公众号记得加星标⭐️,第一时间看推送不会错过。
日前,博世发布了一篇名为《An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors》的论文。
论文中,博世表示,汽车行业在确保复杂半导体器件的功能安全 (FuSa:functional safety) 和网络安全方面面临着日益严峻的挑战。传统的失效模式及影响分析 (FMEA:Failure Mode and Effects Analysis) 主要关注与安全相关的失效模式,往往忽略了与网络安全威胁的协同脆弱性和共同后果。
本文提出了一种集成失效模式及威胁模式及影响分析 (FTMEA) 框架,该框架系统地对功能安全与网络安全进行联合分析。该框架的核心是引入了严格定义的跨域相关因子 (CDCF: Cross-Domain Correlation Factors ),用于量化安全相关失效和网络安全威胁之间的相互依赖性和相互影响。这些因子源于结构化的专家知识、静态结构分析指标(例如,可控性/可观测性),并通过故障/攻击注入活动的经验数据进行验证,从而为其数值提供了可验证和可复现的基础。
我们提出了一种改进的风险优先级数 (RPN:Risk Priority Number) 计算方法,该方法系统地整合了这些相关因子,从而能够更准确、更透明地对跨越这两个领域的风险进行优先级排序。
本文通过对汽车专用集成电路 (ASIC) 配置寄存器的详细案例研究,展示了 FTMEA 的实际应用。我们提供了明确的映射表、量化的 CDCF 值,并与基准 FMEA/TARA(威胁分析与风险评估)进行了比较分析,阐明了该集成方法如何揭示先前被掩盖的跨领域风险,提高缓解策略的有效性,并为导出的相关性值提供了清晰的量化依据。
该框架为关键汽车系统的风险评估提供了一种统一、可追溯的方法,从而克服了传统分析的局限性,并促进了优化的跨学科开发。
介绍
背景和问题陈述
现代汽车系统(尤其是半导体器件)日益复杂且相互关联,这迫切需要可靠性工程的范式转变。功能安全(FuSa)由 ISO 26262 和 ISO 21448 等标准规范,确保系统免受因硬件故障或功能不足造成的不合理风险。与此同时,网络安全由 ISO/SAE 21434 标准正式确立。
安全防护旨在防范恶意攻击和系统入侵。历史上,这些领域通常采用各自独立的分析方法,例如安全领域采用失效模式及影响分析 (FMEA),安全领域采用各种威胁分析。然而,安全关键功能与网络安全漏洞之间的重叠日益增多——网络攻击可能直接危及安全,安全机制也可能无意中引入安全漏洞——因此需要一种整体性的方法。传统的 FMEA 虽然对硬件故障模式有效,但却难以系统地捕捉和量化这些复杂的跨领域依赖关系。缺乏统一的框架会导致分析碎片化、风险优先级排序不佳,并可能忽略某些漏洞,从而增加网络威胁引发突发安全隐患的可能性。
最新技术及已发现的差距
虽然最近的标准和指南(例如,ISO/TS 5083:2025,IEC TR 63069 ,SAE J3061)尽管承认功能安全与网络安全之间的相互作用,但它们往往缺乏规范的、定量的综合分析方法。现有的联合分析方法通常分为两类:
1、定性情景分析方法,以及
2、FMEA 的扩展(例如,FMVEA ,FVMEARA )引入了安全方面,但往往难以严格量化相互依赖性并验证其增强的风险指标。
在以下方面仍然存在显著差距:
1、提供一种量化、可追溯且经实证验证的机制,用于模拟功能故障与网络安全威胁之间的相关性和相互影响。
2、开发一种数学方法,以克服定义新风险参数时的歧义。
3、建立一套系统的验证策略,包括与既定基线进行比较分析,并对得出的数值进行透明的论证。
主要贡献
本文针对这些关键差距,提出了一种新型的集成故障和威胁模式及影响分析(FTMEA)框架,该框架在几个关键方面显著提升了现有技术水平:
