基于改进系统过程理论与贝叶斯网络的智能网联汽车联合风险量化评估方法
智能化和网联化的快速发展为汽车行业带来了前所未有的变革,但同时也显著增加了汽车安全威胁的复杂性。一方面,智能化的发展,使得汽车的电子系统复杂性骤增,组件交互出现的“涌现”特性会引发安全事故与灾难。另一方面,网联化后,汽车不可避免地与外界环境因素交互,如交通路侧设备、云管理平台、物联网终端等,可能遭受的攻击路径和手段层出不穷。
鉴于这一复杂的安全挑战,可靠性工程领域的顶级期刊《Reliability Engineering & System Safety》近期在线发表了一项前沿研究成果。该成果深入剖析了智能化与网联化双重发展趋势下汽车所面临的安全威胁,揭示了这些威胁的新面貌和复杂性,为智能网联汽车的风险评估提供了重要的参考和依据。
一、研究内容:
针对系统内部组件交互、外部环境复杂多变导致风险难以评估的挑战,本研究提出了基于贝叶斯网络与系统过程理论的联合威胁评估方法,构建了包含通用因果因素、STRIDE威胁(仿冒、篡改、抵赖、信息泄露、拒绝服务与权限提升)、功能安全与网络安全需求和缓解措施组成的评估要素库,设计了基于组件交互映射关系的贝叶斯网络,通过风险控制措施优先排序、敏感性分析、成本效益分析手段,完成了系统的威胁量化评估。以紫金山实验室开源实车关键部件—自动紧急制动系统为评估目标,分析了针对相关组件制动控制模块和传感器的74种威胁,识别了15类损失场景,并针对性地制定了14种风险控制措施。随后,提供了定量的威胁评估视图。对比工作表明,团队研究在评估结果、评估步骤和评估过程方面较现有工作具有明显的优势。
二、技术框架:
图1 基于改进STPA-safesec方法与贝叶斯网络的联合威胁分析框架
图1提出的联合威胁评估框架中,融合了改进的STPA-safesec方法与贝叶斯网络,确保同时满足车辆功能安全标准ISO 26262和网络安全标准ISO/SAE 21434。该框架的执行流程如下:首先,执行基于改进STPA-safesec的危害分析,输出包括损失、系统级危险、功能安全与网络安全控制措施的缺失、因果情景以及安全约束或要求。随后,利用改进STPA-safesec的分析结果构建贝叶斯网络模型。在完成定性风险分析后,进一步进行定量风险分析,此过程主要依赖于专家判断数据和以往文献来填充贝叶斯网络的条件概率表(Conditional Probability Tables,CPTs)和先验概(Prior Probability,PP)。最终,利用构建的贝叶斯网络模型来推断系统的风险。
三、实验结果:
I.实验配置
为证明所提出方法的有效性,本研究面向真实开源测试车辆中的关键系统进行案例研究,如图2所示。开源车辆处于L3级自动驾驶阶段,依托远程通信模块(T-Box)与云端控制平台建立实时通信链路,实现远程监控与操控功能。该车辆设计上不配备车载单元(On-Board Unit,OBU),且不具备车与车、车与基础设施以及车与万物(Vehicle-to-Everything,V2X)的直接通信能力,聚焦于L3级自动驾驶技术的核心验证。
图 2 开源测试实车架构
图3 基于碰撞时间工作模式的的 AEB 系统
如图3所示,本研究选择了自动紧急制动(Autonomous Emergency Braking,AEB)系统进行分析,因为它在提高车辆和乘员安全方面起着至关重要的作用。该案例研究旨在展示所提出的方法如何定义(基于改进的STPA-safesec研究)和分析(基于贝叶斯网络计算)风险控制措施,以减轻由威胁和危害产生的系统级风险。研究采用GeNie软件建立贝叶斯网络进行仿真。
II.实验假设
l 假设在事故发生前,驾驶员不干预AEB系统的操作,仅靠AEB系统做出判断;
l AEB能够检测到正面碰撞和侧面碰撞;
l 本研究将车辆驾驶场景定义为直线运动,车辆速度设置为每小时30英里。根据 美国汽车协会在2018年至2022年进行的研究和测试,表明AEB系统在以每小时30英里的速度进行评估时,可产生更理想的测试结果。
研究采用GeNie软件建立贝叶斯网络进行仿真。
III.基于改进STPA-safesec的AEB危害分析
图4 不安全控制行为、致因场景及风险缓解策略映射
采用微软威胁建模软件对AEB组件结构进行建模,并利用STRIDE模型来识别潜在的威胁和漏洞,得到了详尽的威胁描述、分类、攻击手段、源头、目标 以及缓解威胁的建议。在识别出威胁后,将对不适用的威胁进行过滤,并手动进行扩展分析,最终确定了74个有效威胁。在确定致因场景后,基于专家与工程师的专业知识和经验,设计了可能的风险控制措施来防止这些场景。图4显示了不安全的控制行动与致因场景和风险缓解措施之间的联系。
IV.基于贝叶斯网络的定性与定量分析
图 5 基于灵敏度分析识别贝叶斯网络中的危害视图
从图5可以看到,分析以H为目标节点的节点后,风险水平节点和损失节点变得无关。UCA-2、UCA-3、UCA-5和UCA-6变成暗红色,这意味着这些不安全的控制措施对给定的危险有至关重要的影响。RCM-1、RCM-2、RCM-8和RCM-11比其他RCM节点呈红色较轻,在降低系统危险方面具有重要意义。
图6 龙卷风图分析示例1:针对“危害”节点
图6显示,“RCM-1”是最敏感的节点,其次是“UCA- 3”和“UCA-2”。分析表明,最敏感参数(RCM-1)增加10%,可使危险后验概率 从0.26615增加到0.27340,增加约为2.61%。同样,UCA-3参数降低10%,可将后验危险概率从0.27301降低到0.26654,降低约为2.37%。
图7 不同系统风险下节点概率值偏差分布
图7中描述了损失、不安全控制行为和致使场景的偏差分布。总体而言,随着风险水平的增加,绝大多数节点的后验概率降低,这与预期一致。节点的先验与后验概率的差异可以被新证据视为影响程度。
V.对比方案实验评估
图 8 与已有方法在分析结果、分析步骤、分析过程的对比
图8展示了本研究较已有方法的优势:(1)充分捕捉潜在攻击者,易于实现;(2)自动化定量分析,支持威胁分析;(3)系统过程,深入全面。
四、未来研究展望:
评估结果的实践稳健性高度依赖于安全工程师与安全专家的专业素养与经验水平。因此,未来研究的一个潜在方向应聚焦于探索并纳入与专家个体能力差异相关的多维度因素,同时致力于开发或采用更为稳健的分析工具与方法,以期在提升风险评估客观性与精确度的同时,进一步缩小因主观性差异导致的评估偏差。
为提升风险评估的深度与广度,需要探索并构建适宜的数学模型,以期精准刻画潜在的随机功能失效模式及具有累积效应的网络攻击动态过程。通过对这些关键因素的系统性剖析,旨在构建一个全面的评估框架,以有效评估系统在不同情景下的性能表现与响应能力,从而为安全策略的制定与优化提供科学依据。
研究详情请见原文:
Quantitative risk assessment for connected automated Vehicles: Integrating improved STPA-SafeSec and Bayesian network
https://www.sciencedirect.com/science/article/abs/pii/S0951832024006008
