“磐時(shí)，做汽車企業(yè)的安全智庫(kù)”

好書(shū)分享/ 《一本書(shū)讀懂智能汽車安全》

三大安全危害分析和風(fēng)險(xiǎn)評(píng)估

本文摘選自SASETECH汽車安全社區(qū)編撰的《一本書(shū)讀懂智能汽車安全》，此書(shū)由磐時(shí)創(chuàng)始人邊俊、博世汽車曲元寧、吉林大學(xué)教授張玉新牽頭主導(dǎo)，集合了博世、蔚來(lái)、小鵬、磐時(shí)、卓馭、地平線、上汽及吉林大學(xué)等行業(yè)與學(xué)界在汽車安全領(lǐng)域的實(shí)踐積累和研究成果。

它以V模型為基座，圍繞功能安全、網(wǎng)絡(luò)安全和預(yù)期功能安全展開(kāi)，系統(tǒng)講解了概念開(kāi)發(fā)，系統(tǒng)開(kāi)發(fā)、硬件開(kāi)發(fā)、軟件開(kāi)發(fā)、驗(yàn)證與確認(rèn)各階段全流程的安全實(shí)踐。書(shū)中以深厚的理論經(jīng)驗(yàn)與豐富的實(shí)踐經(jīng)驗(yàn)，為行業(yè)的創(chuàng)新研究提供了寶貴的參考資料，是推動(dòng)汽車安全技術(shù)進(jìn)步和創(chuàng)新的重要力量。

以下內(nèi)容節(jié)選自《一本書(shū)讀懂智能汽車安全》：

三大安全體系都是從危害分析開(kāi)始的，本質(zhì)上都是為了避免危害和威脅造成的風(fēng)險(xiǎn)。在功能安全中，危害分析和風(fēng)險(xiǎn)評(píng)估的目的是識(shí)別相關(guān)項(xiàng)目中故障引起的危害并進(jìn)行歸類，從而制定防止危害事件發(fā)生或減輕危害程度的安全目標(biāo)，以避免不合理的風(fēng)險(xiǎn)；在預(yù)期功能安全中，危害分析和風(fēng)險(xiǎn)評(píng)估要避免的是功能和性能不足而導(dǎo)致的危害；在網(wǎng)絡(luò)安全中，威脅分析和風(fēng)險(xiǎn)評(píng)估要避免的是外部攻擊導(dǎo)致的人員和財(cái)產(chǎn)損失。因此，三者在風(fēng)險(xiǎn)的起源點(diǎn)上有本質(zhì)的不同，但目的是讓整個(gè)系統(tǒng)更加安全可靠。在不同的安全分析及安全策略中，我們可以采用不同的分析方法去識(shí)別所關(guān)注的安全。

01.

功能安全方面

危害分析和風(fēng)險(xiǎn)評(píng)估（HARA）是功能安全開(kāi)發(fā)過(guò)程中極為重要的一步。GB/T 34590 在術(shù)語(yǔ)中首先對(duì)其做出了定義，即為了避免不合理的風(fēng)險(xiǎn)，對(duì)相關(guān)項(xiàng)的危害事件進(jìn)行識(shí)別和歸類的方法，以及防止和減輕相關(guān)危害的安全目標(biāo)和 ASIL 等級(jí)的方法。從定義中可以看到，危害分析和風(fēng)險(xiǎn)評(píng)估應(yīng)基于相關(guān)項(xiàng)定義進(jìn)行。在此過(guò)程中，應(yīng)對(duì)不含內(nèi)部安全機(jī)制的相關(guān)項(xiàng)進(jìn)行評(píng)估，即在危害分析和風(fēng)險(xiǎn)評(píng)估過(guò)程中不應(yīng)考慮將要實(shí)施或已經(jīng)在相關(guān)項(xiàng)中實(shí)施的安全機(jī)制。

安全機(jī)制是技術(shù)層面的事情，HARA 只是概念階段的問(wèn)題，針對(duì)的是功能。而且我們做 HARA 分析的目的就是找到合適的安全措施，如果提前加入對(duì)于安全措施的考量，很容易降低實(shí)際 ASIL 的等級(jí)，最終甚至?xí)?dǎo)致安全措施的不合理配置。

危害事件通常是由運(yùn)行場(chǎng)景和危害的相關(guān)組合來(lái)確定的。

◆ 場(chǎng)景分析：所有的失效分析都是針對(duì)特定場(chǎng)景進(jìn)行的。分析場(chǎng)景的目的是找到功能失效時(shí)導(dǎo)致最危險(xiǎn)事件的原因，并對(duì)該危險(xiǎn)事件發(fā)生時(shí)的運(yùn)行場(chǎng)景及運(yùn)行模式進(jìn)行描述。既要考慮車輛的正確使用情況，也要考慮可預(yù)見(jiàn)的車輛不當(dāng)操作，例如：在高速駕駛情況下，副駕乘員誤觸電子駐車開(kāi)關(guān)。

◆危害識(shí)別：可以通過(guò)不同的技術(shù)手段系統(tǒng)地確定危害，如利用頭腦風(fēng)暴、檢查列表、歷史質(zhì)量記錄、FMEA 和現(xiàn)場(chǎng)研究等方法提取相關(guān)項(xiàng)層面的危害，應(yīng)以能在整車層面觀察到的條件或行為來(lái)定義危害。通常，每一個(gè)危害有多種與相關(guān)項(xiàng)的功能實(shí)現(xiàn)相關(guān)的潛在原因，但在危害分析和風(fēng)險(xiǎn)評(píng)估中對(duì)危害的條件或行為進(jìn)行定義時(shí)，不需要考慮這些原因，這些原因是從相關(guān)項(xiàng)的功能行為得出的。

