内容提要：本文提出了一套工程风险管理框架。随后，介绍功能安全和网络安全领域之间的接口区域是本文的重点领域之一，并用示例性交互模板表示接口管理活动。

摘要

为了确保高度自动驾驶系统的安全性，应确保将所有风险降低到合理水平，并通过必要的保护来解决所有潜在的网络攻击。由于此类车辆系统的复杂性，系统化和结构化的管理方法对于通过网络安全（CS）维护安全至关重要。安全管理系统（SMS）与网络安全管理系统（CSMS）的接口是确保解决潜在安全问题的关键方面之一。两个管理系统都包括规划、概念和流程开发，需要有大量重叠的管理系统。关于管理系统接口和分布，仍然是高度自动驾驶（HAD）车辆需要通过有效实施和持续改进和减少沟通不畅的策略来克服的挑战。正是出于这样的动机，本文提出了一套工程风险管理框架。随后，介绍功能安全和网络安全领域之间的接口区域是本文的重点领域之一，并用示例性交互模板表示接口管理活动。此外，功能安全和网络安全相关标准在证据和管理系统方面的映射也部分体现出来，以支持安全档案和安全保证。

1.介绍

维持功能安全和网络安全管理系统中的交互对于高度自动驾驶(HAD)车辆至关重要。需要一种系统的方法来揭示管理差距相关领域并查明自动驾驶中的管理接口。HAD车辆功能由自动化级别表示，为3级(L3)或更高。此类系统的风险管理用于支持组织进行安全可靠的产品开发。

概念阶段和开发阶段考虑有关管理系统的独立于项目和项目特定的要求。然而，必须澄清哪些给定标准/法规适合定义自动车辆的安全管理系统（SMS）和网络安全管理系统（CSMS）。此外，还需要找出L3车辆管理相关规范的差距和缺失。目前自动驾驶系统的发展不仅关注功能安全（FuSa），还关注预期功能安全（SOTIF），包括CS和其他领域。SMS和CSMS的概念方面是确保开发和部署过程中的流程、活动、方法和工具。此外，它的目的是减少沟通和支持方面的误解，以系统地进行并确保系统的功能安全和网络安全。理解和识别自动驾驶系统有用且必要的管理规范是本文的重点。然而，CS涵盖了风险管理的四个方面（安全、财务、运营和隐私），但没有涵盖FuSa标准预期的整个组织流程的交互机制。本研究试图以有限的方式为组织提供一个框架，以建立通信流并突出以工程为中心的SMS和CSMS的接口。

第2章根据当前的最新技术（重点关注汽车行业）简要介绍了SMS和CSMS（包括风险管理）的概述。第3章提出了一种通过SMS和CSMS的管理系统交互方法，并描述了管理交互活动和管理接口要求。此外，第4章说明了管理系统接口方法的实现。因此，可以识别SMS和CSMS之间的管理差距。此外，在第5章中通过示例性交互模板演示了功能安全和网络安全领域之间的沟通路径，以减少误解和差距并支持HAD系统的系统化开发。最后，第6章总结了所提出的管理系统模板的优点和可用性，该模板具有交互性，可开发安全可靠的HAD系统。

2.文献综述

本章提到了当前最先进科学对SMS和CSMS的基本定义或理解。提出了概念层面安全管理系统的弹性。然而，标准和指南不足以通过多学科发展、法规遵从和识别组织差距来确保HAD系统的整体安全。在HAD系统开发中实施功能安全和网络安全方面，管理流程和组织结构可能存在缺陷。当前的管理系统（SMS和CSMS）定义了要求并提供了处理HAD系统的功能安全和网络安全方面的指南，例如ISO 26262(FuSa)、ISO 21448(SOTIF)、UL4600（用于评估的自主安全）、UNECE WP.29（法规）的R155的联合国法规、SAE J3061（网络安全指南）和 ISO/SAE 21434（网络安全）。此外，ISO/TR 4804还进行了基本设计图“感知-计划-行动”来表明HAD系统的能力，包括考虑积极的风险平衡和避免不合理风险的车辆的性能。自动驾驶系统的功能安全和网络安全原则可以由三个小组FuSa、SOTIF和CS来考虑，它们具有ISO/TR 4804中所述的专门影响范围。

