01

什么是“安全”？

當(dāng)前在汽車(chē)領(lǐng)域，關(guān)于安全，我們時(shí)常可以聽(tīng)到這幾個(gè)詞：功能安全，預(yù)期功能安全，信息安全，網(wǎng)絡(luò)安全等。那這些概念到底是什么意思？他們之間的區(qū)別又是什么呢？

首先，我們先來(lái)聊一下“安全”一詞。中文的“安全”可以有兩個(gè)英文單詞與之對(duì)應(yīng)：safety和security。這兩個(gè)單詞在牛津詞典及維基百科中的解釋如下所示。

表格1 safety及security的一般含義解釋

在通常情況下，兩種安全均可表示為一種沒(méi)有受到傷害、威脅、破壞的狀態(tài)。而對(duì)于security一詞，維基中的解釋特別指出了這是一種沒(méi)有受到來(lái)自其他人/外部（caused by others）的傷害。一種比較常見(jiàn)的觀點(diǎn)是，safety指的是一種沒(méi)有受到傷害的狀態(tài)，不管這種傷害是故意造成的還是非故意造成的。而security指沒(méi)有受到故意原因造成的傷害。

02

汽車(chē)行業(yè)中的幾個(gè)“安全”

在汽車(chē)行業(yè)中，關(guān)于各種安全的定義，各個(gè)相關(guān)的行業(yè)標(biāo)準(zhǔn)及指南中都給出了明確的定義。

與safety相關(guān)的概念及定義原文如下表所示。

表格2 汽車(chē)行業(yè)標(biāo)準(zhǔn)及指南中對(duì)safety相關(guān)概念的定義

其中，safety指一種沒(méi)有受到傷害的一種狀態(tài)，這種傷害可能會(huì)對(duì)生命、財(cái)產(chǎn)、環(huán)境造成損失，這是一種系統(tǒng)可以正常地按照設(shè)計(jì)者意愿工作的狀態(tài)。功能安全（functional safety）指沒(méi)有具有不合理風(fēng)險(xiǎn)的危害的狀態(tài)，這些危害是由電子電氣系統(tǒng)的故障行為造成的。預(yù)期功能安全（SOTIF）同樣指系統(tǒng)沒(méi)有具有不合理風(fēng)險(xiǎn)的危害的狀態(tài)。預(yù)期功能安全與功能安全的區(qū)別在于：前者的危害情況是由于系統(tǒng)的功能性不足（如系統(tǒng)的設(shè)計(jì)或本身性能限制、設(shè)計(jì)時(shí)對(duì)運(yùn)行情況的認(rèn)識(shí)不足等）以及合理的可預(yù)見(jiàn)的誤操作造成的，而后者的危害情況是由系統(tǒng)本身的電子電器系統(tǒng)的故障行為造成的。當(dāng)前行業(yè)中，主要依據(jù)ISO 26262(2018)系列標(biāo)準(zhǔn)及ISO/PAS 21448:2019標(biāo)準(zhǔn)，來(lái)執(zhí)行對(duì)車(chē)輛及相關(guān)系統(tǒng)的功能安全和預(yù)期功能安全的設(shè)計(jì)、實(shí)施、驗(yàn)證等全生命周期中的安全管理。

在汽車(chē)行業(yè)中，與security相關(guān)的就是一個(gè)概念，即網(wǎng)絡(luò)安全（cybersecurity），下表中列出了與汽車(chē)網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)、指南及法規(guī)中，對(duì)網(wǎng)絡(luò)安全的定義。

表格3 汽車(chē)行業(yè)標(biāo)準(zhǔn)、指南及法規(guī)中的網(wǎng)絡(luò)安全概念定義

在SAE J3061指南中，網(wǎng)絡(luò)安全指系統(tǒng)漏洞不被允許利用的一種狀態(tài)，一旦這些漏洞被利用，即系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)遭到破壞，則會(huì)導(dǎo)致例如生命、財(cái)產(chǎn)、隱私、操作性等方面的損失。ISO/SAE 21434及WP.29 155中對(duì)網(wǎng)絡(luò)安全一詞的定義較為類(lèi)似，其主要指所關(guān)心的資產(chǎn)受到了足夠的保護(hù)，以免受到一些威脅的傷害。此處的資產(chǎn)指任何對(duì)利益相關(guān)者有價(jià)值的東西，包括車(chē)輛、車(chē)輛功能、電子電器部件等。

為了進(jìn)一步明確上述汽車(chē)行業(yè)中各個(gè)安全概念的定義、關(guān)鍵概念、范圍及相互關(guān)系，作者設(shè)計(jì)了一種汽車(chē)行業(yè)“安全”概念映射圖，如下所示。

圖1 “安全”概念映射圖

“安全”概念映射圖主要從兩個(gè)維度對(duì)術(shù)語(yǔ)中的關(guān)鍵元素進(jìn)行分類(lèi)，其分別為“造成危害的原因”（caused by）以及“可能導(dǎo)致的危害結(jié)果”（cause harm to）。

