安全不安全現(xiàn)在已經(jīng)有了國(guó)際標(biāo)準(zhǔn)，一般工業(yè)上采用的是ISO61508，介紹見(jiàn)［exida，IEC61508 Overview Report， Version 2.0， January 2， 2006］。汽車(chē)電子方面采用的是ISO26262，［Qi Van Eikema Hommes，ASSESSMENT OF THE ISO 26262 STANDARD， “ROAD VEHICLES –FUNCTIONAL SAFETY”，SAE 2012 Government/ Industry Meeting，January 25， 2012］分析了二者的異同，實(shí)際上ISO26262是在ISO61508基礎(chǔ)上發(fā)展出來(lái)的，反映了功能安全方面的更新的研究成果。

這二個(gè)標(biāo)準(zhǔn)基本上是一致的，它們的非常突出點(diǎn)是把功能安全看作產(chǎn)品生命周期內(nèi)的事，從規(guī)劃到執(zhí)行、到驗(yàn)證都要求嚴(yán)格的文檔管理，明確的管理人員資質(zhì)。安全不但是設(shè)計(jì)出來(lái)的，也是管理出來(lái)的。所以要說(shuō)你的CAN應(yīng)用系統(tǒng)是安全的，其論證與舉證的責(zé)任者首先是你，然后是你的協(xié)議的設(shè)計(jì)者（圖）。CAN協(xié)議采用者在明知存在安全隱患時(shí)要能論證其采取的措施足以滿足產(chǎn)品的功能安全要求。一旦發(fā)現(xiàn)功能安全有了問(wèn)題，這些人是首先要站出來(lái)的。如果你沒(méi)有可采取的措施（例如非冗余系統(tǒng)中的CAN錯(cuò)幀漏檢），你就有責(zé)任要求你的芯片供應(yīng)商改進(jìn)。

ISO61508規(guī)定供應(yīng)者要提供相應(yīng)安全等級(jí)達(dá)到了證明文件的責(zé)任

ISO61508的實(shí)施中有一種使用實(shí)證可靠性的說(shuō)法（“Proven in use” argument）。實(shí)際上積累的數(shù)據(jù)太少，而很難有說(shuō)服力。在汽車(chē)上出現(xiàn)的重大安全召回事件中CAN是有可能起作用，但是既未被追究也未被排除。為了證明CAN的安全性，應(yīng)該由責(zé)任者來(lái)排除這種可能性。

豐田突然加速召回近1千萬(wàn)輛車(chē)是汽車(chē)界的大事，各方眾說(shuō)紛紜，最終也沒(méi)最后的結(jié)論，最近的報(bào)道有豐田在Oklahoma案中敗訴的報(bào)道，那次是技術(shù)證人閱讀源代碼后指出了程序上的問(wèn)題。NASA曾卷入了調(diào)查。

由于CAN的離線失效，使得錯(cuò)誤的數(shù)據(jù)不能更新，長(zhǎng)時(shí)間的干擾使CAN的失效有可能被記錄下來(lái)。實(shí)際上存在這樣的記錄（圖）［ Keeping Secrets aboutNASA‘s “Toyota Study” of Unintended Acceleration）］：投訴的2010Corolla突然加速事件中唯一的故障記錄是CAN失效。

正是這個(gè)2010 Corolla記錄了CAN的失效

這些都表明CAN并不是傳說(shuō)那樣可靠，Provenin use已經(jīng)是provennot safe in use。只是由于按國(guó)際標(biāo)準(zhǔn)應(yīng)該負(fù)責(zé)功能安全分析的人沒(méi)有負(fù)起責(zé)任。