功能安全(Functional Safety,以下简称FuSa)、信息安全(Cybersecurity)和预期功能安全(Safety of the Intended Functionality,以下简称SOTIF)是今天谈到汽车安全必须提的三个话题。10年前我在高校做过部分关于汽车方向Security的工作,FuSa则是跟着公司做过一系列培训,在具体工作中对Security和FuSa都有接触。而SOTIF则比较新,是一个汽车安全领域面向智能化的新生话题。这几个安全话题彼此不同又相互关联,这里我想简单的梳理下它们之间的关系和范畴。
“道路千万条,安全第一条。”——《流浪地球2》都开拍了,这个梗也是老梗了,但是道理并不过时。这里的安全指的是驾驶员的操作安全,既不是FuSa,也不是Cybersecurity的安全范畴,而是更贴近于SOTIF预期功能安全的误用(misuse)的内容。安全是一个比较宽泛宏观的概念,同时也是一个相对的概念。刚开始接触安全话题时教授和我说的第一句就是没有百分之一百的安全,一切都是相对的。汽车安全是安全领域的一个细分,和传统的计算机,金融方向的安全话题对比,有很多类似的地方,但也有其特殊的一面。汽车行业的产品安全工程是一个跨领域、系统化的过程,需要相关部门密切交流协作才能达到预期的安全目标。
英语Safety可以简单地看成由机器造成的安全问题,而Security则是指由恶意者比如黑客造成的安全问题。可是翻成中文,这两个词的意思都是“安全”,这就尴尬了,其实同样的问题也发生在德语里,德语也是只有一个Sicherheit来指代“安全”,所以不管中国还是德国,在表述汽车安全时,不是要搬出英语来,就是要加上前缀。德国公司把功能安全有时候称为FuSa,有时又称为FuSi(德语版,感觉好听点),也是个薛定谔的安全。中文倾向把Cybersecurity翻译成信息安全,德语也经常加信息的前缀,不知道是谁影响的谁。但这么翻译其实凸显不出背后的人为因素,看到某乎上安全达人博主殷玮说最好叫防护安全,我觉得这样更加贴合,或者叫防御安全,把人的因素表现出来。
那么FuSa和SOTIF又有什么区别?我的理解是FuSa针对的是机器出问题了,汽车说我出故障(Malfunction)了,造成安全问题,靠冗余可以解决。而SOTIF则指的是汽车系统没出问题,只是功能不够,或者操作不当,造成功能安全问题了,是汽车说臣妾做不到,冗余也解决不了。SOTIF更主要的是针对辅助驾驶和自动驾驶而言。比如,传感器并没出问题,但是没识别出人和障碍物,撞上去了,或者是人把矿泉水瓶别在方向盘上骗过汽车,汽车以为你在单手操把,这都是SOTIF的范畴。最早特斯拉没识别出白色卡车撞上去,和Uber的车撞人,都在SOTIF的范围内。SOFIT可以理解是为了应对汽车智能时代的到来,填补了FuSa不能应对的空白。
理论上,一个产品只有在可以预期预料的使用中不会对人的健康和安全造成风险的时候才可以投入市场。但问题是,如何衡量,是否能定量地衡量,还是得依靠专业经验去衡量。这也使得相应的标准和法规尤为重要。
图1:跨领域、系统化的汽车产品安全。
最近看网上维克多(Vector)的第四届汽车安全研讨会,有不少德国整车厂和供应商专家的报告,大家有兴趣可以去看看。图1源自博世安全专家Stefan Kriso的讲稿。从安全分析到产品发布,这是一个系统化的过程,涉及到一系列的措施,也涉及一系列的标准。像针对Fusa的ISO26262(2011年11月发布),尚在开发中的面向SOTIF的ISO21448(2022年3月发布)和面向Cybersecurity的ISO21434(今年8月底发布),所以说汽车安全工程也是一个跨领域的过程。对于FuSa而言,传统车企内部一般有安全中心,每个团队一般也有自己的安全专家,很多团队内的安全专家都有在安全中心工作的经验。我所在部门的安全专家就是这样既对部门的全局非常了解,能独当一面,又有非常强的跨部门合作能力。各部门协调分析,明确职责,才能共同实现安全目标到产品发布。
从这三个标准的发布可以看出,ISO26262已经马上10岁了,ISO21434才刚一个多月,而ISO21448仍然在开发过程中。所以,相应的FuSa的流程已经很成熟,而后面两个标准听到的次数要少很多。传统车企已经积累了很多FuSa相关的经验和方法论,这些经验和方法论是否适用于另外两种年轻的标准呢?
