汽車安全工程之“安全”概念的辨析

01

什么是“安全”？

當前在汽車領(lǐng)域，關(guān)于安全，我們時?？梢月牭竭@幾個詞：功能安全，預(yù)期功能安全，信息安全，網(wǎng)絡(luò)安全等。那這些概念到底是什么意思？他們之間的區(qū)別又是什么呢？

首先，我們先來聊一下“安全”一詞。中文的“安全”可以有兩個英文單詞與之對應(yīng)：safety和security。這兩個單詞在牛津詞典及維基百科中的解釋如下所示。

表格1 safety及security的一般含義解釋

在通常情況下，兩種安全均可表示為一種沒有受到傷害、威脅、破壞的狀態(tài)。而對于security一詞，維基中的解釋特別指出了這是一種沒有受到來自其他人/外部（caused by others）的傷害。一種比較常見的觀點是，safety指的是一種沒有受到傷害的狀態(tài)，不管這種傷害是故意造成的還是非故意造成的。而security指沒有受到故意原因造成的傷害。

02

汽車行業(yè)中的幾個“安全”

在汽車行業(yè)中，關(guān)于各種安全的定義，各個相關(guān)的行業(yè)標準及指南中都給出了明確的定義。

與safety相關(guān)的概念及定義原文如下表所示。

表格2 汽車行業(yè)標準及指南中對safety相關(guān)概念的定義

其中，safety指一種沒有受到傷害的一種狀態(tài)，這種傷害可能會對生命、財產(chǎn)、環(huán)境造成損失，這是一種系統(tǒng)可以正常地按照設(shè)計者意愿工作的狀態(tài)。功能安全（functional safety）指沒有具有不合理風(fēng)險的危害的狀態(tài)，這些危害是由電子電氣系統(tǒng)的故障行為造成的。預(yù)期功能安全（SOTIF）同樣指系統(tǒng)沒有具有不合理風(fēng)險的危害的狀態(tài)。預(yù)期功能安全與功能安全的區(qū)別在于：前者的危害情況是由于系統(tǒng)的功能性不足（如系統(tǒng)的設(shè)計或本身性能限制、設(shè)計時對運行情況的認識不足等）以及合理的可預(yù)見的誤操作造成的，而后者的危害情況是由系統(tǒng)本身的電子電器系統(tǒng)的故障行為造成的。當前行業(yè)中，主要依據(jù)ISO 26262(2018)系列標準及ISO/PAS 21448:2019標準，來執(zhí)行對車輛及相關(guān)系統(tǒng)的功能安全和預(yù)期功能安全的設(shè)計、實施、驗證等全生命周期中的安全管理。

在汽車行業(yè)中，與security相關(guān)的就是一個概念，即網(wǎng)絡(luò)安全（cybersecurity），下表中列出了與汽車網(wǎng)絡(luò)安全相關(guān)的行業(yè)標準、指南及法規(guī)中，對網(wǎng)絡(luò)安全的定義。

表格3 汽車行業(yè)標準、指南及法規(guī)中的網(wǎng)絡(luò)安全概念定義

在SAE J3061指南中，網(wǎng)絡(luò)安全指系統(tǒng)漏洞不被允許利用的一種狀態(tài)，一旦這些漏洞被利用，即系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)遭到破壞，則會導(dǎo)致例如生命、財產(chǎn)、隱私、操作性等方面的損失。ISO/SAE 21434及WP.29 155中對網(wǎng)絡(luò)安全一詞的定義較為類似，其主要指所關(guān)心的資產(chǎn)受到了足夠的保護，以免受到一些威脅的傷害。此處的資產(chǎn)指任何對利益相關(guān)者有價值的東西，包括車輛、車輛功能、電子電器部件等。

為了進一步明確上述汽車行業(yè)中各個安全概念的定義、關(guān)鍵概念、范圍及相互關(guān)系，作者設(shè)計了一種汽車行業(yè)“安全”概念映射圖，如下所示。

圖1 “安全”概念映射圖

“安全”概念映射圖主要從兩個維度對術(shù)語中的關(guān)鍵元素進行分類，其分別為“造成危害的原因”（caused by）以及“可能導(dǎo)致的危害結(jié)果”（cause harm to）。

