如何確定CAN應(yīng)用系統(tǒng)安全性

安全不安全現(xiàn)在已經(jīng)有了國際標準，一般工業(yè)上采用的是ISO61508，介紹見［exida，IEC61508 Overview Report， Version 2.0， January 2， 2006］。汽車電子方面采用的是ISO26262，［Qi Van Eikema Hommes，ASSESSMENT OF THE ISO 26262 STANDARD， “ROAD VEHICLES –FUNCTIONAL SAFETY”，SAE 2012 Government/ Industry Meeting，January 25， 2012］分析了二者的異同，實際上ISO26262是在ISO61508基礎(chǔ)上發(fā)展出來的，反映了功能安全方面的更新的研究成果。

這二個標準基本上是一致的，它們的非常突出點是把功能安全看作產(chǎn)品生命周期內(nèi)的事，從規(guī)劃到執(zhí)行、到驗證都要求嚴格的文檔管理，明確的管理人員資質(zhì)。安全不但是設(shè)計出來的，也是管理出來的。所以要說你的CAN應(yīng)用系統(tǒng)是安全的，其論證與舉證的責(zé)任者首先是你，然后是你的協(xié)議的設(shè)計者（圖）。CAN協(xié)議采用者在明知存在安全隱患時要能論證其采取的措施足以滿足產(chǎn)品的功能安全要求。一旦發(fā)現(xiàn)功能安全有了問題，這些人是首先要站出來的。如果你沒有可采取的措施（例如非冗余系統(tǒng)中的CAN錯幀漏檢），你就有責(zé)任要求你的芯片供應(yīng)商改進。

ISO61508規(guī)定供應(yīng)者要提供相應(yīng)安全等級達到了證明文件的責(zé)任

ISO61508的實施中有一種使用實證可靠性的說法（“Proven in use” argument）。實際上積累的數(shù)據(jù)太少，而很難有說服力。在汽車上出現(xiàn)的重大安全召回事件中CAN是有可能起作用，但是既未被追究也未被排除。為了證明CAN的安全性，應(yīng)該由責(zé)任者來排除這種可能性。

豐田突然加速召回近1千萬輛車是汽車界的大事，各方眾說紛紜，最終也沒最后的結(jié)論，最近的報道有豐田在Oklahoma案中敗訴的報道，那次是技術(shù)證人閱讀源代碼后指出了程序上的問題。NASA曾卷入了調(diào)查。

由于CAN的離線失效，使得錯誤的數(shù)據(jù)不能更新，長時間的干擾使CAN的失效有可能被記錄下來。實際上存在這樣的記錄（圖）［ Keeping Secrets aboutNASA‘s “Toyota Study” of Unintended Acceleration）］：投訴的2010Corolla突然加速事件中唯一的故障記錄是CAN失效。

正是這個2010 Corolla記錄了CAN的失效

這些都表明CAN并不是傳說那樣可靠，Provenin use已經(jīng)是provennot safe in use。只是由于按國際標準應(yīng)該負責(zé)功能安全分析的人沒有負起責(zé)任。