An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors

Diese Arbeit stellt ein integriertes FTMEA-Rahmenwerk für Automotive-Halbleiter vor, das durch die Einführung quantifizierter, domainsübergreifender Korrelationsfaktoren (CDCFs) eine systematische gemeinsame Analyse von funktioneller Sicherheit und Cybersecurity ermöglicht und so verborgene Risiken aufdeckt sowie die Risikopriorisierung präzisiert.

Das Wesentliche

Hier ist eine einfache Erklärung der wissenschaftlichen Arbeit, als würde man sie einem Freund beim Kaffee erzählen – auf Deutsch und mit ein paar bildhaften Vergleichen.

Das große Problem: Zwei separate Teams, ein gemeinsames Auto

Stell dir vor, ein modernes Auto ist wie ein riesiges, hochkomplexes Haus. In diesem Haus gibt es zwei wichtige Abteilungen:

1. Die Sicherheitsabteilung (FuSa): Diese Leute sorgen dafür, dass das Haus nicht einfach so zusammenfällt. Wenn eine Leitung durchbrennt oder ein Schalter klemmt, müssen sie verhindern, dass die Wände einstürzen oder das Feuer ausbricht. Ihr Motto: "Verhindere Unfälle durch technische Pannen."
2. Die Sicherheitswache (Cybersecurity): Diese Leute sorgen dafür, dass niemand das Haus einbricht. Sie schützen vor Hackern, die versuchen, die Alarmanlage zu manipulieren oder die Türschlösser zu knacken. Ihr Motto: "Verhindere Unfälle durch böswillige Angriffe."

Das Problem: In der Vergangenheit haben diese beiden Abteilungen in völlig getrennten Gebäuden gearbeitet. Die Sicherheitsabteilung hat geprüft, ob ein Kabel durchbrennt. Die Sicherheitswache hat geprüft, ob ein Hacker das Kabel durchschneiden kann.
Aber was passiert, wenn ein Hacker (Cybersecurity) absichtlich ein Kabel durchschneidet, damit es wie ein technischer Defekt aussieht? Oder was, wenn eine Sicherheitsvorrichtung (z. B. ein Not-Aus-Schalter) versehentlich eine Hintertür für Hacker öffnet?

Bisher haben die Teams diese Zusammenhänge oft übersehen. Das ist, als würde man prüfen, ob das Dach nicht leckt, ohne zu merken, dass ein Dieb das Dachloch nutzt, um einzusteigen.

Die Lösung: Ein neuer "Super-Check" (FTMEA)

Die Autoren dieser Studie (von Bosch) haben eine neue Methode entwickelt, die sie FTMEA nennen. Stell dir das wie einen Super-Inspektor vor, der gleichzeitig die Statik des Hauses und die Diebesalarme prüft.

Der Clou an dieser Methode sind die "Cross-Domain Correlation Factors" (CDCF). Das klingt kompliziert, ist aber im Grunde ein Zusammenhangs-Messgerät.

Die Analogie: Der "Überlappungs-Messer"

Stell dir vor, du hast zwei transparente Folien:

• Auf der einen sind alle möglichen technischen Defekte eingezeichnet (z. B. "Der Sensor gibt falsche Werte").
• Auf der anderen sind alle möglichen Hacker-Angriffe (z. B. "Jemand manipuliert den Sensor per Funk").

Wenn du diese beiden Folien übereinanderlegst, siehst du, wo sie sich überlappen.

• Frage: Wenn der Hacker den Sensor manipuliert, führt das zum selben Problem wie ein technischer Defekt?
• Die Antwort: Ja! Und das ist der "Correlation Factor".

Die Forscher haben eine Formel entwickelt, um genau zu messen: Wie stark beeinflusst ein Hackerangriff die technische Sicherheit? Und umgekehrt: Hilft eine Sicherheitsmaßnahme auch gegen Hacker?

Wie funktioniert das in der Praxis? (Das Beispiel)

Die Autoren haben das an einem echten Beispiel getestet: Ein kleiner Computerchip (ASIC) in einem Auto-Sensor. Dieser Chip speichert wichtige Einstellungen (z. B. wie stark die Bremsen reagieren sollen).

1. Das Risiko: Wenn jemand diese Einstellungen hackt, könnte das Auto plötzlich bremsen, obwohl nichts passiert ist. Das ist lebensgefährlich.
2. Die alte Methode: Man hätte gesagt: "Okay, wir prüfen die technischen Fehler (FMEA) und dann separat die Hackerangriffe (TARA)." Man hätte vielleicht zwei verschiedene Lösungen gefunden, die sich nicht gut ergänzen.
3. Die neue Methode (FTMEA):
   • Sie schauen sich an: Wenn wir einen "Sperren-Mechanismus" (Lock) einbauen, damit Hacker nicht schreiben können (Cybersecurity), verändert das auch, wie leicht ein technischer Defekt entstehen kann?
   • Ergebnis: Ja! Der Sperren-Mechanismus macht es für Hacker schwer, aber er macht es auch für zufällige technische Fehler schwerer, die falschen Werte zu schreiben.
   • Die Rechnung: Die Autoren haben eine neue Formel für den "Risiko-Score" (RPN) entwickelt. Sie sagen: "Wenn unsere Sicherheitsmaßnahme gegen Hacker auch hilft, technische Fehler zu verhindern, dann ist das Risiko viel niedriger als gedacht."