此外，风险管理是一个识别风险并定义缓解方法的过程。风险管理是处理安全风险的系统且有效的过程。功能安全和网络安全风险管理在HAD系统的开发中都是必不可少且不可避免的。风险管理有助于提前识别意外威胁，同时指导使用各种方法分析危害，例如风险概率和影响矩阵分析、帕累托图、故障树分析等。此外，Trung Duc Tran提到，“风险识别、风险评估、控制风险决策等风险活动。目前业界采用不同的方法论和方法进行风险管理”。尽管如此，危害和威胁的相互作用在发展过程中必须是透明的，没有任何间隙。

2.1 安全管理体系

安全管理强调安全风险管理和安全保障。安全风险管理意味着采用多种方法（例如危害分析和风险评估 (HARA)、风险措施和风险缓解）来分析HAD系统。SMS展示了开发人员的合规性和绩效的角色，以及开发方法和流程的实施。Li认为，“安全管理体系（SMS）要么是用于管理和控制安全的体系，要么是专门针对安全的管理体系”。SMS的应用已在包括国际民用航空组织(ICAO)在内的各种组织中使用，并被认为是经过改装和/或调整的HAD车辆的基础。此外，质量管理体系也可以被认为是建立SMS和CSMS接口的一组基本要求的基础。自动驾驶汽车行业还强制执行有关人员、所用技术和程序的SMS，以确保安全。Daniel Maurino提到，“系统安全和基于合规性的安全之间的概念接口决定了交通运输行业的信念——这些行业依赖系统安全作为安全框架——合规性是安全的基石”。人为因素被认为是SMS中的一个界面元素，不仅在组织特征中，而且在自动驾驶车辆的HAD功能规范中也是如此。SMS是安全监管框架的基础之一，有助于确保HAD车辆的整体安全。

2.2 网络安全管理体系

网络安全受制于CS风险管理和安全保证。网络安全管理包括工程和网络安全活动的要求。根据UNECE WP.29的联合国法规R155，CSMS被定义为“通过一种基于风险的系统方法来定义CSMS，该方法定义组织流程、责任和治理，以处理与车辆网络威胁相关的风险并保护它们免受网络攻击”。因此，正确实施具有安全接口的CSMS势在必行。然而，安全档案需要支持网络安全档案，反之亦然，但适当的论据还不够成熟；因此，需要进一步调查。此外，汽车行业合规的网络安全管理仍然是决定成功因素的关键部分。

3.管理系统接口方法

考虑接口实体引入的风险很重要。接口可以是内部的（例如，组件与其他组件、操作和维护与服务）或外部的（服务、通信和人类组织因素）。除了支持管理系统的接口之外，人类组织因素还可以识别可能成为残余风险来源的任务差距和缺失活动。为了确保车辆系统安全可靠，需要以系统的方式识别和管理接口，其中管理系统可以提供更大的控制。本节介绍FuSa与CS之间的接口活动，包括用于HAD车辆系统的SOTIF。此外，还应针对HAD车辆提出一套管理界面要求。

3.1 管理接口

安全要求是根据危害识别制定的。CS要求由损坏和/或威胁场景决定。每个损坏和/或威胁场景都有可能作为危害事件发生。由此可见，FuSa和CS是紧密相连的。CS分析的结果提供了系统可能的CS措施，功能安全分析确保了E/E系统在HAD车辆的指定操作设计域中的安全行为。因此，应该验证安全完整性水平，包括CS方面，并且这种接口方法是必要的，因为如果在安全相关的控制系统中不考虑CS方面，可能会发生不应有的危害。系统的集成方式应该能够描述功能安全概念和网络安全概念之间的关系，因为系统的CS措施对于HAD系统是必要的。此外，FuSa、CS和SOTIF等领域的管理活动的全面表示对于安全可靠的HAD系统开发至关重要，也是必需的。FuSa、CS（包括SOTIF）在反馈（带有双向箭头的虚线）、域考虑序列（带有定向箭头的线）和集成功能（虚线）方面的相互作用建议清晰地概述，如图1所示。

请注意，FuSa活动和CS活动可以针对特定的操作设计域(ODD)进行考虑，并由安全团队和CS团队在概念阶段和产品开发阶段开始时进行检查。之后，必须考虑SOTIF方面的性能限制（例如，传感器不足、误用等），如图1中FuSa活动和CS活动周围的非虚线框所示。

图1. 接口管理活动的建议表示

然而，在任何开发阶段之前进行差距分析（FuSa、SOTIF和CS）将使开发人员能够识别当前结构和流程之间的差距，并提供开发和支持期间所需的可能调整或修改，以准备HAD系统的保证案例。因此，可以根据HAD车辆开发所需的新技术和方法，通过调整或修改，确定当前最先进技术和科学中的一套与管理（SMS和CSMS）相关的交互规范。作为基于HAD车辆的ISO 26262、ISO 21448和ISO21434的高级差距分析的结果，一组管理接口要求如下所示：

