汽車芯片從業(yè)者，必看

公眾號(hào)記得加星標(biāo)??，第一時(shí)間看推送不會(huì)錯(cuò)過。

日前，博世發(fā)布了一篇名為《An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors》的論文。

論文中，博世表示，汽車行業(yè)在確保復(fù)雜半導(dǎo)體器件的功能安全 (FuSa：functional safety) 和網(wǎng)絡(luò)安全方面面臨著日益嚴(yán)峻的挑戰(zhàn)。傳統(tǒng)的失效模式及影響分析 (FMEA：Failure Mode and Effects Analysis) 主要關(guān)注與安全相關(guān)的失效模式，往往忽略了與網(wǎng)絡(luò)安全威脅的協(xié)同脆弱性和共同后果。

本文提出了一種集成失效模式及威脅模式及影響分析 (FTMEA) 框架，該框架系統(tǒng)地對(duì)功能安全與網(wǎng)絡(luò)安全進(jìn)行聯(lián)合分析。該框架的核心是引入了嚴(yán)格定義的跨域相關(guān)因子 (CDCF： Cross-Domain Correlation Factors )，用于量化安全相關(guān)失效和網(wǎng)絡(luò)安全威脅之間的相互依賴性和相互影響。這些因子源于結(jié)構(gòu)化的專家知識(shí)、靜態(tài)結(jié)構(gòu)分析指標(biāo)（例如，可控性/可觀測(cè)性），并通過故障/攻擊注入活動(dòng)的經(jīng)驗(yàn)數(shù)據(jù)進(jìn)行驗(yàn)證，從而為其數(shù)值提供了可驗(yàn)證和可復(fù)現(xiàn)的基礎(chǔ)。

我們提出了一種改進(jìn)的風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù) (RPN：Risk Priority Number) 計(jì)算方法，該方法系統(tǒng)地整合了這些相關(guān)因子，從而能夠更準(zhǔn)確、更透明地對(duì)跨越這兩個(gè)領(lǐng)域的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序。

本文通過對(duì)汽車專用集成電路 (ASIC) 配置寄存器的詳細(xì)案例研究，展示了 FTMEA 的實(shí)際應(yīng)用。我們提供了明確的映射表、量化的 CDCF 值，并與基準(zhǔn) FMEA/TARA（威脅分析與風(fēng)險(xiǎn)評(píng)估）進(jìn)行了比較分析，闡明了該集成方法如何揭示先前被掩蓋的跨領(lǐng)域風(fēng)險(xiǎn)，提高緩解策略的有效性，并為導(dǎo)出的相關(guān)性值提供了清晰的量化依據(jù)。

該框架為關(guān)鍵汽車系統(tǒng)的風(fēng)險(xiǎn)評(píng)估提供了一種統(tǒng)一、可追溯的方法，從而克服了傳統(tǒng)分析的局限性，并促進(jìn)了優(yōu)化的跨學(xué)科開發(fā)。

介紹

背景和問題陳述

現(xiàn)代汽車系統(tǒng)（尤其是半導(dǎo)體器件）日益復(fù)雜且相互關(guān)聯(lián)，這迫切需要可靠性工程的范式轉(zhuǎn)變。功能安全（FuSa）由 ISO 26262 和 ISO 21448 等標(biāo)準(zhǔn)規(guī)范，確保系統(tǒng)免受因硬件故障或功能不足造成的不合理風(fēng)險(xiǎn)。與此同時(shí)，網(wǎng)絡(luò)安全由 ISO/SAE 21434 標(biāo)準(zhǔn)正式確立。

安全防護(hù)旨在防范惡意攻擊和系統(tǒng)入侵。歷史上，這些領(lǐng)域通常采用各自獨(dú)立的分析方法，例如安全領(lǐng)域采用失效模式及影響分析 (FMEA)，安全領(lǐng)域采用各種威脅分析。然而，安全關(guān)鍵功能與網(wǎng)絡(luò)安全漏洞之間的重疊日益增多——網(wǎng)絡(luò)攻擊可能直接危及安全，安全機(jī)制也可能無意中引入安全漏洞——因此需要一種整體性的方法。傳統(tǒng)的 FMEA 雖然對(duì)硬件故障模式有效，但卻難以系統(tǒng)地捕捉和量化這些復(fù)雜的跨領(lǐng)域依賴關(guān)系。缺乏統(tǒng)一的框架會(huì)導(dǎo)致分析碎片化、風(fēng)險(xiǎn)優(yōu)先級(jí)排序不佳，并可能忽略某些漏洞，從而增加網(wǎng)絡(luò)威脅引發(fā)突發(fā)安全隱患的可能性。