對(duì)于危害事件導(dǎo)致的后果，我們可以通過(guò)以下三個(gè)參數(shù)進(jìn)行評(píng)級(jí)：潛在傷害的嚴(yán)重度 （S）、每個(gè)運(yùn)行場(chǎng)景的暴露概率（E），以及基于某個(gè)確定理由預(yù)估的駕駛員或其他潛在的處于風(fēng)險(xiǎn)中的人員對(duì)于該危害的可控性（C）。根據(jù)這三個(gè)參數(shù)，我們可以確定ASIL等級(jí)，如表3-4 所示。如果對(duì)于分級(jí)存在疑問(wèn)，應(yīng)給出較高的 ASIL等級(jí)，而不是較低的。

危害事件的風(fēng)險(xiǎn)評(píng)估中潛在傷害的嚴(yán)重度（S）關(guān)注的是潛在的處于風(fēng)險(xiǎn)中的每個(gè)人受到的傷害情況，包括引起危害事件的車輛的駕駛員或乘客，以及其他潛在的處于風(fēng)險(xiǎn)中的人員，如騎自行車的人員、行人或其他車輛上的人員。基于功能安全標(biāo)準(zhǔn) GB/T 34590，我們可以將危害事件的潛在傷害的嚴(yán)重度分為 S0、S1 、S2 、S3 四個(gè)等級(jí)，對(duì)照的可以參考簡(jiǎn)明損傷定級(jí)（AIS）的描述。其中，S0 等級(jí)代表只有物品材料損害，而沒(méi)有人員傷害，所以不需要 ASIL 的分配。對(duì)于可控性的評(píng)估，一種是通過(guò)頭腦風(fēng)暴，另一種是通過(guò)大數(shù)據(jù)。隨著 ADAS 功能的發(fā)展以及人工智能的廣泛應(yīng)用，基于大數(shù)據(jù)的開(kāi)發(fā)越來(lái)越普及，理論上來(lái)說(shuō)，傷害的分析也完全可以基于大數(shù)據(jù)進(jìn)行。通常，各個(gè)國(guó)家和地區(qū)都有每年交通事故的統(tǒng)計(jì)數(shù)據(jù)，包括事故發(fā)生的時(shí)間、地點(diǎn)、原因及結(jié)果?；谶@些交通事故數(shù)據(jù)的統(tǒng)計(jì)結(jié)果，配合對(duì)功能所做的場(chǎng)景分析，功能故障所導(dǎo)致危害事件的傷害嚴(yán)重程度的評(píng)級(jí)結(jié)果變得更加可靠。

GB/T 34590中的功能安全定義是：不存在電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害而導(dǎo)致不合理的風(fēng)險(xiǎn)。通常，風(fēng)險(xiǎn)可以理解為包含兩個(gè)部分：一部分是傷害的嚴(yán)重等級(jí)，另一部分是發(fā)生這種傷害的概率或頻次。傷害的嚴(yán)重等級(jí)已經(jīng)可以被上面提到的 S 所覆蓋，而概率或頻次則涉及另外兩個(gè)參數(shù)E（每個(gè)運(yùn)行場(chǎng)景的暴露概率）和C（可控性等級(jí)）。

功能安全涉及的傷害是功能異常表現(xiàn)所引起的傷害，但并非每一個(gè)異常表現(xiàn)都會(huì)引起傷害。例如，當(dāng)車輛?？吭谕＼噲?chǎng)內(nèi)的平地上時(shí)，如果駐車系統(tǒng)發(fā)生故障，由于車輛在平地上， 并不會(huì)發(fā)生移動(dòng)，因此不會(huì)帶來(lái)任何傷害。但是，如果車輛?？吭谛逼律希藭r(shí)駐車系統(tǒng)發(fā)生故障，車輛會(huì)溜坡并可能撞到周邊行人，從而造成傷害。這種情況下，?？吭谛逼律暇褪?一個(gè)會(huì)帶來(lái)傷害的場(chǎng)景，而它在整個(gè)行車過(guò)程中的曝光概率就是風(fēng)險(xiǎn)評(píng)估需要的 E 值。GB/T 34590 定義了 E0、E1 、E2 、E3 、E4 五個(gè)等級(jí)，并對(duì)一些通用場(chǎng)景的 E 值基于行業(yè)共識(shí)進(jìn)行了歸類，以作為日常分析的參考。其中， E0 等級(jí)的場(chǎng)景通常認(rèn)為是不可思議的，沒(méi)有進(jìn)一步探討的必要，記錄相應(yīng)的理由后，可以不進(jìn)行 ASIL 的分配。除此之外，德國(guó)的 VDA 牽頭 德國(guó)的 OEM 和供應(yīng)商訂立了 VDA-702 標(biāo)準(zhǔn)，目的也是希望對(duì)不同場(chǎng)景的劃分達(dá)成更多共識(shí)，為日常開(kāi)發(fā)提供參考。

