An Integrated Failure and Threat Mode and Effect Analysis (FTMEA) Framework with Quantified Cross-Domain Correlation Factors for Automotive Semiconductors

本文提出了一种针对汽车半导体的集成故障与威胁模式及影响分析（FTMEA）框架，通过引入基于专家知识、静态结构指标及注入实验验证的量化跨域关联因子，将功能安全与网络安全进行协同分析，从而更准确地识别和优先处理传统方法难以发现的跨域风险。

要点

这篇论文提出了一种名为 FTMEA 的新框架，旨在解决汽车芯片（半导体）设计中一个非常棘手的问题：如何同时搞定“功能安全”和“网络安全”。

为了让你更容易理解，我们可以把汽车芯片想象成一座高度智能化的“智能城堡”。

1. 背景：城堡的两个守护者（安全 vs. 安全）

过去，这座城堡有两个完全分开的守护者，他们互不往来：

• 守护者 A（功能安全，FuSa）： 他的任务是防止城堡因为“意外”而倒塌。比如：砖头自己碎了（硬件故障）、电路老化（软件 bug）、或者下雨天路滑导致马车失控。他的标准是：“如果不小心出错了，怎么保证不伤人？”
• 守护者 B（网络安全，Cybersecurity）： 他的任务是防止城堡被“坏人”入侵。比如：黑客试图打开城门、篡改地图、或者偷走钥匙。他的标准是：“如果有人故意捣乱，怎么保证城堡不被攻破？”

问题出在哪？
以前，这两个守护者各管各的。

• 守护者 A 设计了一个“自动落闸”机制来防止马车失控（安全）。
• 但守护者 B 没注意到，这个机制的开关正好有一个漏洞，黑客可以通过它远程控制闸门（安全漏洞）。
• 结果：原本为了“安全”设计的机制，反而成了“不安全”的入口。或者反过来，为了防黑客加了一把复杂的锁，结果导致系统在紧急情况下打不开，反而造成了事故。

现状： 传统的分析方法就像让两个守护者分别写报告，他们看不到彼此工作的“交叉点”，导致很多隐患被漏掉，或者资源浪费在了不重要的地方。

2. 解决方案：FTMEA（让两个守护者握手）

这篇论文提出的 FTMEA 框架，就是让这两个守护者坐在一起开会，用一种共同的语言来分析风险。

它的核心创新点在于引入了一个神奇的指标：跨域关联因子 (CDCF)。

什么是“跨域关联因子” (CDCF)？

想象一下，你在城堡里画了一张**“影响力地图”**。

• 这张地图不仅标记了哪里容易坏（故障），也标记了哪里容易被黑（威胁）。
• CDCF 就是用来给这些点之间的“关系”打分。
  • 如果黑客攻击某个点，会不会直接导致那个点物理损坏？（关联度：高）
  • 如果某个安全机制（比如防火墙）被激活，会不会意外地让安全系统（比如刹车）失灵？（关联度：负向影响）
  • 如果某个防故障的传感器，能不能顺便帮防火墙发现异常？（关联度：正向帮助）

以前，大家只能凭感觉说“好像有关系”。现在，FTMEA 用数学公式和结构分析（像检查电路图纸一样），算出这个关系的具体数值（比如 0.8 或 -0.5）。这让分析从“我觉得”变成了“数据证明”。

3. 核心算法：重新计算“风险优先级” (RPN)

在传统的风险评估中，风险值（RPN）是这样算的：

风险 = 发生的可能性 × 严重程度 × 检测难度

FTMEA 对这个公式进行了升级。它发现，如果你加了一个防黑客的措施，可能会让“发生的可能性”变低，或者让“检测难度”变小。

• 旧方法： 防黑客和防故障是分开算的，互不影响。
• 新方法 (FTMEA)： 利用刚才算出的 CDCF，动态调整分数。
  • 例子： 如果黑客攻击会导致故障，那么“故障发生的可能性”就要调高。
  • 例子： 如果防故障的传感器能顺便发现黑客，那么“检测难度”就要调低（更容易发现）。

最后，系统会把算出来的新分数，重新映射回大家熟悉的 1-10 分制，告诉工程师：“看，现在这个风险点比之前想的更严重（或更轻微），我们需要优先处理它！”

4. 实际案例：汽车芯片的“配置寄存器”

