2020年11月11日 | 汽车功能安全、预期功能安全与信息安全的融合与发展

一、汽车行业三大安全主题

我们都知道汽车行业的三大主题是：功能安全、预期功能安全与信息安全。

功能安全标准是汽车三大安全标准中发布时间最早（2011 年）的标准，它来源于 IEC61508，它的主要内容包括：危害识别与评估、功能安全概念、系统安全概念、软硬件安全概念、验证与确认、生产、运行与维护报废。

在 2018 年新增了半导体、特种车和 SOTIF 相关内容。同时，在 2018 年，根据职能驾驶系统的发展又提出了预期功能安全的概念，其中预期功能安全主要针对的是智能 ADAS 系统。2018 年首次发布，2019 年发布了 PAS 版本，2020 年还有一个没有做好的 CD 版本，此版本并没有为大家广知。

预期功能安全的主要的内容与功能安全比较相似，包括危害识别与评估、触发条件识别与评估、预期危害风险降低、验证与确认、预期功能安全发布、运行阶段管理。预期功能安全在 2019 年又新增了很多附录内容，2020 年又新增了运行阶段、场景库、GSN、地图、V2X 等内容。

信息安全在公共行业并不是一个新的话题了，但是在汽车行业来说它还是比较新的。信息安全的标准是 ISO26262 和 IEC62443，信息安全的主要内容有：信息安全管理、资产与威胁分析、威胁风险评估、信息安全概念&架构、生产|运行|维护&报废。它针对一些比较主观性的安全内容，如主观性的黑客攻击。

二、功能安全概览

ISO26262 功能安全的内容以一个 V 模型为主，这个 V 模型是和相应的汽车电子电气系统开发运用相结合的。

比如说针对电子电器系统本身的开发有一个项目启动，针对项目定义有相应的功能架构和系统架构。在功能安全开发里面，有对应的环节以及软硬件的实现、测试，还有相应的安全确认和一些测试等，这些内容在功能安全里面和在汽车电子电器系统架构里面都是一一对应的。

上图为功能安全的主要内容，我们可以看到第二章中的功能安全管理可以为三大部分：有整体的功能安全管理，有项目开发过程中的功能安全管理，以及开发过后：生产、运行、维护、报废的功能安全管理。

在第三章需要进行项目定义、未来分析风险评估以及功能安全的概念。第四章的主要内容是系统级的产品开发的流程，也有相应的技术安全概念以及安全确认和测试，五、六章当中会有一些软件、硬件的安全测试和概念。七、八、九、十章主要讲的是比较支持型的内容，包括支持过程怎么确认，还有功能安全如何管理以及相应的生产、运行、维护和报废。

2018 年，又新增了十一、十二章，分别针对半导体硬件和特种车，比如说摩托车和大卡车的功能安全分析方法。

三、预期功能安全的内容

功能安全针对电子电器系统失效分析，而预期功能安全针对的是系统本身的限制以及非预期物用的场景。

预期功能安全和功能安全不同，预期功能安全主要以下面的流程图为主，分为三个模块，包括：预期功能安全的分析、安全验证和安全确认。

在最新版的里面，添加了运行阶段的相关内容，当整体的风险都已经被接受之后，我们还要在运行阶段观察预期功能安全是否达到。

预期功能安全中比较核心的概念是场景分析，它将场景进行了两个维度的分类，一是已知和未知，二是安全和不安全。

已知的安全场景可称为区域一，区域一是我们最终要最大化的一个场景，我们要将已知的危险情景中的安全事件，和未知危险中的安全事件，统统变成已知安全的事件，这就是预期功能安全分析最主要的目标。

区域一是已知安全场景，对应的是功能安全分析；区域二针对的已知危害场景，对应预期功能安全的验证。区域三针对未知的危害场景，对应预期功能安全的确认——确认是否还有一些残余风险在里面。

四、功能安全和预期功能安全相关融合

1.  ISO26262&ISO21448 联合开发

上图为 ISO21448 里面的微模型图，此图是关于功能安全和预期功能安全本身的交互内容，我们可以看到有色框里面是 ISO26262 的内容，而这个蓝边框的内容是 ISO21448 的内容。

可以看出这个交互并不是一一对应的关系，比如说预期功能安全的定义以及预期功能安全对应系统的定义，他们都会对应到功能安全的项目定义、功能架构、系统架构当中的整个流程。右边的验证和确认也分别对应到了功能安全和预期功能安全的相应内容。

上图为开发流程的联系，比如说前期定义阶段，在功能安全里面需要定义整体；在预期功能安全里面，对应的是车辆的功能规范；然后在风险管理里面，功能安全当中有 HARA 分析（危害分析风险评估），是对严重程度、暴露程度和可控性程度进行分析。而预期功能安全里面的风险识别评估把暴露程度去掉了，因为暴露程度它对应的是一个场景的分析，而在预期功能安全里面，因为智能驾驶的场景相对非常复杂，所以我们把这个场景分析单独拉开来了，在预期功能安全中我们主要是对严重程度和可控度这两个维度进行风险的分析。

功能定义方面，在功能安全里面，是对功能安全的概念进行定义，而在预期功能安全里面，对预期功能对应的内容进行规范；同样在系统定义里面也是这个对应关系——预期功能安全里面也只针对这个预期功能相关的内容进行规范；