由于每個(gè)功能的使用場(chǎng)景有所不同，很難羅列出所有的場(chǎng)景，因此，很多時(shí)候我們可以通過(guò)一些基礎(chǔ)場(chǎng)景的組合來(lái)達(dá)成共識(shí)。另外，E 的評(píng)價(jià)本身有兩種標(biāo)準(zhǔn)：一種是基于場(chǎng)景發(fā)生的頻次，另一種是基于場(chǎng)景發(fā)生的時(shí)長(zhǎng)，以適配不同的場(chǎng)景進(jìn)行分析。如果功能只能基于一種維度做評(píng)價(jià)，不太容易帶來(lái)異議，但是某些功能在兩種評(píng)價(jià)維度都可以使用的時(shí)候，不同企業(yè)之間溝通會(huì)變得復(fù)雜，因?yàn)椴煌u(píng)價(jià)維度會(huì)導(dǎo)致評(píng)價(jià)結(jié)果出現(xiàn)本質(zhì)差別。在 VDA-702 中也可以發(fā)現(xiàn)，對(duì)于某些場(chǎng)景，基于不同的標(biāo)準(zhǔn)，得到的評(píng)價(jià)結(jié)果會(huì)差一個(gè)量級(jí)。例如：對(duì)于超車場(chǎng)景，在 GB/T 34590—2022 的附錄 B 中，表 B.2 將基于運(yùn)行場(chǎng)景持續(xù)時(shí)間的暴露概率劃分在 E2 等級(jí)，而表 B.3 又將基于運(yùn)行場(chǎng)景頻率的暴露概率劃分在 E3 等級(jí)。

現(xiàn)實(shí)分析中如何選擇 E 的評(píng)價(jià)標(biāo)準(zhǔn)呢？SAE J2980 和 ISO 26262 中都提到了，如果故障行為伴隨著車輛運(yùn)行情況直接導(dǎo)致危害事件的發(fā)生，那么可以根據(jù)車輛的運(yùn)行場(chǎng)景的持續(xù)時(shí)間來(lái)選擇暴露概率。例如，車輛在高速公路上行駛中，轉(zhuǎn)向系統(tǒng)發(fā)出了錯(cuò)誤轉(zhuǎn)向指令使得車輛開(kāi)出車道線導(dǎo)致危害事件的發(fā)生，那么行駛在高速公路上這個(gè)場(chǎng)景的暴露概率就基于時(shí)長(zhǎng)選擇為 E4。如果已經(jīng)存在的系統(tǒng)故障在相關(guān)運(yùn)行場(chǎng)景發(fā)生后非常短的時(shí)間內(nèi)導(dǎo)致危害事件的發(fā)生，那么可以根據(jù)該場(chǎng)景發(fā)生的頻次來(lái)選擇暴露概率。例如，車輛的倒車燈壞了，當(dāng)車輛進(jìn)入倒車狀態(tài)的時(shí)候，后面的人沒(méi)有及時(shí)察覺(jué)車輛要倒車而導(dǎo)致危害事件的發(fā)生。因?yàn)闊魤牡粢呀?jīng)是預(yù)先存在的故障，所以這種倒車場(chǎng)景的暴露概率可以基于頻次選擇為 E4。

除曝光概率 E 的表征外，車輛的可控性 C 對(duì)于危害發(fā)生的概率也有一定表征。GB/T 34590 將可控性分為 C0、C1 、C2 、C3 四個(gè)等級(jí)，并做了簡(jiǎn)單的分類和給出了一些示例。其中，C0 等級(jí)通常代表事故可通過(guò)駕駛員常規(guī)操作來(lái)避免，且不影響車輛的安全運(yùn)行，不必進(jìn)行 ASIL 的分配。但對(duì)于大多數(shù)功能和場(chǎng)景來(lái)說(shuō)，無(wú)法直接使用這些信息，而且這部分的主觀評(píng)價(jià)也很容易產(chǎn)生爭(zhēng)議。這時(shí)，可控性測(cè)試是一個(gè)選擇。GB/T 34590 標(biāo)準(zhǔn)中有此描述：對(duì)于 C2 ，一個(gè)符合 RESPONSE3 的合理測(cè)試場(chǎng)景是足夠的。實(shí)際的測(cè)試經(jīng)驗(yàn)表明，每個(gè)場(chǎng)景中 20個(gè)有效的數(shù)據(jù)包能提供基本的有效性說(shuō)明。如果這 20 個(gè)數(shù)據(jù)包中的每一個(gè)都符合測(cè)試的通過(guò)標(biāo)準(zhǔn)，能夠證明 85%的可控性水平（達(dá)到通常人工測(cè)試能夠接受的 95%的置信度）。這為 C2 預(yù)估的合理性提供了適當(dāng)?shù)淖C據(jù)。這是基于統(tǒng)計(jì)學(xué)的評(píng)價(jià)方式，即如果在某一個(gè)預(yù)設(shè)的場(chǎng)景下，有20個(gè)測(cè)試人員進(jìn)行測(cè)試，且測(cè)試結(jié)果都有效，我們就能將這個(gè)場(chǎng)景評(píng)估為 C2。這里有幾點(diǎn)要注意：

◆ 20 個(gè)測(cè)試人員通過(guò)測(cè)試，且測(cè)試結(jié)果需要有效。這里并不是說(shuō)從 100 個(gè)測(cè)試人員中選 20 個(gè)通過(guò)測(cè)試，而是盡可能 20 個(gè)測(cè)試人員都通過(guò)測(cè)試。考慮到實(shí)驗(yàn)中測(cè)試人員可能會(huì)出現(xiàn)一些不確定因素，對(duì)于沒(méi)有通過(guò)測(cè)試的人員也需要給出強(qiáng)有力的合理解釋，作為例外排除在外。

◆為保證測(cè)試的有效性，測(cè)試人員應(yīng)該在不知情的情況下測(cè)試，也就是盲測(cè)。

◆測(cè)試結(jié)果只能證明C2，而不能證明 C1。如果要證明 C1，可能需要一個(gè)非常龐大的測(cè)試數(shù)據(jù)，這在目前不太現(xiàn)實(shí)。因此，一般情況下，從 C2 到 C1 只能通過(guò)一些理論模型或?qū)＜以u(píng)定來(lái)達(dá)成。

