三大安全危害分析和风险评估-电子发烧友网

“磐时，做汽车企业的安全智库”

好书分享/ 《一本书读懂智能汽车安全》

三大安全危害分析和风险评估

本文摘选自SASETECH汽车安全社区编撰的《一本书读懂智能汽车安全》，此书由磐时创始人边俊、博世汽车曲元宁、吉林大学教授张玉新牵头主导，集合了博世、蔚来、小鹏、磐时、卓驭、地平线、上汽及吉林大学等行业与学界在汽车安全领域的实践积累和研究成果。

它以V模型为基座，围绕功能安全、网络安全和预期功能安全展开，系统讲解了概念开发，系统开发、硬件开发、软件开发、验证与确认各阶段全流程的安全实践。书中以深厚的理论经验与丰富的实践经验，为行业的创新研究提供了宝贵的参考资料，是推动汽车安全技术进步和创新的重要力量。

以下内容节选自《一本书读懂智能汽车安全》：

三大安全体系都是从危害分析开始的，本质上都是为了避免危害和威胁造成的风险。在功能安全中，危害分析和风险评估的目的是识别相关项目中故障引起的危害并进行归类，从而制定防止危害事件发生或减轻危害程度的安全目标，以避免不合理的风险；在预期功能安全中，危害分析和风险评估要避免的是功能和性能不足而导致的危害；在网络安全中，威胁分析和风险评估要避免的是外部攻击导致的人员和财产损失。因此，三者在风险的起源点上有本质的不同，但目的是让整个系统更加安全可靠。在不同的安全分析及安全策略中，我们可以采用不同的分析方法去识别所关注的安全。

01.

功能安全方面

危害分析和风险评估（HARA）是功能安全开发过程中极为重要的一步。GB/T 34590 在术语中首先对其做出了定义，即为了避免不合理的风险，对相关项的危害事件进行识别和归类的方法，以及防止和减轻相关危害的安全目标和 ASIL 等级的方法。从定义中可以看到，危害分析和风险评估应基于相关项定义进行。在此过程中，应对不含内部安全机制的相关项进行评估，即在危害分析和风险评估过程中不应考虑将要实施或已经在相关项中实施的安全机制。

安全机制是技术层面的事情，HARA 只是概念阶段的问题，针对的是功能。而且我们做 HARA 分析的目的就是找到合适的安全措施，如果提前加入对于安全措施的考量，很容易降低实际 ASIL 的等级，最终甚至会导致安全措施的不合理配置。

危害事件通常是由运行场景和危害的相关组合来确定的。

◆ 场景分析：所有的失效分析都是针对特定场景进行的。分析场景的目的是找到功能失效时导致最危险事件的原因，并对该危险事件发生时的运行场景及运行模式进行描述。既要考虑车辆的正确使用情况，也要考虑可预见的车辆不当操作，例如：在高速驾驶情况下，副驾乘员误触电子驻车开关。

◆危害识别：可以通过不同的技术手段系统地确定危害，如利用头脑风暴、检查列表、历史质量记录、FMEA 和现场研究等方法提取相关项层面的危害，应以能在整车层面观察到的条件或行为来定义危害。通常，每一个危害有多种与相关项的功能实现相关的潜在原因，但在危害分析和风险评估中对危害的条件或行为进行定义时，不需要考虑这些原因，这些原因是从相关项的功能行为得出的。

对于危害事件导致的后果，我们可以通过以下三个参数进行评级：潜在伤害的严重度（S）、每个运行场景的暴露概率（E），以及基于某个确定理由预估的驾驶员或其他潜在的处于风险中的人员对于该危害的可控性（C）。根据这三个参数，我们可以确定ASIL等级，如表3-4 所示。如果对于分级存在疑问，应给出较高的 ASIL等级，而不是较低的。