最新技術(shù)及已發(fā)現(xiàn)的差距

雖然最近的標(biāo)準(zhǔn)和指南（例如，ISO/TS 5083:2025，IEC TR 63069 ，SAE J3061）盡管承認(rèn)功能安全與網(wǎng)絡(luò)安全之間的相互作用，但它們往往缺乏規(guī)范的、定量的綜合分析方法?，F(xiàn)有的聯(lián)合分析方法通常分為兩類：

1、定性情景分析方法，以及

2、FMEA 的擴(kuò)展（例如，F(xiàn)MVEA ，F(xiàn)VMEARA ）引入了安全方面，但往往難以嚴(yán)格量化相互依賴性并驗(yàn)證其增強(qiáng)的風(fēng)險(xiǎn)指標(biāo)。

在以下方面仍然存在顯著差距：

1、提供一種量化、可追溯且經(jīng)實(shí)證驗(yàn)證的機(jī)制，用于模擬功能故障與網(wǎng)絡(luò)安全威脅之間的相關(guān)性和相互影響。

2、開發(fā)一種數(shù)學(xué)方法，以克服定義新風(fēng)險(xiǎn)參數(shù)時(shí)的歧義。

3、建立一套系統(tǒng)的驗(yàn)證策略，包括與既定基線進(jìn)行比較分析，并對(duì)得出的數(shù)值進(jìn)行透明的論證。

主要貢獻(xiàn)

本文針對(duì)這些關(guān)鍵差距，提出了一種新型的集成故障和威脅模式及影響分析（FTMEA）框架，該框架在幾個(gè)關(guān)鍵方面顯著提升了現(xiàn)有技術(shù)水平：

1、量化跨域關(guān)聯(lián)因子 (CDCF)：我們引入了一套全新的 CDCF，用于嚴(yán)格量化功能安全失效模式 (FM) 和網(wǎng)絡(luò)安全威脅模式 (TM) 之間的相互影響和共同后果。這些因子是通過一種透明的方法得出的，該方法結(jié)合了結(jié)構(gòu)化的專家意見征詢、靜態(tài)結(jié)構(gòu)分析（使用諸如影響錐和從門級(jí)網(wǎng)表導(dǎo)出的可控性/可觀測(cè)性等指標(biāo)），并針對(duì)經(jīng)驗(yàn)故障/攻擊注入活動(dòng)數(shù)據(jù)進(jìn)行了驗(yàn)證。這為它們的數(shù)值提供了可驗(yàn)證的基礎(chǔ)，直接解決了之前關(guān)于模糊性和缺乏合理性的擔(dān)憂。

2、基于重標(biāo)度的數(shù)學(xué)穩(wěn)健 RPN 增強(qiáng)：我們提出了一種改進(jìn)的風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù) (RPN) 計(jì)算方法，該方法系統(tǒng)地將這些 CDCF 整合到發(fā)生率 (O) 和檢測(cè)率 (D) 評(píng)級(jí)中。這種增強(qiáng)的 RPN 能夠提供更準(zhǔn)確、可重復(fù)且合理的風(fēng)險(xiǎn)優(yōu)先級(jí)排序。重要的是，我們應(yīng)用了一種系統(tǒng)的重標(biāo)度方法，將修正后的 O 和 D 值映射回離散的 1-10 FMEA 序數(shù)尺度。，確保實(shí)際應(yīng)用性，同時(shí)克服先前在縮放、加性結(jié)構(gòu)和任意截?cái)喾矫娴哪：浴?/p>

3、綜合分析的操作方法：該框架提供了清晰的操作定義和步驟，用于在整個(gè)分析生命周期中整合安全、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全方面的考慮因素，從危害識(shí)別到緩解策略評(píng)估。