總的來(lái)說(shuō)，HARA 是一種較為主觀的分析方法。不同的群體可能會(huì)根據(jù)他們對(duì)嚴(yán)重度、暴露概率和可控性的看法來(lái)定義不同的值。這可能是地理或文化因素造成的，因此在項(xiàng)目中需要花費(fèi)較多時(shí)間和精力來(lái)達(dá)成一致意見(jiàn)。

我們以自動(dòng)緊急剎車（AEB）為例來(lái)闡述 HARA 分析的過(guò)程，如表 3-5 所示。

在上面的示例中，不期望的制動(dòng)扭矩會(huì)導(dǎo)致后車無(wú)法及時(shí)剎車，從而發(fā)生追尾；而在需要緊急制動(dòng)的時(shí)候卻沒(méi)有進(jìn)行制動(dòng)，則會(huì)導(dǎo)致本車與前車發(fā)生追尾。考慮到高速公路上行駛的速度很快，因此 S 的評(píng)價(jià)都是 S3。對(duì)于 E 的評(píng)估，一般來(lái)說(shuō)，在高速公路上行駛時(shí)我們考慮的是 E4 ，但是如果車輛之間保持合理的車距，理論上可以認(rèn)為應(yīng)該能夠避免任何碰撞。現(xiàn)實(shí)中有不少情況是車距并沒(méi)有達(dá)到規(guī)定的要求，導(dǎo)致來(lái)不及剎車，所以這里可以把 E 降到E3。當(dāng)然，這里可以基于數(shù)據(jù)進(jìn)行不同的評(píng)級(jí)。

對(duì)于不期望的制動(dòng)，駕駛員無(wú)法阻止這一行為，因此可控性自然是 C3。而對(duì)于沒(méi)有制動(dòng)扭矩響應(yīng)的情況，因?yàn)?AEB 是一個(gè)輔助功能，假設(shè)駕駛員有責(zé)任和義務(wù)識(shí)別前車突然剎車并對(duì)車輛進(jìn)行干預(yù)，所以評(píng)定為 C0?；?S 、E 、C 的評(píng)價(jià)，自然得出了兩個(gè)不同的 ASIL 等級(jí)，不期望的制動(dòng)扭矩對(duì)應(yīng) ASIL C 等級(jí)，而沒(méi)有制動(dòng)扭矩響應(yīng)則對(duì)應(yīng) QM 等級(jí)。此外，基于 ASIL C 對(duì)應(yīng)的危害，可以導(dǎo)出一個(gè)安全目標(biāo)：避免在行駛過(guò)程中 AEB 的誤觸發(fā)。

02.

預(yù)期功能安全方面

和功能安全不同，預(yù)期功能安全關(guān)注的不是電子電氣系統(tǒng)的功能異常表現(xiàn)引起的危害導(dǎo)致的不合理風(fēng)險(xiǎn)，而是關(guān)注由于預(yù)期功能或其實(shí)現(xiàn)的不足引起的危害導(dǎo)致的不合理風(fēng)險(xiǎn)。因此，從分析方法的角度來(lái)說(shuō)，對(duì)于預(yù)期功能安全的危害風(fēng)險(xiǎn)和風(fēng)險(xiǎn)評(píng)估可以通過(guò) GB/T 34590中功能安全所采用的方法（例如 HARA分析法）進(jìn)行，并在一定程度上參考其結(jié)果。當(dāng)然，對(duì)于功能約束范圍內(nèi)的危害，我們還需要進(jìn)行額外的 SOTIF 分析。圖 3-4 展示了利用 HARA 分析法開(kāi)展預(yù)期功能安全分析的流程。

在整個(gè) HARA 分析過(guò)程中，功能安全和預(yù)期功能安全分析的主要差別如下：

功能安全專注于電子電氣的失效，而預(yù)期功能安全則專注于導(dǎo)致功能異常的觸發(fā)條件。觸發(fā)條件的發(fā)生率和危害導(dǎo)致傷害所處場(chǎng)景的暴露概率有重要區(qū)別。因此，我們不能繼續(xù)使用功能安全中的暴露概率 E，這也直接導(dǎo)致在預(yù)期功能安全中不會(huì)有 ASIL 等級(jí)這樣的分級(jí)。

對(duì)傷害的嚴(yán)重度 S 和危害事件的可控性 C 的評(píng)估可以參考 GB/T 34590 中的功能安全分析方法。預(yù)期功能安全主要針對(duì)自動(dòng)駕駛及輔助駕駛功能。與功能安全不同，預(yù)期功能安全中的危害事件無(wú)法被系統(tǒng)識(shí)別，因?yàn)闆](méi)有類似功能安全的報(bào)警機(jī)制，更多的是功能信息的一些交互。因此，預(yù)期功能安全的可控性評(píng)估應(yīng)包括相關(guān)人員對(duì)危害控制的無(wú)反應(yīng)或延遲反應(yīng)。這些反應(yīng)可能是由合理可預(yù)見(jiàn)的間接誤用，或者駕駛員對(duì)交互信息的誤解引發(fā)的。

功能安全 HARA 分析中的一部分危害事件可能與預(yù)期功能安全無(wú)關(guān)，例如：轉(zhuǎn)向執(zhí)行器失效。這類危害事件可以在后續(xù)的預(yù)期功能安全分析中移除，以減少我們后續(xù)分析的工作量。

