内容提要：所提出的方法通过从一开始就将网络安全和功能安全视为基本的架构驱动因素来满足这种行动需求。它显示了功能体系结构开发中的网络安全和功能安全要求，以及具体的风险缓解措施。

摘要

通过Car2x和自动驾驶等技术推进数字化正在创造令人着迷的潜在效益，尤其是在汽车领域。然而，新的信息和通信技术导致产品复杂性不断增加，并给当前和未来移动系统的开发带来挑战。系统工程代表了应对这些挑战的成熟方法。特别是，早期以功能为导向的工程确保了所有相关学科的整体、系统发展。为此目的，功能架构被建模为一个重要的工件，它代表了独立于具体技术解决方案而开发的系统，并允许早期的设计决策。当前和未来移动系统开发的一个基本要求是，通过在早期阶段全面解决安全问题来确保系统的可靠性。由于这大多是在后续开发阶段很晚才完成的，因此这项工作的目标是，通过解决以汽车系统工程为例的功能架构开发中的网络安全和功能安全来展示协同潜力。为此，基于复杂移动系统的系统开发挑战，现有技术的既定方法始终集成在连续系统学的范围内。基于现有技术（例如FAS方法）的面向用例的功能建模被用作基础。所开发的方法允许系统地捕获架构驱动程序，以及通过功能的整体识别和结构化来对功能架构进行建模。它使得安全相关方面（例如，威胁和危害场景）能够在功能架构的基础上进行集成，尤其是在早期阶段，并在设计决策的背景下予以考虑。

1.简介

Car2x等技术以及不断提高的自主化程度使得新的创新移动系统成为可能，但同时由于系统复杂性不断增加，对开发流程提出了更高的要求。为了应对这些挑战，系统工程应运而生，特别是在汽车领域。由于关注特定领域的方法和标准（例如，ISO 26262、ISO/SAE 21434），这种领域自适应也被称为汽车系统工程（ASE）。

特别是在系统架构设计的早期开发阶段，ASE在所有涉及的学科中建立了对系统的共同理解。为了在具体技术解决方案出现之前，使开发复杂性易于管理，开发了代表移动系统的功能组件及其固有相互关系的功能架构。目标是提出一个与解决方案无关的系统规范，在此基础上可以进行功能分析并开发适当的逻辑和物理架构。

移动系统发展的关键驱动力是确保系统可靠性。功能安全和网络安全尤其受到影响。既定的方法和标准引入了量身定制的方法，例如根据功能描述（例如FMEA或FMECA）识别攻击和失效场景。实际上，网络安全和功能安全特定分析是单独进行的，并且通常仅在经典架构开发的下游进行。

这项工作的目标是，展示功能架构开发和系统可靠性保证中既定方法的协同潜力。所提出的系统允许一致的开发，其中网络安全和功能安全不被理解为附加组件，而是与经典开发活动的集成。架构师能够考虑关键威胁和危害场景，以便从功能驱动开发一开始就采取适当的风险缓解措施。为此，第2节介绍了基础知识和最新技术，重点关注系统工程中的功能架构开发。在第3节中，以汽车系统工程为例介绍了解决方案。第4节是总结和展望。

2.基础知识及相关工作

2.1.汽车系统工程(ASE)中的网络安全和功能安全驱动开发

为了满足日益复杂的技术系统开发的要求，系统工程和汽车系统工程已经成立。不同的架构视图支持处理系统复杂性。功能架构代表了这些视图之一，并描述了以解决方案中立的方式开发的系统（参见第2.2节）。

网络化程度的稳步提高和对自治的需求，强化了尽早并尽可能持续地确保系统可靠性的必要性。功能安全的重点是预防导致损坏的事件，这些事件可能是由系统故障或情境不当行为引起的。相比之下，网络安全侧重于防止恶意实体攻击系统。通过适当的对策（例如加密）可以将此类风险降至最低。各个ASE标准中提供了术语的更多详细信息和定义。在概念阶段就已经进行了全面的分析，预测潜在的威胁和危害或故障（例如内在错误传播），并通过适当的缓解手段来防止它们。必要的功能通常由网络安全和功能安全专家进行逆向工程，只有在设计过程完成后的后期阶段才会召集他们。根据关键性的评估，执行适当的下游特定领域的开发步骤。