4、實(shí)證驗(yàn)證案例研究：我們通過對(duì)汽車專用集成電路 (ASIC) 配置寄存器的詳細(xì)案例研究來演示 FTMEA 框架。該驗(yàn)證包括明確的映射表、定量 CDCF 值及其推導(dǎo)、與基準(zhǔn) FMEA/TARA 的全面對(duì)比分析，以及對(duì)風(fēng)險(xiǎn)優(yōu)先級(jí)排序和緩解措施有效性的探討。這直接解決了缺乏驗(yàn)證和可重復(fù)性的問題。

5、改進(jìn)跨學(xué)科協(xié)作：FTMEA框架通過提供通用的量化語言和結(jié)構(gòu)化方法，從根本上優(yōu)化了安全團(tuán)隊(duì)和網(wǎng)絡(luò)安全團(tuán)隊(duì)之間的協(xié)作，從而打造更具彈性和安全性的設(shè)計(jì)。這滿足了對(duì)清晰區(qū)分和經(jīng)驗(yàn)證的改進(jìn)方法的需求，使其優(yōu)于現(xiàn)有方法。

最新技術(shù)：

集成功能安全與網(wǎng)絡(luò)安全分析

標(biāo)準(zhǔn)與交互

功能安全和網(wǎng)絡(luò)安全旨在降低系統(tǒng)風(fēng)險(xiǎn)，但針對(duì)的是不同的危險(xiǎn)。功能安全受 ISO 26262 等標(biāo)準(zhǔn)的約束，旨在解決由系統(tǒng)漏洞引起的非故意風(fēng)險(xiǎn)，以確保不會(huì)因電氣/電子 (E/E) 系統(tǒng)故障行為而導(dǎo)致不合理的風(fēng)險(xiǎn)。此外，ISO 21448 還針對(duì)電子電氣系統(tǒng)、基于人工智能的算法、人機(jī)界面以及環(huán)境或人為因素的功能不足所導(dǎo)致的危險(xiǎn)事件，旨在確保不會(huì)因預(yù)期功能的性能限制或其實(shí)現(xiàn)而造成不合理的風(fēng)險(xiǎn)。同樣，網(wǎng)絡(luò)安全在汽車行業(yè)也日益受到重視，尤其是在聯(lián)網(wǎng)和自動(dòng)駕駛汽車出現(xiàn)之后，這促使人們引入了諸如 ISO/SAE 21434 之類的標(biāo)準(zhǔn)來抵御外部威脅。安全與保障往往存在沖突，因此需要制定優(yōu)先排序策略。

成功取決于目標(biāo)的協(xié)調(diào)一致、確保一致性以及解決 ISO 26262 中強(qiáng)調(diào)的目標(biāo)沖突。然而，ISO/SAE 21434 缺乏對(duì)安全接口的關(guān)注，凸顯了在設(shè)計(jì)階段早期同步安全性和安保生命周期的必要性。例如，安全系統(tǒng)側(cè)重于可預(yù)測(cè)的安全行為，而安保系統(tǒng)則應(yīng)具有動(dòng)態(tài)性和適應(yīng)性，以防止外部入侵。確保安全關(guān)鍵系統(tǒng)在不損害其功能、安全性和安全性（FuSa）的前提下保持安全，會(huì)帶來復(fù)雜的設(shè)計(jì)和實(shí)現(xiàn)問題。挑戰(zhàn)不僅在于認(rèn)識(shí)到潛在的權(quán)衡取舍，還在于創(chuàng)建一個(gè)連貫的開發(fā)框架，在不增加系統(tǒng)復(fù)雜性或開發(fā)成本的情況下協(xié)調(diào)這兩個(gè)方面。集成安全性和安保分析的必要性也得到了廣泛認(rèn)可，相關(guān)標(biāo)準(zhǔn)也日益重視FuSa和網(wǎng)絡(luò)安全之間的交互，并采用融合這兩個(gè)領(lǐng)域的方法：

1、IEC TR 63069 安全措施的實(shí)施應(yīng)與安保措施的實(shí)施相兼容。因此，安全對(duì)策應(yīng)有效防止或防范威脅對(duì)安全相關(guān)系統(tǒng)及其已實(shí)施的安全功能造成的不利影響，反之亦然。