除功能安全分析中的危害事件外，預(yù)期功能安全也有自己特有的危害事件。例如：車輛功能在限定范圍外自動(dòng)觸發(fā)，可能是駕駛員或用戶與系統(tǒng)的交互（包括合理可預(yù)見(jiàn)的誤用）導(dǎo)致的問(wèn)題。這些問(wèn)題可以作為原有 HARA 的擴(kuò)展，也可以作為預(yù)期功能安全特有的危害事件進(jìn)行分析。

為了減少工作量，預(yù)期功能安全的 HARA 分析可以和功能安全的 HARA 分析合并在一起進(jìn)行。不過(guò)，在分析過(guò)程中，最好標(biāo)注出是功能安全相關(guān)還是預(yù)期功能安全相關(guān)，以便后續(xù)的開(kāi)發(fā)工作。

我們?nèi)匀灰?AEB 功能為例，表 3-6 展示了 AEB 功能的 HARA 分析示例。

在上面的示例中，不期望的制動(dòng)扭矩可以是制動(dòng)器失效引起的，這屬于功能安全相關(guān)的話題。但這種危害也可能是 ADAS 的感知和控制系統(tǒng)對(duì)前方目標(biāo)識(shí)別不清導(dǎo)致的誤觸發(fā)，這屬于預(yù)期功能安全的話題。因此，同樣的安全目標(biāo)會(huì)同時(shí)分配給功能安全和預(yù)期功能安全，并且需要在兩者的安全概念和安全設(shè)計(jì)中考慮對(duì)應(yīng)的措施。然而，危害分析和風(fēng)險(xiǎn)評(píng)估是可以相互借鑒的。

03.

網(wǎng)絡(luò)安全方面

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)一般通過(guò)兩個(gè)維度來(lái)衡量：遭受攻擊的可能性以及遭受攻擊后產(chǎn)生的影響。威脅分析與風(fēng)險(xiǎn)評(píng)估（Threat AnalysisandRisk Assessment，TARA）的目的是通過(guò)系統(tǒng)性的方法量化這兩個(gè)因素，從而確定針對(duì)特定攻擊的風(fēng)險(xiǎn)大小。

TARA 方法基于風(fēng)險(xiǎn)評(píng)級(jí)及對(duì)應(yīng)的威脅場(chǎng)景，最終得出網(wǎng)絡(luò)安全目標(biāo)，作為后續(xù)網(wǎng)絡(luò)安全概念設(shè)計(jì)的輸入。

TARA 方法源自傳統(tǒng)的 IT 領(lǐng)域，不同的領(lǐng)域或組織也建立過(guò)不同的評(píng)估方法。標(biāo)準(zhǔn) GB/T 20984—2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》中確定了我國(guó)推薦的評(píng)估方法。

ISO/SAE 21434 作為第一個(gè)汽車網(wǎng)絡(luò)安全的國(guó)際標(biāo)準(zhǔn)，被汽車行業(yè)廣泛采用或參考，也定義了自己的 TARA方法。本書(shū)后續(xù)介紹將主要依據(jù) ISO/SAE 21434 標(biāo)準(zhǔn)介紹的方法，以指導(dǎo)讀者在汽車行業(yè)中的實(shí)踐。

3.1TARA分析過(guò)程

基于 ISO/SAE 21434 的 TARA 分析過(guò)程如圖 3-5 所示。

（1）安全資產(chǎn)識(shí)別

和許多風(fēng)險(xiǎn)分析方法一樣，汽車領(lǐng)域的 TARA 分析也從資產(chǎn)識(shí)別開(kāi)始。資產(chǎn)是指具有價(jià)值或?qū)r(jià)值有貢獻(xiàn)的事物，例如集成在 ECU 中的固件或存儲(chǔ)在車內(nèi)的個(gè)人信息等。資產(chǎn)通常具有一個(gè)或多個(gè)網(wǎng)絡(luò)安全屬性，對(duì)這些屬性的侵害會(huì)導(dǎo)致不同程度的破壞。因此，在開(kāi)始資產(chǎn)識(shí)別之前，我們需要了解什么是資產(chǎn)的網(wǎng)絡(luò)安全屬性。

對(duì)于安全屬性，我們會(huì)考慮在傳統(tǒng)信息安全行業(yè)中頻繁出現(xiàn)的CIA三元組，即機(jī)密性 （Confidentiality）、完整性（Integrity）、可用性（Availability）。這三個(gè)屬性一般被認(rèn)為是網(wǎng)絡(luò)安全的基本屬性。

◆機(jī)密性：信息對(duì)未授權(quán)的個(gè)人、實(shí)體或過(guò)程不可用或不泄露的特性。該特性的目標(biāo)是確保除預(yù)期接收方外的任何角色都不會(huì)接收或讀取信息，例如存儲(chǔ)在 ECU 中的個(gè)人敏感信息。

◆完整性：完備的特性，通常需要確保數(shù)據(jù)準(zhǔn)確、未被替換，且僅由授權(quán)的主體按照預(yù)期方式進(jìn)行修改。例如，需要刷寫進(jìn)車輛中的軟件通常會(huì)要求考慮該特性。

◆可用性：根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和可使用的特性。該特性的目標(biāo)是為主體提供重置的帶寬或?qū)崟r(shí)處理的能力，比如車內(nèi)的實(shí)時(shí)通信。

