(fā)過(guò)程。結(jié)合新增的對(duì)網(wǎng)絡(luò)安全層面的需求，那又如何理解現(xiàn)有的功能安全標(biāo)準(zhǔn)和網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的關(guān)系，各過(guò)程之間又應(yīng)該如何協(xié)調(diào)呢？對(duì)于基于模型的開發(fā)(MBD)過(guò)程，尤其是當(dāng)我們?cè)诶肕ATLAB Simulink或者TargetLink的模型開發(fā)框架去構(gòu)建我們的應(yīng)用的時(shí)候怎樣才能保證相關(guān)項(xiàng)的功能安全的同時(shí)還能保障足夠的網(wǎng)絡(luò)安全，從而最終能確保我們所開發(fā)的軟件的質(zhì)量？這是我們接下來(lái)要討論的內(nèi)容。

先讓我們回憶一下相關(guān)安全相關(guān)的幾組重要標(biāo)準(zhǔn)，首先我們從宏觀的概念上去理解區(qū)分不同的安全概念。為了更方便地描述自動(dòng)駕駛系統(tǒng)，ISO TR 4804:2020標(biāo)準(zhǔn)當(dāng)中引入可信性的概念。可信性定義為系統(tǒng)提供服務(wù)或功能的能力，包括了可靠性、可用性、可維護(hù)性、功能安全性、網(wǎng)絡(luò)安全性等幾大特性（英文簡(jiǎn)稱為RAMSS）?？尚判孕g(shù)語(yǔ)涉及了所謂的可靠性、可用性、功能安全、網(wǎng)絡(luò)安全各方面的知識(shí)領(lǐng)域，涵蓋了典型汽車工程實(shí)踐中需要考慮的功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全等內(nèi)容，最初定義了安全相關(guān)的一些功能的基本要求。功能安全標(biāo)準(zhǔn)ISO 26262旨在源于E/E系統(tǒng)與E/E系統(tǒng)的故障行為引起的危害進(jìn)而導(dǎo)致的不合理風(fēng)險(xiǎn)；預(yù)期功能安全 ISO 21448討論的是不存在因預(yù)期功能的不足或者合由于合理可預(yù)見(jiàn)的人員誤操作而導(dǎo)致的不合理風(fēng)險(xiǎn)。功能安全和預(yù)期功能安全強(qiáng)調(diào)要防止因系統(tǒng)功能層面的故障不足或誤用導(dǎo)致的不合理風(fēng)險(xiǎn)。ISO 21434從網(wǎng)絡(luò)安全的角度去評(píng)估，側(cè)重于“故意地操縱”導(dǎo)致的危害，描述資產(chǎn)受到充分保護(hù)，道路車輛部件或者其功能部件、子部件功能免于威脅的狀況。系統(tǒng)安全相關(guān)功能當(dāng)中的可用性也是一個(gè)相當(dāng)重要的話題，ISO26262中涉及到相關(guān)部分內(nèi)容。

那么不同的安全標(biāo)準(zhǔn)之間有怎樣的關(guān)聯(lián)？我們摘錄了兩句話來(lái)描述這種關(guān)系。第一句摘自Serpanos¹教授的一篇文章，當(dāng)中提到傳統(tǒng)上功能安全、網(wǎng)絡(luò)安全通常認(rèn)為是不同的知識(shí)領(lǐng)域，由不同的專業(yè)人士來(lái)負(fù)責(zé)。但是我們觀察他們的特征并類比得出的結(jié)論是，他們實(shí)際上是相互依存的。特別功能安全其實(shí)是依賴于信息安全或者網(wǎng)絡(luò)安全的。或者可以說(shuō)網(wǎng)絡(luò)安全是功能安全的保障，也就是說(shuō)沒(méi)有網(wǎng)絡(luò)安全，就無(wú)法保證功能安全。另外一句摘錄，Aileen Ryan在《There is no safety without security》²一文中也強(qiáng)調(diào)網(wǎng)絡(luò)安全可被視為功能安全的保障，沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有功能的安全?？赡苤捌囆袠I(yè)從業(yè)者對(duì)網(wǎng)絡(luò)安全關(guān)注比較少，但是最近隨著智能網(wǎng)聯(lián)汽車的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題應(yīng)對(duì)越來(lái)越重要。這就促使我們不僅要關(guān)注功能安全層面的問(wèn)題，還需要更系統(tǒng)地關(guān)注網(wǎng)絡(luò)安全的問(wèn)題。