上圖中的橫坐標為“造成危害的原因”。其中，“系統(tǒng)”（system）表示由系統(tǒng)本身的原因而造成危害。例如，由于設(shè)計缺陷或隨機硬件失效造成的系統(tǒng)功能失效。由設(shè)計不足而造成的預(yù)期功能不足也屬于這一類型?！叭祟悺保╤uman）表示由人的因素而造成危害，該類還可以細分為兩個子類，其分別為“人為失誤” (human error)和“人為誤操作” (misused by human)。前者表示這一失誤行為是人非故意為之的，并且可能會導(dǎo)致系統(tǒng)的行為超出可接受的范圍[9]；而后者表示該行為是操作人員有意為之(沒有惡意目的)，但該行為是系統(tǒng)制造者所不希望的[6]?！碍h(huán)境”（environment）包括了外部物理環(huán)境(如溫度、濕度)以及系統(tǒng)運行的先決條件(如正確的傳感器輸入數(shù)值)?！肮簟保╝ttack）表示了任何想要暴露、改變、使工作禁止、破壞、偷竊、非法進入或非法使用一個資產(chǎn)的企圖[10] 。橫坐標中的前三項是由非惡意原因造成的危害，而最后一項危害原因是來自于外界的惡意行為而造成的。

圖中的縱坐標表示了三類可能導(dǎo)致的危害結(jié)果。對人類生命造成的物理傷害(如骨折、外傷、死亡等)屬于第一類危害結(jié)果，即“人類生命”（human lifes）。第二類“財產(chǎn)”（properties）包括了經(jīng)濟及信息方面的損失，前者表示該危害導(dǎo)致財產(chǎn)的所有者需要支付額外的費用，后者則表示與信息安全相關(guān)的后果，如知識產(chǎn)權(quán)泄露，用戶隱私暴露等?！碍h(huán)境”（environment）是指供人類與其他地球生命生存的自然環(huán)境。有毒氣體的釋放和造成資源浪費等情況屬于這類的危害結(jié)果。

根據(jù)上述的橫縱坐標分類，可將各個行業(yè)規(guī)范或指南中的“安全”概念映射其中，以方便理解各個概念的含義、范圍及相互關(guān)系，為后續(xù)的安全設(shè)計、開發(fā)等工作提供清晰的概念理解。

03

safety-critical 系統(tǒng)及security-critical 系統(tǒng)

除了safety與cybersecurity兩個概念本身之外，SAE J3061中還提及了兩個與之相關(guān)的概念，即safety-critical system與security-critical system。這兩個概念的原文定義如下所示。

表格4 safety-critical及cybersecurity-critical系統(tǒng)概念定義

Safety-critical系統(tǒng)是指：如果該系統(tǒng)沒有按照所設(shè)定的、或所預(yù)期的行為運行，將會導(dǎo)致生命、財產(chǎn)或環(huán)境受到傷害的系統(tǒng)。Cybersecurity-critical系統(tǒng)指：如果該系統(tǒng)被通過系統(tǒng)漏洞被入侵破壞，將導(dǎo)致經(jīng)濟、操作性、隱私或者安全性（safety）方面損失的系統(tǒng)。

關(guān)于上述兩個系統(tǒng)的關(guān)系，SAE J3061指南中指出：所有的safety-critical系統(tǒng)都是cybersecurity-critical系統(tǒng)，因為一個針對safety-critical系統(tǒng)的直接或間接的網(wǎng)絡(luò)攻擊將會導(dǎo)致潛在的安全（safety）損失。但并不是所有的cybersecurity-critical系統(tǒng)都是safety-critical系統(tǒng)，因為一個針對cybersecurity-critical系統(tǒng)的網(wǎng)絡(luò)攻擊可能會造成除了安全（safety）的其他方面損失，如隱私性、操作性或經(jīng)濟性上的損失。下圖為SAE J3061指南中，對safety-critical及cybersecurity-critical系統(tǒng)之間關(guān)系的說明圖。

圖2 SAE J3061中的safety-critical及cybersecurity-critical系統(tǒng)關(guān)系說明圖[4]

04

總結(jié)

保障汽車的各方面安全是行業(yè)中的重要課題，因為一旦車輛有危害情況發(fā)生，除了經(jīng)濟、環(huán)境損失外，還會對生命造成威脅。本文主要介紹并辨析了汽車行業(yè)中與安全相關(guān)的概念，以明確不同安全主題的含義、范圍及相互關(guān)系，以幫助相關(guān)從業(yè)者理清概念，明確關(guān)系，為更好地解決日常工作中的相關(guān)問題打下理論基礎(chǔ)。

審核編輯：符乾江