當(dāng)然，有些組織也會(huì)在此基礎(chǔ)上進(jìn)行擴(kuò)展。例如，微軟的 STRIDE 威脅建模方法論針對(duì)了六種基礎(chǔ)威脅，包括欺詐（Spoofing）、篡改（Tampering）、抵賴（Repudiation）、信息泄露（Information Disclosure）、拒絕服務(wù)（Denial of Service）、權(quán)限提升（Elevation ofPrivilege）。除了 CIA 三個(gè)基礎(chǔ)安全屬性外，該方法論還拓展了認(rèn)證（Authenticity）、不可抵賴性（Non-repudiability）和授權(quán)（Authorization）三個(gè)屬性。在具體評(píng)估中，網(wǎng)絡(luò)安全采用哪種方式?jīng)]有統(tǒng)一的規(guī)定，取決于公司自身的策略。

在了解了以上關(guān)于資產(chǎn)及其網(wǎng)絡(luò)安全屬性的概念后，我們便可以開(kāi)始資產(chǎn)識(shí)別了。這通常包括三個(gè)步驟。首先，要找出需要保護(hù)的資產(chǎn)；其次，對(duì)于這些資產(chǎn)，確認(rèn)需要保護(hù)的網(wǎng)絡(luò)安全屬性；最后，確認(rèn)對(duì)這些資產(chǎn)及其網(wǎng)絡(luò)安全屬性的破壞會(huì)導(dǎo)致的損害場(chǎng)景。例如，駕駛員的個(gè)人信息作為資產(chǎn)，具有保密性的安全屬性。如果保密性被破壞，那么所導(dǎo)致的損害場(chǎng)景就是個(gè)人信息的泄露。如果完整性被破壞，可能導(dǎo)致的損害場(chǎng)景是對(duì)車輛安全的影響或者對(duì)汽車某些功能的限制。

（2）威脅場(chǎng)景識(shí)別

識(shí)別了資產(chǎn)及其網(wǎng)絡(luò)安全屬性，并確定了相應(yīng)的損害場(chǎng)景后，我們下一步需要挖掘這些導(dǎo)致?lián)p害場(chǎng)景出現(xiàn)的原因。實(shí)際上，這一步就是對(duì)威脅場(chǎng)景的識(shí)別。例如，破壞駕駛員個(gè)人信息的保密性會(huì)導(dǎo)致個(gè)人數(shù)據(jù)泄露。再如，篡改車內(nèi)通信信號(hào)可能會(huì)導(dǎo)致車輛的安全功能失效。

（3）影響評(píng)級(jí)

在第一步中，我們已經(jīng)識(shí)別出多種損害場(chǎng)景，影響評(píng)級(jí)則是針對(duì)這些損害場(chǎng)景的嚴(yán)重程度進(jìn)行打分。

ISO/SAE 21434 標(biāo)準(zhǔn)中要求嚴(yán)重程度的評(píng)級(jí)至少?gòu)陌踩?span style="color:rgb(147,147,147);">（Safety）、經(jīng)濟(jì)（Financial）、操控 （Operational）和隱私（Privacy）四個(gè)方面綜合考慮。除此之外，我們還可以增加其他方面的考慮，例如公司違反法律法規(guī)造成的聲譽(yù)影響等。

首先需要對(duì)以上各個(gè)方面的影響進(jìn)行單獨(dú)評(píng)級(jí)，一般分為四級(jí)：十分嚴(yán)重、嚴(yán)重、中等、可忽略。然后綜合各個(gè)方面的評(píng)級(jí)結(jié)果，得出最終評(píng)級(jí)。每個(gè)影響等級(jí)的劃分如表 3-7 所示。ISO/SAE 21434 中沒(méi)有定義各方面評(píng)級(jí)對(duì)于最終評(píng)級(jí)結(jié)果的影響權(quán)重。這可以由各組織自行定義，一般可直接取各項(xiàng)最高評(píng)級(jí)，或者采取打分制，最終評(píng)級(jí)以各項(xiàng)得分之和為準(zhǔn)。

其中，安全影響的 S3 ～ S0 評(píng)分標(biāo)準(zhǔn)參考了功能安全標(biāo)準(zhǔn) ISO 26262-3：2018 中對(duì)嚴(yán)重度 S 的評(píng)分標(biāo)準(zhǔn)，分別對(duì)應(yīng)致命傷害、嚴(yán)重傷害、輕度或中度傷害、無(wú)害。操控影響和安全影響可能會(huì)有聯(lián)系，但是有操控影響未必會(huì)有安全影響。

（4）攻擊路徑分析

接下來(lái)需要針對(duì)各個(gè)威脅場(chǎng)景找出可行的攻擊路徑。攻擊路徑應(yīng)該關(guān)聯(lián)到其可以實(shí)現(xiàn)的威脅場(chǎng)景。

攻擊路徑的分析可以基于下面的方式：

1 ）自上而下的方式。分析能夠?qū)崿F(xiàn)威脅場(chǎng)景的不同方法（攻擊樹(shù)、攻擊圖等），以此來(lái)推導(dǎo)出攻擊路徑。

在實(shí)際操作中，通?？梢杂卯?huà)圖的方式進(jìn)行攻擊路徑分析。舉一個(gè)常見(jiàn)的威脅場(chǎng)景：“篡改制動(dòng)系統(tǒng)的控制 CAN 信號(hào)，導(dǎo)致威脅 CAN 信號(hào)的完整性，從而對(duì)制動(dòng)功能造成安全影響?！毕旅嬉怨魳?shù)的圖示（圖 3-6）為例，分析如何實(shí)現(xiàn)篡改制動(dòng)系統(tǒng)的控制 CAN 信號(hào)?？梢酝ㄟ^(guò)圖 3-6 所示的 1.1 、1.2 、1.3 三種方式，其中為了實(shí)現(xiàn) 1.2 的攻擊路徑，又可以延展到 1.2.1 、1.2.2 兩種方式。當(dāng)然，實(shí)現(xiàn) 1.3 的攻擊路徑也可以近似地繼續(xù)向下分解可能的攻擊方式，顆粒度按實(shí)際需要來(lái)把握。這種自上而下的分析方法與功能安全中使用的故障樹(shù)分析 （FTA）非常相似。