2、SAE J3061 ，ISO/TR 4804 支持安全與網(wǎng)絡(luò)安全之間的互動(dòng)，并描述處理這種重疊的方法和實(shí)踐。

3、ISO 24089 和聯(lián)合國(guó)第156號(hào)條例解決軟件更新中的安全問題。

4、ANSI/UL 4600 解決自動(dòng)駕駛車輛的安全評(píng)估問題，以系統(tǒng)級(jí)安全案例有效性的安全性能指標(biāo)來補(bǔ)充其他標(biāo)準(zhǔn)。

5、聯(lián)合國(guó)第155號(hào)條例涉及車輛在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)安全管理系統(tǒng)方面的審批，包括風(fēng)險(xiǎn)評(píng)估知識(shí)。

雖然這些標(biāo)準(zhǔn)普遍承認(rèn)必須同時(shí)考慮功能安全和網(wǎng)絡(luò)安全，但它們主要提供定性指導(dǎo)或制定高層次的要求。它們通常缺乏規(guī)范的、定量的方法來系統(tǒng)地評(píng)估故障和威脅之間的相互影響、促成關(guān)系和共同后果。這種缺失往往導(dǎo)致實(shí)踐中出現(xiàn)主觀解讀，阻礙了系統(tǒng)且可重復(fù)的綜合風(fēng)險(xiǎn)評(píng)估。

方法與技術(shù)

從宏觀層面來看，安全與網(wǎng)絡(luò)安全之間的關(guān)系可歸納為四個(gè)標(biāo)準(zhǔn)：i) 相互關(guān)系，ii) 條件關(guān)系，iii) 獨(dú)立關(guān)系，iv) 對(duì)立關(guān)系。這些標(biāo)準(zhǔn)對(duì)安全與網(wǎng)絡(luò)安全分析具有重要影響。本文提出的FTMEA方法側(cè)重于二者之間的相互關(guān)系。目前已有多種方法可用于分析功能安全與網(wǎng)絡(luò)安全之間的交互作用，這些方法已在各類出版物和標(biāo)準(zhǔn)中有所闡述。表1概述了可用于安全分析的多種方法和技術(shù)，并指出某些方法需要擴(kuò)展才能有效地進(jìn)行協(xié)同分析，同時(shí)評(píng)估了它們?cè)诹炕涂蓮?fù)現(xiàn)的集成分析方面的局限性。

盡管各種失效模式及影響分析（FTMEA）方法已被廣泛采用，但在功能安全（FuSa）和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的定量聯(lián)合分析方面仍然存在顯著差距?，F(xiàn)有方法往往難以提供嚴(yán)格定義、經(jīng)經(jīng)驗(yàn)或分析論證且可定量驗(yàn)證的機(jī)制來模擬功能失效與網(wǎng)絡(luò)安全威脅之間錯(cuò)綜復(fù)雜的雙向影響。這導(dǎo)致對(duì)“共同影響”、“相互影響”和“優(yōu)先級(jí)排序”的解讀帶有主觀性，從而阻礙了結(jié)果的可重復(fù)性和穩(wěn)健決策的制定。我們提出的FTMEA框架通過引入量化的相關(guān)因子和改進(jìn)的風(fēng)險(xiǎn)優(yōu)先數(shù)（RPN）計(jì)算方法，直接針對(duì)這一關(guān)鍵差距，解決了上述局限性。

建議方法

協(xié)分析概念，包括相關(guān)因素

為了說明所提出的概念，圖1給出了一個(gè)簡(jiǎn)單的流程圖。FTMEA 流程結(jié)構(gòu)如下（圖1）：

1、啟動(dòng)風(fēng)險(xiǎn)分析：明確系統(tǒng)、系統(tǒng)邊界以及受安全保障要求約束的關(guān)鍵功能。這包括識(shí)別關(guān)鍵資產(chǎn)和潛在影響情景。

2、故障模式 (FM：Failure Mode) 和威脅模式 (TM：Threat Mode) 分析：識(shí)別被分析系統(tǒng)或組件的所有相關(guān)故障模式（例如，硬件故障、軟件缺陷）和威脅模式（例如，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露）。建立初始基線、發(fā)生率 (O) 和檢測(cè)率 (D)。評(píng)估嚴(yán)重性 (S) 時(shí)，需考慮到網(wǎng)絡(luò)安全威脅可能影響安全性。