还是从ISO26262说起。说FuSa,必然要说到危害分析和风险评估(Hazard Analysis and Risk Assessment,以下简称HARA)和车辆安全完整性等级(Automotive Safety Integrity Level,以下简称ASIL),可以通过清楚的公式和列表来进行风险评估分析。前面已经提到,FuSa是针对汽车本身出故障的,没有人为因素,其实是个统计学问题。驾驶时长和故障率是相互独立的统计学事件,时间到了,不管哪辆车,故障是按概率来发生,而不以人的意志为转移。而转到Cybersecurity的话题,这个大背景前提就发生了变化,黑客是否攻击你的车是有意识的,和驾驶情况不再是统计学独立的了。比如王胖子和胡八一都买一样的车,黑客可能盯着王胖子的车黑,而完全不去黑胡八一的车。这就使依赖于统计独立性的ASIL对Cybersecurity不再适用。但这也并不等于说ISO21434和相应的威胁分析和风险评估(Threat Analysis and Risk Assessment,以下简称TARA)完全要从零开始另起炉灶,它的过程有部分还是借鉴了HARA的过程,也借鉴了传统计算机安全领域的标准,比如通用评估准则(Common Criteria,以下简称CC)。
图2:博世公司的TARA过程。
博世给出的TARA方案如图2所示。和CC类似,基于统计学的内容基本消失了,更多的是基于场景、经验和知识的评估。Safety和Security在出问题时造成的危害、严重性、可操控性,以及想要达到的安全目标,这几部分是相通的(见图中的星号标注),所以可以借鉴。在信息安全或者防御安全领域的CIA(保密性、完整性、有效性)上,汽车行业的Security和传统电信行业的Security也是相通的(见图中三角标注),所以也能借鉴。TARA也是站在已有标准的肩膀上起步的。
图3:ISO21448中安全相关话题与ISO标准的关联总览。
图4:被污染的交通标志。(图片来源:https://winfuture.de/news,99034.html)
说了这么多,那么到底如何界定一个问题隶属于哪个或者哪几个标准的范畴呢?博世同样给出了从系统内因外因,以及问题产生的成因来确定问题隶属范围的界定。看完会发现并不是像第一印象那样所有外部因素造成的问题都属于Security的范畴,也有可能是SOTIF或FuSa。ISO21448中阐述了图3中的分类,可以把它作为一个基础去理解与之相应的这三种安全话题。好多问题其实都涵盖了几种成因,也可以落实在不同的ISO标准范畴内。
比如,被涂鸦或者污染的交通指示牌(如图4),可能会造成汽车视觉系统识别错误,这种就属于SOTIF的范畴。而如果遇到有人用投影仪投一个逼真的虚拟指示牌在路边墙上,汽车视觉系统识别之后也可能会产生安全问题,这就不再是SOTIF的范畴,而是Security的范畴了。后面我会再写一篇从几个实例的方向去了解SOTIF和相关的安全问题,也继续谈谈自己对安全这个话题的一些看法。
还是那句话,道路千万条,安全第一条。不管是按照标准稳扎稳打的传统车企,还是绕开标准做法激进的某些新兴车企,安全是所有人绕不开的话题。智能化的汽车到底有多安全?占据各大头条的某些新闻,到底是汽车安全事故还是一场闹剧?关于汽车安全的争论此起彼伏,莫衷一是,但是两点是肯定的:如果不重视汽车安全,墨菲定律会不断应验,“亲人两行泪”还会继续发生;但同时,过分追求安全也可能变成一套铐住传统车企的枷锁,让它在面对激进的新兴车企的竞争时更加压力重重。
安全,是把双刃剑……
Stefan Kriso. (2021). Presentation on 4th Automotive Cybersecurity Symposium
(责编:赵明灿)
本文为《电子技术设计》2021年12月刊杂志文章,版权所有,禁止转载。免费杂志订阅申请点击这里。
最前沿的电子设计资讯