2 ）自下而上的方法。這種方法常見(jiàn)于已知或者發(fā)現(xiàn)某個(gè)漏洞或脆弱點(diǎn)。通過(guò)這種方法構(gòu)建攻擊路徑，可以判別是否與威脅場(chǎng)景相關(guān)。當(dāng)然，在某些情況下，通過(guò)不斷地向上推演， 可能發(fā)現(xiàn)并不會(huì)出現(xiàn)企業(yè)所關(guān)心的威脅場(chǎng)景，那么這條路徑的分析就可以中止。

（5）攻擊可行性評(píng)級(jí)

找到了攻擊路徑以后，需要確定通過(guò)各個(gè)攻擊路徑實(shí)施攻擊的可行性。攻擊可行性的評(píng)級(jí)有很多不同的方法。ISO/SAE 21434 中推薦了三種可用的方法，包括基于攻擊潛力的方法、 CVSS 方法以及基于攻擊向量的方法。

下面對(duì)基于攻擊潛力的分析方法進(jìn)行舉例說(shuō)明。

基于攻擊潛力的分析方法需要通過(guò)五個(gè)維度來(lái)評(píng)估，具體如下：

◆ Elapsed Time：實(shí)施攻擊需要花費(fèi)的時(shí)間

◆ Specialist Expertise：攻擊者的技能水平

◆ Knowledge of the Item or Component：對(duì)攻擊項(xiàng)或組件所需要了解的知識(shí)程度

◆ Window of Opportunity：可以攻擊的機(jī)會(huì)窗口

◆ Equipment：攻擊所需設(shè)備的難易程度

每個(gè)維度根據(jù)需求分為不同的級(jí)別，比如攻擊時(shí)間可以分為小于或等于一天、小于或等于一周、小于或等于一個(gè)月、小于或等于六個(gè)月和大于六個(gè)月。專家級(jí)別可以分為外行、精通、專家和多個(gè)專家四個(gè)級(jí)別，企業(yè)可以參照 ISO/SAE 21434 的附錄 G 的推薦進(jìn)行具體的級(jí)別定義。

對(duì)于每個(gè)找到的攻擊路徑，我們可以按照以上五個(gè)維度評(píng)級(jí)，并根據(jù)評(píng)級(jí)確定對(duì)應(yīng)的評(píng)分。ISO/SAE 21434 也對(duì)各評(píng)級(jí)的分?jǐn)?shù)有推薦定義，詳見(jiàn)表 3-8。

最終，攻擊潛力的評(píng)分是這五個(gè)維度的單項(xiàng)評(píng)分之和。

確定了攻擊潛力，攻擊可行性評(píng)級(jí)就可以確定下來(lái)了，如表 3-9 所示。

從表 3-9 可以看出，攻擊潛力值越小，攻擊可行性評(píng)級(jí)越高，攻擊越容易實(shí)施；攻擊潛力值越大，攻擊可行性評(píng)級(jí)越低，攻擊越難以實(shí)施。

結(jié)合攻擊潛力分析的五個(gè)要素，這個(gè)評(píng)級(jí)也很容易定性地去理解。攻擊所花的時(shí)間越短，對(duì)攻擊人員的技能需求越低，需要對(duì)被攻擊項(xiàng)的了解程度越低，機(jī)會(huì)窗口越?jīng)]有限制，設(shè)備越標(biāo)準(zhǔn)，說(shuō)明實(shí)施攻擊的難度越低（攻擊潛力值越?。?/span>，那么攻擊可行性就越高了。

（6）風(fēng)險(xiǎn)評(píng)級(jí)

網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)一般來(lái)自兩個(gè)維度：一個(gè)是攻擊的難易程度，即攻擊的可行性；另一個(gè)是遭受攻擊后所產(chǎn)生的影響。如果一個(gè)事物很容易被攻擊，并且遭受攻擊后影響非常嚴(yán)重，那么它的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就非常高。反之，如果實(shí)施攻擊很困難，且產(chǎn)生的影響也不嚴(yán)重，那么它的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就很低。

這兩個(gè)維度在前文都有討論，各自的評(píng)級(jí)方法也在前文有所描述。評(píng)級(jí)結(jié)果在這里進(jìn)行一下總結(jié)：

◆影響評(píng)級(jí)：十分嚴(yán)重、嚴(yán)重、中等、可忽略。

◆攻擊可行性評(píng)級(jí)：高、中、低、很低。

從影響評(píng)級(jí)以及攻擊可行性評(píng)級(jí)來(lái)導(dǎo)出風(fēng)險(xiǎn)評(píng)級(jí)，并沒(méi)有統(tǒng)一的規(guī)定。常見(jiàn)的方法是通過(guò)矩陣表格或者公式計(jì)算得出風(fēng)險(xiǎn)評(píng)級(jí)。各組織可以自行決定具體的風(fēng)險(xiǎn)評(píng)級(jí)定義。

表 3-10 是 ISO/SAE 21434 給出的風(fēng)險(xiǎn)評(píng)級(jí)例子，企業(yè)也可以據(jù)此定義自己的風(fēng)險(xiǎn)評(píng)級(jí)策略。

（7）風(fēng)險(xiǎn)處置決定

對(duì)于每個(gè)威脅場(chǎng)景，確定了風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)評(píng)級(jí)后，我們就需要決定如何處置風(fēng)險(xiǎn)。風(fēng)險(xiǎn)處置有下面四種方式。