3、共同影響識(shí)別：針對(duì)每個(gè)已識(shí)別的FM和TM，分析其潛在的不良影響。關(guān)鍵步驟是識(shí)別“共同影響”——即由功能故障或網(wǎng)絡(luò)安全威脅導(dǎo)致的不良后果。這構(gòu)成了跨域交互的基礎(chǔ)。

4、跨域相關(guān)因子（CDCF）的推導(dǎo)：這是我們框架的核心創(chuàng)新點(diǎn)。CDCF 定量評(píng)估了 FM、TM 及其各自應(yīng)對(duì)措施之間的相互依賴性（圖1中深藍(lán)色部分）。該推導(dǎo)過程涉及一個(gè)系統(tǒng)化的過程，詳見下文。

5、計(jì)算風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù)和重新標(biāo)度：通過將導(dǎo)出的累積分布函數(shù) (CDCF) 納入發(fā)生率 (O) 和檢測(cè)率 (D) 評(píng)級(jí)，對(duì)傳統(tǒng)的風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù) (RPN) 進(jìn)行了改進(jìn)。這為綜合風(fēng)險(xiǎn)生成了數(shù)學(xué)上更穩(wěn)健且更具代表性的 RPN，詳見下文。重要的是，隨后應(yīng)用系統(tǒng)性的重新標(biāo)度程序，將這些連續(xù)的計(jì)算值映射回離散的 1-10 FMEA 序數(shù)尺度。

6、風(fēng)險(xiǎn)優(yōu)先級(jí)排序：根據(jù)修正后的風(fēng)險(xiǎn)優(yōu)先數(shù)（RPN）對(duì)已識(shí)別的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序?；诖藘?yōu)先級(jí)排序，制定并實(shí)施綜合緩解策略，有效解決安全保障問題，并可酌情利用跨領(lǐng)域應(yīng)對(duì)措施。

跨域相關(guān)因子（CDCF）的量化

相關(guān)矩陣是一個(gè)表格，顯示了故障模式和威脅之間的相關(guān)系數(shù)，如圖2所示。通過這種方式，可以總結(jié)并嘗試量化安全性和網(wǎng)絡(luò)安全之間的共同影響。每個(gè)單元格的值 CDCF 可以假定介于 0（無相關(guān)性）和 1（完全相關(guān)）之間。

從網(wǎng)絡(luò)安全角度出發(fā)，預(yù)防和檢測(cè)措施也需要考慮，以評(píng)估這些措施是否能夠保障安全。在這種情況下，安全預(yù)防和檢測(cè)措施可能對(duì)安全產(chǎn)生積極或消極的影響，反之亦然。這種現(xiàn)象可以使用非對(duì)稱相關(guān)矩陣進(jìn)行建模，該矩陣全面考慮所有措施。例如，一項(xiàng)安全預(yù)防措施可以對(duì)許多安全機(jī)制的檢測(cè)產(chǎn)生積極影響。因此，相關(guān)矩陣中的所有措施都應(yīng)一起評(píng)估。每個(gè)單元格Cij矩陣的 (CDCF) 值可以假定在 1（正面影響）到 -1（負(fù)面影響）之間。從方法論的角度來看，這種分析可以在不同的抽象層次上進(jìn)行。例如，在設(shè)計(jì)的頂層，考慮頂層指標(biāo)，或者按部件/子部件進(jìn)行分析以評(píng)估局部效應(yīng)。

計(jì)算 RPN

傳統(tǒng)的風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù) (RPN) 由公式 RPN=O×S×D 給出，其中 O 代表發(fā)生概率，S 代表嚴(yán)重程度，D 代表可檢測(cè)性。所有用于計(jì)算 RPN 的值均設(shè)置在 1-10 的范圍內(nèi)。新的 RPN（如公式 ( 3 ) 所示）是基于當(dāng)前最先進(jìn)的技術(shù)計(jì)算得出的 。區(qū)別在于，發(fā)生率和檢測(cè)率的單個(gè)值在計(jì)算時(shí)考慮了正面和負(fù)面影響。Cij（參見先問）根據(jù)公式（1）和（2）與措施種類有關(guān)，其中 n 是可以影響檢測(cè)或預(yù)防對(duì)策的措施的數(shù)量。