1、量化跨域关联因子 (CDCF):我们引入了一套全新的 CDCF,用于严格量化功能安全失效模式 (FM) 和网络安全威胁模式 (TM) 之间的相互影响和共同后果。这些因子是通过一种透明的方法得出的,该方法结合了结构化的专家意见征询、静态结构分析(使用诸如影响锥和从门级网表导出的可控性/可观测性等指标),并针对经验故障/攻击注入活动数据进行了验证。这为它们的数值提供了可验证的基础,直接解决了之前关于模糊性和缺乏合理性的担忧。
2、基于重标度的数学稳健 RPN 增强:我们提出了一种改进的风险优先级数 (RPN) 计算方法,该方法系统地将这些 CDCF 整合到发生率 (O) 和检测率 (D) 评级中。这种增强的 RPN 能够提供更准确、可重复且合理的风险优先级排序。重要的是,我们应用了一种系统的重标度方法,将修正后的 O 和 D 值映射回离散的 1-10 FMEA 序数尺度。,确保实际应用性,同时克服先前在缩放、加性结构和任意截断方面的模糊性。
3、综合分析的操作方法:该框架提供了清晰的操作定义和步骤,用于在整个分析生命周期中整合安全、网络安全和网络安全方面的考虑因素,从危害识别到缓解策略评估。
4、实证验证案例研究:我们通过对汽车专用集成电路 (ASIC) 配置寄存器的详细案例研究来演示 FTMEA 框架。该验证包括明确的映射表、定量 CDCF 值及其推导、与基准 FMEA/TARA 的全面对比分析,以及对风险优先级排序和缓解措施有效性的探讨。这直接解决了缺乏验证和可重复性的问题。
5、改进跨学科协作:FTMEA框架通过提供通用的量化语言和结构化方法,从根本上优化了安全团队和网络安全团队之间的协作,从而打造更具弹性和安全性的设计。这满足了对清晰区分和经验证的改进方法的需求,使其优于现有方法。
最新技术:
集成功能安全与网络安全分析
标准与交互
功能安全和网络安全旨在降低系统风险,但针对的是不同的危险。功能安全受 ISO 26262 等标准的约束,旨在解决由系统漏洞引起的非故意风险,以确保不会因电气/电子 (E/E) 系统故障行为而导致不合理的风险。此外,ISO 21448 还针对电子电气系统、基于人工智能的算法、人机界面以及环境或人为因素的功能不足所导致的危险事件,旨在确保不会因预期功能的性能限制或其实现而造成不合理的风险。同样,网络安全在汽车行业也日益受到重视,尤其是在联网和自动驾驶汽车出现之后,这促使人们引入了诸如 ISO/SAE 21434 之类的标准来抵御外部威胁。安全与保障往往存在冲突,因此需要制定优先排序策略。
成功取决于目标的协调一致、确保一致性以及解决 ISO 26262 中强调的目标冲突。然而,ISO/SAE 21434 缺乏对安全接口的关注,凸显了在设计阶段早期同步安全性和安保生命周期的必要性。例如,安全系统侧重于可预测的安全行为,而安保系统则应具有动态性和适应性,以防止外部入侵。确保安全关键系统在不损害其功能、安全性和安全性(FuSa)的前提下保持安全,会带来复杂的设计和实现问题。挑战不仅在于认识到潜在的权衡取舍,还在于创建一个连贯的开发框架,在不增加系统复杂性或开发成本的情况下协调这两个方面。集成安全性和安保分析的必要性也得到了广泛认可,相关标准也日益重视FuSa和网络安全之间的交互,并采用融合这两个领域的方法:
1、IEC TR 63069 安全措施的实施应与安保措施的实施相兼容。因此,安全对策应有效防止或防范威胁对安全相关系统及其已实施的安全功能造成的不利影响,反之亦然。
2、SAE J3061 ,ISO/TR 4804 支持安全与网络安全之间的互动,并描述处理这种重叠的方法和实践。
3、ISO 24089 和联合国第156号条例解决软件更新中的安全问题。
4、ANSI/UL 4600 解决自动驾驶车辆的安全评估问题,以系统级安全案例有效性的安全性能指标来补充其他标准。