现有技术将在以下各节中进行解释，并在第3节的系统学中的特定点上提及。

2.2. ASE中的功能架构

功能架构是“一组具有功能交互的系统的纯功能关系的解决方案描述”。正如Erden等人所描述的，工程中函数的解释导致了18个不同使用的概念。特别是在汽车行业，术语“功能”有多种使用方式，例如：用于用户可以购买的功能（自适应巡航控制）。因此，本文将使用Walden等人更广泛的定义，将功能描述为“为实现预期结果而必须执行的特征任务、行动或活动”。根据这一定义，功能体系结构基于功能元素、功能接口和体系结构决策。面向功能的工程一词，在汽车系统工程中被用作未来更稳健和以用户为中心的系统开发的理想方法。

2.3.开发功能体系结构的基本方法

有不同的方法可以将功能架构开发集成为整个系统架构设计的开发方面之一。但是，这些方法，例如Harmony SE或Kleiner和Kramer的RFLP方法，并未显示出详细的方法来获得功能及其关系。系统开发功能架构方面最常见的工作是Weilkiens等人提出的FAS方法。在本文中，我们描述了一种系统方法，该方法与FAS方法一致，并以其思想为基础，为集成网络安全和功能安全驱动的开发做出了额外贡献。

2.4.以网络安全和功能安全为中心的分析方法

功能安全分析是第一个可靠性保证方法之一。一个突出的例子是FMEA，其根据功能，可能的失效模式和影响分析功能安全。同样，FMVEA等组合方法也通过考虑漏洞和威胁模式来纳入网络安全方面。其他已建立的分析追求了一种演绎特征，例如FTA，其中失效的可能性是通过传播逻辑确定的。除了因果关系方法外，还必须使用诸如STPA之类的方法，尤其是在汽车行业中，该方法不仅从断层传播中分析和评估危害，而且还从控制问题中分析危害。其他追求基于场景的危害和威胁识别的分析方法是危害分析和风险评估(HARA)，以及作为网络安全辅助手段的威胁和风险分析（TARA）。两种方法都根据危害或威胁评估潜在影响，并开始确定适当的风险缓解措施。Sadeghi等人提出了基于功能的保证，但仅限于对功能制动结构和功能安全进行建模。

这些方法和其他用于分析和优化功能体系结构的方法嵌入了选定的步骤中，并在第3节中更详细地进行了解释。

2.5.需要采取行动

所分析的现有技术表明，现有的功能架构开发方法只允许在非常有限的程度上实现网络安全和功能安全的本地集成。网络安全和功能安全保证通常在下游阶段完成，并导致非常高的变更工作。为此，功能结构通常需要完全重新开发或逆向工程。由于孤立的功能架构，一致的端到端ASE变得非常具有挑战性。正如Fadier和De la Garca在功能安全的背景下所描述的那样，需要一种系统的方法，在早期阶段（如功能架构的开发），将网络安全和功能安全与其他基本架构驱动因素同等地锚定。由于驱动程序的目标部分相互冲突（例如，冗余作为功能安全目标，减少潜在攻击接口作为网络安全目标），还需要通过生成和评估架构备选方案来支持设计决策。

3.功能架构开发中涉及的网络安全和功能安全

如图1所示，与网络安全和功能安全相关的方面嵌入了开发功能体系结构以及一般系统设计流程的过程中。提出的阶段和步骤不是一个严格的流程。在某些条件下，同时处理和相继完成都是明智的。

图1.系统设计流程中网络安全和功能安全驱动的功能架构开发概述

系统设计是从应用场景规范开始的，它提供了待开发系统的核心场景的初步概述。应用场景以用例、用户故事或其他高级需求的形式呈现，并从黑盒角度描述所需的功能（参见FAS等，参考资料1，关注牛喀网公众号，后台咨询下载）。与Fadier和De la Garza类似，针对不同的利益相关者（例如，通过用户故事）宣传功能安全和网络安全不被理解为附加功能，而是从一开始就被视为综合性的。

