汽车安全工程之“安全”概念的辨析

01

什么是“安全”？

当前在汽车领域，关于安全，我们时常可以听到这几个词：功能安全，预期功能安全，信息安全，网络安全等。那这些概念到底是什么意思？他们之间的区别又是什么呢？

首先，我们先来聊一下“安全”一词。中文的“安全”可以有两个英文单词与之对应：safety和security。这两个单词在牛津词典及维基百科中的解释如下所示。

表格1 safety及security的一般含义解释

在通常情况下，两种安全均可表示为一种没有受到伤害、威胁、破坏的状态。而对于security一词，维基中的解释特别指出了这是一种没有受到来自其他人/外部（caused by others）的伤害。一种比较常见的观点是，safety指的是一种没有受到伤害的状态，不管这种伤害是故意造成的还是非故意造成的。而security指没有受到故意原因造成的伤害。

02

汽车行业中的几个“安全”

在汽车行业中，关于各种安全的定义，各个相关的行业标准及指南中都给出了明确的定义。

与safety相关的概念及定义原文如下表所示。

表格2 汽车行业标准及指南中对safety相关概念的定义

其中，safety指一种没有受到伤害的一种状态，这种伤害可能会对生命、财产、环境造成损失，这是一种系统可以正常地按照设计者意愿工作的状态。功能安全（functional safety）指没有具有不合理风险的危害的状态，这些危害是由电子电气系统的故障行为造成的。预期功能安全（SOTIF）同样指系统没有具有不合理风险的危害的状态。预期功能安全与功能安全的区别在于：前者的危害情况是由于系统的功能性不足（如系统的设计或本身性能限制、设计时对运行情况的认识不足等）以及合理的可预见的误操作造成的，而后者的危害情况是由系统本身的电子电器系统的故障行为造成的。当前行业中，主要依据ISO 26262(2018)系列标准及ISO/PAS 21448:2019标准，来执行对车辆及相关系统的功能安全和预期功能安全的设计、实施、验证等全生命周期中的安全管理。

在汽车行业中，与security相关的就是一个概念，即网络安全（cybersecurity），下表中列出了与汽车网络安全相关的行业标准、指南及法规中，对网络安全的定义。

表格3 汽车行业标准、指南及法规中的网络安全概念定义

在SAE J3061指南中，网络安全指系统漏洞不被允许利用的一种状态，一旦这些漏洞被利用，即系统的网络安全状态遭到破坏，则会导致例如生命、财产、隐私、操作性等方面的损失。ISO/SAE 21434及WP.29 155中对网络安全一词的定义较为类似，其主要指所关心的资产受到了足够的保护，以免受到一些威胁的伤害。此处的资产指任何对利益相关者有价值的东西，包括车辆、车辆功能、电子电器部件等。

为了进一步明确上述汽车行业中各个安全概念的定义、关键概念、范围及相互关系，作者设计了一种汽车行业“安全”概念映射图，如下所示。

图1 “安全”概念映射图

“安全”概念映射图主要从两个维度对术语中的关键元素进行分类，其分别为“造成危害的原因”（caused by）以及“可能导致的危害结果”（cause harm to）。

上图中的横坐标为“造成危害的原因”。其中，“系统”（system）表示由系统本身的原因而造成危害。例如，由于设计缺陷或随机硬件失效造成的系统功能失效。由设计不足而造成的预期功能不足也属于这一类型。“人类”（human）表示由人的因素而造成危害，该类还可以细分为两个子类，其分别为“人为失误” (human error)和“人为误操作” (misused by human)。前者表示这一失误行为是人非故意为之的，并且可能会导致系统的行为超出可接受的范围[9]；而后者表示该行为是操作人员有意为之(没有恶意目的)，但该行为是系统制造者所不希望的[6]。“环境”（environment）包括了外部物理环境(如温度、湿度)以及系统运行的先决条件(如正确的传感器输入数值)。“攻击”（attack）表示了任何想要暴露、改变、使工作禁止、破坏、偷窃、非法进入或非法使用一个资产的企图[10] 。横坐标中的前三项是由非恶意原因造成的危害，而最后一项危害原因是来自于外界的恶意行为而造成的。

图中的纵坐标表示了三类可能导致的危害结果。对人类生命造成的物理伤害(如骨折、外伤、死亡等)属于第一类危害结果，即“人类生命”（human lifes）。第二类“财产”（properties）包括了经济及信息方面的损失，前者表示该危害导致财产的所有者需要支付额外的费用，后者则表示与信息安全相关的后果，如知识产权泄露，用户隐私暴露等。“环境”（environment）是指供人类与其他地球生命生存的自然环境。有毒气体的释放和造成资源浪费等情况属于这类的危害结果。

根据上述的横纵坐标分类，可将各个行业规范或指南中的“安全”概念映射其中，以方便理解各个概念的含义、范围及相互关系，为后续的安全设计、开发等工作提供清晰的概念理解。

03

safety-critical 系统及security-critical 系统

除了safety与cybersecurity两个概念本身之外，SAE J3061中还提及了两个与之相关的概念，即safety-critical system与security-critical system。这两个概念的原文定义如下所示。

表格4 safety-critical及cybersecurity-critical系统概念定义

Safety-critical系统是指：如果该系统没有按照所设定的、或所预期的行为运行，将会导致生命、财产或环境受到伤害的系统。Cybersecurity-critical系统指：如果该系统被通过系统漏洞被入侵破坏，将导致经济、操作性、隐私或者安全性（safety）方面损失的系统。

关于上述两个系统的关系，SAE J3061指南中指出：所有的safety-critical系统都是cybersecurity-critical系统，因为一个针对safety-critical系统的直接或间接的网络攻击将会导致潜在的安全（safety）损失。但并不是所有的cybersecurity-critical系统都是safety-critical系统，因为一个针对cybersecurity-critical系统的网络攻击可能会造成除了安全（safety）的其他方面损失，如隐私性、操作性或经济性上的损失。下图为SAE J3061指南中，对safety-critical及cybersecurity-critical系统之间关系的说明图。

图2 SAE J3061中的safety-critical及cybersecurity-critical系统关系说明图[4]

04

总结

保障汽车的各方面安全是行业中的重要课题，因为一旦车辆有危害情况发生，除了经济、环境损失外，还会对生命造成威胁。本文主要介绍并辨析了汽车行业中与安全相关的概念，以明确不同安全主题的含义、范围及相互关系，以帮助相关从业者理清概念，明确关系，为更好地解决日常工作中的相关问题打下理论基础。

审核编辑：符乾江