5、联合国第155号条例涉及车辆在网络安全和网络安全管理系统方面的审批,包括风险评估知识。
虽然这些标准普遍承认必须同时考虑功能安全和网络安全,但它们主要提供定性指导或制定高层次的要求。它们通常缺乏规范的、定量的方法来系统地评估故障和威胁之间的相互影响、促成关系和共同后果。这种缺失往往导致实践中出现主观解读,阻碍了系统且可重复的综合风险评估。
方法与技术
从宏观层面来看,安全与网络安全之间的关系可归纳为四个标准:i) 相互关系,ii) 条件关系,iii) 独立关系,iv) 对立关系。这些标准对安全与网络安全分析具有重要影响。本文提出的FTMEA方法侧重于二者之间的相互关系。目前已有多种方法可用于分析功能安全与网络安全之间的交互作用,这些方法已在各类出版物和标准中有所阐述。表1概述了可用于安全分析的多种方法和技术,并指出某些方法需要扩展才能有效地进行协同分析,同时评估了它们在量化和可复现的集成分析方面的局限性。
尽管各种失效模式及影响分析(FTMEA)方法已被广泛采用,但在功能安全(FuSa)和网络安全风险的定量联合分析方面仍然存在显著差距。现有方法往往难以提供严格定义、经经验或分析论证且可定量验证的机制来模拟功能失效与网络安全威胁之间错综复杂的双向影响。这导致对“共同影响”、“相互影响”和“优先级排序”的解读带有主观性,从而阻碍了结果的可重复性和稳健决策的制定。我们提出的FTMEA框架通过引入量化的相关因子和改进的风险优先数(RPN)计算方法,直接针对这一关键差距,解决了上述局限性。
建议方法
协分析概念,包括相关因素
为了说明所提出的概念,图1给出了一个简单的流程图。FTMEA 流程结构如下(图1):
1、启动风险分析:明确系统、系统边界以及受安全保障要求约束的关键功能。这包括识别关键资产和潜在影响情景。
2、故障模式 (FM:Failure Mode) 和威胁模式 (TM:Threat Mode) 分析:识别被分析系统或组件的所有相关故障模式(例如,硬件故障、软件缺陷)和威胁模式(例如,网络攻击、数据泄露)。建立初始基线、发生率 (O) 和检测率 (D)。评估严重性 (S) 时,需考虑到网络安全威胁可能影响安全性。
3、共同影响识别:针对每个已识别的FM和TM,分析其潜在的不良影响。关键步骤是识别“共同影响”——即由功能故障或网络安全威胁导致的不良后果。这构成了跨域交互的基础。
4、跨域相关因子(CDCF)的推导:这是我们框架的核心创新点。CDCF 定量评估了 FM、TM 及其各自应对措施之间的相互依赖性(图1中深蓝色部分)。该推导过程涉及一个系统化的过程,详见下文。
5、计算风险优先级数和重新标度:通过将导出的累积分布函数 (CDCF) 纳入发生率 (O) 和检测率 (D) 评级,对传统的风险优先级数 (RPN) 进行了改进。这为综合风险生成了数学上更稳健且更具代表性的 RPN,详见下文。重要的是,随后应用系统性的重新标度程序,将这些连续的计算值映射回离散的 1-10 FMEA 序数尺度。
6、风险优先级排序:根据修正后的风险优先数(RPN)对已识别的风险进行优先级排序。基于此优先级排序,制定并实施综合缓解策略,有效解决安全保障问题,并可酌情利用跨领域应对措施。
跨域相关因子(CDCF)的量化
相关矩阵是一个表格,显示了故障模式和威胁之间的相关系数,如图2所示。通过这种方式,可以总结并尝试量化安全性和网络安全之间的共同影响。每个单元格的值 CDCF 可以假定介于 0(无相关性)和 1(完全相关)之间。
从网络安全角度出发,预防和检测措施也需要考虑,以评估这些措施是否能够保障安全。在这种情况下,安全预防和检测措施可能对安全产生积极或消极的影响,反之亦然。这种现象可以使用非对称相关矩阵进行建模,该矩阵全面考虑所有措施。例如,一项安全预防措施可以对许多安全机制的检测产生积极影响。因此,相关矩阵中的所有措施都应一起评估。每个单元格Cij矩阵的 (CDCF) 值可以假定在 1(正面影响)到 -1(负面影响)之间。从方法论的角度来看,这种分析可以在不同的抽象层次上进行。例如,在设计的顶层,考虑顶层指标,或者按部件/子部件进行分析以评估局部效应。