• SMS应提供一组接口要求以支持HAD车辆的整体安全。

• 了解安全管理（包括CS交互方面）的要求。

• 应定义HAD车辆开发的责任、义务和沟通，包括FuSa和CS交互区域。

• 风险管理不仅包括标准中描述的危害识别和风险缓解，还包括开发过程中的数据收集、数据处理和数据共享过程。

• SMS和CSMS应提供一套针对所有事故、事件、风险和危害的响应、处理和记录的要求。

• 安全保证应包括FuSa和网络安全方面，以开发安全可靠的系统。

• SMS和CSMS应考虑组织因素，以改善HAD车辆相关产品的功能安全文化和网络安全文化。

• 组织在开发HAD系统时应确保SMS和CSMS的持续改进。

特定的接口要求集有助于减少误解、识别开发差距，并帮助识别支持系统持续开发以及透明度的交叉区域。SMS和CSMS之间的通信以及不同域的交互对于确保HAD系统的安全性和网络安全至关重要，同时使该过程对开发人员透明。安全生命周期管理与网络安全管理生命周期一起，需要对HAD系统采取持续改进方法。最近对标准的更新强调需要关注安全管理和网络安全管理，但最佳实践对于确保安全和网络安全至关重要。

4.接口方法的实现

关于接口，本章重点是将已经为自动驾驶汽车提供指南和建议的法规和标准联系起来。例如，UL4600及其声明以及其他道路车辆标准的证据（包括ISO 26262和ISO/SAE 21434）已接受调查。本文旨在探索可用于演示安全档案和安全保证的开发和支持论据的集成部分。

4.1 管理流程调整

HAD系统需要独特的功能安全和网络安全管理流程，因为人类监督和环境考虑增加了管理的复杂性。然而，已经为自动驾驶车辆提供了一套规范。UL4600标准为构建HAD车辆的安全档案/安全保证档案提供了指导，考虑了可靠性、通信、验证和确认(V&V)、工具、生命周期、评估和性能指标等关键词。UL4600提供了方法选择和技术指南，支持形成和评估全自动车辆的安全论证，但没有提供详细的实施过程。图2说明了考虑自动驾驶车辆安全档案评估的交互方面，即UL4600。图2显示了ISO 26262和ISO/SAE 21434等当前标准的适应情况以及它们通过活动（例如HARA、TARA）分布的交互方面。

图2. ISO 26262和ISO 21434标准与UL4600的相互作用

表1列出了与其他标准和UL 4600规范（声明）的证据的映射。基于FuSa和CS方面的知识和专业知识，已经通过审查过程对证据和UL4600规范进行了绘制和确认。

表1. UL4600与ISO 26262证据的映射（部分完成）

在表1中，唯一ID号代表UL4600规范的位置，证据包含在可用标准和专家判断中。界面管理流程的理念是维护SMS和CSMS主题的系统流程，以简化和减少管理步骤，从而有效地达到所需的安全级别。这就需要对安全和CS指南有持续的认知，并对主题划分（包括5项互动活动）达成共识。请注意，CS与数据保护不同，UL4600规定了评估自主产品的安全原则和流程，因此它是补充性的，与其他标准不同。

为了确保自动驾驶系统的安全性，需要在危害识别和风险缓解方面定义ODD以及系统的安全状态，并在UL4600中将其视为自动驾驶车辆安全档案评估的一部分。通过策略和证据进行安全论证，通过专门定制UL4600，以灵活的设计和方法或技术确保特定系统的安全性和CS。对于自动驾驶车辆，传统的安全方法可能需要改变，这可以通过使用当前技术和方法标准检查UL4600来感知。然而，为了指示管理体系（SMS和CSMS）的分配，与ISO 26262、ISO 21448和ISO/SAE 21434等标准相关的证据如表2所示。

表2.SMS和CSMS与证据的接口（仅印象）

5.通讯接口适配

SMS旨在控制并提供有关各方责任和问责的组织结构图。同样的情况也发生在CSMS中，其中包括组织内的结构化角色分配。仅查看一个管理系统的一张组织结构图，即可清楚地定义通信流程。图3试图展现角色、责任和职责的前景，包括与职位以及订单和文档、流程的方向相关的沟通。例如，安全审查是按一定时间间隔进行的，并且直接联系负责的主管人员，仅用于快速和必要的行动。因此，建议在功能安全服务和网络安全服务之间实现直接通信接口。因此，不会丢失任何有效信息。这个新接口是SMS和CSMS之间通信接口的关键思想，因此用绿色、粗体、双面箭头标记，表示信息是双向传输的（参见图3）。