• 預(yù)防措施：影響故障/威脅模式發(fā)生的初步評(píng)估；

• 檢測(cè)措施：影響故障/威脅模式檢測(cè)的初步評(píng)估；

方程 ( 1 ) 和 ( 2 )中的 1 和 10 的限制是為了避免偏離 RPN 的最新技術(shù)，當(dāng)一項(xiàng)措施對(duì)其他領(lǐng)域產(chǎn)生累積效應(yīng)時(shí)可能會(huì)發(fā)生這種情況（例如，安全預(yù)防措施對(duì)許多安全機(jī)制產(chǎn)生積極影響）。

事件發(fā)生的概率可由故障概率和攻擊概率共同推導(dǎo)得出。風(fēng)險(xiǎn)評(píng)估可從網(wǎng)絡(luò)安全角度考慮其對(duì)安全的影響。故障概率（基于 ISO 26262 第 11 部分）可映射到攻擊潛力或攻擊可行性評(píng)級(jí)（基于 ISO 21434），并據(jù)此評(píng)估風(fēng)險(xiǎn)影響。風(fēng)險(xiǎn)值可基于統(tǒng)一的風(fēng)險(xiǎn)矩陣計(jì)算。概率評(píng)級(jí)與安全影響之間的映射關(guān)系如圖3所示。

跨域相關(guān)因子 (CDCF) 的測(cè)量

評(píng)估安全和計(jì)算機(jī)科學(xué)領(lǐng)域預(yù)防和檢測(cè)措施之間的共同效果和相互影響通常包括通過仿真觀察集成電路設(shè)計(jì)：

• 功能安全：可以進(jìn)行注入故障的傳播，以研究對(duì)策的效果和有效性；

• 網(wǎng)絡(luò)安全：可以模擬漏洞或滲透測(cè)試來研究電路的彈性；

這些技術(shù)的結(jié)合可以用來理解相關(guān)性。然而，為了減少工作量和耗時(shí)的模擬，結(jié)構(gòu)分析和/或桑迪亞可控性/可觀測(cè)性分析程序 (SCOAP：Sandia Controllability/Observability Analysis Program) 技術(shù)可以使用。例如：

共同效應(yīng)：可以從出現(xiàn)故障和威脅效應(yīng)的輸出端出發(fā)，構(gòu)建一個(gè)超大影響錐（COI）。安全性和可靠性的區(qū)別在于，網(wǎng)絡(luò)攻擊中可控的邏輯可能與影響 COI 輸出端的隨機(jī)故障并不完全一致（圖4）。COI 內(nèi)部邏輯與攻擊中可控邏輯的重疊程度決定了相關(guān)系數(shù)。

預(yù)防影響：SCOAP 技術(shù)可用于計(jì)算電路在攻擊輸入下的可控性以及相應(yīng)的預(yù)防對(duì)策?？煽匦钥梢源_定類似于隨機(jī)模式抗性（RP 抗性）的攻擊抵抗能力。同時(shí)，可以根據(jù)安全技術(shù)對(duì)預(yù)防技術(shù)所涉及的邏輯進(jìn)行評(píng)估。安全預(yù)防措施所涉及的范圍可以通過其與未采取措施的電路相比的可控性差異來衡量。例如，基于密鑰的鎖定和解鎖機(jī)制可以防止對(duì)寄存器的寫入操作，從而改變從攻擊輸入到威脅生效點(diǎn)的整體可控性（圖5）。

檢測(cè)影響：與常見的效果評(píng)估類似，可以針對(duì)檢測(cè)點(diǎn)進(jìn)行結(jié)構(gòu)分析（圖6）。此外，從結(jié)構(gòu)角度來看，安全機(jī)制的警報(bào)可以觀察部分安全邏輯，并有可能分析其對(duì)安全措施的負(fù)面影響。

