整合自动驾驶车辆的功能安全与网络安全分析：运用STPA方法和六步模型

整合自动驾驶车辆的功能安全与网络安全分析：运用STPA方法和六步模型

摘要

功能安全和网络安全是自动驾驶汽车的两个相互依赖的关键属性，旨在保护车辆免受意外故障（功能安全）和蓄意攻击（网络安全），这可能导致人身伤害和生命损失。自动驾驶汽车功能安全和网络安全对策的选择取决于国际标准SAE J3016定义的驾驶自动化水平。然而，当前的车辆安全标准ISO 26262并未考虑驾驶自动化水平。我们提出了一种整合自动驾驶汽车功能安全和网络安全流程的方法，该方法符合国际标准SAE J3061和ISO 26262，并考虑了驾驶自动化水平。它将系统理论过程分析方法纳入自动驾驶汽车的功能安全分析，并使用六步模型作为支撑，实现整个自动驾驶汽车生命周期中功能安全和网络安全与成果的整合和一致。

附赠自动驾驶最全的学习资料和量产经验：链接

01.简介

自动驾驶汽车（AVs）是一种安全关键型的信息物理融合系统（CPS），这些复杂的工程系统将嵌入式软件集成到物理系统中。功能安全和网络安全是CPS的两个关键属性，它们具有相同的目标——保护系统免受不良事件的影响：失效（安全性）和蓄意攻击（安全保障）。

确保自动驾驶汽车的安全，即减少交通事故以预防伤害并挽救生命，是自动驾驶汽车开发中的首要任务。功能安全和网络安全是相互依赖的（例如，网络安全攻击可能导致功能安全故障，反之亦然），因此必须在系统开发早期阶段对它们进行对齐，以确保所需的保护级别。

尽管与其他信息物理融合系统CPS（例如发电厂或水处理系统）相比，自动驾驶可以被认为是较小或较不复杂的系统，但它们在分析功能安全和网络安全时面临着一些独特的挑战。

首先，根据国际标准SAE J3016的描述，自动驾驶分为六个不同的等级：自动驾驶（0级）到自动驾驶（5级）。这些级别描述谁（人类驾驶员或自动驾驶系统）在特定环境条件下执行驾驶任务并监控驾驶环境。因此，自动驾驶汽车的功能安全与网络安全取决于自动驾驶级别和环境条件。

其次，自动驾驶汽车AV领域相对较新，因此目前还没有专门针对AV功能安全和网络安全的国际标准。目前，人们通常使用描述道路车辆功能安全的ISO 26262标准来进行自动驾驶车辆的安全性分析。但是，ISO 26262标准可能对自动驾驶车辆来说不完全适用，ISO 26262分别解决了车辆每个功能或多个组合系统（item）的安全性，驾驶员对功能之外的所有事物负责。这对于自动驾驶汽车来说还不够。然而，在自动驾驶汽车中，必须始终确保功能安全，尤其是车内没有驾驶员的高级自动驾驶级别时。

此外，ISO 26262推荐的危害分析技术，例如故障树分析(FTA)和失效模式和影响分析(FMEA)，在识别复杂的软件密集型E/E系统的系统性与交互相关问题方面无效。鉴于此，最近的一些工作采用了一种相对较新的危害分析技术，即系统理论过程分析（STPA），以补充ISO 26262，以进行更全面的自动驾驶安全分析。

为了解决车辆网络安全需求，制定了SAE J3061标准。它定义了汽车信息物理融合系统的网络安全生命周期。然而，SAE J3061中定义的网络安全生命周期类似于ISO 26262中描述的车辆功能安全生命周期，因此它不足以进行AV网络安全分析。

我们如何以一致的方式分析自动驾驶车辆（AV）的功能安全和网络安全，并提供所需的保护水平？在我们之前的工作中，我们提出了一个用于信息物理融合系统CPS功能安全和网络安全建模与分析的六步模型。它包含了CPS的六个维度（层次），即功能、结构、失效、功能安全对策、网络攻击和网络安全对策。此外，它使用关系矩阵来模拟这些维度之间的相互依赖性。六步模型使CPS的功能安全性和网络安全的综合分析成为可能，因为它利用系统功能和结构作为基础以理解失效和攻击对系统的影响。此外，我们提出了一个初步方法，用于应用六步模型进行AV的功能安全和网络安全分析。

在本文中，我们扩展了提出的初步方法，使用系统理论过程分析（STPA）方法和六步模型，使得能够对自动驾驶车辆（AV）的功能安全和网络安全进行全面分析。该方法符合国际标准SAE J3061和ISO 26262。

本文的其余部分结构如下。第2节介绍了准备工作。第3节解释了所提议的方法，第4节包含六步模型示例。最后，第5节总结了本文并描述了我们未来的工作。

02.准备工作

本节介绍AV、其功能安全和网络安全分析、六步模型和STPA方法。

A.自动驾驶汽车的主要术语和定义

在道路上驾驶车辆所需的操作和决策，包括对车辆进行横向和纵向运动方向的操作、监控驾驶环境、对象和事件响应执行、机动规划以及通过照明、信号等增强醒目性。这些功能统称为动态驾驶任务（DDT）。自动驾驶系统根据AV的驾驶自动化水平，执行整个或部分DDT。除了DDT之外，自动驾驶汽车还实施了DDT接管——使得驾驶员或自动驾驶系统在意外情况下，例如在高速公路上的交通堵塞期间，能够接管整个DDT的执行。

国际汽车工程师协会（SAE）制定了一项国际标准SAE J3016，来描述车辆驾驶自动化的水平。该标准已被美国国家公路交通安全管理局（NHTSA）等国际组织广泛采用。

