亚远景-从ISO 26262到ISO 21434：功能安全与网络安全的协同设计路径

发表时间：2026-04-23 作者：亚远景科技返回列表

从ISO 26262到ISO 21434，并非简单的线性过渡，而是构建智能网联汽车安全体系时，从“防故障”到“防攻击”的范式扩展与深度融合。两者共同构成了现代汽车安全的“双基石”，缺一不可。

一个高效的协同设计路径，旨在将功能安全（FuSa）与网络安全（CySec）从两个独立的开发流程，整合为一个统一、高效、互补的安全工程体系。

在传统汽车中，安全风险主要来自系统内部的随机硬件失效或系统性设计缺陷。ISO 26262通过严谨的流程来管理这些风险，确保系统在发生故障时能进入安全状态。

然而，随着汽车成为“轮子上的数据中心”，外部恶意攻击成为新的重大风险源。一个完全符合ISO 26262的制动系统，如果可以被黑客远程入侵并禁用，那么其功能安全设计就形同虚设。反之，一个网络安全固若金汤的系统，也可能因为一个随机的芯片故障而导致功能失效。

因此，协同设计的目标是：确保功能安全措施不会被网络攻击所利用或绕过，同时确保网络安全措施本身不会引入新的功能安全风险。

一个可行的协同路径可以分为管理、工程和技术三个层面。

这是协同的基础，旨在组织层面打破壁垒，建立统一的治理框架。

建立统一的沟通机制：在项目启动时，功能安全团队与网络安全团队必须建立并维持有效的沟通渠道。双方的安全计划需要在里程碑、交付物和职责上进行对齐。
整合生命周期模型：虽然ISO 26262和ISO 21434都覆盖了从概念到报废的全生命周期，但侧重点不同。协同路径要求将两个生命周期模型进行整合，形成一个统一的“安全生命周期”。可以以ISO 26262的V模型为骨架，将ISO 21434的网络安全活动（如持续的漏洞监控和响应）作为迭代循环嵌入其中。
统一供应链管理：在采购合同中，应同时要求供应商满足ISO 26262和ISO 21434的要求，明确双方在功能安全和网络安全方面的责任边界。

这是协同的核心，关键在于两大核心风险分析方法的互动与融合。

ISO 26262的HARA（危害分析与风险评估）：识别因系统失效可能导致的危害，并确定汽车安全完整性等级（ASIL）。
ISO 21434的TARA（威胁分析与风险评估）：识别因恶意攻击可能导致的威胁场景，并确定网络安全保证等级（CAL）。
协同实践：将TARA中识别出的、可能导致人身伤害的“成功攻击场景”，作为HARA分析的输入，视为一种新的“危害事件原因”。例如，黑客攻击导致制动失灵，这个攻击场景应被纳入HARA，并可能提升制动系统的ASIL等级。反之，HARA中识别出的安全目标，也应作为TARA中需要重点保护的“资产”。

通过HARA和TARA的联动，可以导出一套融合了功能安全和网络安全考量的顶层安全需求。
在将这些需求分解为技术安全需求时，必须考虑两者之间的相互影响。例如，一个用于功能安全的冗余设计，可能会增加网络攻击面；而一个用于网络安全的加密模块，其处理延迟可能影响功能安全的实时性要求。

这是协同的最终体现，通过具体的技术手段在产品和系统中实现双重安全。

协同维度	功能安全 (ISO 26262)	网络安全 (ISO 21434)	协同实现方案
核心目标	防范系统失效（如硬件故障、软件Bug）	防御外部攻击（如远程控制、数据泄露）	共同保护驾乘人员安全和车辆资产
方法学	FMEA（失效模式与影响分析）、FTA（故障树分析）	TARA（威胁分析与风险评估）	协同分析，识别“攻击导致失效”的场景
技术重点	冗余设计、容错机制、锁步核（Lockstep Core）	加密通信、入侵检测、安全启动	采用“安全岛”（Security Island）等硬件隔离技术
典型案例	特斯拉Autopilot的功能安全冗余架构	奥迪智能座舱HSM模块部署	自动驾驶域控制器同时满足ASIL-D和防火墙规则

关键技术——“安全岛”（Security Island）：这是一种典型的协同设计技术。通过在芯片内部（如使用ARM TrustZone）划分出一个物理隔离的、高安全性的执行环境。

功能安全侧：将ASIL-D等级的关键功能（如制动控制算法）部署在“安全岛”内，利用其内存保护单元（MPU）和锁步核等机制，确保其不受其他非安全任务的干扰。
网络安全侧：将安全启动、密钥存储、固件签名验证等安全功能也部署在“安全岛”内，利用其硬件加密引擎（HSM）和访问控制，防止被外部攻击者篡改。

通过这种硬件级的隔离与协同，单个芯片就能同时满足ISO 26262的实时性、可靠性要求和ISO 21434的防篡改、防入侵要求，实现了功能安全与网络安全的深度融合。