隨著汽車技術的發展，功能安全和信息安全也逐步成為了汽車研發的熱點，歐洲汽車安全法規，同樣是安全，那它們到底有哪些區別呢？是否可以完美的融合在系統開發過程中？筆者有幸于此撰文描述，期待拋磚引玉，能夠引出更為深刻的行業探討。1 發展歷史不同1.1 功能安全的歷史功能安全肇始于20世紀70年代美國阿波羅計劃后電子工業對于非合理風險的管控，同時因切爾諾貝利核泄漏而加強的核工業安全，可看到如下Farmer曲線：

Note:圖片源至BING搜索Farmer曲線表明，人對風險有一條紅色接受曲線，橫軸是嚴重度，縱軸是風險概率，當事件點（嚴重度，發生概率）在曲線上時，人是臨界風險接受狀態，而當事件點（嚴重度，發生概率）高于曲線時，人是不能接受該事件，如果事件點低于該曲線，則人可以接受該事件。沿著該思路，IEEE協會將其運用在電子工業上，于2000年代生成第一版IEC61508，并定義了安全完整性等級（Safety Integrity Level），而隨后的汽車電子工業從2008年開始致力于IEC61508在汽車上的運用，并最終于2011年，完成了ISO26262的正式誕生。ISO26262的誕生，其ASIL矩陣如下，我們稍微改變組合，數軸變成E和C的組合，而橫向為S值，此處我們可以得到Farmer曲線在紅色部分。紅色曲線上方的ASIL級別在ASILA或以上，而紅色曲線下方的ASIL級別是QM，非安全相關。

汽車功能安全在Farmer曲線定義之后，其技術上有兩個假設前提：- 人不是完美的，是肯定會犯錯，所以存在系統性失效- 物質本身不是完美的，所以存在硬件隨機性失效以上兩個前提也是汽車功能安全所需要考慮的兩大失效類型。1.2 汽車預期功能安全的歷史伴隨著汽車智能化浪潮，隨著SAE在2016年對智能汽車分級以來，汽車的預期功能安全隨之誕生，這個概念源之于- 電子電器系統自身性能缺陷- 電子電器系統自身功能局限- 或- 人的非合理誤用而引起的非合理風險，在正式發布的ISO PAS 21448版本中，其本身主要將風險劃分為四個區域：

1.3 信息安全的歷史信息安全本身存在的有兩個前提：-世界上存在有攻擊資產的人：系統外或資產外肯定存在外部威脅和攻擊（可以有形和無形）-資產保護體系不能100%防御：資產所在系統內在防控設計體系不完美上述兩個假定是整個信息安全的前提，而信息安全的歷史可以追溯到公元前古羅馬愷撒大帝時期，彼時出現的愷撒密碼是一種替換加密的技術，明文中的所有字母都在字母表上向后（或向前）按照一個固定數目進行偏移后被替換成密文。例如，當偏移量是3的時候，所有的字母A將被替換成D，B變成E，以此類推。

在上述文章發布25年后，1977年美國國家標準局首次公布了數據加密標準DES用于非軍事的國家機關，在當時這一體制是牢不可破的，1984年，美國總統頒布法令，NSA每隔5年來重新評定DES安全性。1998年，NSA正式放棄DESS加密算法，而征求AES加密算法。與此同時，在70年代中期Diff-Hellman率先提出公鑰密碼的構想，之后Ron Rivest、Adishamirh和LenAdleman 3人開創了RSA算法為公鑰體系打下堅實基礎。在這之后幾十年，以RSA為起點，密碼學已經不僅僅是通訊加密的研究，也逐步擴展到數據完整性、數據簽名等研究，同時數據安全也越來越成為信息安全的核心內容。

時間進入現代，人們對信息安全的需求不僅僅是密碼信息保護了。1992年8月Ronald L.Rivest向IEIF提交了一份重要文件，其中說明了信息數字簽名的看法，并且提出了MD5，此后MD5廣泛應用于文件完整性檢查諸如下載文件的完整性檢查等，然而隨著碰撞技巧提升，2004年王小云證明MD5數字簽名算法可以產生碰撞。而2007年，Marc Stevens等人進一步指出通過偽造軟件簽名，可重復性攻擊MD5算法。從而MD5-128分組已被攻破，此時NIST開始公布SHA的算法，使得分組達到160位最小。現代計算機網絡安全已經逐步形成了數字簽名、網絡防欺騙、訪問控制等多種安全體制和安全服務。由于IP正要過度到IPV6，因而安全問題還將不斷出現在人們的面前，人們會越來越明白計算機很脆弱。近年來，隨著時間推移，與計算機網絡發展相對應的，汽車行業網聯化趨勢愈演愈烈后，汽車信息安全的需求和框架標準也呼之欲出。汽車信息安全的元年顯然是2015年吉普自由光的事件，自此汽車信息安全也逐步出現在汽車研發人員的視野里面，但目前依然處于起步階段。我們可以從標準角度來評估當前的發展水平。

不僅對廣大消費者、企業等汽車的用戶造成了很多的不便利,也使得社會對車輛功能安全問題越發關注。為了不斷提升傳統汽車、新能源汽車的車輛功能安全管理工作,本文結合國家標準GB/T

其真正含義是，當某種威脅的攻擊和影響的組合超過我們所定義的CAL等級之后，信息安全人員需要采取防御措施或風險轉移、分享等手段降低風險閾值，從而達到威脅的攻擊影響組合低于某CAL等級。2 技術要點不同汽車功能安全及信息安全的開發要點對比關于汽車功能安全與信息安全，在 J3061里面其實有詳細的描述，盡管框架基本相同，但是關鍵的技術要點上，還是有所不同，為了方便大家理解，我們整理其中要點作為對比，具體表格內容如下：

主動安全配置是指依靠動力性能和制動性能為避免交通事故發生而主動采取的裝置。主動安全配置主要包括：（1）ABS（防抱死制動系統）：最重要的功能是能夠盡量保持制動時汽車的方向穩定性。（2）EBD：在汽車制動的瞬間，高速計算出。

3 案例分析：激光雷達功能安全分析：ISO 26262安全目標：防止激光雷達錯誤輸出至下游模塊安全ASIL：BFTTI：10s安全狀態：一旦激光雷達出現異常輸出，則直接進入待機模式，并進行輸出值與機器學習典型值比較，如果與典型性類似，則在之后恢復激光雷達功能

預期功能安全分析：ISO 21448造成激光雷達異常輸出的原因可能有小目標1：環境因素小目標2：器件可靠性因素小目標3:安全規格書不足小目標4：性能不足或功能缺陷小目標5：信息安全類攻擊

4 最后的總結1. 功能安全與信息安全技術視角不同，前者是為了保障功能按照設計要求正常進行，盡量減少因系統設計問題導致的功能失效，同時也盡可能的保證功能按照預期功能實現。。2. 信息安全主要防止外界攻擊更注重于在外界攻擊情況下，可以抵御外界攻擊，使得系統正常運行，不產生財產損失，同時不會對個人的隱私和安全造成一定的影響。3. 成熟度不同，汽車功能安全的發揮已經有數十年的積累，而汽車信息安全隨著汽車技術發展，如今依然處于學術研究和白帽研究攻擊的階段。

1、主動安全 主動安全，就是盡量自如的操縱控制汽車。無論是直線上的制動與加速還是左右打方向都應該盡量平穩，不至于偏離既定的行進路線，而且不影響司機的視野與舒適性。這樣的汽車，當然就有著比較高的避免事故能力，猶其在。