危害事件的风险评估中潜在伤害的严重度（S）关注的是潜在的处于风险中的每个人受到的伤害情况，包括引起危害事件的车辆的驾驶员或乘客，以及其他潜在的处于风险中的人员，如骑自行车的人员、行人或其他车辆上的人员。基于功能安全标准 GB/T 34590，我们可以将危害事件的潜在伤害的严重度分为 S0、S1 、S2 、S3 四个等级，对照的可以参考简明损伤定级（AIS）的描述。其中，S0 等级代表只有物品材料损害，而没有人员伤害，所以不需要 ASIL 的分配。对于可控性的评估，一种是通过头脑风暴，另一种是通过大数据。随着 ADAS 功能的发展以及人工智能的广泛应用，基于大数据的开发越来越普及，理论上来说，伤害的分析也完全可以基于大数据进行。通常，各个国家和地区都有每年交通事故的统计数据，包括事故发生的时间、地点、原因及结果。基于这些交通事故数据的统计结果，配合对功能所做的场景分析，功能故障所导致危害事件的伤害严重程度的评级结果变得更加可靠。

GB/T 34590中的功能安全定义是：不存在电子电气系统的功能异常表现引起的危害而导致不合理的风险。通常，风险可以理解为包含两个部分：一部分是伤害的严重等级，另一部分是发生这种伤害的概率或频次。伤害的严重等级已经可以被上面提到的 S 所覆盖，而概率或频次则涉及另外两个参数E（每个运行场景的暴露概率）和C（可控性等级）。

功能安全涉及的伤害是功能异常表现所引起的伤害，但并非每一个异常表现都会引起伤害。例如，当车辆停靠在停车场内的平地上时，如果驻车系统发生故障，由于车辆在平地上，并不会发生移动，因此不会带来任何伤害。但是，如果车辆停靠在斜坡上，此时驻车系统发生故障，车辆会溜坡并可能撞到周边行人，从而造成伤害。这种情况下，停靠在斜坡上就是一个会带来伤害的场景，而它在整个行车过程中的曝光概率就是风险评估需要的 E 值。GB/T 34590 定义了 E0、E1 、E2 、E3 、E4 五个等级，并对一些通用场景的 E 值基于行业共识进行了归类，以作为日常分析的参考。其中， E0 等级的场景通常认为是不可思议的，没有进一步探讨的必要，记录相应的理由后，可以不进行 ASIL 的分配。除此之外，德国的 VDA 牵头德国的 OEM 和供应商订立了 VDA-702 标准，目的也是希望对不同场景的划分达成更多共识，为日常开发提供参考。

由于每个功能的使用场景有所不同，很难罗列出所有的场景，因此，很多时候我们可以通过一些基础场景的组合来达成共识。另外，E 的评价本身有两种标准：一种是基于场景发生的频次，另一种是基于场景发生的时长，以适配不同的场景进行分析。如果功能只能基于一种维度做评价，不太容易带来异议，但是某些功能在两种评价维度都可以使用的时候，不同企业之间沟通会变得复杂，因为不同评价维度会导致评价结果出现本质差别。在 VDA-702 中也可以发现，对于某些场景，基于不同的标准，得到的评价结果会差一个量级。例如：对于超车场景，在 GB/T 34590—2022 的附录 B 中，表 B.2 将基于运行场景持续时间的暴露概率划分在 E2 等级，而表 B.3 又将基于运行场景频率的暴露概率划分在 E3 等级。

现实分析中如何选择 E 的评价标准呢？SAE J2980 和 ISO 26262 中都提到了，如果故障行为伴随着车辆运行情况直接导致危害事件的发生，那么可以根据车辆的运行场景的持续时间来选择暴露概率。例如，车辆在高速公路上行驶中，转向系统发出了错误转向指令使得车辆开出车道线导致危害事件的发生，那么行驶在高速公路上这个场景的暴露概率就基于时长选择为 E4。如果已经存在的系统故障在相关运行场景发生后非常短的时间内导致危害事件的发生，那么可以根据该场景发生的频次来选择暴露概率。例如，车辆的倒车灯坏了，当车辆进入倒车状态的时候，后面的人没有及时察觉车辆要倒车而导致危害事件的发生。因为灯坏掉已经是预先存在的故障，所以这种倒车场景的暴露概率可以基于频次选择为 E4。

