上海控安信息安全軒轅實驗室提出基于零日漏洞的自動駕駛預期功能安全危害和風險評估方法，該方法涉及自動駕駛技術和高級駕駛輔助技術安全領域，借鑒零日漏洞的分析評估方法，為自動駕駛預期功能安全危害和風險評估提供參考。

一、背景

隨著自動駕駛技術高級駕駛輔助系統的發展，對道路車輛的安全性要求也越來越全面和具體。道路車輛可接受的安全級別除了信息安全和功能安全之外，還應滿足預期功能安全。ISO 21448標準中將預期功能安全（SOTIF）定義為不存在由于預期功能不足或人為的合理可預見的誤用所引起的危害而由此危害造成的不合理風險。

道路車輛主要由三層組成：感知，思考和動作。在外部環境影響方面，存在極端或特定天氣條件影響傳感器，傳感器受到某些設備的干擾等風險。在內部系統的局限性方面，執行系統的局限性存在風險,在人為因素影響方面，在車輛行駛過程中會出現駕駛員操作失誤或在車輛自動駕駛出現錯誤時駕乘人員無所作為等情況。這些都是可能會威脅到道路車輛預期功能安全的原因。這些因素可以看作是威脅道路車輛預期功能安全的觸發事件。

該方法提出了基于零日漏洞的自動駕駛預期功能安全風險評估方法，基于零日漏洞安全評估方法，建立預期功能安全系統的零日漏洞模型并以風險圖的形式表示模型。

二、模型

1.簡易模型

該方法將情景作為一個整體進行建模，在建模過程中將其劃分為多個場景，場景之間的轉移便是觸發事件。

每一個節點便是一個場景，每一個連接線便是一個觸發事件。藍色路徑視為真正造成危害的風險路徑

2.詳細模型

在詳細模型中，我們以三元組的形式表示一個觸發事件，即觸發事件t，源場景sc1和目標場景sc2。g1表示場景sc1所具備的功能，是作用在sc1上的觸發事件的前置條件c_pre。v1是場景sc1執行后的輸出值，是作用在sc1上的觸發事件的后置條件c_post。

不同的觸發事件之間可以是“先后順序”的關系，可以是“或”的關系，也可以是“與”的關系

三、風險評估流程

該方法提出的基于零日漏洞的自動駕駛預期功能安全風險評估方法，具體包括以下五個步驟：

步驟一：對預期功能安全系統進行分析，針對特定的情景S基于零日漏洞的攻擊圖創建風險圖模型HG；

步驟二：基于風險圖模型HG依次找出所有場景sc0, sc1, …, scn的風險路徑。風險路徑需要經過可達性驗證后才視為是成立的，風險路徑是由一系列的已知和未知的觸發事件依次組成；

生成的風險路徑

步驟三：分別計算已知觸發事件的安全值SK和未知觸發事件的安全值SUK，已知觸發事件和未知觸發事件安全值的計算采用不同的算法，旨在將定性的安全問題轉換為定量的安全值，以實現對預期功能安全評估的量化；

步驟四：基于動態權重的方式，計算預期功能安全系統的安全值svs，實現對預期功能安全系統的整體安全評估；

步驟五：基于步驟四所得預期功能安全系統的安全值svs，對預期功能安全系統架構進行動態調整，并對調整后的預期功能安全系統進行再次評估，直到所得已知觸發事件安全值SK、未知觸發事件安全值SUK和預期功能安全系統安全值svs全部小于所設定的對應閾值，即全部符合設定的安全要求。

四、結論

該方法提出的基于零日漏洞的自動駕駛預期功能安全危害和風險評估方法，可以對已知的觸發事件和未知的觸發事件進行量化，以確定在給定系統安全性閾值svs的情況下，道路車輛的系統設計（尤其是自動駕駛系統設計）是否可以接受。本評估方案主要通過研究已知和未知漏洞來提高公路車輛的安全性，并提出通過動態調整將已知觸發事件和未知觸發事件對SOTIF的影響降至最低。
? ? ? ? fqj