计算 RPN
传统的风险优先级数 (RPN) 由公式 RPN=O×S×D 给出,其中 O 代表发生概率,S 代表严重程度,D 代表可检测性。所有用于计算 RPN 的值均设置在 1-10 的范围内。新的 RPN(如公式 ( 3 ) 所示)是基于当前最先进的技术计算得出的 。区别在于,发生率和检测率的单个值在计算时考虑了正面和负面影响。Cij(参见先问)根据公式(1)和(2)与措施种类有关,其中 n 是可以影响检测或预防对策的措施的数量。
预防措施:影响故障/威胁模式发生的初步评估;
检测措施:影响故障/威胁模式检测的初步评估;
方程 ( 1 ) 和 ( 2 )中的 1 和 10 的限制是为了避免偏离 RPN 的最新技术,当一项措施对其他领域产生累积效应时可能会发生这种情况(例如,安全预防措施对许多安全机制产生积极影响)。
事件发生的概率可由故障概率和攻击概率共同推导得出。风险评估可从网络安全角度考虑其对安全的影响。故障概率(基于 ISO 26262 第 11 部分)可映射到攻击潜力或攻击可行性评级(基于 ISO 21434),并据此评估风险影响。风险值可基于统一的风险矩阵计算。概率评级与安全影响之间的映射关系如图3所示。
跨域相关因子 (CDCF) 的测量
评估安全和计算机科学领域预防和检测措施之间的共同效果和相互影响通常包括通过仿真观察集成电路设计:
功能安全:可以进行注入故障的传播,以研究对策的效果和有效性;
网络安全:可以模拟漏洞或渗透测试来研究电路的弹性;
这些技术的结合可以用来理解相关性。然而,为了减少工作量和耗时的模拟,结构分析和/或桑迪亚可控性/可观测性分析程序 (SCOAP:Sandia Controllability/Observability Analysis Program) 技术可以使用。例如:
共同效应:可以从出现故障和威胁效应的输出端出发,构建一个超大影响锥(COI)。安全性和可靠性的区别在于,网络攻击中可控的逻辑可能与影响 COI 输出端的随机故障并不完全一致(图4)。COI 内部逻辑与攻击中可控逻辑的重叠程度决定了相关系数。
预防影响:SCOAP 技术可用于计算电路在攻击输入下的可控性以及相应的预防对策。可控性可以确定类似于随机模式抗性(RP 抗性)的攻击抵抗能力。同时,可以根据安全技术对预防技术所涉及的逻辑进行评估。安全预防措施所涉及的范围可以通过其与未采取措施的电路相比的可控性差异来衡量。例如,基于密钥的锁定和解锁机制可以防止对寄存器的写入操作,从而改变从攻击输入到威胁生效点的整体可控性(图5)。
检测影响:与常见的效果评估类似,可以针对检测点进行结构分析(图6)。此外,从结构角度来看,安全机制的警报可以观察部分安全逻辑,并有可能分析其对安全措施的负面影响。
案例研究:汽车专用集成电路配置寄存器
本文提出的故障检测与分析方法(FTMEA)对一款专为汽车传感器模块设计的关键专用集成电路(ASIC)进行了分析。该ASIC负责将传感器数据传输至电子控制单元(ECU)(图7)。ASIC的关键组件是专用配置寄存器(Conf.register)。该寄存器存储着直接影响传感器输出精度和完整性的关键校准参数(例如增益、偏移、滤波系数)。任何未经授权或错误修改Conf.register都可能导致传感器数据错误,进而造成严重的安全隐患(例如,导致误触发刹车或ADAS系统中的物体检测不准确)。
图8以配置寄存器为分析重点,展示了对传感器产生相同总体影响的故障和威胁模式。
