汽車芯片從業者，必看

公眾號記得加星標??，第一時間看推送不會錯過。

日前，博世發布了一篇名為《An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors》的論文。

論文中，博世表示，汽車行業在確保復雜半導體器件的功能安全 (FuSa：functional safety) 和網絡安全方面面臨著日益嚴峻的挑戰。傳統的失效模式及影響分析 (FMEA：Failure Mode and Effects Analysis) 主要關注與安全相關的失效模式，往往忽略了與網絡安全威脅的協同脆弱性和共同后果。

本文提出了一種集成失效模式及威脅模式及影響分析 (FTMEA) 框架，該框架系統地對功能安全與網絡安全進行聯合分析。該框架的核心是引入了嚴格定義的跨域相關因子 (CDCF： Cross-Domain Correlation Factors )，用于量化安全相關失效和網絡安全威脅之間的相互依賴性和相互影響。這些因子源于結構化的專家知識、靜態結構分析指標（例如，可控性/可觀測性），并通過故障/攻擊注入活動的經驗數據進行驗證，從而為其數值提供了可驗證和可復現的基礎。

我們提出了一種改進的風險優先級數 (RPN：Risk Priority Number) 計算方法，該方法系統地整合了這些相關因子，從而能夠更準確、更透明地對跨越這兩個領域的風險進行優先級排序。

本文通過對汽車專用集成電路 (ASIC) 配置寄存器的詳細案例研究，展示了 FTMEA 的實際應用。我們提供了明確的映射表、量化的 CDCF 值，并與基準 FMEA/TARA（威脅分析與風險評估）進行了比較分析，闡明了該集成方法如何揭示先前被掩蓋的跨領域風險，提高緩解策略的有效性，并為導出的相關性值提供了清晰的量化依據。

該框架為關鍵汽車系統的風險評估提供了一種統一、可追溯的方法，從而克服了傳統分析的局限性，并促進了優化的跨學科開發。

介紹

背景和問題陳述

現代汽車系統（尤其是半導體器件）日益復雜且相互關聯，這迫切需要可靠性工程的范式轉變。功能安全（FuSa）由 ISO 26262 和 ISO 21448 等標準規范，確保系統免受因硬件故障或功能不足造成的不合理風險。與此同時，網絡安全由 ISO/SAE 21434 標準正式確立。

安全防護旨在防范惡意攻擊和系統入侵。歷史上，這些領域通常采用各自獨立的分析方法，例如安全領域采用失效模式及影響分析 (FMEA)，安全領域采用各種威脅分析。然而，安全關鍵功能與網絡安全漏洞之間的重疊日益增多——網絡攻擊可能直接危及安全，安全機制也可能無意中引入安全漏洞——因此需要一種整體性的方法。傳統的 FMEA 雖然對硬件故障模式有效，但卻難以系統地捕捉和量化這些復雜的跨領域依賴關系。缺乏統一的框架會導致分析碎片化、風險優先級排序不佳，并可能忽略某些漏洞，從而增加網絡威脅引發突發安全隱患的可能性。

最新技術及已發現的差距

雖然最近的標準和指南（例如，ISO/TS 5083:2025，IEC TR 63069 ，SAE J3061）盡管承認功能安全與網絡安全之間的相互作用，但它們往往缺乏規范的、定量的綜合分析方法。現有的聯合分析方法通常分為兩類：

1、定性情景分析方法，以及

2、FMEA 的擴展（例如，FMVEA ，FVMEARA ）引入了安全方面，但往往難以嚴格量化相互依賴性并驗證其增強的風險指標。

在以下方面仍然存在顯著差距：

1、提供一種量化、可追溯且經實證驗證的機制，用于模擬功能故障與網絡安全威脅之間的相關性和相互影響。

2、開發一種數學方法，以克服定義新風險參數時的歧義。

3、建立一套系統的驗證策略，包括與既定基線進行比較分析，并對得出的數值進行透明的論證。

主要貢獻

本文針對這些關鍵差距，提出了一種新型的集成故障和威脅模式及影響分析（FTMEA）框架，該框架在幾個關鍵方面顯著提升了現有技術水平：

1、量化跨域關聯因子 (CDCF)：我們引入了一套全新的 CDCF，用于嚴格量化功能安全失效模式 (FM) 和網絡安全威脅模式 (TM) 之間的相互影響和共同后果。這些因子是通過一種透明的方法得出的，該方法結合了結構化的專家意見征詢、靜態結構分析（使用諸如影響錐和從門級網表導出的可控性/可觀測性等指標），并針對經驗故障/攻擊注入活動數據進行了驗證。這為它們的數值提供了可驗證的基礎，直接解決了之前關于模糊性和缺乏合理性的擔憂。