论文举了一个具体的例子：汽车芯片里有一个**“配置寄存器”（可以想象成城堡的“总控开关面板”**）。

• 它的作用： 存储刹车、雷达等关键传感器的校准数据。
• 风险： 如果这个面板被黑客篡改，或者因为故障写错了数据，汽车可能会突然急刹车或看不见障碍物。

FTMEA 是怎么做的？

1. 列出问题： 既有“意外写错数据”（故障），也有“黑客恶意写错数据”（威胁）。
2. 找共同点： 发现它们都会导致“传感器数据错误”这个共同后果。
3. 算关联分 (CDCF)：
   • 他们发现，为了防止黑客乱写，加了一个“密码锁”（网络安全措施）。
   • 通过结构分析（像用 X 光看电路），发现这个“密码锁”不仅防住了黑客，还意外地防止了因为电路噪声导致的“意外乱写”（功能安全受益）。
   • 结论： 这个网络安全措施对功能安全有巨大的正向关联。
4. 结果： 重新计算风险后，发现原本以为很危险的“意外写错”风险，因为密码锁的存在，风险值大幅下降。团队可以把省下来的精力，去解决其他真正危险的问题。

5. 总结：这有什么用？

这篇论文就像给汽车芯片设计行业提供了一套**“双语翻译器”和“联合指挥系统”**：

1. 不再盲人摸象： 以前安全团队和网络安全团队各说各话，现在有了统一的数学语言（CDCF），能看清彼此的影响。
2. 省钱省力： 通过量化分析，发现哪些安全措施是“一石二鸟”的（既防黑又防故障），避免重复造轮子。
3. 更精准： 不再靠猜，而是靠数据和结构分析来定风险等级，让汽车更安全、更可靠。

一句话总结：
FTMEA 就是把“防意外”和“防黑客”这两件事，从“两条平行线”变成了“一张交织网”，用数学算出它们之间的千丝万缕，从而造出更聪明、更安全的未来汽车。

技术摘要

论文技术总结：面向汽车半导体的集成故障与威胁模式及影响分析（FTMEA）框架

1. 研究背景与问题陈述 (Problem Statement)

随着现代汽车系统（特别是半导体器件）的复杂性和互联性日益增加，功能安全（FuSa，如 ISO 26262 标准）与网络安全（Cybersecurity，如 ISO/SAE 21434 标准）之间的界限变得模糊。

• 现有挑战：传统的故障模式及影响分析（FMEA）主要针对硬件故障，往往忽略了网络安全威胁；而传统的威胁分析（TARA）则侧重于恶意攻击。两者通常被孤立分析（Siloed Analysis）。
• 核心痛点：
  • 缺乏统一框架来量化功能故障与网络安全威胁之间的协同脆弱性和共享后果。
  • 现有的共分析方法（如 FMVEA）多依赖定性场景或专家判断，缺乏严谨的量化互依性模型和实证验证。
  • 导致风险评估碎片化、优先级排序次优，可能遗漏由网络攻击引发的潜在安全隐患。

2. 方法论：FTMEA 框架 (Methodology)

本文提出了一种**集成故障与威胁模式及影响分析（FTMEA）**框架，旨在系统性地协同分析功能安全与网络安全。其核心流程包括：

2.1 核心流程

1. 风险启动：定义系统边界及关键功能。
2. 故障模式（FM）与威胁模式（TM）分析：识别硬件故障、软件漏洞及网络攻击，建立基准的严重度（S）、发生度（O）和探测度（D）。
3. 共同效应识别：找出既可由功能故障引起，也可由网络威胁导致的共同负面后果。
4. 跨域相关因子（CDCFs）推导：这是框架的核心创新，用于量化 FM、TM 及其对策之间的相互影响。
5. 风险优先级数（RPN）计算与重缩放：将 CDCFs 整合进 RPN 计算，并通过重缩放机制映射回标准的 1-10 等级。
6. 风险排序与缓解：基于修正后的 RPN 制定跨域缓解策略。

2.2 关键技术：跨域相关因子 (CDCFs) 的量化

CDCFs 用于量化功能安全故障与网络安全威胁之间的相互依赖关系（取值范围 -1 到 1，或 0 到 1）。其推导基于三种来源的混合：

• 结构化专家知识：领域专家的定性评估。
• 静态结构分析指标：利用门级网表（Gate-level Netlist）中的扇出/扇入（Cone of Influence, COI）、**可控性（Controllability）和可观测性（Observability）**指标。
  • 示例：通过 SCOAP（Sandia Controllability/Observability Analysis Program）技术分析攻击向量与安全机制在逻辑上的重叠区域（COI 密度），以此量化相关性。
• 实证数据验证：通过故障注入（Fault Injection）和攻击注入（Attack Injection）实验数据进行验证。