除曝光概率 E 的表征外，车辆的可控性 C 对于危害发生的概率也有一定表征。GB/T 34590 将可控性分为 C0、C1 、C2 、C3 四个等级，并做了简单的分类和给出了一些示例。其中，C0 等级通常代表事故可通过驾驶员常规操作来避免，且不影响车辆的安全运行，不必进行 ASIL 的分配。但对于大多数功能和场景来说，无法直接使用这些信息，而且这部分的主观评价也很容易产生争议。这时，可控性测试是一个选择。GB/T 34590 标准中有此描述：对于 C2 ，一个符合 RESPONSE3 的合理测试场景是足够的。实际的测试经验表明，每个场景中 20个有效的数据包能提供基本的有效性说明。如果这 20 个数据包中的每一个都符合测试的通过标准，能够证明 85%的可控性水平（达到通常人工测试能够接受的 95%的置信度）。这为 C2 预估的合理性提供了适当的证据。这是基于统计学的评价方式，即如果在某一个预设的场景下，有20个测试人员进行测试，且测试结果都有效，我们就能将这个场景评估为 C2。这里有几点要注意：

◆ 20 个测试人员通过测试，且测试结果需要有效。这里并不是说从 100 个测试人员中选 20 个通过测试，而是尽可能 20 个测试人员都通过测试。考虑到实验中测试人员可能会出现一些不确定因素，对于没有通过测试的人员也需要给出强有力的合理解释，作为例外排除在外。

◆为保证测试的有效性，测试人员应该在不知情的情况下测试，也就是盲测。

◆测试结果只能证明C2，而不能证明 C1。如果要证明 C1，可能需要一个非常庞大的测试数据，这在目前不太现实。因此，一般情况下，从 C2 到 C1 只能通过一些理论模型或专家评定来达成。

总的来说，HARA 是一种较为主观的分析方法。不同的群体可能会根据他们对严重度、暴露概率和可控性的看法来定义不同的值。这可能是地理或文化因素造成的，因此在项目中需要花费较多时间和精力来达成一致意见。

我们以自动紧急刹车（AEB）为例来阐述 HARA 分析的过程，如表 3-5 所示。

在上面的示例中，不期望的制动扭矩会导致后车无法及时刹车，从而发生追尾；而在需要紧急制动的时候却没有进行制动，则会导致本车与前车发生追尾。考虑到高速公路上行驶的速度很快，因此 S 的评价都是 S3。对于 E 的评估，一般来说，在高速公路上行驶时我们考虑的是 E4 ，但是如果车辆之间保持合理的车距，理论上可以认为应该能够避免任何碰撞。现实中有不少情况是车距并没有达到规定的要求，导致来不及刹车，所以这里可以把 E 降到E3。当然，这里可以基于数据进行不同的评级。

对于不期望的制动，驾驶员无法阻止这一行为，因此可控性自然是 C3。而对于没有制动扭矩响应的情况，因为 AEB 是一个辅助功能，假设驾驶员有责任和义务识别前车突然刹车并对车辆进行干预，所以评定为 C0。基于 S 、E 、C 的评价，自然得出了两个不同的 ASIL 等级，不期望的制动扭矩对应 ASIL C 等级，而没有制动扭矩响应则对应 QM 等级。此外，基于 ASIL C 对应的危害，可以导出一个安全目标：避免在行驶过程中 AEB 的误触发。

02.

预期功能安全方面

和功能安全不同，预期功能安全关注的不是电子电气系统的功能异常表现引起的危害导致的不合理风险，而是关注由于预期功能或其实现的不足引起的危害导致的不合理风险。因此，从分析方法的角度来说，对于预期功能安全的危害风险和风险评估可以通过 GB/T 34590中功能安全所采用的方法（例如 HARA分析法）进行，并在一定程度上参考其结果。当然，对于功能约束范围内的危害，我们还需要进行额外的 SOTIF 分析。图 3-4 展示了利用 HARA 分析法开展预期功能安全分析的流程。

在整个 HARA 分析过程中，功能安全和预期功能安全分析的主要差别如下：

功能安全专注于电子电气的失效，而预期功能安全则专注于导致功能异常的触发条件。触发条件的发生率和危害导致伤害所处场景的暴露概率有重要区别。因此，我们不能继续使用功能安全中的暴露概率 E，这也直接导致在预期功能安全中不会有 ASIL 等级这样的分级。

