针对R155，OEM需要制定哪些指标?

汽车 2025-01-07 12:01 上海

/注明/ 文章内容由汽车功能安全行业工程师口述及参考行业资料整理，仅代表个人观点，如果更好的建议和补充，可以留言互动！

风险管理指标

TARA（威胁分析和风险评估）是车辆网络安全工程的关键环节。它通过系统地识别车辆及其组件可能面临的网络威胁，评估这些威胁可能导致的风险，为后续的网络安全设计和测试提供依据。TARA 风险完成率反映了主机厂在这一关键环节的执行情况，即已完成 TARA 的车辆或组件占应进行 TARA 的车辆或组件总数的比例。较高的完成率意味着主机厂对车辆网络安全风险有更全面的了解，能够更好地设计安全措施来应对潜在威胁。

已识别的网络安全风险占车辆系统潜在网络安全风险总数的比例。这要求主机厂建立完善的风险识别机制，对车辆的硬件（如电子控制单元、传感器等）、软件（操作系统、应用程序等）以及通信接口（车联网模块等）进行全面风险扫描。

已识别风险数量 ÷ 潜在风险总数 ×100%。例如，主机厂通过详细的威胁建模和系统分析，确定某车型共有 100 个潜在网络安全风险点，目前已经识别出 80 个，那么风险识别覆盖率为 80÷100×100% = 80%。较高的风险识别覆盖率是理想状态，一般建议达到 90% 以上，以确保尽可能多的风险被提前发现。

衡量对已识别风险的严重程度和发生概率评估的准确程度。这需要主机厂根据行业标准、历史数据和专业知识来判断风险可能造成的危害以及发生的可能性。

可以通过与外部安全机构或专家评估结果的对比，计算评估一致的风险数量占总风险数量的比例。例如，经过内部评估的 50 个风险点，与外部专家评估结果一致的有 40 个，风险评估准确性为 40÷50×100% = 80%。目标准确性应在 85% 以上，以保证风险应对措施的合理性。

反映采取风险应对措施后，风险程度降低的情况。主机厂需要对高风险点采取如加密、访问控制、安全更新等措施来降低风险。

（采取措施前风险程度 - 采取措施后风险程度）÷ 采取措施前风险程度 ×100%。例如，某风险在采取措施前评估为 8（0 - 10 为风险程度评估等级），采取措施后降低到 3，风险降低率为（8 - 3）÷8×100%≈62.5%。对于高风险点，风险降低率应至少达到 70%。

网络安全测试指标

网络安全测试完成率体现了主机厂对车辆、组件和联网生态系统进行网络安全测试的执行程度。这些测试是验证车辆是否满足网络安全要求的关键手段，包括功能测试、接口测试、渗透测试、模糊测试和漏洞扫描等多种方式。较高的测试完成率有助于确保车辆在交付使用前尽可能地消除网络安全隐患，提高车辆的安全性和可靠性。

在网络安全功能测试中，成功通过测试用例的比例。功能测试包括车辆用户认证、访问控制、数据加密等功能。

通过的功能测试用例数 ÷ 总功能测试用例数 ×100%。例如，针对某车型的网络安全功能设计了 100 个测试用例，实际测试通过了 90 个，功能测试通过率为 90÷100×100% = 90%。功能测试通过率应达到 95% 以上，以确保车辆网络安全功能的可靠性。

在接口测试（包括车内系统间接口和车与外部设备接口）中发现的缺陷数量占测试接口总数的比例。

接口测试发现的缺陷数 ÷ 测试接口总数 ×100%。假设对某车型的 20 个接口进行测试，发现了 2 个缺陷，接口测试缺陷率为 2÷20×100% = 10%。接口测试缺陷率应控制在 5% 以下，以保证接口的安全性。

在渗透测试（模拟黑客攻击车辆系统）中，成功突破系统安全防护的比例。这一指标越低越好，代表系统的防护能力越强。

成功渗透次数 ÷ 总渗透测试次数 ×100%。例如，进行了 10 次渗透测试，只有 1 次成功渗透，渗透测试成功率为 1÷10×100% = 10%。渗透测试成功率应控制在 3% 以下。