2.3 修正的 RPN 计算公式

传统的 $RPN = O \times S \times D$ 被修改为引入 CDCFs 后的形式：

• 修正发生度 ($O_{corr}$) 和 修正探测度 ($D_{corr}$)：
  $$O_{corr} = \text{floor}(O - \sum C_{ij}) \quad \text{或} \quad D_{corr} = \text{floor}(D - \sum C_{ij})$$
  其中 $C_{ij}$ 是相关因子矩阵中的元素。如果安全对策能增强安全探测（正向影响），则降低 $D$ 值（即提高探测能力，RPN 降低）；反之亦然。
• 重缩放（Rescaling）：计算出的连续值会被系统地映射回离散的 1-10 FMEA 等级，确保结果的可操作性和符合现有标准。

3. 主要贡献 (Key Contributions)

1. 量化的跨域相关因子 (CDCFs)：
   • 提出了一套严谨的 CDCFs 定义，通过结合专家知识、静态结构分析（如 COI、可控性/可观测性）和实证注入数据，为跨域依赖关系提供了可验证、可复现的数值基础，解决了以往定性分析的模糊性。
2. 数学稳健的 RPN 增强与重缩放：
   • 提出了一种将 CDCFs 系统整合进 O 和 D 评分的数学方法。
   • 引入了系统化的重缩放机制，解决了直接相加导致的数值溢出或截断问题，确保结果仍符合 FMEA 的 1-10 标度标准。
3. 可操作的集成分析流程：
   • 提供了从危害识别到缓解策略评估的完整生命周期操作步骤，统一了安全与网络安全团队的沟通语言。
4. 实证验证的案例研究：
   • 通过汽车 ASIC 配置寄存器的详细案例，展示了显式的映射表、CDCF 推导过程及与基准 FMEA/TARA 的对比分析。

4. 案例研究与结果 (Case Study & Results)

• 案例对象：汽车传感器模块中的专用集成电路（ASIC）配置寄存器（Conf. Register）。该寄存器存储校准参数（增益、偏移等），其被篡改会导致传感器数据错误，进而引发严重的安全事故（如误刹车）。
• 分析过程：
  • 识别了配置寄存器的故障模式（如意外写入）和威胁模式（如未授权写入）。
  • 利用门级网表进行结构分析，计算了安全机制（如奇偶校验）与网络安全机制（如寄存器锁）之间的重叠逻辑区域（COI）。
  • 推导出具体的 CDCF 值（例如，安全锁机制完全覆盖了意外写入的探测，因此 $C_{ij}$ 为高正值）。
• 结果对比：
  • 风险重排序：修正后的 RPN 显示，某些原本被认为高风险的故障（如 FM2, FM3），由于安全与网络对策的协同效应（Synergistic Benefits），其实际风险显著降低。
  • 资源优化：团队能够识别出真正需要额外措施的风险点，避免了在已有强协同保护的区域过度投入资源。
  • 量化证据：RPN 的变化直接归因于结构分析推导出的具体 CDCF 值，证明了框架的逻辑一致性和有效性。

5. 意义与结论 (Significance & Conclusion)

• 统一的风险评估语言：FTMEA 为功能安全和网络安全团队提供了一套统一的、基于数据的量化方法论，打破了学科壁垒。
• 提升设计韧性：通过识别和量化跨域依赖，能够设计出更具韧性的半导体系统，同时满足 ISO 26262 和 ISO/SAE 21434 的要求。
• 可追溯性与合规性：提供了从底层逻辑结构到高层风险评分的完整追溯链，有助于通过严格的合规性审查。
• 局限与未来工作：
  • 目前推导高精度 CDCF 需要大量的专家投入、复杂的结构分析工具及注入实验，成本较高。
  • 未来计划将静态分析与动态仿真结合，并探索利用机器学习/人工智能技术自动化推导相关因子，以进一步降低实施门槛。

总结：该论文通过引入量化跨域相关因子（CDCFs）和修正的 RPN 计算，成功构建了一个能够系统处理功能安全与网络安全交织风险的集成框架，为汽车半导体的高可靠性设计提供了重要的理论依据和实用工具。