案例研究：汽車專用集成電路配置寄存器

本文提出的故障檢測(cè)與分析方法（FTMEA）對(duì)一款專為汽車傳感器模塊設(shè)計(jì)的關(guān)鍵專用集成電路（ASIC）進(jìn)行了分析。該ASIC負(fù)責(zé)將傳感器數(shù)據(jù)傳輸至電子控制單元（ECU）（圖7）。ASIC的關(guān)鍵組件是專用配置寄存器（Conf.register）。該寄存器存儲(chǔ)著直接影響傳感器輸出精度和完整性的關(guān)鍵校準(zhǔn)參數(shù)（例如增益、偏移、濾波系數(shù)）。任何未經(jīng)授權(quán)或錯(cuò)誤修改Conf.register都可能導(dǎo)致傳感器數(shù)據(jù)錯(cuò)誤，進(jìn)而造成嚴(yán)重的安全隱患（例如，導(dǎo)致誤觸發(fā)剎車或ADAS系統(tǒng)中的物體檢測(cè)不準(zhǔn)確）。

圖8以配置寄存器為分析重點(diǎn)，展示了對(duì)傳感器產(chǎn)生相同總體影響的故障和威脅模式。

所有提出的對(duì)策都與檢測(cè)相關(guān)，而安全措施則作為一種預(yù)防機(jī)制，因此發(fā)生率為 1。檢測(cè)相關(guān)矩陣如圖9所示。具體而言，如果發(fā)生多位錯(cuò)誤，奇偶校驗(yàn)可以統(tǒng)計(jì)地檢測(cè)到“意外寫入操作”。鎖定和解鎖機(jī)制的使用可以完全檢測(cè)到這種情況，因此針對(duì) FM2 的措施得到了充分覆蓋，因?yàn)樗淖兞思拇嫫鞯目煽匦浴＜词乖?FM3 的情況下，威脅對(duì)策也可以部分檢測(cè)到用于處理寄存器寫入操作的邏輯中的問題。從威脅對(duì)策警報(bào)的可觀測(cè)性度量來看，寫入接口是可見的。所有措施均使用綜合工具和專有腳本在門級(jí)網(wǎng)表上執(zhí)行，以驗(yàn)證 CDCF 因子。圖9中的檢測(cè)值是使用公式 ( 2 ) 計(jì)算的。

圖10展示了 FTMEA 框架的影響和價(jià)值?；?( 3 ) 的 RPN 計(jì)算使用了改進(jìn)的檢測(cè) (Dcorr)圖10中所示的各項(xiàng)指標(biāo)（CDCF）值，結(jié)合了圖 9 中導(dǎo)出的 CDCF ，反映了安全防御和網(wǎng)絡(luò)安全對(duì)策的綜合效果。圖10的最后一列突出顯示了 RPN 百分比的改進(jìn)。這些改進(jìn)使得團(tuán)隊(duì)能夠減少工作量，并在設(shè)計(jì)中集成更多措施。

圖10中的對(duì)比分析清楚地表明了 FTMEA 框架的價(jià)值和影響：

1、揭示被高估的風(fēng)險(xiǎn)：FM2 和 FM3 的失敗案例。

2、量化協(xié)同對(duì)策效益：檢測(cè)的修正對(duì) FM2 和 FM3 產(chǎn)生了效益。

3、改進(jìn)資源優(yōu)先級(jí)排序：對(duì)于不受協(xié)同效應(yīng)影響的失敗案例，可以給予適當(dāng)?shù)年P(guān)注，以便評(píng)估其他措施。

4、CDCF 方法論：RPN 的系統(tǒng)性變化可直接追溯并歸因于從結(jié)構(gòu)分析或模擬中得出的特定 CDCF 值，這為我們提出的方法論的有效性和實(shí)用性提供了強(qiáng)有力的定量證據(jù)。這些變化合乎邏輯、前后一致，并且可以通過潛在的相關(guān)性來解釋，從而驗(yàn)證了該框架模擬現(xiàn)實(shí)世界交互的能力。