2、基于重標度的數學穩健 RPN 增強：我們提出了一種改進的風險優先級數 (RPN) 計算方法，該方法系統地將這些 CDCF 整合到發生率 (O) 和檢測率 (D) 評級中。這種增強的 RPN 能夠提供更準確、可重復且合理的風險優先級排序。重要的是，我們應用了一種系統的重標度方法，將修正后的 O 和 D 值映射回離散的 1-10 FMEA 序數尺度。，確保實際應用性，同時克服先前在縮放、加性結構和任意截斷方面的模糊性。

3、綜合分析的操作方法：該框架提供了清晰的操作定義和步驟，用于在整個分析生命周期中整合安全、網絡安全和網絡安全方面的考慮因素，從危害識別到緩解策略評估。

4、實證驗證案例研究：我們通過對汽車專用集成電路 (ASIC) 配置寄存器的詳細案例研究來演示 FTMEA 框架。該驗證包括明確的映射表、定量 CDCF 值及其推導、與基準 FMEA/TARA 的全面對比分析，以及對風險優先級排序和緩解措施有效性的探討。這直接解決了缺乏驗證和可重復性的問題。

5、改進跨學科協作：FTMEA框架通過提供通用的量化語言和結構化方法，從根本上優化了安全團隊和網絡安全團隊之間的協作，從而打造更具彈性和安全性的設計。這滿足了對清晰區分和經驗證的改進方法的需求，使其優于現有方法。

最新技術：

集成功能安全與網絡安全分析

標準與交互

功能安全和網絡安全旨在降低系統風險，但針對的是不同的危險。功能安全受 ISO 26262 等標準的約束，旨在解決由系統漏洞引起的非故意風險，以確保不會因電氣/電子 (E/E) 系統故障行為而導致不合理的風險。此外，ISO 21448 還針對電子電氣系統、基于人工智能的算法、人機界面以及環境或人為因素的功能不足所導致的危險事件，旨在確保不會因預期功能的性能限制或其實現而造成不合理的風險。同樣，網絡安全在汽車行業也日益受到重視，尤其是在聯網和自動駕駛汽車出現之后，這促使人們引入了諸如 ISO/SAE 21434 之類的標準來抵御外部威脅。安全與保障往往存在沖突，因此需要制定優先排序策略。

成功取決于目標的協調一致、確保一致性以及解決 ISO 26262 中強調的目標沖突。然而，ISO/SAE 21434 缺乏對安全接口的關注，凸顯了在設計階段早期同步安全性和安保生命周期的必要性。例如，安全系統側重于可預測的安全行為，而安保系統則應具有動態性和適應性，以防止外部入侵。確保安全關鍵系統在不損害其功能、安全性和安全性（FuSa）的前提下保持安全，會帶來復雜的設計和實現問題。挑戰不僅在于認識到潛在的權衡取舍，還在于創建一個連貫的開發框架，在不增加系統復雜性或開發成本的情況下協調這兩個方面。集成安全性和安保分析的必要性也得到了廣泛認可，相關標準也日益重視FuSa和網絡安全之間的交互，并采用融合這兩個領域的方法：

1、IEC TR 63069 安全措施的實施應與安保措施的實施相兼容。因此，安全對策應有效防止或防范威脅對安全相關系統及其已實施的安全功能造成的不利影響，反之亦然。

2、SAE J3061 ，ISO/TR 4804 支持安全與網絡安全之間的互動，并描述處理這種重疊的方法和實踐。

3、ISO 24089 和聯合國第156號條例解決軟件更新中的安全問題。

4、ANSI/UL 4600 解決自動駕駛車輛的安全評估問題，以系統級安全案例有效性的安全性能指標來補充其他標準。

5、聯合國第155號條例涉及車輛在網絡安全和網絡安全管理系統方面的審批，包括風險評估知識。

雖然這些標準普遍承認必須同時考慮功能安全和網絡安全，但它們主要提供定性指導或制定高層次的要求。它們通常缺乏規范的、定量的方法來系統地評估故障和威脅之間的相互影響、促成關系和共同后果。這種缺失往往導致實踐中出現主觀解讀，阻礙了系統且可重復的綜合風險評估。