接下来是系统上下文的建模，其中明确定义了系统边界。必须考虑整个产品生命周期，而不仅仅是其运行。在网络安全方面，攻击技术在不断发展。例如，WEP加密不再像以前那样安全。建议警告用户或减少某些功能以确保安全。此类场景必须根据既定方法得出（例如，为了功能安全：危害分析和风险评估）。还会产生可能的威胁，危害和造成的损害情况（参见ISO 21434）。

然后得出经典（技术）要求（例如，从网络安全和功能安全概念），以减少发生不良情况和效果的可能性，尤其是对于系统的一般期望。这些和其他上游模型（例如，用例）可以根据FAS方法通过更正式的行为模型（例如，在SysML中：活动或状态机图）进行细化。

功能体系结构的开发随之而来，这是进一步开发系统逻辑和物理体系结构的基础。下面详细说明了开发功能体系结构的基本步骤。

3.1.架构驱动因素

架构根据最初情况和影响因素的不同而不同。对驾驶员的优先级排序，该体系结构将对各个方面（例如汽车OEM中的组织结构）产生影响。作为架构开发的关键成功因素，本文提出的系统方法将架构驱动程序的推导作为建立最佳功能架构替代方案的初步步骤。

有三种衍生建筑驱动程序的方法（见图2）。首先，Fröberg等人提出分析利益相关者的用例，这些用例描述了系统在其上下文中的使用方式。然后使用用例来识别体系结构风险和机会，这些风险和机会可作为体系结构设计的指导。

图2.架构驱动程序的推导步骤

其次，我们建议分析对架构有影响的指定需求。除了功能性需求之外，还存在非功能性需求，例如对功能架构有影响的质量需求，如Weilkiens等人所述。作为第三种选择，我们建议考虑文献中提供的架构驱动程序目录（参见表 1）。

表1.现有文献中的架构驱动程序摘录（表中参考资料，关注牛喀网公众号，后台咨询下载）

没有系统的方法将架构驱动程序应用于所有架构决策。对于架构师来说，了解不同的驱动因素并在开发架构替代方案时将它们考虑在内是相当重要的。例如，如果某些功能在稍后阶段被整合到购买的组件中，那么在开发功能层次结构的特定部分时考虑自制或外购标准可能很重要。下一节将介绍作为关键驱动因素的网络安全和功能安全。当然，在每个流程步骤中也应考虑上述驱动因素。

3.2.功能架构替代方案的开发

功能架构的开发需要对需求的精确了解。如图3所示，用例、参考知识和功能需求可以作为基础。根据Weilkiens等人的说法，在经典用例和其他行为模型（例如SysML活动图）中，都可以从黑匣子的角度来表示所需的行为。尽管功能体系结构具有固有的解决方案中立性，但也可以包含参考知识。虽然一些参考体系结构追求自治系统的一般实现，但其他方法侧重于具体场景，如协作运输系统和不当行为检测功能。参考知识或历史项目的重用是极其重要的，尤其是在汽车领域。一方面，可以依靠完全验证的设计，另一方面，功能架构由于其更高的时间稳定性，允许简化供应商的集成。

作为经典函数推导的第三种可能性，函数需求必须得到满足。FAS方法通过启发式方法支持函数识别，例如采用指示域内聚的活动调用。功能的连续分组和结构化以及接口和水平关系（信息、能量、材料等）的建模创建了一个初始的功能架构。一种已建立的辅助工具是IPO方法，其中的关系设计类似于输入、处理和输出逻辑。

图3.功能架构替代方案的开发步骤

为了避免未来代价高昂的变更工作，我们建议根据所需的驱动程序和质量标准尽早分析开发的架构摘录。这会导致高度迭代的过程，其中架构代表网络安全和功能安全分析的输入。这些反过来又会对基于潜在错误和漏洞识别的架构提出新的要求。这种关系也在图3中通过步骤A、B和E进行了说明。除了已建立的安全分析（通过FMECA和HARA等归纳分析或FTA等演绎传播分析来识别系统错误）之外，控制功能不足（例如STPA），或者，特别是在自主系统的情况下，还必须考虑预期功能的功能安全。因此，不仅功能架构，而且评估可控性和后果的进一步场景模型都是必不可少的输入（见第3.1节）。例如，SOTIF提供了关于如何通过功能干预降低风险的明确措施。这涉及到监控和警告功能，例如，促进驾驶员接管。应在主动安全功能参考目录的基础上整合相应的应对措施。

