电子技术-浅谈汽车领域的安全三连：Safety、Security和SOTIF (1)（图文）.pdfVIP

浅谈汽车领域的安全三连：Safety、Security 和 SOTIF (1)  功能安全(FuSa)、信息安全(Cybersecurity)和预期功能安全(SOTIF)是今天谈 到汽车安全必须提的三个话题。这几个安全话题彼此不同又相互关联，这里我想 简单的梳理下它们之间的关系和范畴。 功能安全(Functional Safety，以下简称FuSa 、信息安全(Cybersecurity 和预期功能安全 (Safety of the Intended Functionality，以下简称 SOTIF 是今天谈到汽车安全必须提的三个话题。10 年前我在高校做过部分关于 汽车方向 Security 的工作，FuSa 则是跟着公司做过一系列培训，在具体工作中 对 Security 和 FuSa 都有接触。而 SOTIF 则比较新，是一个汽车安全领域面向智 能化的新生话题。这几个安全话题彼此不同又相互关联，这里我想简单的梳理下 它们之间的关系和范畴。 “道路千万条，安全第一条。”—— 《流浪地球2》都开拍了，这个梗也是 老梗了，但是道理并不过时。这里的安全指的是驾驶员的操作安全，既不是 FuSa， 也不是 Cybersecurity 的安全范畴，而是更贴近于 SOTIF 预期功能安全的误用 (misuse 的内容。安全是一个比较宽泛宏观的概念，同时也是一个相对的概念。 刚开始接触安全话题时教授和我说的第一句就是没有百分之一百的安全，一切都 是相对的。汽车安全是安全领域的一个细分，和传统的计算机，金融方向的安全 话题对比，有很多类似的地方，但也有其特殊的一面。汽车行业的产品安全工程 是一个跨领域、系统化的过程，需要相关部门密切交流协作才能达到预期的安全 目标。 英语 Safety 可以简单地看成由机器造成的安全问题，而 Security 则是指由 恶意者比如黑客造成的安全问题。可是翻成中文，这两个词的意思都是 “安全”， 这就尴尬了，其实同样的问题也发生在德语里，德语也是只有一个 Sicherheit 来指代 “安全”，所以不管中国还是德国，在表述汽车安全时，不是要搬出英语 来，就是要加上前缀。德国公司把功能安全有时候称为 FuSa，有时又称为FuSi(德 语版，感觉好听点 ，也是个薛定谔的安全。中文倾向把 Cybersecurity 翻译成 信息安全，德语也经常加信息的前缀，不知道是谁影响的谁。但这么翻译其实凸 显不出背后的人为因素，看到某乎上安全达人博主殷玮说最好叫防护安全，我觉 得这样更加贴合，或者叫防御安全，把人的因素表现出来。 那么FuSa 和 SOTIF 又有什么区别？我的理解是FuSa 针对的是机器出问题了， 汽车说我出故障 (Malfunction 了，造成安全问题，靠冗余可以解决。而SOTIF 则指的是汽车系统没出问题，只是功能不够，或者操作不当，造成功能安全问题 了，是汽车说臣妾做不到，冗余也解决不了。SOTIF 更主要的是针对辅助驾驶和 自动驾驶而言。比如，传感器并没出问题，但是没识别出人和障碍物，撞上去了， 或者是人把矿泉水瓶别在方向盘上骗过汽车，汽车以为你在单手操把，这都是 SOTIF 的范畴。最早特斯拉没识别出白色卡车撞上去，和Uber 的车撞人，都在 SOTIF 的范围内。SOFIT 可以理解是为了应对汽车智能时代的到来，填补了 FuSa 不能应对的空白。 理论上，一个产品只有在可以预期预料的使用中不会对人的健康和安全造成 风险的时候才可以投入市场。但问题是，如何衡量，是否能定量地衡量，还是得 依靠专业经验去衡量。这也使得相应的标准和法规尤为重要。 图 1：跨领域、系统化的汽车产品安全。 最近看网上维克多(Vector 的第四届汽车安全研讨会，有不少德国整车厂和 供应商专家的报告，大家有兴趣可以去看看。图 1 源自博世安全专家 Stefan Kriso 的讲稿。从安全分析到产品发布，这是一个系统化的过程，涉及 到一系列的措施，也涉及一系列的标准。像针对 Fusa 的