对伤害的严重度 S 和危害事件的可控性 C 的评估可以参考 GB/T 34590 中的功能安全分析方法。预期功能安全主要针对自动驾驶及辅助驾驶功能。与功能安全不同，预期功能安全中的危害事件无法被系统识别，因为没有类似功能安全的报警机制，更多的是功能信息的一些交互。因此，预期功能安全的可控性评估应包括相关人员对危害控制的无反应或延迟反应。这些反应可能是由合理可预见的间接误用，或者驾驶员对交互信息的误解引发的。

功能安全 HARA 分析中的一部分危害事件可能与预期功能安全无关，例如：转向执行器失效。这类危害事件可以在后续的预期功能安全分析中移除，以减少我们后续分析的工作量。

除功能安全分析中的危害事件外，预期功能安全也有自己特有的危害事件。例如：车辆功能在限定范围外自动触发，可能是驾驶员或用户与系统的交互（包括合理可预见的误用）导致的问题。这些问题可以作为原有 HARA 的扩展，也可以作为预期功能安全特有的危害事件进行分析。

为了减少工作量，预期功能安全的 HARA 分析可以和功能安全的 HARA 分析合并在一起进行。不过，在分析过程中，最好标注出是功能安全相关还是预期功能安全相关，以便后续的开发工作。

我们仍然以 AEB 功能为例，表 3-6 展示了 AEB 功能的 HARA 分析示例。

在上面的示例中，不期望的制动扭矩可以是制动器失效引起的，这属于功能安全相关的话题。但这种危害也可能是 ADAS 的感知和控制系统对前方目标识别不清导致的误触发，这属于预期功能安全的话题。因此，同样的安全目标会同时分配给功能安全和预期功能安全，并且需要在两者的安全概念和安全设计中考虑对应的措施。然而，危害分析和风险评估是可以相互借鉴的。

03.

网络安全方面

网络安全的风险一般通过两个维度来衡量：遭受攻击的可能性以及遭受攻击后产生的影响。威胁分析与风险评估（Threat AnalysisandRisk Assessment，TARA）的目的是通过系统性的方法量化这两个因素，从而确定针对特定攻击的风险大小。

TARA 方法基于风险评级及对应的威胁场景，最终得出网络安全目标，作为后续网络安全概念设计的输入。

TARA 方法源自传统的 IT 领域，不同的领域或组织也建立过不同的评估方法。标准 GB/T 20984—2007《信息安全技术信息安全风险评估规范》中确定了我国推荐的评估方法。

ISO/SAE 21434 作为第一个汽车网络安全的国际标准，被汽车行业广泛采用或参考，也定义了自己的 TARA方法。本书后续介绍将主要依据 ISO/SAE 21434 标准介绍的方法，以指导读者在汽车行业中的实践。

3.1TARA分析过程

基于 ISO/SAE 21434 的 TARA 分析过程如图 3-5 所示。

（1）安全资产识别

和许多风险分析方法一样，汽车领域的 TARA 分析也从资产识别开始。资产是指具有价值或对价值有贡献的事物，例如集成在 ECU 中的固件或存储在车内的个人信息等。资产通常具有一个或多个网络安全属性，对这些属性的侵害会导致不同程度的破坏。因此，在开始资产识别之前，我们需要了解什么是资产的网络安全属性。

对于安全属性，我们会考虑在传统信息安全行业中频繁出现的CIA三元组，即机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。这三个属性一般被认为是网络安全的基本属性。

◆机密性：信息对未授权的个人、实体或过程不可用或不泄露的特性。该特性的目标是确保除预期接收方外的任何角色都不会接收或读取信息，例如存储在 ECU 中的个人敏感信息。

◆完整性：完备的特性，通常需要确保数据准确、未被替换，且仅由授权的主体按照预期方式进行修改。例如，需要刷写进车辆中的软件通常会要求考虑该特性。

◆可用性：根据授权实体的要求可访问和可使用的特性。该特性的目标是为主体提供重置的带宽或实时处理的能力，比如车内的实时通信。

当然，有些组织也会在此基础上进行扩展。例如，微软的 STRIDE 威胁建模方法论针对了六种基础威胁，包括欺诈（Spoofing）、篡改（Tampering）、抵赖（Repudiation）、信息泄露（Information Disclosure）、拒绝服务（Denial of Service）、权限提升（Elevation ofPrivilege）。除了 CIA 三个基础安全属性外，该方法论还拓展了认证（Authenticity）、不可抵赖性（Non-repudiability）和授权（Authorization）三个属性。在具体评估中，网络安全采用哪种方式没有统一的规定，取决于公司自身的策略。

