亚远景-在开发中的 “功能安全(ISO 26262)” 与 “网络安全(ISO/SAE 21434)”关联实践
一、定位与目的
本附录为信息性内容,旨在指导在采用ISO 26262开展功能安全活动时,如何识别并管理与网络安全(Cybersecurity)的潜在交互与冲突,强调跨学科的协同与沟通,避免安全措施彼此掣肘或产生新的风险源。
二、关联层级阶段
管理层面的协同
建立功能安全与网络安全的沟通渠道与协同机制(组织层面与项目层面)。
在项目安全计划中纳入网络安全相关活动,并进行影响分析与里程碑对齐。
概念与产品开发阶段
将TARA(威胁分析与风险评估)与HARA(危害分析与风险评估)进行协调:识别攻击对安全目标的影响,必要时调整安全目标/ASIL或安全机制。
在系统、硬件、软件的技术安全活动中,识别并处理两者的共同原因与相互依赖(如时序、资源、接口、诊断与冗余)。
生产、运行与服务阶段
对事件响应与修复(如补丁、配置变更)进行安全影响评估,确保不会引入新的功能安全风险;保持必要的追溯性与合规性。
支持过程与工程方法
在配置管理、变更管理、工具鉴定、供应商接口、独立性与ASIL分解等支持过程中,考虑网络安全活动的影响与约束。
通过安全分析(如FMEA/FTA)与依赖性/耦合因素分析,处理安全与安保目标及措施之间的冲突与折衷。
三、主要观点与关键实践
将“成功的攻击”视为危害的潜在原因,把网络安全事件对人身伤害链条的影响纳入HARA与安全目标设定,必要时触发或提升ASIL。
在TARA识别到对安全有重大影响的网络威胁时,向功能安全活动反馈与对齐,确保安全机制与安全目标的一致性与充分性。
处理目标冲突与权衡:例如,安全机制的降级/关闭策略与安全可用性需求可能被攻击利用;实时监控与事件响应可能影响实时性与可用性,需要在安全与安保之间进行工程权衡与证明。
强化独立性与隔离:安全相关与非安全相关元素之间、不同ASIL分区之间,以及安全与安保机制之间的隔离/不受干扰与独立性要可证明,避免级联失效与单点共因。
关注安全异常管理与运行阶段的异常工况:在异常与降级情形下,确保安全状态可达,且不会被恶意利用;对FOTA/OTA等更新活动,评估其对功能安全与网络安全的双重影响并制定回归验证策略。
采用共同语言与协同活动:在组织与供应链中统一对ASIL与网络安全保证等级(如CAL)的理解,必要时进行协同治理,但避免机械映射;以接口规范、追溯链、验证与确认贯穿全生命周期。
四、与相关标准和实践的衔接
与ISO/SAE 21434(道路车辆网络安全)协同开展TARA、事件响应与全生命周期安全活动;与UNECE WP.29网络安全与软件更新法规保持一致,特别是SOTA/FOTA的证据与追溯要求。
在方法层面参考SAE J3061的生命周期与安全测试思路,并关注其与ISO 21434的衔接演进。
对于SOTIF(ISO/PAS 21448)场景,识别由功能不足/性能局限引发的风险与网络安全风险的交集,避免将“非故障行为”误判为纯功能安全或纯网络安全问题。