上圖中的橫坐標(biāo)為“造成危害的原因”。其中，“系統(tǒng)”（system）表示由系統(tǒng)本身的原因而造成危害。例如，由于設(shè)計(jì)缺陷或隨機(jī)硬件失效造成的系統(tǒng)功能失效。由設(shè)計(jì)不足而造成的預(yù)期功能不足也屬于這一類(lèi)型?！叭祟?lèi)”（human）表示由人的因素而造成危害，該類(lèi)還可以細(xì)分為兩個(gè)子類(lèi)，其分別為“人為失誤” (human error)和“人為誤操作” (misused by human)。前者表示這一失誤行為是人非故意為之的，并且可能會(huì)導(dǎo)致系統(tǒng)的行為超出可接受的范圍[9]；而后者表示該行為是操作人員有意為之(沒(méi)有惡意目的)，但該行為是系統(tǒng)制造者所不希望的[6]。“環(huán)境”（environment）包括了外部物理環(huán)境(如溫度、濕度)以及系統(tǒng)運(yùn)行的先決條件(如正確的傳感器輸入數(shù)值)?！肮簟保╝ttack）表示了任何想要暴露、改變、使工作禁止、破壞、偷竊、非法進(jìn)入或非法使用一個(gè)資產(chǎn)的企圖[10] 。橫坐標(biāo)中的前三項(xiàng)是由非惡意原因造成的危害，而最后一項(xiàng)危害原因是來(lái)自于外界的惡意行為而造成的。

圖中的縱坐標(biāo)表示了三類(lèi)可能導(dǎo)致的危害結(jié)果。對(duì)人類(lèi)生命造成的物理傷害(如骨折、外傷、死亡等)屬于第一類(lèi)危害結(jié)果，即“人類(lèi)生命”（human lifes）。第二類(lèi)“財(cái)產(chǎn)”（properties）包括了經(jīng)濟(jì)及信息方面的損失，前者表示該危害導(dǎo)致財(cái)產(chǎn)的所有者需要支付額外的費(fèi)用，后者則表示與信息安全相關(guān)的后果，如知識(shí)產(chǎn)權(quán)泄露，用戶(hù)隱私暴露等。“環(huán)境”（environment）是指供人類(lèi)與其他地球生命生存的自然環(huán)境。有毒氣體的釋放和造成資源浪費(fèi)等情況屬于這類(lèi)的危害結(jié)果。

根據(jù)上述的橫縱坐標(biāo)分類(lèi)，可將各個(gè)行業(yè)規(guī)范或指南中的“安全”概念映射其中，以方便理解各個(gè)概念的含義、范圍及相互關(guān)系，為后續(xù)的安全設(shè)計(jì)、開(kāi)發(fā)等工作提供清晰的概念理解。

03

safety-critical 系統(tǒng)及security-critical 系統(tǒng)

除了safety與cybersecurity兩個(gè)概念本身之外，SAE J3061中還提及了兩個(gè)與之相關(guān)的概念，即safety-critical system與security-critical system。這兩個(gè)概念的原文定義如下所示。

表格4 safety-critical及cybersecurity-critical系統(tǒng)概念定義

Safety-critical系統(tǒng)是指：如果該系統(tǒng)沒(méi)有按照所設(shè)定的、或所預(yù)期的行為運(yùn)行，將會(huì)導(dǎo)致生命、財(cái)產(chǎn)或環(huán)境受到傷害的系統(tǒng)。Cybersecurity-critical系統(tǒng)指：如果該系統(tǒng)被通過(guò)系統(tǒng)漏洞被入侵破壞，將導(dǎo)致經(jīng)濟(jì)、操作性、隱私或者安全性（safety）方面損失的系統(tǒng)。

關(guān)于上述兩個(gè)系統(tǒng)的關(guān)系，SAE J3061指南中指出：所有的safety-critical系統(tǒng)都是cybersecurity-critical系統(tǒng)，因?yàn)橐粋€(gè)針對(duì)safety-critical系統(tǒng)的直接或間接的網(wǎng)絡(luò)攻擊將會(huì)導(dǎo)致潛在的安全（safety）損失。但并不是所有的cybersecurity-critical系統(tǒng)都是safety-critical系統(tǒng)，因?yàn)橐粋€(gè)針對(duì)cybersecurity-critical系統(tǒng)的網(wǎng)絡(luò)攻擊可能會(huì)造成除了安全（safety）的其他方面損失，如隱私性、操作性或經(jīng)濟(jì)性上的損失。下圖為SAE J3061指南中，對(duì)safety-critical及cybersecurity-critical系統(tǒng)之間關(guān)系的說(shuō)明圖。

圖2 SAE J3061中的safety-critical及cybersecurity-critical系統(tǒng)關(guān)系說(shuō)明圖[4]

04

總結(jié)

保障汽車(chē)的各方面安全是行業(yè)中的重要課題，因?yàn)橐坏┸?chē)輛有危害情況發(fā)生，除了經(jīng)濟(jì)、環(huán)境損失外，還會(huì)對(duì)生命造成威脅。本文主要介紹并辨析了汽車(chē)行業(yè)中與安全相關(guān)的概念，以明確不同安全主題的含義、范圍及相互關(guān)系，以幫助相關(guān)從業(yè)者理清概念，明確關(guān)系，為更好地解決日常工作中的相關(guān)問(wèn)題打下理論基礎(chǔ)。

審核編輯：符乾江