1 ）規(guī)避風(fēng)險(xiǎn)。例如把導(dǎo)致風(fēng)險(xiǎn)的源頭掐掉。

2 ）降低風(fēng)險(xiǎn)。通常需要采取一些安全措施來(lái)降低風(fēng)險(xiǎn)。在這里需要注意的是，安全措施一般是通過(guò)降低攻擊的可行性來(lái)降低風(fēng)險(xiǎn)的，攻擊產(chǎn)生的影響一般不會(huì)改變。

3 ）分擔(dān)風(fēng)險(xiǎn)。不是所有的風(fēng)險(xiǎn)都必須在本組織內(nèi)采取安全措施來(lái)降低或規(guī)避，可通過(guò)和供應(yīng)鏈的上下游分擔(dān)，或者通過(guò)保險(xiǎn)的形式分擔(dān)。例如，通過(guò)使用專門的安全供應(yīng)商的產(chǎn)品，將風(fēng)險(xiǎn)傳遞給供應(yīng)商，由供應(yīng)商來(lái)處置相應(yīng)的風(fēng)險(xiǎn)。

4 ）保持風(fēng)險(xiǎn)。保持風(fēng)險(xiǎn)是指對(duì)風(fēng)險(xiǎn)不采取措施。一般來(lái)說(shuō)，保持風(fēng)險(xiǎn)的決定需要有充足、合理的理由。保持風(fēng)險(xiǎn)多數(shù)情況下是對(duì)較低風(fēng)險(xiǎn)的處置方式。

這里需要特別注意，保持風(fēng)險(xiǎn)和對(duì)風(fēng)險(xiǎn)置之不理是兩種完全不同的狀態(tài)。風(fēng)險(xiǎn)處置決定中的保持風(fēng)險(xiǎn)是指對(duì)已有的風(fēng)險(xiǎn)已經(jīng)關(guān)注并思考過(guò)，然后基于某些充足、合理的理由，決定不采取措施，這包含了合理的決策過(guò)程。而對(duì)風(fēng)險(xiǎn)置之不理則沒(méi)有包含合理的決策過(guò)程，更多是一種忽略的態(tài)度。在項(xiàng)目開(kāi)發(fā)過(guò)程中，我們需要理解兩種狀態(tài)的區(qū)別，避免出現(xiàn)后者的情況。

3.2案例

下面以用一個(gè)自動(dòng)緊急剎車系統(tǒng)的示例來(lái)介紹如何進(jìn)行風(fēng)險(xiǎn)評(píng)估。

為簡(jiǎn)明起見(jiàn)，我們把感知和決策模塊放在一起。那么，整個(gè)自動(dòng)緊急剎車系統(tǒng)由三個(gè)部分組成。

◆感知和決策系統(tǒng)：判斷前方是否有緊急情況，以及車輛應(yīng)該如何響應(yīng)。

◆車內(nèi)通信系統(tǒng)：負(fù)責(zé)將感知和決策系統(tǒng)的指令發(fā)送給剎車系統(tǒng)，同時(shí)接收剎車系統(tǒng)的狀態(tài)反饋。

◆剎車系統(tǒng)：根據(jù)感知和決策系統(tǒng)發(fā)過(guò)來(lái)的指令，執(zhí)行相應(yīng)的車輛緊急制動(dòng)。

圖 3-7 展示了它們之間的功能關(guān)系，同時(shí)表明了風(fēng)險(xiǎn)評(píng)估的范圍。

（1）安全資產(chǎn)識(shí)別

在對(duì)自動(dòng)緊急剎車系統(tǒng)進(jìn)行資產(chǎn)識(shí)別的過(guò)程中，我們需要識(shí)別安全相關(guān)資產(chǎn)及其安全屬性。安全屬性主要包括機(jī)密性、完整性和可用性三項(xiàng)，如表 3-11 所示。

（2）威脅場(chǎng)景識(shí)別

威脅場(chǎng)景的識(shí)別主要是根據(jù)系統(tǒng)中識(shí)別到的安全相關(guān)資產(chǎn)進(jìn)行針對(duì)性分析。表 3-12 展示了自動(dòng)緊急剎車系統(tǒng)的威脅場(chǎng)景識(shí)別示例。

（3）影響評(píng)級(jí)

通過(guò)識(shí)別系統(tǒng)中的安全相關(guān)資產(chǎn)和分析威脅場(chǎng)景，我們可以根據(jù)識(shí)別結(jié)果進(jìn)行威脅的影響分析和影響評(píng)級(jí)，如表 3-13 所示。

（4）攻擊路徑分析及攻擊可行性評(píng)級(jí)

此處可行性的取值基于假設(shè)，并非實(shí)際系統(tǒng)分析得出。下面提供兩個(gè)典型威脅場(chǎng)景的攻擊路徑分析和攻擊可行性評(píng)級(jí)。

1 ）系統(tǒng)軟件被非法篡改。攻擊可行性高（ 4，3，0，0，0），分析過(guò)程如圖 3-8 所示。

2）車內(nèi)通信系統(tǒng)被非法篡改或者偽造。攻擊可行性高（4，6，3，0，0），分析過(guò)程如圖 3-9 所示。

（5）風(fēng)險(xiǎn)評(píng)級(jí)

在完成上述分析后，我們可以基于分析結(jié)果得出系統(tǒng)中所有已知威脅場(chǎng)景的風(fēng)險(xiǎn)值，從而確定其風(fēng)險(xiǎn)評(píng)級(jí)結(jié)果，如表 3-14 所示。