方法與技術

從宏觀層面來看，安全與網絡安全之間的關系可歸納為四個標準：i) 相互關系，ii) 條件關系，iii) 獨立關系，iv) 對立關系。這些標準對安全與網絡安全分析具有重要影響。本文提出的FTMEA方法側重于二者之間的相互關系。目前已有多種方法可用于分析功能安全與網絡安全之間的交互作用，這些方法已在各類出版物和標準中有所闡述。表1概述了可用于安全分析的多種方法和技術，并指出某些方法需要擴展才能有效地進行協同分析，同時評估了它們在量化和可復現的集成分析方面的局限性。

盡管各種失效模式及影響分析（FTMEA）方法已被廣泛采用，但在功能安全（FuSa）和網絡安全風險的定量聯合分析方面仍然存在顯著差距。現有方法往往難以提供嚴格定義、經經驗或分析論證且可定量驗證的機制來模擬功能失效與網絡安全威脅之間錯綜復雜的雙向影響。這導致對“共同影響”、“相互影響”和“優先級排序”的解讀帶有主觀性，從而阻礙了結果的可重復性和穩健決策的制定。我們提出的FTMEA框架通過引入量化的相關因子和改進的風險優先數（RPN）計算方法，直接針對這一關鍵差距，解決了上述局限性。

建議方法

協分析概念，包括相關因素

為了說明所提出的概念，圖1給出了一個簡單的流程圖。FTMEA 流程結構如下（圖1）：

1、啟動風險分析：明確系統、系統邊界以及受安全保障要求約束的關鍵功能。這包括識別關鍵資產和潛在影響情景。

2、故障模式 (FM：Failure Mode) 和威脅模式 (TM：Threat Mode) 分析：識別被分析系統或組件的所有相關故障模式（例如，硬件故障、軟件缺陷）和威脅模式（例如，網絡攻擊、數據泄露）。建立初始基線、發生率 (O) 和檢測率 (D)。評估嚴重性 (S) 時，需考慮到網絡安全威脅可能影響安全性。

3、共同影響識別：針對每個已識別的FM和TM，分析其潛在的不良影響。關鍵步驟是識別“共同影響”——即由功能故障或網絡安全威脅導致的不良后果。這構成了跨域交互的基礎。

4、跨域相關因子（CDCF）的推導：這是我們框架的核心創新點。CDCF 定量評估了 FM、TM 及其各自應對措施之間的相互依賴性（圖1中深藍色部分）。該推導過程涉及一個系統化的過程，詳見下文。

5、計算風險優先級數和重新標度：通過將導出的累積分布函數 (CDCF) 納入發生率 (O) 和檢測率 (D) 評級，對傳統的風險優先級數 (RPN) 進行了改進。這為綜合風險生成了數學上更穩健且更具代表性的 RPN，詳見下文。重要的是，隨后應用系統性的重新標度程序，將這些連續的計算值映射回離散的 1-10 FMEA 序數尺度。

6、風險優先級排序：根據修正后的風險優先數（RPN）對已識別的風險進行優先級排序。基于此優先級排序，制定并實施綜合緩解策略，有效解決安全保障問題，并可酌情利用跨領域應對措施。

跨域相關因子（CDCF）的量化

相關矩陣是一個表格，顯示了故障模式和威脅之間的相關系數，如圖2所示。通過這種方式，可以總結并嘗試量化安全性和網絡安全之間的共同影響。每個單元格的值 CDCF 可以假定介于 0（無相關性）和 1（完全相關）之間。

從網絡安全角度出發，預防和檢測措施也需要考慮，以評估這些措施是否能夠保障安全。在這種情況下，安全預防和檢測措施可能對安全產生積極或消極的影響，反之亦然。這種現象可以使用非對稱相關矩陣進行建模，該矩陣全面考慮所有措施。例如，一項安全預防措施可以對許多安全機制的檢測產生積極影響。因此，相關矩陣中的所有措施都應一起評估。每個單元格Cij矩陣的 (CDCF) 值可以假定在 1（正面影響）到 -1（負面影響）之間。從方法論的角度來看，這種分析可以在不同的抽象層次上進行。例如，在設計的頂層，考慮頂層指標，或者按部件/子部件進行分析以評估局部效應。

