An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors

Dit artikel introduceert een geïntegreerd FTMEA-raamwerk voor automotive halfgeleiders dat functionele veiligheid en cyberbeveiliging systematisch combineert door middel van kwantitatieve cross-domein correlatiefactoren, waardoor een nauwkeurigere risicoprioritering en effectievere mitigatiestrategieën mogelijk worden.

De kern

Stel je voor dat een moderne auto niet alleen een machine is, maar ook een slimme, verbonden computer op wielen. Deze auto moet twee dingen perfect doen: veilig zijn (niet crashen als onderdelen stukgaan) en beveiligd zijn (niet gehackt worden door hackers).

Vroeger keken ingenieurs naar deze twee problemen als naar twee volledig verschillende vakken. De "veiligheidsteams" keken naar wat er gebeurt als een schroef losraakt of een chip foutloopt. De "beveiligingsteams" keken naar wat er gebeurt als een hacker probeert in te breken. Ze werkten in aparte kamers, met aparte lijsten en aparte regels.

Het probleem:
In de echte wereld lopen deze twee dingen door elkaar. Stel, een hacker verandert een instelling in de computer van de auto. Dat is een beveiligingsprobleem. Maar het gevolg is dat de remmen niet werken. Dat is plotseling ook een veiligheidsprobleem. Of andersom: een veiligheidsmechanisme dat bedoeld is om een crash te voorkomen, kan per ongeluk een zwak punt creëren waar hackers in kunnen sluipen.

De oude methodes zagen deze verbindingen vaak niet, of ze schatten ze verkeerd in.

De oplossing: De "FTMEA" (De Alles-in-Één Risico-Check)
De auteurs van dit paper (van Robert Bosch) hebben een nieuwe manier bedacht om dit op te lossen. Ze noemen het FTMEA. Het is als het samenvoegen van twee aparte checklists tot één grote, slimme lijst.

Hier is hoe het werkt, vertaald naar alledaagse beelden:

1. De "Kruisbestuivings-factor" (CDCF)

Stel je voor dat je een huis hebt.

• Veiligheid: Wat gebeurt er als de deurklink breekt? (Je valt eruit).
• Beveiliging: Wat gebeurt er als een inbreker de deur openbreekt? (Je wordt beroofd).

In de oude manier van werken, telde je deze twee risico's apart. Maar in deze nieuwe methode kijken ze naar de Kruisbestuivings-factor.

• Als de inbreker de deur openbreekt, breekt hij misschien ook de slotkast, waardoor de deurklink ook breekt.
• Of: Als je een extra zwaar slot plaatst (beveiliging), kan het zijn dat de deur te zwaar wordt en de scharnieren (veiligheid) sneller breken.

De auteurs hebben een manier bedacht om dit effect te meten. Ze kijken niet alleen naar "ja/nee", maar berekenen precies hoeveel invloed het ene probleem heeft op het andere. Ze gebruiken daarvoor slimme software om te kijken hoe de elektronische schakelingen in de auto met elkaar verbonden zijn (net als een stroomnetwerk in je huis).

2. De "Risico-score" (RPN) op de schop

In de auto-industrie gebruiken ze een score om te bepalen welke problemen het eerst opgelost moeten worden. Dit heet de RPN (Risk Priority Number).

• Hoe vaak gebeurt het? (O)
• Hoe ernstig is het? (S)
• Hoe makkelijk is het te ontdekken? (D)

De oude formule was simpel: O × S × D.
De nieuwe formule in dit paper is slimmer. Als een beveiligingsmaatregel (zoals een wachtwoord) ook helpt om een technisch defect sneller te ontdekken, dan wordt de "D"-score (detectie) automatisch beter.

• Voorbeeld: Stel, je hebt een alarm dat piept als er iets mis is met de remmen (veiligheid). Als een hacker probeert de remmen te hacken, gaat dat alarm ook piepen. Omdat dat alarm nu dubbel nuttig is, wordt de kans dat je het probleem ziet groter. De nieuwe formule pakt dit op en verlaagt de risico-score, omdat je het probleem nu sneller ziet.

3. Het echte voorbeeld: De "Configuratie-register"

In het paper gebruiken ze een concreet voorbeeld: een klein geheugendeel in een auto-chip dat de instellingen van de remmen bewaart.

• Gevaar 1: Een stukje stof in de chip zorgt voor een fout (veiligheid).
• Gevaar 2: Een hacker verandert de instellingen (beveiliging).

