[发明专利]一种基于STPA模型的功能安全危害和信息安全威胁分析方法

说明书

一种基于STPA模型的功能安全危害和信息安全威胁分析方法，采用STPA模型作为基础，共分为四个步骤，一：根据STPA模型建立安全约束、控制结构和过程模型；二：考虑信息安全因素对控制结构和过程模型的影响；三：对所有可能的情况进行组合分析，识别所有不安全控制的分类；四：确定不安全控制的来源。本发明结合STAMP模型，建立了功能安全约束、控制结构和过程模型；对安全约束、危害事件、过程控制和信息安全影响进行组合分析，将危害事件的发生看成是不安全控制的结果，而不仅仅是由组件或系统故障引起，并能识别所有不安全控制的分类并确定导致这些不安全控制发生的原因是来源于单个组件、多个组件之间的相关交互或者是车辆电子安全系统设计缺陷。

技术领域

本发明涉及车用安全分析方法领域，特别是一种基于STPA模型的功能安全危害和信息安全威胁分析方法。

背景技术

在轨道交通和汽车电子安全系统领域，危害分析和风险评估是功能安全考量的重要方法。传统的危害分析技术如故障树分析等失效模型，主要机理从故障角度出发，将事故作为故障的结果，通过自上而下或者自下而上的故障链及其因果对可能产生的危害进行分析。但是随着现代轨道交通和汽车电子控制系统的进步和软件控制算法的广泛应用，在处理复杂的控制逻辑、人工智能控制、组件间交互产生的级联故障、共因故障和发生隐藏的设计问题时，传统的从故障出发的失效模型分析方法已经难以完全适用。

系统理论事故模型和过程(STAMP)方法，将安全问题由故障角度出发转为从控制角度出发，将危害控制和安全看作一个控制问题，而不是故障管理问题来处理，加强了控制指令发出、实现和执行的安全约束条件。应用中通过分析危险来源，实现了安全约束限制组件行为、组件间的交互和通讯、外部条件、抗干扰条件等等。STAMP方法可以实现对车辆电子安全系统进行动态控制，对变化和环境做出及时反应。通过STAMP模型的安全分析，也有助于车辆电子安全系统在设计阶段实现安全的及时介入。

另一方面，通过车辆电子安全控制系统的信息化也给功能安全带来了信息安全的挑战。信息通讯的准确及时和数据的完整性都是确保系统安全运行的基础。STAMP模型需要将功能安全与信息安全进行融合，在功能安全的基础上，结合考虑信息安全因素对可能引起危害的影响，才能确保车辆电子安全系统免受信息系统攻击或故障的危害。为此，轨道交通和汽车电子安全领域的危害分析方法，不仅需要从控制角度出发，考虑不安全控制发生的各种可能和来源，还需要结合信息安全的影响因素进行分析，从而确保车辆电子安全系统在复杂控制情况下的运行安全。

现有技术中，STAMP模型对信息安全的影响因素进行分析处理还不完善，对车辆电子安全系统应用造成了制约，因此提供一种复杂信息条件下，对STAMP模型结合信息安全的影响因素进行分析，从而提高车辆电子安全系统可靠性的技术显得尤为必要。

发明内容

为了克服现有技术中，STAMP模型对信息安全的影响因素进行分析处理还不完善，对车辆电子安全系统应用造成了制约的弊端，本发明提供了根据系统理论过程分析(STPA)方法建立功能车辆电子安全约束、控制结构和过程模型，考虑了信息安全因素对车辆电子安全控制结构和车辆电子安全控制系统过程模型的影响，对车辆电子安全约束、危害事件、过程控制和信息安全影响进行组合分析，将危害事件的发生看成是不安全控制的结果，而不仅仅是由组件或系统故障引起，并能识别所有不安全控制的分类并确定导致这些不安全控制发生的原因是来源于单个组件、多个组件之间的相关交互或者是车辆电子安全系统设计缺陷等，由此提高了现有STAMP模型对信息安全影响因素进行分析处理效果的一种基于STPA模型的功能安全危害和信息安全威胁分析方法。

本发明解决其技术问题所采用的技术方案是：