為了容易理解，我們引入典型的例子來(lái)說(shuō)明，汽車安全的研究人員發(fā)現(xiàn)，我們完全可以通過(guò)車載的電腦，以無(wú)線的方式來(lái)遠(yuǎn)程控制汽車。曾經(jīng)有這樣的實(shí)際發(fā)生的情況，研究人員可以通過(guò)通用汽車的OnStar，福特的Sync這樣的汽車工具訪問(wèn)車載的計(jì)算機(jī)，通過(guò)車載電話的藍(lán)牙網(wǎng)絡(luò)連接到整個(gè)汽車網(wǎng)絡(luò)，甚至于控制汽車的剎車、門鎖、中控儀表等幾乎所有安全關(guān)鍵的系統(tǒng)。

所以我們汽車行業(yè)的從業(yè)人員希望能夠更系統(tǒng)地去研究開發(fā)網(wǎng)絡(luò)安全的汽車系統(tǒng)。歐洲在功能安全、網(wǎng)絡(luò)安全領(lǐng)域的研究項(xiàng)目EmbeddedSafeSec由柏林投資銀行和歐洲區(qū)域發(fā)展基金會(huì)資助，專門研究如何更好地實(shí)施功能安全和網(wǎng)絡(luò)安全的協(xié)同工程。下面我們分享一些網(wǎng)絡(luò)安全和功能安全協(xié)同工程的框架，以及協(xié)同工程的最佳實(shí)踐。

協(xié)同工程根據(jù)關(guān)于相關(guān)項(xiàng)操作環(huán)境的現(xiàn)有信息，不同的現(xiàn)有的輸入信息進(jìn)行單元和集成層面的驗(yàn)證，最終會(huì)形成相應(yīng)的軟件集成和驗(yàn)證的規(guī)范。

協(xié)同工程在軟件單元驗(yàn)證階段系列活動(dòng)的目標(biāo)在于：

• 提供軟件單元設(shè)計(jì)滿足分配的軟件需求以及網(wǎng)絡(luò)安全需求并適合實(shí)施的證據(jù)；
• 驗(yàn)證從安全導(dǎo)向分析中得出的安全措施是否得到正確實(shí)施；
• 提供證據(jù)證明已實(shí)施的軟件單元符合單元設(shè)計(jì)規(guī)范，并滿足分配的軟件需求和相應(yīng)的ASIL等級(jí)；
• 提供足夠的證據(jù)，證明軟件單元不包含非預(yù)期的功能或非預(yù)期的的功能安全和網(wǎng)絡(luò)安全屬性。

這里我們還著重要強(qiáng)調(diào)二者之間在項(xiàng)目當(dāng)中的溝通協(xié)同活動(dòng)包括了在知識(shí)領(lǐng)域之間共享的流程和使用的策略。關(guān)于開發(fā)驗(yàn)證或者測(cè)試的種種策略在各標(biāo)準(zhǔn)中的要求描述中也是類似的，開發(fā)測(cè)試所用的工具共享可以最大限度的幫助我們高效實(shí)現(xiàn)我們的驗(yàn)證目標(biāo)。

沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有相應(yīng)的功能安全。功能安全和網(wǎng)絡(luò)安全的協(xié)同工程需要全面全生命周期的協(xié)作和系統(tǒng)考慮。傳統(tǒng)意義上講，功能安全、網(wǎng)絡(luò)安全是由不同領(lǐng)域的專業(yè)人員從事的不同專業(yè)方向研究，也有著不同的專業(yè)內(nèi)容，但在系統(tǒng)的安全層面上，他們又是相互協(xié)調(diào)統(tǒng)一的整體，應(yīng)該通盤考慮。汽車知識(shí)領(lǐng)域功能安全的管理人員，同時(shí)也應(yīng)協(xié)同考慮預(yù)期功能安全，網(wǎng)絡(luò)安全的需求，需要多方互相協(xié)調(diào)，在矛盾與統(tǒng)一中確定影響系統(tǒng)的主要矛盾與措施優(yōu)先級(jí)，綜合全面考慮系統(tǒng)設(shè)計(jì)方案與安全措施，從而最大限度的保證系統(tǒng)的安全。