Beide leiden tot hetzelfde: de auto remt niet goed.
Met hun nieuwe methode hebben ze getoond dat als je een beveiligingsmaatregel neemt (zoals een "vergrendeling" zodat niemand de instellingen kan veranderen zonder sleutel), dit ook helpt om technische fouten te detecteren.

• Resultaat: Ze konden bewijzen dat ze minder extra maatregelen nodig hadden dan ze dachten. Ze bespaarden tijd en geld omdat ze zagen dat één maatregel twee vogels doodde.

Waarom is dit belangrijk?

Vroeger deden veiligheidsteams en beveiligingsteams hun werk los van elkaar. Soms deden ze zelfs tegenstrijdige dingen (veiligheid wilde alles open en toegankelijk, beveiliging wilde alles afsluiten).

Met deze nieuwe methode:

1. Geen verrassingen: Je ziet precies waar een beveiligingsprobleem een veiligheidsprobleem wordt.
2. Slimmer bouwen: Je bouwt auto's die zowel veiliger als veiliger zijn, zonder onnodig veel extra onderdelen.
3. Eén taal: Veiligheidsexperts en hackers (in positieve zin) kunnen nu met elkaar praten in dezelfde taal, gebaseerd op harde cijfers in plaats van gissen.

Kortom:
Dit paper is als het vinden van de "rode draad" tussen twee verschillende werelden. Het zorgt ervoor dat we niet alleen kijken of de auto niet crasht, en niet alleen kijken of hij niet gehackt wordt, maar dat we begrijpen hoe die twee dingen met elkaar spelen. Zo bouwen we auto's die echt veilig zijn, in een wereld waar alles met elkaar verbonden is.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors", geschreven in het Nederlands.

1. Probleemstelling

De moderne automobielindustrie staat voor toenemende uitdagingen om zowel functionele veiligheid (FuSa) (gereguleerd door ISO 26262) als cybersecurity (gereguleerd door ISO/SAE 21434) te waarborgen voor complexe halfgeleiderapparaten.

• Huidige situatie: Traditionele methoden zoals FMEA (Failure Mode and Effects Analysis) richten zich voornamelijk op hardware-fouten en veiligheid, terwijl Threat Analysis and Risk Assessment (TARA) zich richt op beveiliging. Deze domeinen worden vaak geanalyseerd in silo's.
• Het risico: Er is een groeiende overlap waarbij een cyberaanval direct de veiligheid kan ondermijnen, of waar veiligheidsmechanismen onbedoeld beveiligingskwetsbaarheden introduceren.
• De lacune: Bestaande methoden missen een kwantitatief, traceerbaar en empirisch onderbouwd raamwerk om de wederzijdse afhankelijkheden en gedeelde gevolgen tussen veiligheidsfouten en beveiligingsbedreigingen te modelleren. Dit leidt tot gefragmenteerde analyses, suboptimale risicoprioritering en het over het hoofd zien van emergente risico's.

2. Methodologie: Het FTMEA-kader

Het artikel introduceert een Integrated Failure and Threat Mode and Effect Analysis (FTMEA) framework. Dit kader co-analyseert systematisch FuSa en cybersecurity door de volgende stappen te doorlopen:

1. Identificatie van Fouten en Bedreigingen: Het vaststellen van Failure Modes (FM, bijv. hardware-fouten) en Threat Modes (TM, bijv. cyberaanvallen) met een initiële beoordeling van Ernst (S), Voorkomen (O) en Detectie (D).
2. Identificatie van Gemeenschappelijke Effecten: Het analyseren van welke nadelige gevolgen zowel door een functionele fout als door een cyberaanval kunnen worden veroorzaakt.
3. Afleiding van Cross-Domain Correlation Factors (CDCFs): Dit is de kerninnovatie. CDCFs zijn kwantitatieve factoren (waarden tussen -1 en 1, of 0 en 1 afhankelijk van de context) die de onderlinge invloed en gedeelde gevolgen tussen FM's, TM's en hun tegenmaatregelen modelleren.
   • Berekeningsmethode: CDCFs worden afgeleid uit een combinatie van:
     • Gestructureerde expertkennis.
     • Static Structural Analysis: Gebruik van metrics zoals Cone of Influence (COI) en Controllability/Observability (bijv. via de SCOAP-techniek) op gate-level netlists.
     • Empirische validatie: Validering tegen data van fault/attack injection campagnes.
4. Gecorrigeerde Risicoprioriteitsgetal (RPN) Berekening:
   • De traditionele RPN-formule ($RPN = O \times S \times D$) wordt aangepast.
   • De waarden voor Voorkomen (O) en Detectie (D) worden gecorrigeerd op basis van de CDCFs ($C_{ij}$).
   • Formules (1) en (2) passen de oorspronkelijke scores aan door de som van de correlatiefactoren af te trekken (voor preventieve maatregelen) of toe te voegen, met een begrenzing tussen 1 en 10.
   • Rescaling: Een systematische herschaling zorgt ervoor dat de berekende continue waarden weer worden gemapt naar de discrete 1-10 schaal van de FMEA, wat praktische toepasbaarheid garandeert zonder willekeurige afronding.
5. Prioritering en Mitigatie: Risico's worden opnieuw geprioriteerd op basis van de nieuwe RPN, wat leidt tot geïntegreerde mitigatiestrategieën.