网络安全的功能分析更具挑战性。例如，虽然TARA方法侧重于逻辑和物理架构，但网络威胁敏感性分析(CTSA)也可以通过功能方面识别攻击向量：例如，“恶意软件更新”，因为“软件更新”是所需的功能。随后，网络风险补救评估(CRRA)会导致制定适当的应对措施。在系统级别，这会产生主动安全功能，例如限制访问或一般监视子功能。随着分解深度的增加，功能体系结构在现实中越来越偏离实际解决方案的中立性，还包括诸如通过读取数字签名来验证身份验证之类的要求。其他方法，如STPA Sec、FMVEA和SAHARA代表安全挂件。

 尽管网络安全和功能安全关键性通常专门在逻辑架构中定义，或者与各自的概念和目标相关（例如，用于功能安全的ASIL，用于网络安全的SecL或CAL），但也应该捕获它在功能视图中（步骤 C、F），例如根据FMECA进行风险评估。这使得在功能架构的进一步详细说明过程中可以对关键性进行分解或跟踪，例如，为了安全起见，可以识别进一步的冗余功能（步骤D）。执行系统的功能范围被分解，以实现关键性的降低，从而进一步开发工作。网络安全方面尚未建立相应的方法，但应综合考虑。

生成功能架构，直到达到所需的细节或质量水平。在此过程中，功能设计必须在架构驱动的基础上不断优化（参见图5）。类似于系统工程中的思维和行为方式，在解决方案选项的情况下将创建架构替代方案。

3.3. 评估与决策

设计架构的一部分是做出不同替代方案的决策。为了系统地评估架构内容并做出决策，我们提出了图4中概述的步骤。在评估架构场景和执行权衡分析之前，首先明确要评估的架构内容非常重要。要评估的部分架构内容可能是功能的不同替代方案以及关系，例如与相关功能的水平关系。

图4.根据ATAM方法进行架构评估和决策的步骤

ATAM方法是一种可用的架构替代分析方法。它提供了一种系统方法，可以根据源自业务驱动因素的质量属性（例如功能、可靠性或效率）来评估架构。ATAM形式化了权衡分析并作为设计决策的推理。此时的另一个相关方法是构建加权目标表，如Harmony SE中所述，它根据标准评估替代方案并计算指标。

图5中的示例显示了结合本文描述的方法中的先前活动使用权衡分析的基本原理。综合分析为通过新的网络安全和以功能安全为中心的需求生成优化的体系结构备选方案，提供了宝贵的基础。此外，HARA和TARA等分析方法衍生出可用于权衡分析中评估的新场景。

图5.功能架构设计、集成安全分析和架构权衡分析之间相互作用的简化示例

4.总结与展望

特别是在汽车领域，实现日益复杂的技术系统需要整体开发流程，通过功能性、解决方案中立的方法来管理系统复杂性。功能架构满足这一要求，但通常是独立于其他基本开发和分析步骤（例如网络安全和功能安全保证）而开发的。所提出的方法通过从一开始就将网络安全和功能安全视为基本的架构驱动因素来满足这种行动需求。它显示了功能体系结构开发中的网络安全和功能安全要求，以及具体的风险缓解措施。此外，功能架构为分析和识别新的危害和潜在威胁提供了重要基础。与已建立的SE范例类似，该方法支持权衡可能冲突的架构目标和最终设计决策。尽管重点是汽车系统工程，但该方法可以通过集成适当的方法来适应其他领域。然而，仍然需要采取进一步行动。由于网络安全这个话题相对新颖，目前有多种新方法不断涌现，必须不断整合。为了证明其潜力，所提出的方法将在未来的工作中通过进行全面的案例研究进行验证。

详询“牛小喀”微信：NewCarRen

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！