計算 RPN

傳統的風險優先級數 (RPN) 由公式 RPN=O×S×D 給出，其中 O 代表發生概率，S 代表嚴重程度，D 代表可檢測性。所有用于計算 RPN 的值均設置在 1-10 的范圍內。新的 RPN（如公式 ( 3 ) 所示）是基于當前最先進的技術計算得出的 。區別在于，發生率和檢測率的單個值在計算時考慮了正面和負面影響。Cij（參見先問）根據公式（1）和（2）與措施種類有關，其中 n 是可以影響檢測或預防對策的措施的數量。

• 預防措施：影響故障/威脅模式發生的初步評估；

• 檢測措施：影響故障/威脅模式檢測的初步評估；

方程 ( 1 ) 和 ( 2 )中的 1 和 10 的限制是為了避免偏離 RPN 的最新技術，當一項措施對其他領域產生累積效應時可能會發生這種情況（例如，安全預防措施對許多安全機制產生積極影響）。

事件發生的概率可由故障概率和攻擊概率共同推導得出。風險評估可從網絡安全角度考慮其對安全的影響。故障概率（基于 ISO 26262 第 11 部分）可映射到攻擊潛力或攻擊可行性評級（基于 ISO 21434），并據此評估風險影響。風險值可基于統一的風險矩陣計算。概率評級與安全影響之間的映射關系如圖3所示。

跨域相關因子 (CDCF) 的測量

評估安全和計算機科學領域預防和檢測措施之間的共同效果和相互影響通常包括通過仿真觀察集成電路設計：

• 功能安全：可以進行注入故障的傳播，以研究對策的效果和有效性；

• 網絡安全：可以模擬漏洞或滲透測試來研究電路的彈性；

這些技術的結合可以用來理解相關性。然而，為了減少工作量和耗時的模擬，結構分析和/或桑迪亞可控性/可觀測性分析程序 (SCOAP：Sandia Controllability/Observability Analysis Program) 技術可以使用。例如：

共同效應：可以從出現故障和威脅效應的輸出端出發，構建一個超大影響錐（COI）。安全性和可靠性的區別在于，網絡攻擊中可控的邏輯可能與影響 COI 輸出端的隨機故障并不完全一致（圖4）。COI 內部邏輯與攻擊中可控邏輯的重疊程度決定了相關系數。

預防影響：SCOAP 技術可用于計算電路在攻擊輸入下的可控性以及相應的預防對策。可控性可以確定類似于隨機模式抗性（RP 抗性）的攻擊抵抗能力。同時，可以根據安全技術對預防技術所涉及的邏輯進行評估。安全預防措施所涉及的范圍可以通過其與未采取措施的電路相比的可控性差異來衡量。例如，基于密鑰的鎖定和解鎖機制可以防止對寄存器的寫入操作，從而改變從攻擊輸入到威脅生效點的整體可控性（圖5）。

檢測影響：與常見的效果評估類似，可以針對檢測點進行結構分析（圖6）。此外，從結構角度來看，安全機制的警報可以觀察部分安全邏輯，并有可能分析其對安全措施的負面影響。

案例研究：汽車專用集成電路配置寄存器

本文提出的故障檢測與分析方法（FTMEA）對一款專為汽車傳感器模塊設計的關鍵專用集成電路（ASIC）進行了分析。該ASIC負責將傳感器數據傳輸至電子控制單元（ECU）（圖7）。ASIC的關鍵組件是專用配置寄存器（Conf.register）。該寄存器存儲著直接影響傳感器輸出精度和完整性的關鍵校準參數（例如增益、偏移、濾波系數）。任何未經授權或錯誤修改Conf.register都可能導致傳感器數據錯誤，進而造成嚴重的安全隱患（例如，導致誤觸發剎車或ADAS系統中的物體檢測不準確）。

