在汽車行業(yè)中���,關(guān)于各種安全的定義,各個(gè)相關(guān)的行業(yè)標(biāo)準(zhǔn)及指南中都給出了明確的定義����。
與safety相關(guān)的概念及定義原文如下表所示。
表格2 汽車行業(yè)標(biāo)準(zhǔn)及指南中對(duì)safety相關(guān)概念的定義
其中���,safety指一種沒有受到傷害的一種狀態(tài)�,這種傷害可能會(huì)對(duì)生命、財(cái)產(chǎn)�、環(huán)境造成損失,這是一種系統(tǒng)可以正常地按照設(shè)計(jì)者意愿工作的狀態(tài)���。功能安全(functional safety)指沒有具有不合理風(fēng)險(xiǎn)的危害的狀態(tài)����,這些危害是由電子電氣系統(tǒng)的故障行為造成的���。預(yù)期功能安全(SOTIF)同樣指系統(tǒng)沒有具有不合理風(fēng)險(xiǎn)的危害的狀態(tài)�。預(yù)期功能安全與功能安全的區(qū)別在于:前者的危害情況是由于系統(tǒng)的功能性不足(如系統(tǒng)的設(shè)計(jì)或本身性能限制���、設(shè)計(jì)時(shí)對(duì)運(yùn)行情況的認(rèn)識(shí)不足等)以及合理的可預(yù)見的誤操作造成的�����,而后者的危害情況是由系統(tǒng)本身的電子電器系統(tǒng)的故障行為造成的�。當(dāng)前行業(yè)中����,主要依據(jù)ISO 26262(2018)系列標(biāo)準(zhǔn)及ISO/PAS 21448:2019標(biāo)準(zhǔn),來執(zhí)行對(duì)車輛及相關(guān)系統(tǒng)的功能安全和預(yù)期功能安全的設(shè)計(jì)、實(shí)施���、驗(yàn)證等全生命周期中的安全管理���。
在汽車行業(yè)中,與security相關(guān)的就是一個(gè)概念��,即網(wǎng)絡(luò)安全(cybersecurity)�����,下表中列出了與汽車網(wǎng)絡(luò)安全相關(guān)的行業(yè)標(biāo)準(zhǔn)�、指南及法規(guī)中�����,對(duì)網(wǎng)絡(luò)安全的定義��。
表格3 汽車行業(yè)標(biāo)準(zhǔn)��、指南及法規(guī)中的網(wǎng)絡(luò)安全概念定義
在SAE J3061指南中����,網(wǎng)絡(luò)安全指系統(tǒng)漏洞不被允許利用的一種狀態(tài),一旦這些漏洞被利用,即系統(tǒng)的網(wǎng)絡(luò)安全狀態(tài)遭到破壞�����,則會(huì)導(dǎo)致例如生命����、財(cái)產(chǎn)、隱私�����、操作性等方面的損失����。ISO/SAE 21434及WP.29 155中對(duì)網(wǎng)絡(luò)安全一詞的定義較為類似,其主要指所關(guān)心的資產(chǎn)受到了足夠的保護(hù)����,以免受到一些威脅的傷害。此處的資產(chǎn)指任何對(duì)利益相關(guān)者有價(jià)值的東西�����,包括車輛�����、車輛功能、電子電器部件等����。
為了進(jìn)一步明確上述汽車行業(yè)中各個(gè)安全概念的定義、關(guān)鍵概念����、范圍及相互關(guān)系,作者設(shè)計(jì)了一種汽車行業(yè)“安全”概念映射圖�����,如下所示�。
圖1 “安全”概念映射圖
“安全”概念映射圖主要從兩個(gè)維度對(duì)術(shù)語中的關(guān)鍵元素進(jìn)行分類����,其分別為“造成危害的原因”(caused by)以及“可能導(dǎo)致的危害結(jié)果”(cause harm to)。
上圖中的橫坐標(biāo)為“造成危害的原因”�。其中,“系統(tǒng)”(system)表示由系統(tǒng)本身的原因而造成危害�。例如,由于設(shè)計(jì)缺陷或隨機(jī)硬件失效造成的系統(tǒng)功能失效���。由設(shè)計(jì)不足而造成的預(yù)期功能不足也屬于這一類型��?��!叭祟悺保╤uman)表示由人的因素而造成危害���,該類還可以細(xì)分為兩個(gè)子類,其分別為“人為失誤” (human error)和“人為誤操作” (misused by human)�����。前者表示這一失誤行為是人非故意為之的�,并且可能會(huì)導(dǎo)致系統(tǒng)的行為超出可接受的范圍[9];而后者表示該行為是操作人員有意為之(沒有惡意目的)��,但該行為是系統(tǒng)制造者所不希望的[6]���?�!碍h(huán)境”(environment)包括了外部物理環(huán)境(如溫度�、濕度)以及系統(tǒng)運(yùn)行的先決條件(如正確的傳感器輸入數(shù)值)���?�!肮簟保╝ttack)表示了任何想要暴露�����、改變�����、使工作禁止��、破壞��、偷竊��、非法進(jìn)入或非法使用一個(gè)資產(chǎn)的企圖[10] ����。橫坐標(biāo)中的前三項(xiàng)是由非惡意原因造成的危害,而最后一項(xiàng)危害原因是來自于外界的惡意行為而造成的���。
圖中的縱坐標(biāo)表示了三類可能導(dǎo)致的危害結(jié)果。對(duì)人類生命造成的物理傷害(如骨折�、外傷、死亡等)屬于第一類危害結(jié)果��,即“人類生命”(human lifes)。第二類“財(cái)產(chǎn)”(properties)包括了經(jīng)濟(jì)及信息方面的損失����,前者表示該危害導(dǎo)致財(cái)產(chǎn)的所有者需要支付額外的費(fèi)用,后者則表示與信息安全相關(guān)的后果�����,如知識(shí)產(chǎn)權(quán)泄露�,用戶隱私暴露等?!碍h(huán)境”(environment)是指供人類與其他地球生命生存的自然環(huán)境。有毒氣體的釋放和造成資源浪費(fèi)等情況屬于這類的危害結(jié)果�。