在了解了以上关于资产及其网络安全属性的概念后，我们便可以开始资产识别了。这通常包括三个步骤。首先，要找出需要保护的资产；其次，对于这些资产，确认需要保护的网络安全属性；最后，确认对这些资产及其网络安全属性的破坏会导致的损害场景。例如，驾驶员的个人信息作为资产，具有保密性的安全属性。如果保密性被破坏，那么所导致的损害场景就是个人信息的泄露。如果完整性被破坏，可能导致的损害场景是对车辆安全的影响或者对汽车某些功能的限制。

（2）威胁场景识别

识别了资产及其网络安全属性，并确定了相应的损害场景后，我们下一步需要挖掘这些导致损害场景出现的原因。实际上，这一步就是对威胁场景的识别。例如，破坏驾驶员个人信息的保密性会导致个人数据泄露。再如，篡改车内通信信号可能会导致车辆的安全功能失效。

（3）影响评级

在第一步中，我们已经识别出多种损害场景，影响评级则是针对这些损害场景的严重程度进行打分。

ISO/SAE 21434 标准中要求严重程度的评级至少从安全（Safety）、经济（Financial）、操控（Operational）和隐私（Privacy）四个方面综合考虑。除此之外，我们还可以增加其他方面的考虑，例如公司违反法律法规造成的声誉影响等。

首先需要对以上各个方面的影响进行单独评级，一般分为四级：十分严重、严重、中等、可忽略。然后综合各个方面的评级结果，得出最终评级。每个影响等级的划分如表 3-7 所示。ISO/SAE 21434 中没有定义各方面评级对于最终评级结果的影响权重。这可以由各组织自行定义，一般可直接取各项最高评级，或者采取打分制，最终评级以各项得分之和为准。

其中，安全影响的 S3 ～ S0 评分标准参考了功能安全标准 ISO 26262-3：2018 中对严重度 S 的评分标准，分别对应致命伤害、严重伤害、轻度或中度伤害、无害。操控影响和安全影响可能会有联系，但是有操控影响未必会有安全影响。

（4）攻击路径分析

接下来需要针对各个威胁场景找出可行的攻击路径。攻击路径应该关联到其可以实现的威胁场景。

攻击路径的分析可以基于下面的方式：

1 ）自上而下的方式。分析能够实现威胁场景的不同方法（攻击树、攻击图等），以此来推导出攻击路径。

在实际操作中，通常可以用画图的方式进行攻击路径分析。举一个常见的威胁场景：“篡改制动系统的控制 CAN 信号，导致威胁 CAN 信号的完整性，从而对制动功能造成安全影响。”下面以攻击树的图示（图 3-6）为例，分析如何实现篡改制动系统的控制 CAN 信号。可以通过图 3-6 所示的 1.1 、1.2 、1.3 三种方式，其中为了实现 1.2 的攻击路径，又可以延展到 1.2.1 、1.2.2 两种方式。当然，实现 1.3 的攻击路径也可以近似地继续向下分解可能的攻击方式，颗粒度按实际需要来把握。这种自上而下的分析方法与功能安全中使用的故障树分析（FTA）非常相似。

2 ）自下而上的方法。这种方法常见于已知或者发现某个漏洞或脆弱点。通过这种方法构建攻击路径，可以判别是否与威胁场景相关。当然，在某些情况下，通过不断地向上推演，可能发现并不会出现企业所关心的威胁场景，那么这条路径的分析就可以中止。

（5）攻击可行性评级

找到了攻击路径以后，需要确定通过各个攻击路径实施攻击的可行性。攻击可行性的评级有很多不同的方法。ISO/SAE 21434 中推荐了三种可用的方法，包括基于攻击潜力的方法、 CVSS 方法以及基于攻击向量的方法。