在验证和确认方面，这一环节在预期功能安全里面，因为智能驾驶系统把它大体分为四个模块，一是传感器对应的输入部分，二是相应的算法，即决策算法和识别算法（这是相当于过程中的部分），三是执行机构，即输出的部分，四是整车集成层面上的模块，分别在预期功能安全中提出相应的验证和确认的方法，这就是预期功能安全和功能安全开发流程的联系。

2.  ISO26262 & 21448 & 机器学习

在智能驾驶系统里面最核心的内容是识别算法和决策算法，在 ISO26262 里面我们是针对电子电器系统的一个安全分析，在 21448 里面大多数针对的是整体系统架构的分析，对于算法的分析我们现在能做的并不多，因为这个识别和决策算法本身不容易做安全分析。

但是一旦算法性能提升的话，它所带来的效果是远远要大于我们对电子电器系统或代码本身安全性的提升，所以说算法的安全分析其实是有必要的，而且现在在 21448 里面已经提出了如何对 AI 算法进行一个安全分析等的可能性。

我们都知道算法本身是由代码实现的，因此我们可以把算法作为一个软件工具，而在 ISO26262 和 21448 当中，都有相应针对软件工具的安全分析内容。比如说在 ISO26262 当中，提出了对软件工具的置信度的要求，而在 21448 里面，提出了对机器学习本身所使用工具的要求。

智能驾驶系统分软硬件部分，在硬件上面涉及到 GPU 等内容，这些硬件设备在 ISO26262 和 21448 里面也都有相应分析的内容，比如说在 ISO26262 我们针对硬件有随机硬件失效分析、系统及故障的分析，这些分析也都涉及到硬件的分析；而在 21448 里面有针对硬件性能限制如何进行安全分析的内容。

算法当中也有软件的部分，就是它实现了这个算法的代码，然后在 ISO26262 当中，规定了一些软件验证、软件配置的内容，而在 21448 当中也提出了如果算法不足该如何应对的相应内容。

上图是机器学习如何在 ISO26262 和 21448 的框架下进行安全实现的相应内容，比如说在功能和系统定义阶段，在这个阶段要进行算法训练和验证，训练的数据相对是安全无误的，是一些比较安全的场景，这些场景我们都可以归纳到 ISO21448 里面的已知安全场景中的训练。

然后在算法的验证环节，会用一些含有危害数据的场景对它进行验证，这部分可以归类到 ISO21448 当中的已知危害场景和未知危害场景；算法误分类可以归类到性能缺陷当中；

在用例及场景分析中有识别&验证测试用例，还需要构建识别&验证的场景库。这些都可以在算法当中体现。

在系统预期功能修改之后，我们需要重新进行验证和训练，关于验证与确认策略，它的测试边界的选择以及三个级别的测试分别：软件测试、系统测试和整个的集成测试，我们对算法也要进行这三个级别的测试。

然后还有预期功能安全的评估，通过测试确保机器学习预期功能安全是否能达到。

3.  机器学习 & PFMEA 安全分析

首先在自动驾驶里面，更多的是用离线学习，离线学习是什么？离线学习是打包好的数据来确认智能驾驶的算法。离线学习的流程是数据标注、数据划分、训练、验证和测试。

离线学习有什么好处呢？

 
比如说我们在智能驾驶当中有非常多不同的驾驶场景，例如汽车在前面走，突然在前面遇到障碍物，有可能是人，动物，也有可能是别的。在这些场景下，我们都需要让决策算法做出相同的行动 --- 就是让这个车停下来。那么这些不同的场景我们都需要一些相同的结果，这个时候我们需要将一组一组的数据进行打包，让算法在不同的场景执行相同的结果，让它的权重进行更好的更新，这就是离线学习的好处。

现在在 ISO21448 当中，针对自动驾驶的场景，提出了 PFMEA 分析方法，主要也是针对于数据标注和划分的分析方法。目前在数据标注过程中，如果我们标注车前有人的话，可以通过这个 PFMEA 分析数据标注的精确度；在车道保持系统保存当中，我们做数据标注的时候，也可以用 PFMEA 分析标注精确程度；雷达系统旁边有车的时候，也可以用 PFMEA 方法来验证数据标注的精确程度。

我们还提出了一些可能性：在数据收集的过程当中，也可以用这个 PFMEA 的方法来验证这个收集的数据是否正确；然在上传、摄取以及管理、训练过程当中，虽然目前还是没有一个具体的这个方法方案提出来，在未来我们很有可能实现安全分析与算法相结合。

五、信息安全概览

信息安全也有相应信息安全的管理综述，基于项目的信息安全管理以及风险管理的方法，HARA 分析、相应的威胁识别与分析，风险评估还有信息安全确认，信息安全的大体内容和功能安全很像。

但是它和功能安全最大的不同点就是在于功能安全针对的是架构客观存在的结构是否达到一定的安全等级，以及它是否实现了我们的安全需求；而在信息安全里面，最主要的诉求是要保护我们的一个资产免受黑客的攻击，这就是信息安全的大体内容。

例如在电影里面《速度与激情 8》里面有一个场景，大魔头一行代码就可以让很多辆车从高楼坠下，这种情况我们还没有发生，一方面是汽车的智能网联化的程度还不够，另一方面是还有一群信息安全从业人员在默默地保护我们，所以这就是信息安全的一个大体内容。