根據(jù)上述的橫縱坐標(biāo)分類,可將各個(gè)行業(yè)規(guī)范或指南中的“安全”概念映射其中��,以方便理解各個(gè)概念的含義��、范圍及相互關(guān)系���,為后續(xù)的安全設(shè)計(jì)����、開發(fā)等工作提供清晰的概念理解��。
03
safety-critical 系統(tǒng)及security-critical 系統(tǒng)
除了safety與cybersecurity兩個(gè)概念本身之外,SAE J3061中還提及了兩個(gè)與之相關(guān)的概念����,即safety-critical system與security-critical system。這兩個(gè)概念的原文定義如下所示���。
表格4 safety-critical及cybersecurity-critical系統(tǒng)
概念定義
Safety-critical系統(tǒng)是指:如果該系統(tǒng)沒有按照所設(shè)定的��、或所預(yù)期的行為運(yùn)行�,將會(huì)導(dǎo)致生命�����、財(cái)產(chǎn)或環(huán)境受到傷害的系統(tǒng)�����。Cybersecurity-critical系統(tǒng)指:如果該系統(tǒng)被通過系統(tǒng)漏洞被入侵破壞�,將導(dǎo)致經(jīng)濟(jì)、操作性�、隱私或者安全性(safety)方面損失的系統(tǒng)。
關(guān)于上述兩個(gè)系統(tǒng)的關(guān)系�����,SAE J3061指南中指出:所有的safety-critical系統(tǒng)都是cybersecurity-critical系統(tǒng)�,因?yàn)橐粋€(gè)針對(duì)safety-critical系統(tǒng)的直接或間接的網(wǎng)絡(luò)攻擊將會(huì)導(dǎo)致潛在的安全(safety)損失。但并不是所有的cybersecurity-critical系統(tǒng)都是safety-critical系統(tǒng)�����,因?yàn)橐粋€(gè)針對(duì)cybersecurity-critical系統(tǒng)的網(wǎng)絡(luò)攻擊可能會(huì)造成除了安全(safety)的其他方面損失����,如隱私性、操作性或經(jīng)濟(jì)性上的損失�。下圖為SAE J3061指南中,對(duì)safety-critical及cybersecurity-critical系統(tǒng)之間關(guān)系的說明圖�����。
圖2 SAE J3061中的safety-critical及cybersecurity-critical系統(tǒng)關(guān)系說明圖[4]
保障汽車的各方面安全是行業(yè)中的重要課題�,因?yàn)橐坏┸囕v有危害情況發(fā)生,除了經(jīng)濟(jì)���、環(huán)境損失外�����,還會(huì)對(duì)生命造成威脅�����。本文主要介紹并辨析了汽車行業(yè)中與安全相關(guān)的概念��,以明確不同安全主題的含義�、范圍及相互關(guān)系,以幫助相關(guān)從業(yè)者理清概念�����,明確關(guān)系��,為更好地解決日常工作中的相關(guān)問題打下理論基礎(chǔ)�。
參考文獻(xiàn):
[1]牛津詞典在線,https://www.lexico.com
[2]Wikipedia, safety, [R/OL]. https://en.wikipedia.org/wiki/Safety
[3]Wikipedia,safety, [R/OL]. https://en.wikipedia.org/wiki/Security
[4]SAE International. J3061: Cybersecurity guidebook for cyber-physical vehicle systems[S]. 2016.
[5]International Organization for Standardization. ISO 26262-1 Road vehicles - functional safety - part 1[S]. 2018.
[6]International Organization for Standardization. ISO/PAS 21448: Road vehicles - safety of the intended functionality[S]. 2019.
[7]International Organization for Standardization. ISO/SAE 21434 (2021) - Road vehicles– Cybersecurity engineering[S]. 2021.
[8]United Nations Economic and Social Council. Uniform provisions concerning the approval of vehicles with regards to cyber security and cyber security management system (WP.29 R155 CSMS)[S]. 2020.
[9]SENDERS J, MORAY N. Human error: cause, prediction, and reduction[M]. Taylor & Francis, 1991.
[10]International Organization for Standardization. ISO/IEC 27000: Information technology - security techniques - information security management systems - overview and vocabulary[S]. 2009.