模糊测试（向系统输入异常数据）后系统保持正常运行的能力。通过统计系统在模糊测试后的崩溃次数或异常行为次数来衡量。

（1 - 模糊测试后系统异常次数 ÷ 模糊测试总次数）×100%。如果进行了 50 次模糊测试，系统出现异常 5 次，模糊测试稳定性为（1 - 5÷50）×100% = 90%。模糊测试稳定性应达到 95% 以上。

漏洞扫描覆盖率是指扫描工具检测到的系统组件（软件、硬件）占车辆系统总组件的比例；漏洞修复率是指已修复漏洞占已发现漏洞的比例。

漏洞扫描覆盖率 = 已扫描组件数 ÷ 系统总组件数 ×100%；漏洞修复率 = 已修复漏洞数 ÷ 已发现漏洞数 ×100%。例如，车辆系统共有 100 个组件，漏洞扫描工具覆盖了 80 个，扫描覆盖率为 80÷100×100% = 80%；发现 10 个漏洞，已修复 8 个，修复率为 8÷10×100% = 80%。扫描覆盖率应达到 90% 以上，修复率应达到 95% 以上。

车辆安全运营中心指标

VSOC 正确识别网络安全事件的比例。这需要对监测到的车辆系统行为和事件进行准确判断，区分正常活动和异常的网络安全事件。

正确识别的事件数 ÷ 监测到的总事件数 ×100%。例如，VSOC 监测到 100 个事件，其中正确识别为网络安全事件的有 90 个，事件监测准确率为 90÷100×100% = 90%。事件监测准确率应达到 95% 以上，以确保及时发现真正的安全威胁。

从检测到网络安全事件到采取有效响应措施（如隔离系统、通知相关人员等）之间的时间间隔。

以具体的时间单位（秒、分钟等）来衡量。例如，从发现某车辆遭受网络攻击到成功切断攻击路径并通知车主，平均时间为 5 分钟，这就是事件响应时间。一般情况下，对于高风险事件，响应时间应控制在 10 分钟以内；对于中低风险事件，响应时间可适当延长，但最好不超过 30 分钟。

采取缓解措施后，成功降低或消除网络安全事件影响的比例。这需要评估缓解措施对事件的实际处理效果。

成功缓解的事件数 ÷ 总事件数 ×100%。假设发生了 20 起网络安全事件，通过缓解措施成功解决了 18 起，事件缓解有效率为 18÷20×100% = 90%。事件缓解有效率应达到 90% 以上。

....以上，仅供学习参考！

推荐学习：

汽车功能安全

汽车功能安全：从系统、硬件、软件、工具等方面，符合安全开发流程，以及系统概念设计的开发，满足汽车行业要求，并提供功能安全信息化服务。

最新文章

小米汽车召回部分SU7标准版电动汽车

部分车企800V平台和技术布局情况汇总

ISO26262-6中软件架构静态和动态设计

聊聊Autosar OS的中断管理

神秘的维他动力公司（Vita Dynamics）？

AUTOSAR支持的功能安全机制

功能安全对AUTOSAR的要求

蔚来回应“今年被小米收购”

AUTOSAR中通信方式如何协同工作？

一汽-大众最新人事调整

地平线组织架构及人员最新变动

揭示AUTOSAR中隐藏的漏洞

博世商用车电机控制器Gen4 INV通过ASIL-C认证

汽车以太网1Gbps PHY芯片标准起草组动态

BMS功能安全要求的导出

【内推】高薪招聘热管理系统主管工程师

ISO 26262-6 软件架构设计方法

功能安全要求编制的主要内容

功能安全要求编制原则

电池管理系统功能安全概念设计-相关定义项

斑马智行Banma Hypervisor获ASIL-D认证

R155要求OEM具备哪些能力？