Was bringt das alles?

Stell dir vor, du hast ein Budget für Sicherheitsmaßnahmen.

• Ohne die neue Methode: Du würdest vielleicht zwei verschiedene Maßnahmen kaufen: eine gegen Hacker und eine gegen technische Defekte. Das kostet doppelt so viel und ist ineffizient.
• Mit der neuen Methode: Du erkennst, dass eine Maßnahme (z. B. der Sperren-Mechanismus) beide Probleme löst. Du sparst Geld, baust das Auto sicherer und hast weniger Bauteile, die kaputtgehen können.

Zusammenfassung in einem Satz

Diese Studie bietet einen neuen, mathematisch fundierten Weg, um zu beweisen, dass Sicherheit gegen Hacker und Sicherheit gegen technische Pannen oft Hand in Hand gehen – und zwar so genau, dass man es berechnen und nachweisen kann, statt nur zu raten.

Es ist wie ein neuer Kompass, der Ingenieuren zeigt, wo sie ihre Ressourcen am besten einsetzen, um Autos nicht nur sicher, sondern auch "hackfest" zu machen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papiers „An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors" auf Deutsch.

1. Problemstellung

Die Automobilindustrie steht vor der wachsenden Herausforderung, sowohl die funktionale Sicherheit (FuSa, z. B. nach ISO 26262) als auch die Cybersicherheit (Cybersecurity, z. B. nach ISO/SAE 21434) für komplexe Halbleiterbauelemente zu gewährleisten.

• Silos in der Analyse: Traditionell werden diese Domänen getrennt analysiert. Die klassische Fehlermodus- und Wirkungsanalyse (FMEA) konzentriert sich auf Hardware-Fehler und Sicherheitsrisiken, während die Threat Analysis and Risk Assessment (TARA) Bedrohungen durch Angriffe betrachtet.
• Mangelnde Integration: Es fehlt ein einheitlicher Rahmen, um die synergistischen Schwachstellen und gemeinsamen Konsequenzen zu erfassen, bei denen ein Cyberangriff direkt die Sicherheit gefährdet oder Sicherheitsmechanismen unbeabsichtigt neue Sicherheitslücken öffnen.
• Folgen: Die getrennte Betrachtung führt zu fragmentierten Analysen, suboptimaler Risikopriorisierung und dem Übersehen von emergenten Risiken, die aus der Wechselwirkung von Fehlern und Bedrohungen entstehen. Bestehende Ansätze sind oft qualitativ oder mangelhaft in der quantitativen Validierung von Abhängigkeiten.

2. Methodik: Der FTMEA-Rahmenwerk

Die Autoren schlagen das Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework vor, das eine systematische Co-Analyse von FuSa und Cybersecurity ermöglicht.

Kernkomponenten:

1. Cross-Domain Correlation Factors (CDCFs):

   • Dies ist der zentrale Innovationsschritt. CDCFs sind rigoros definierte Faktoren, die die gegenseitigen Einflüsse und gemeinsamen Folgen zwischen funktionalen Fehlermodi (FMs) und Cyber-Bedrohungsmodi (TMs) quantifizieren.
   • Berechnung: Die Faktoren werden durch eine Kombination aus strukturiertem Expertenwissen, statischen Strukturanalysen (z. B. Cone of Influence, Steuerbarkeit/Beobachtbarkeit mittels SCOAP-Technik auf Gate-Level-Netlisten) und empirischen Daten aus Fehler-/Angriffs-Injektionskampagnen abgeleitet.
   • Skalierung: Die Werte liegen im Bereich von -1 (negativer Einfluss) bis +1 (positiver Einfluss), wobei 0 keine Korrelation bedeutet.

2. Modifizierte Risikoprioritätszahl (RPN):

   • Die traditionelle Formel $RPN = O \times S \times D$ (Occurrence, Severity, Detection) wird erweitert.
   • Die CDCFs werden systematisch in die Bewertungen für Occurrence (O) und Detection (D) integriert.
   • Formel: Die korrigierten Werte $O_{corr}$ und $D_{corr}$ werden durch Subtraktion der Summe der Korrelationsfaktoren ($C_{ij}$) von den ursprünglichen Werten berechnet, wobei Grenzen von 1 bis 10 eingehalten werden.
   • Reskalierung: Ein systematisches Reskalierungsverfahren bildet die berechneten kontinuierlichen Werte zurück auf die diskrete 1-10-Skala der FMEA ab, um die praktische Anwendbarkeit und Vergleichbarkeit zu gewährleisten.