给出的示例基于国际民航组织安全管理手册(参考资料1，关注牛喀网公众号，后台咨询下载)中拟议的问责和沟通图表。对HAD SMS和相应的CSMS进行了调整。定义的每个角色都意识到安全和网络安全之间的差异和重叠。因此，功能安全和网络安全相关主题应相互并行协调。为了更加透明，车辆相关的安全信息路径用双面红色箭头标记，CS信息用双面蓝色箭头标记。根据给定的通信路径，系统中的每个角色都连接到服务办公室，服务办公室收集和分发所有信息。流向车辆相关区域和行动组的信息流是恒定的，如带方向的连续黑线所示。带方向的黑色虚线表示根据情况频繁交换。

图3. 通信和信息流程图

为了提供可靠且透明的通信，应指定接口要求。ISO/SAE 21434等通用标准已经暗示应确定相关和/或相互作用的学科。此外，应该建立和维护沟通渠道，以确定是否包含在现有流程中，并协调与计算机科学工程等相关学科的信息交换。结合表3至表4中的第1部分至第3部分的界面模板提供了如何管理SMS和CSMS之间的通信的示例。

表3. SMS和CSMS的示例性交互模板-第1部分

表3显示了模板的第一部分（part 1），其中包含与管理相关的交互工作产品，例如具有唯一ID的“管理交互产品”，包括“MIP G1”和“MIP C1”，分为两个阶段：一般和交互概念。表3列出了文档参考名称和共享平台等其他交互相关信息，增强了界面管理系统。表4表示可以通过引入SMS和CSMS产品的简单角色和职责矩阵（RASI图表：R-Responsible、A-Accountable、S-Support、IInformation）来完成的任务和职责分配。

由于该模板包含交互概念、相关文档、共享平台和负责联系人等信息，因此它给出了如何管理SMS和CSMS界面的示例。高度自动驾驶系统不仅考虑通用汽车安全标准，还考虑信息安全参考和标准，通过SMS和CSMS管理责任和证据。该模板显示了为了安全可靠的车辆操作而应交换的最重要的信息。大多数情况下，管理交互产品基于组织流程、标准和管理结构。因此，它可以在整个产品生命周期中进行调整和扩展，以管理风险并确保独立性和置信度以及功能安全和网络安全论证。

表4. SMS和CSMS的示例性交互模板-第2部分和第3部分

人为因素在HAD车辆开发中的影响在人机界面、通信、产品开发和管理系统方面至关重要。组织管理因素对人为错误的发生有影响。然而，需要传播组织知识来认识、理解和克服与管理相关的挑战并减少人为错误。最终，可以根据吸取的教训、最佳实践和经验确定一些可适用于HAD车辆的功能安全和网络安全措施。由于沟通失效、有限的知识和专业知识、文化多样性、脆弱性和个人的心态，可能会出现人为错误。在上述因素中，本文考虑了与持续改进车辆安全性能有关的人为组织因素，包括人类活动，因为人类有可能造成错误，如本章中的通信路径和RASI图所示 。

6.结论

应保证从具有CS利益的安全主题到CSMS的沟通，反之亦然。此外，本文还从反馈、顺序和集成功能方面区分了管理活动，以支持HAD系统运行的整体功能安全和网络安全，以及作为组织管理问题的可选交换。

在研究过程中，我们认识到HAD车辆应用新技术需要扩展标准和法规的必要性。因此，差距分析被用作定义管理接口需求的基础。提出了一组管理接口要求作为所提议的集成方法的结果。此外，本文还介绍了标准和法规在管理系统生命周期方面的相互作用。

此外，自动驾驶汽车的可用功能安全和网络安全规范与证据之间的映射被证明可以减少误解并以系统的方式找到组织和发展差距。可以使用和调整指定的要求来管理角色、职责、工具和沟通渠道。展示了示例SMS和CSMS交互模板，用于管理具有证据的通信接口。作为进一步的工作，可以根据本研究以及确保HAD车辆安全所需的新的内部组织要求（技术开发水平）来评估管理因素。例如，根据现实操作经验识别安全暴露和安全漏洞的输入可以帮助改进网络安全解决方案的设计。

详询“牛小喀”微信：NewCarRen

详询“牛小喀”微信：NewCarRen

作者：牛喀网专栏作者
牛喀网文章，未经授权不得转载！