總之，F(xiàn)TMEA框架及其量化的CDCF（變更依賴性特征函數(shù)）提供了一個(gè)更全面、更準(zhǔn)確、更具可操作性的風(fēng)險(xiǎn)概覽。它使設(shè)計(jì)團(tuán)隊(duì)能夠識(shí)別并優(yōu)先考慮真正綜合的風(fēng)險(xiǎn)，從而超越定性評(píng)估，實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的決策，進(jìn)而優(yōu)化資源分配，以設(shè)計(jì)出具有韌性和安全保障的汽車系統(tǒng)。

結(jié)論

本文提出了一種新型的集成故障與威脅緩解分析（FTMEA）框架，該框架系統(tǒng)地解決了復(fù)雜汽車半導(dǎo)體器件中功能安全和網(wǎng)絡(luò)安全相互交織的風(fēng)險(xiǎn)。我們的核心貢獻(xiàn)在于對(duì)跨域相關(guān)因子（CDCF）進(jìn)行了嚴(yán)格的定義、系統(tǒng)推導(dǎo)和實(shí)證量化。這些CDCF對(duì)功能故障模式、網(wǎng)絡(luò)安全威脅模式及其各自應(yīng)對(duì)措施之間的相互影響進(jìn)行建模，超越了定性描述，獲得了可驗(yàn)證的數(shù)值。

通過將這些CDCF集成到風(fēng)險(xiǎn)優(yōu)先級(jí)數(shù)（RPN）計(jì)算的數(shù)學(xué)改進(jìn)中，并采用透明的重標(biāo)度程序，我們開發(fā)了一種可復(fù)現(xiàn)、可追溯且經(jīng)實(shí)證驗(yàn)證的整體風(fēng)險(xiǎn)評(píng)估方法。一個(gè)涉及汽車專用集成電路（ASIC）配置寄存器的詳細(xì)案例研究，展示了FTMEA的實(shí)際應(yīng)用，并提供了明確的數(shù)據(jù)和CDCF推導(dǎo)。這一統(tǒng)一的分析框架促進(jìn)了跨學(xué)科合作，并有助于開發(fā)更具彈性的半導(dǎo)體設(shè)計(jì)。

因此，它既能增強(qiáng)對(duì)安全標(biāo)準(zhǔn)（例如 ISO 26262）的遵守，又能提高與網(wǎng)絡(luò)安全指南（例如 ISO/SAE 21434）的一致性。這種整體方法有助于開發(fā)人員在系統(tǒng)開發(fā)過程中追蹤貫穿頂層和底層階段的復(fù)雜信息和故障流。它還通過提供一種結(jié)構(gòu)化的方式來管理相互依賴關(guān)系，并確保功能安全和網(wǎng)絡(luò)安全要求之間的一致性，從而支持跨不同學(xué)科和組織的分布式開發(fā)。雖然所提出的 FTMEA 框架取得了顯著進(jìn)步，但仍需承認(rèn)其存在一些局限性：推導(dǎo)高精度的 CDCF 需要大量投入，包括專家咨詢、復(fù)雜的結(jié)構(gòu)分析工具以及專門的故障/攻擊注入活動(dòng)，這可能會(huì)消耗大量資源，尤其是在早期設(shè)計(jì)階段。

未來的工作將致力于將所提出的方法應(yīng)用于一個(gè)復(fù)雜的用例，以改進(jìn)和比較系數(shù)的度量（本文基于結(jié)構(gòu)電路分析），并與動(dòng)態(tài)仿真結(jié)果進(jìn)行比較，從而評(píng)估潛在的差距。此外，還將研究如何應(yīng)用機(jī)器學(xué)習(xí)和人工智能技術(shù)來部分自動(dòng)化相關(guān)因子的推導(dǎo)。

（本文封面由AI生成）

*免責(zé)聲明：本文由作者原創(chuàng)。文章內(nèi)容系作者個(gè)人觀點(diǎn)，半導(dǎo)體行業(yè)觀察轉(zhuǎn)載僅為了傳達(dá)一種不同的觀點(diǎn)，不代表半導(dǎo)體行業(yè)觀察對(duì)該觀點(diǎn)贊同或支持，如果有任何異議，歡迎聯(lián)系半導(dǎo)體行業(yè)觀察。

今天是《半導(dǎo)體行業(yè)觀察》為您分享的第4351內(nèi)容，歡迎關(guān)注。

加星標(biāo)??第一時(shí)間看推送

求推薦