所有提出的对策都与检测相关,而安全措施则作为一种预防机制,因此发生率为 1。检测相关矩阵如图9所示。具体而言,如果发生多位错误,奇偶校验可以统计地检测到“意外写入操作”。锁定和解锁机制的使用可以完全检测到这种情况,因此针对 FM2 的措施得到了充分覆盖,因为它改变了寄存器的可控性。即使在 FM3 的情况下,威胁对策也可以部分检测到用于处理寄存器写入操作的逻辑中的问题。从威胁对策警报的可观测性度量来看,写入接口是可见的。所有措施均使用综合工具和专有脚本在门级网表上执行,以验证 CDCF 因子。图9中的检测值是使用公式 ( 2 ) 计算的。
图10展示了 FTMEA 框架的影响和价值。基于 ( 3 ) 的 RPN 计算使用了改进的检测 (Dcorr)图10中所示的各项指标(CDCF)值,结合了图 9 中导出的 CDCF ,反映了安全防御和网络安全对策的综合效果。图10的最后一列突出显示了 RPN 百分比的改进。这些改进使得团队能够减少工作量,并在设计中集成更多措施。
图10中的对比分析清楚地表明了 FTMEA 框架的价值和影响:
1、揭示被高估的风险:FM2 和 FM3 的失败案例。
2、量化协同对策效益:检测的修正对 FM2 和 FM3 产生了效益。
3、改进资源优先级排序:对于不受协同效应影响的失败案例,可以给予适当的关注,以便评估其他措施。
4、CDCF 方法论:RPN 的系统性变化可直接追溯并归因于从结构分析或模拟中得出的特定 CDCF 值,这为我们提出的方法论的有效性和实用性提供了强有力的定量证据。这些变化合乎逻辑、前后一致,并且可以通过潜在的相关性来解释,从而验证了该框架模拟现实世界交互的能力。
总之,FTMEA框架及其量化的CDCF(变更依赖性特征函数)提供了一个更全面、更准确、更具可操作性的风险概览。它使设计团队能够识别并优先考虑真正综合的风险,从而超越定性评估,实现数据驱动的决策,进而优化资源分配,以设计出具有韧性和安全保障的汽车系统。
结论
本文提出了一种新型的集成故障与威胁缓解分析(FTMEA)框架,该框架系统地解决了复杂汽车半导体器件中功能安全和网络安全相互交织的风险。我们的核心贡献在于对跨域相关因子(CDCF)进行了严格的定义、系统推导和实证量化。这些CDCF对功能故障模式、网络安全威胁模式及其各自应对措施之间的相互影响进行建模,超越了定性描述,获得了可验证的数值。
通过将这些CDCF集成到风险优先级数(RPN)计算的数学改进中,并采用透明的重标度程序,我们开发了一种可复现、可追溯且经实证验证的整体风险评估方法。一个涉及汽车专用集成电路(ASIC)配置寄存器的详细案例研究,展示了FTMEA的实际应用,并提供了明确的数据和CDCF推导。这一统一的分析框架促进了跨学科合作,并有助于开发更具弹性的半导体设计。
因此,它既能增强对安全标准(例如 ISO 26262)的遵守,又能提高与网络安全指南(例如 ISO/SAE 21434)的一致性。这种整体方法有助于开发人员在系统开发过程中追踪贯穿顶层和底层阶段的复杂信息和故障流。它还通过提供一种结构化的方式来管理相互依赖关系,并确保功能安全和网络安全要求之间的一致性,从而支持跨不同学科和组织的分布式开发。虽然所提出的 FTMEA 框架取得了显著进步,但仍需承认其存在一些局限性:推导高精度的 CDCF 需要大量投入,包括专家咨询、复杂的结构分析工具以及专门的故障/攻击注入活动,这可能会消耗大量资源,尤其是在早期设计阶段。
未来的工作将致力于将所提出的方法应用于一个复杂的用例,以改进和比较系数的度量(本文基于结构电路分析),并与动态仿真结果进行比较,从而评估潜在的差距。此外,还将研究如何应用机器学习和人工智能技术来部分自动化相关因子的推导。
(本文封面由AI生成)
*免责声明:本文由作者原创。文章内容系作者个人观点,半导体行业观察转载仅为了传达一种不同的观点,不代表半导体行业观察对该观点赞同或支持,如果有任何异议,欢迎联系半导体行业观察。
今天是《半导体行业观察》为您分享的第4351内容,欢迎关注。
加星标⭐️第一时间看推送
求推荐
热门跟贴