如何确定CAN应用系统安全性

安全不安全现在已经有了国际标准，一般工业上采用的是ISO61508，介绍见［exida，IEC61508 Overview Report， Version 2.0， January 2， 2006］。汽车电子方面采用的是ISO26262，［Qi Van Eikema Hommes，ASSESSMENT OF THE ISO 26262 STANDARD， “ROAD VEHICLES –FUNCTIONAL SAFETY”，SAE 2012 Government/ Industry Meeting，January 25， 2012］分析了二者的异同，实际上ISO26262是在ISO61508基础上发展出来的，反映了功能安全方面的更新的研究成果。

这二个标准基本上是一致的，它们的非常突出点是把功能安全看作产品生命周期内的事，从规划到执行、到验证都要求严格的文档管理，明确的管理人员资质。安全不但是设计出来的，也是管理出来的。所以要说你的CAN应用系统是安全的，其论证与举证的责任者首先是你，然后是你的协议的设计者（图）。CAN协议采用者在明知存在安全隐患时要能论证其采取的措施足以满足产品的功能安全要求。一旦发现功能安全有了问题，这些人是首先要站出来的。如果你没有可采取的措施（例如非冗余系统中的CAN错帧漏检），你就有责任要求你的芯片供应商改进。

ISO61508规定供应者要提供相应安全等级达到了证明文件的责任

ISO61508的实施中有一种使用实证可靠性的说法（“Proven in use” argument）。实际上积累的数据太少，而很难有说服力。在汽车上出现的重大安全召回事件中CAN是有可能起作用，但是既未被追究也未被排除。为了证明CAN的安全性，应该由责任者来排除这种可能性。

丰田突然加速召回近1千万辆车是汽车界的大事，各方众说纷纭，最终也没最后的结论，最近的报道有丰田在Oklahoma案中败诉的报道，那次是技术证人阅读源代码后指出了程序上的问题。NASA曾卷入了调查。

由于CAN的离线失效，使得错误的数据不能更新，长时间的干扰使CAN的失效有可能被记录下来。实际上存在这样的记录（图）［ Keeping Secrets aboutNASA‘s “Toyota Study” of Unintended Acceleration）］：投诉的2010Corolla突然加速事件中唯一的故障记录是CAN失效。

正是这个2010 Corolla记录了CAN的失效

这些都表明CAN并不是传说那样可靠，Provenin use已经是provennot safe in use。只是由于按国际标准应该负责功能安全分析的人没有负起责任。