下面对基于攻击潜力的分析方法进行举例说明。

基于攻击潜力的分析方法需要通过五个维度来评估，具体如下：

◆ Elapsed Time：实施攻击需要花费的时间

◆ Specialist Expertise：攻击者的技能水平

◆ Knowledge of the Item or Component：对攻击项或组件所需要了解的知识程度

◆ Window of Opportunity：可以攻击的机会窗口

◆ Equipment：攻击所需设备的难易程度

每个维度根据需求分为不同的级别，比如攻击时间可以分为小于或等于一天、小于或等于一周、小于或等于一个月、小于或等于六个月和大于六个月。专家级别可以分为外行、精通、专家和多个专家四个级别，企业可以参照 ISO/SAE 21434 的附录 G 的推荐进行具体的级别定义。

对于每个找到的攻击路径，我们可以按照以上五个维度评级，并根据评级确定对应的评分。ISO/SAE 21434 也对各评级的分数有推荐定义，详见表 3-8。

最终，攻击潜力的评分是这五个维度的单项评分之和。

确定了攻击潜力，攻击可行性评级就可以确定下来了，如表 3-9 所示。

从表 3-9 可以看出，攻击潜力值越小，攻击可行性评级越高，攻击越容易实施；攻击潜力值越大，攻击可行性评级越低，攻击越难以实施。

结合攻击潜力分析的五个要素，这个评级也很容易定性地去理解。攻击所花的时间越短，对攻击人员的技能需求越低，需要对被攻击项的了解程度越低，机会窗口越没有限制，设备越标准，说明实施攻击的难度越低（攻击潜力值越小），那么攻击可行性就越高了。

（6）风险评级

网络安全的风险一般来自两个维度：一个是攻击的难易程度，即攻击的可行性；另一个是遭受攻击后所产生的影响。如果一个事物很容易被攻击，并且遭受攻击后影响非常严重，那么它的网络安全风险就非常高。反之，如果实施攻击很困难，且产生的影响也不严重，那么它的网络安全风险就很低。

这两个维度在前文都有讨论，各自的评级方法也在前文有所描述。评级结果在这里进行一下总结：

◆影响评级：十分严重、严重、中等、可忽略。

◆攻击可行性评级：高、中、低、很低。

从影响评级以及攻击可行性评级来导出风险评级，并没有统一的规定。常见的方法是通过矩阵表格或者公式计算得出风险评级。各组织可以自行决定具体的风险评级定义。

表 3-10 是 ISO/SAE 21434 给出的风险评级例子，企业也可以据此定义自己的风险评级策略。

（7）风险处置决定

对于每个威胁场景，确定了风险以及风险评级后，我们就需要决定如何处置风险。风险处置有下面四种方式。

1 ）规避风险。例如把导致风险的源头掐掉。

2 ）降低风险。通常需要采取一些安全措施来降低风险。在这里需要注意的是，安全措施一般是通过降低攻击的可行性来降低风险的，攻击产生的影响一般不会改变。

3 ）分担风险。不是所有的风险都必须在本组织内采取安全措施来降低或规避，可通过和供应链的上下游分担，或者通过保险的形式分担。例如，通过使用专门的安全供应商的产品，将风险传递给供应商，由供应商来处置相应的风险。

4 ）保持风险。保持风险是指对风险不采取措施。一般来说，保持风险的决定需要有充足、合理的理由。保持风险多数情况下是对较低风险的处置方式。

这里需要特别注意，保持风险和对风险置之不理是两种完全不同的状态。风险处置决定中的保持风险是指对已有的风险已经关注并思考过，然后基于某些充足、合理的理由，决定不采取措施，这包含了合理的决策过程。而对风险置之不理则没有包含合理的决策过程，更多是一种忽略的态度。在项目开发过程中，我们需要理解两种状态的区别，避免出现后者的情况。

3.2案例

下面以用一个自动紧急刹车系统的示例来介绍如何进行风险评估。

为简明起见，我们把感知和决策模块放在一起。那么，整个自动紧急刹车系统由三个部分组成。

◆感知和决策系统：判断前方是否有紧急情况，以及车辆应该如何响应。

◆车内通信系统：负责将感知和决策系统的指令发送给刹车系统，同时接收刹车系统的状态反馈。

◆刹车系统：根据感知和决策系统发过来的指令，执行相应的车辆紧急制动。

图 3-7 展示了它们之间的功能关系，同时表明了风险评估的范围。