01

什么是“安全”？

當前在汽車領域，關于安全，我們時常可以聽到這幾個詞：功能安全，預期功能安全，信息安全，網絡安全等。那這些概念到底是什么意思？他們之間的區別又是什么呢？

首先，我們先來聊一下“安全”一詞。中文的“安全”可以有兩個英文單詞與之對應：safety和security。這兩個單詞在牛津詞典及維基百科中的解釋如下所示。

表格1 safety及security的一般含義解釋

在通常情況下，兩種安全均可表示為一種沒有受到傷害、威脅、破壞的狀態。而對于security一詞，維基中的解釋特別指出了這是一種沒有受到來自其他人/外部（caused by others）的傷害。一種比較常見的觀點是，safety指的是一種沒有受到傷害的狀態，不管這種傷害是故意造成的還是非故意造成的。而security指沒有受到故意原因造成的傷害。

02

汽車行業中的幾個“安全”

在汽車行業中，關于各種安全的定義，各個相關的行業標準及指南中都給出了明確的定義。

與safety相關的概念及定義原文如下表所示。

表格2 汽車行業標準及指南中對safety相關概念的定義

其中，safety指一種沒有受到傷害的一種狀態，這種傷害可能會對生命、財產、環境造成損失，這是一種系統可以正常地按照設計者意愿工作的狀態。功能安全（functional safety）指沒有具有不合理風險的危害的狀態，這些危害是由電子電氣系統的故障行為造成的。預期功能安全（SOTIF）同樣指系統沒有具有不合理風險的危害的狀態。預期功能安全與功能安全的區別在于：前者的危害情況是由于系統的功能性不足（如系統的設計或本身性能限制、設計時對運行情況的認識不足等）以及合理的可預見的誤操作造成的，而后者的危害情況是由系統本身的電子電器系統的故障行為造成的。當前行業中，主要依據ISO 26262(2018)系列標準及ISO/PAS 21448:2019標準，來執行對車輛及相關系統的功能安全和預期功能安全的設計、實施、驗證等全生命周期中的安全管理。

在汽車行業中，與security相關的就是一個概念，即網絡安全（cybersecurity），下表中列出了與汽車網絡安全相關的行業標準、指南及法規中，對網絡安全的定義。

表格3 汽車行業標準、指南及法規中的網絡安全概念定義

在SAE J3061指南中，網絡安全指系統漏洞不被允許利用的一種狀態，一旦這些漏洞被利用，即系統的網絡安全狀態遭到破壞，則會導致例如生命、財產、隱私、操作性等方面的損失。ISO/SAE 21434及WP.29 155中對網絡安全一詞的定義較為類似，其主要指所關心的資產受到了足夠的保護，以免受到一些威脅的傷害。此處的資產指任何對利益相關者有價值的東西，包括車輛、車輛功能、電子電器部件等。

為了進一步明確上述汽車行業中各個安全概念的定義、關鍵概念、范圍及相互關系，作者設計了一種汽車行業“安全”概念映射圖，如下所示。

圖1 “安全”概念映射圖

“安全”概念映射圖主要從兩個維度對術語中的關鍵元素進行分類，其分別為“造成危害的原因”（caused by）以及“可能導致的危害結果”（cause harm to）。

上圖中的橫坐標為“造成危害的原因”。其中，“系統”（system）表示由系統本身的原因而造成危害。例如，由于設計缺陷或隨機硬件失效造成的系統功能失效。由設計不足而造成的預期功能不足也屬于這一類型。“人類”（human）表示由人的因素而造成危害，該類還可以細分為兩個子類，其分別為“人為失誤” (human error)和“人為誤操作” (misused by human)。前者表示這一失誤行為是人非故意為之的，并且可能會導致系統的行為超出可接受的范圍[9]；而后者表示該行為是操作人員有意為之(沒有惡意目的)，但該行為是系統制造者所不希望的[6]。“環境”（environment）包括了外部物理環境(如溫度、濕度)以及系統運行的先決條件(如正確的傳感器輸入數值)。“攻擊”（attack）表示了任何想要暴露、改變、使工作禁止、破壞、偷竊、非法進入或非法使用一個資產的企圖[10] 。橫坐標中的前三項是由非惡意原因造成的危害，而最后一項危害原因是來自于外界的惡意行為而造成的。

圖中的縱坐標表示了三類可能導致的危害結果。對人類生命造成的物理傷害(如骨折、外傷、死亡等)屬于第一類危害結果，即“人類生命”（human lifes）。第二類“財產”（properties）包括了經濟及信息方面的損失，前者表示該危害導致財產的所有者需要支付額外的費用，后者則表示與信息安全相關的后果，如知識產權泄露，用戶隱私暴露等。“環境”（environment）是指供人類與其他地球生命生存的自然環境。有毒氣體的釋放和造成資源浪費等情況屬于這類的危害結果。

根據上述的橫縱坐標分類，可將各個行業規范或指南中的“安全”概念映射其中，以方便理解各個概念的含義、范圍及相互關系，為后續的安全設計、開發等工作提供清晰的概念理解。

03

safety-critical 系統及security-critical 系統

除了safety與cybersecurity兩個概念本身之外，SAE J3061中還提及了兩個與之相關的概念，即safety-critical system與security-critical system。這兩個概念的原文定義如下所示。

表格4 safety-critical及cybersecurity-critical系統概念定義

Safety-critical系統是指：如果該系統沒有按照所設定的、或所預期的行為運行，將會導致生命、財產或環境受到傷害的系統。Cybersecurity-critical系統指：如果該系統被通過系統漏洞被入侵破壞，將導致經濟、操作性、隱私或者安全性（safety）方面損失的系統。

關于上述兩個系統的關系，SAE J3061指南中指出：所有的safety-critical系統都是cybersecurity-critical系統，因為一個針對safety-critical系統的直接或間接的網絡攻擊將會導致潛在的安全（safety）損失。但并不是所有的cybersecurity-critical系統都是safety-critical系統，因為一個針對cybersecurity-critical系統的網絡攻擊可能會造成除了安全（safety）的其他方面損失，如隱私性、操作性或經濟性上的損失。下圖為SAE J3061指南中，對safety-critical及cybersecurity-critical系統之間關系的說明圖。

圖2 SAE J3061中的safety-critical及cybersecurity-critical系統關系說明圖[4]

04

總結

保障汽車的各方面安全是行業中的重要課題，因為一旦車輛有危害情況發生，除了經濟、環境損失外，還會對生命造成威脅。本文主要介紹并辨析了汽車行業中與安全相關的概念，以明確不同安全主題的含義、范圍及相互關系，以幫助相關從業者理清概念，明確關系，為更好地解決日常工作中的相關問題打下理論基礎。

審核編輯：符乾江