3. Strukturelle Analyse zur Quantifizierung:

   • Um den Aufwand von Simulationen zu reduzieren, werden statische Analysemethoden eingesetzt.
   • Gemeinsame Effekte: Die Überlappung der Cone of Influence (COI) für Fehlerausbreitung und Angriffsvektoren wird analysiert. Eine hohe Überlappung der Logik führt zu einer stärkeren Korrelation.
   • Prävention & Detektion: Die Veränderung der Steuerbarkeit (Controllability) durch Sicherheitsmaßnahmen (z. B. Register-Locks) und die gemeinsame Beobachtbarkeit (Observability) von Sicherheits- und Sicherheitsmechanismen werden quantifiziert.

3. Hauptbeiträge

• Quantifizierte CDCFs: Einführung eines neuen Faktorsatzes, der die Wechselwirkungen zwischen Sicherheits- und Sicherheitsrisiken nicht nur qualitativ beschreibt, sondern durch transparente Methoden (Expertenwissen + Strukturdaten + Empirie) in verifizierbare Zahlenwerte übersetzt.
• Mathematisch robuste RPN-Erweiterung: Eine modifizierte RPN-Berechnung, die Korrelationen integriert und durch Reskalierung die Konsistenz mit bestehenden FMEA-Standards wahrt.
• Operationalisierte Methodik: Ein klar definierter Ablauf von der Gefahrenidentifikation bis zur Bewertung von Minderungsstrategien, der eine durchgängige Integration beider Domänen ermöglicht.
• Empirisch validierter Fallstudie: Anwendung des Frameworks auf einen Automotive ASIC-Konfigurationsregister, inklusive expliziter Zuordnungstabellen und quantitativer Herleitung der CDCFs.

4. Ergebnisse (Fallstudie: Automotive ASIC Konfigurationsregister)

Die Fallstudie analysierte ein Konfigurationsregister in einem ASIC für Sensoren, das Kalibrierungsparameter speichert.

• Szenario: Unbefugte Schreibzugriffe (Bedrohung) oder zufällige Fehler (Fehlermodus) können zu falschen Sensordaten führen, was direkte Sicherheitsrisiken (z. B. falsche Bremsaktivierung) birgt.
• Anwendung:
  • Es wurden Fehlermodi (z. B. unbeabsichtigter Schreibzugriff) und Bedrohungsmodi identifiziert, die denselben Effekt haben.
  • Sicherheitsmaßnahmen (z. B. Paritätsprüfung) und Cybersicherheitsmaßnahmen (z. B. Register-Lock-Mechanismus) wurden in einer Korrelationsmatrix bewertet.
  • Die CDCFs zeigten, dass der Lock-Mechanismus die Steuerbarkeit des Registers für Angriffe reduziert und somit auch die Wahrscheinlichkeit zufälliger Fehler beeinflusst (positiver Einfluss).
• Ergebnis der RPN-Neuberechnung:
  • Die Integration der CDCFs führte zu einer signifikanten Anpassung der RPN-Werte.
  • Risiken, die in der klassischen Analyse als hoch eingestuft wurden, konnten durch die Synergie der Gegenmaßnahmen (z. B. dass eine Sicherheitsmaßnahme auch der Detektion von Angriffen dient) herabgestuft werden.
  • Dies ermöglichte eine präzisere Ressourcenallokation: Aufwände konnten dort reduziert werden, wo Synergieeffekte nachgewiesen wurden, und neue Maßnahmen konnten gezielt dort eingesetzt werden, wo keine Synergien vorlagen.

5. Bedeutung und Ausblick

• Einheitliche Sprache: Das Framework schafft eine gemeinsame quantitative Sprache für Sicherheits- und Cybersicherheitsteams, was die interdisziplinäre Zusammenarbeit verbessert.
• Nachweisbarkeit: Es bietet eine nachvollziehbare und reproduzierbare Basis für Risikobewertungen, die über subjektive Einschätzungen hinausgeht.
• Optimierung: Entwickler können Minderungsstrategien so gestalten, dass sie sowohl Sicherheits- als auch Sicherheitsanforderungen effizient erfüllen, ohne die Systemkomplexität unnötig zu erhöhen.
• Zukünftige Arbeiten: Die Autoren planen, die Methode auf komplexere Anwendungsfälle anzuwenden, die statische Analyse mit dynamischen Simulationen zu vergleichen und den Einsatz von KI/Machine Learning zur teilweisen Automatisierung der CDCF-Herleitung zu untersuchen.

Fazit: Das FTMEA-Framework schließt eine kritische Lücke in der aktuellen Automobilentwicklung, indem es die oft getrennten Welten der funktionalen Sicherheit und Cybersicherheit durch einen mathematisch fundierten, quantifizierten und empirisch validierten Ansatz zusammenführt. Dies führt zu robusteren, sichereren und effizienter entwickelten Halbleiterlösungen.