3. Belangrijkste Bijdragen

• Gekwantificeerde CDCFs: In plaats van kwalitatieve schattingen, biedt het kader een wiskundig onderbouwde methode om de correlatie tussen veiligheid en beveiliging te kwantificeren.
• Wiskundig Robuuste RPN: Een herziene berekening die de interacties tussen domeinen expliciet integreert in de O- en D-scores, inclusief een transparante rescaling-procedure.
• Operationeel Raamwerk: Een duidelijk stappenplan voor de integratie van FuSa en cybersecurity gedurende de hele analysecyclus.
• Empirisch gevalideerd Gevalsonderzoek: Het toepassen van het kader op een automotive ASIC configuratieregister. Dit omvat expliciete mapping-tabellen, kwantitatieve CDCF-waarden en een vergelijking met een baseline FMEA/TARA.

4. Resultaten (Case Study: ASIC Configuratieregister)

In het gevalsonderzoek werd een configuratieregister in een ASIC voor een autosensor geanalyseerd.

• Situatie: Een ongeautoriseerde wijziging in dit register kan leiden tot onjuiste sensordata en ernstige veiligheidsrisico's (bijv. onjuiste remactie).
• Analyse: Er werden fouten (FM) en bedreigingen (TM) geïdentificeerd die hetzelfde effect hebben. Tegenmaatregelen (zoals een "lock/unlock"-mechanisme voor beveiliging en pariteitschecks voor veiligheid) werden onderzocht op hun wederzijdse invloed.
• Structurale Analyse: Met behulp van SCOAP-technieken werd de Controllability en Observability van de schakeling gemeten.
  • Bijvoorbeeld: Een beveiligingsmaatregel (lock) verlaagt de controllability voor kwaadaardige toegang, wat ook de kans op onbedoelde fouten verlaagt (positieve CDCF).
• Impact: De herschikte RPN-waarden toonden aan dat bepaalde risico's (zoals FM2 en FM3) door de synergie van tegenmaatregelen lager waren dan in een traditionele analyse.
• Conclusie: Het FTMEA-framework onthulde dat bepaalde risico's overgeschat waren in de baseline-analyse, waardoor teams middelen efficiënter kunnen toewijzen en minder extra maatregelen hoeven te implementeren.

5. Betekenis en Conclusie

Dit onderzoek biedt een unificerend, traceerbaar en kwantitatief raamwerk voor risicobeoordeling in kritieke automobielsystemen.

• Overbrugging van de kloof: Het lost het probleem op van het ontbreken van prescriptieve, kwantitatieve methoden in bestaande standaarden (zoals ISO 26262 en ISO/SAE 21434) voor geïntegreerde analyse.
• Verbeterde samenwerking: Het biedt een gemeenschappelijke "kwantitatieve taal" die de samenwerking tussen veiligheids- en beveiligingsteams optimaliseert.
• Betere ontwerpen: Door cross-domein risico's nauwkeuriger te prioriteren, kunnen ontwikkelaars robuustere en veiligere halfgeleiderontwerpen creëren.
• Beperkingen en Toekomst: Het afleiden van nauwkeurige CDCFs vereist nog steeds aanzienlijke investeringen in expertkennis en simulatie-instrumenten. Toekomstig werk richt zich op het automatiseren van deze afleiding met behulp van Machine Learning en het testen op complexere use-cases.

Kortom, het FTMEA-framework transformeert de risicobeoordeling van een kwalitatieve, gescheiden activiteit naar een data-gedreven, geïntegreerde discipline, essentieel voor de toekomst van autonome en verbonden voertuigen.