圖8以配置寄存器為分析重點，展示了對傳感器產生相同總體影響的故障和威脅模式。

所有提出的對策都與檢測相關，而安全措施則作為一種預防機制，因此發生率為 1。檢測相關矩陣如圖9所示。具體而言，如果發生多位錯誤，奇偶校驗可以統計地檢測到“意外寫入操作”。鎖定和解鎖機制的使用可以完全檢測到這種情況，因此針對 FM2 的措施得到了充分覆蓋，因為它改變了寄存器的可控性。即使在 FM3 的情況下，威脅對策也可以部分檢測到用于處理寄存器寫入操作的邏輯中的問題。從威脅對策警報的可觀測性度量來看，寫入接口是可見的。所有措施均使用綜合工具和專有腳本在門級網表上執行，以驗證 CDCF 因子。圖9中的檢測值是使用公式 ( 2 ) 計算的。

圖10展示了 FTMEA 框架的影響和價值。基于 ( 3 ) 的 RPN 計算使用了改進的檢測 (Dcorr)圖10中所示的各項指標（CDCF）值，結合了圖 9 中導出的 CDCF ，反映了安全防御和網絡安全對策的綜合效果。圖10的最后一列突出顯示了 RPN 百分比的改進。這些改進使得團隊能夠減少工作量，并在設計中集成更多措施。

圖10中的對比分析清楚地表明了 FTMEA 框架的價值和影響：

1、揭示被高估的風險：FM2 和 FM3 的失敗案例。

2、量化協同對策效益：檢測的修正對 FM2 和 FM3 產生了效益。

3、改進資源優先級排序：對于不受協同效應影響的失敗案例，可以給予適當的關注，以便評估其他措施。

4、CDCF 方法論：RPN 的系統性變化可直接追溯并歸因于從結構分析或模擬中得出的特定 CDCF 值，這為我們提出的方法論的有效性和實用性提供了強有力的定量證據。這些變化合乎邏輯、前后一致，并且可以通過潛在的相關性來解釋，從而驗證了該框架模擬現實世界交互的能力。

總之，FTMEA框架及其量化的CDCF（變更依賴性特征函數）提供了一個更全面、更準確、更具可操作性的風險概覽。它使設計團隊能夠識別并優先考慮真正綜合的風險，從而超越定性評估，實現數據驅動的決策，進而優化資源分配，以設計出具有韌性和安全保障的汽車系統。

結論

本文提出了一種新型的集成故障與威脅緩解分析（FTMEA）框架，該框架系統地解決了復雜汽車半導體器件中功能安全和網絡安全相互交織的風險。我們的核心貢獻在于對跨域相關因子（CDCF）進行了嚴格的定義、系統推導和實證量化。這些CDCF對功能故障模式、網絡安全威脅模式及其各自應對措施之間的相互影響進行建模，超越了定性描述，獲得了可驗證的數值。

通過將這些CDCF集成到風險優先級數（RPN）計算的數學改進中，并采用透明的重標度程序，我們開發了一種可復現、可追溯且經實證驗證的整體風險評估方法。一個涉及汽車專用集成電路（ASIC）配置寄存器的詳細案例研究，展示了FTMEA的實際應用，并提供了明確的數據和CDCF推導。這一統一的分析框架促進了跨學科合作，并有助于開發更具彈性的半導體設計。

因此，它既能增強對安全標準（例如 ISO 26262）的遵守，又能提高與網絡安全指南（例如 ISO/SAE 21434）的一致性。這種整體方法有助于開發人員在系統開發過程中追蹤貫穿頂層和底層階段的復雜信息和故障流。它還通過提供一種結構化的方式來管理相互依賴關系，并確保功能安全和網絡安全要求之間的一致性，從而支持跨不同學科和組織的分布式開發。雖然所提出的 FTMEA 框架取得了顯著進步，但仍需承認其存在一些局限性：推導高精度的 CDCF 需要大量投入，包括專家咨詢、復雜的結構分析工具以及專門的故障/攻擊注入活動，這可能會消耗大量資源，尤其是在早期設計階段。

未來的工作將致力于將所提出的方法應用于一個復雜的用例，以改進和比較系數的度量（本文基于結構電路分析），并與動態仿真結果進行比較，從而評估潛在的差距。此外，還將研究如何應用機器學習和人工智能技術來部分自動化相關因子的推導。

（本文封面由AI生成）

*免責聲明：本文由作者原創。文章內容系作者個人觀點，半導體行業觀察轉載僅為了傳達一種不同的觀點，不代表半導體行業觀察對該觀點贊同或支持，如果有任何異議，歡迎聯系半導體行業觀察。

今天是《半導體行業觀察》為您分享的第4351內容，歡迎關注。

加星標??第一時間看推送

求推薦