表1.驾驶自动化水平

驾驶自动化分为六个级别（见表1）：

•0级——驾驶员执行整个DDT。

•1级——自动驾驶系统可以协助驾驶员执行横向或纵向车辆运动，同时驾驶员监控驾驶环境并执行其余的DDT。

•2级——自动驾驶系统执行车辆的横向和纵向运动，而驾驶员监控驾驶环境并执行其余的DDT。

•3级——自动驾驶系统可以执行整个DDT，但驾驶员必须准备好在自动驾驶系统请求时收回控制权。

•4级——没有驾驶员；自动驾驶系统执行整个DDT，但它只能在特定环境和特定条件（驾驶模式）下运行。

•5级——没有驾驶员；自动驾驶系统在驾驶员可以执行的所有环境和所有条件下执行整个DDT。

3-5级车辆被称为高度自动化车辆，因为它们的自动驾驶系统（而不是驾驶员）负责监控驾驶环境。此外，1-4级车辆仅在特定环境和特定条件下运行，而5级车辆则在所有环境和条件下运行。

AV功能可分为三大类：感知（感知车辆运行的外部环境/背景）、决策和控制（相对于感知到的外部环境/背景对车辆运动进行决策和控制）以及车辆平台操纵（车辆的传感、控制和驱动，以实现所需的运动）。用于描述AV功能和功能接口的国际标准SAE J3131在开发中。

AV结构架构由两个主要系统组成：a）认知驾驶智能，实现感知和决策控制功能；b）车辆平台，负责车辆平台操纵。每个系统由组件组成，这些组件属于四大组：硬件、软件、通信和人机界面。详细信息请参见第4节。

B.六步模型

在我们早期的工作中，我们提出了一个六步模型来实现信息物理融合系统CPS功能安全和网络安全的全面分析。该模型通过以下六个步骤构建（见图1）：

1）第一步旨在对系统的功能层次结构进行建模。这些功能是使用目标树（GT）来定义的，目标树是从目标（功能目标）开始构建的，然后定义实现该目标所需的功能和子功能。关系矩阵F-F用于定义功能之间的关系，可以是高、中、低或非常低。

2）第二步，系统的层次结构使用成功树（ST）定义，将系统的结构描述为子系统和单元的集合。此外，使用关系矩阵S-F定义结构和功能之间的关系，如图1所示。

图1.六步模型

3）第三步重点是安全危害分析。在这一步中，识别系统的失效并将其添加到模型中。此外，还识别了失效、系统结构和功能之间的关系，并添加相应的关系矩阵B-B、B-S和B-F。

4）第四步重点是网络安全威胁分析。在这一步中，识别攻击并将其关系矩阵加入模型，以描述攻击、失效、结构和功能之间的关系。关系矩阵A-B（攻击-失效）用于确定可能由成功的攻击触发的失效。

5）第五步，将功能安全对策添加到模型中，并识别它们的关系。矩阵X-A和X-B显示功能安全对策对攻击和失效的覆盖范围，其中白色菱形表示较低的攻击/失效的保护；灰色菱形——中等防护；黑色菱形——全面保护（见图1）。

6. 最后，在最后一步中，将网络安全对策添加到模型中。与上一步中的矩阵X-A和X-B类似，添加了两个新矩阵Z-A和Z-B以定义网络安全对策的攻击和失效的覆盖范围。此步骤中添加的网络安全对策可用于保护系统免受功能安全对策未涵盖的攻击和失效。此外，矩阵Z-X用于捕获功能安全和网络安全对策之间的相互依赖关系，例如强化、对抗、条件依赖和独立性。

完成步骤5和6后，重要的是分析系统结构是否发生任何变化，因为某些对策可能需要使用额外的组件，例如传感器或控制器。如果发生变化，则需要返回步骤2添加新组件，然后重复步骤3-6。

通过步骤1-6构建的六步模型，通过形成六个系统层次（功能、结构、失效、攻击以及功能安全和网络安全对策）关系的六边形结构，如图2所示这些关系有助于确保这些层次结构之间的一致性，并且必须在整个系统的生命周期中保持。

图2.六步模型的层次结构之间的关系

C.AV功能安全分析

ISO 26262标准定义了汽车电子电气（E/E）安全相关系统在整个生命周期内的功能安全。它旨在解决E/E系统故障行为可能造成的危害。安全过程由概念、产品开发、生产、运营、服务和退役等几个阶段组成。危害分析和风险评估（HARA）在概念阶段进行，在此阶段识别危害事件、安全风险和安全目标。这些安全目标进一步细化为安全要求，并设计和实施安全对策。在HARA过程中可以使用故障树分析来识别可能导致高级危害事件的条件和事件。故障树将顶层危害事件细化为中间事件和基本事件，中间事件和基本事件通过AND和OR逻辑门互连。

然而，由于ISO 26262要求车内有人类驾驶员来应对意外的环境和条件，因此它可能不合适低等级或高等级自动驾驶。事实上，人们已经提出了各种方法来补充ISO 26262标准，以确保AV等复杂软件密集型E/E系统的安全。例如，强调了充足的相关项定义的重要性；请注意，根据ISO 26262标准，相关项定义是危害分析和风险评估(HARA)流程的先决条件。

传统上，相关项仅提供一种功能，例如转向和制动，相关项与其他实体的交互引起的失效通过设计简单消除。相比之下，自动驾驶汽车的相关项可能提供多种功能（例如，复杂的制动系统，其中包括再生制动），因此定义它需要更仔细的考虑。有鉴于此，研究人员基于目标结构表示法对相关项定义进行建模。

考虑不全面的相关项定义最终会导致安全目标(SG)考虑不全。这样的SGs即使在系统无故障时（例如，完全没有传感器故障）也可能被违反。ISO有一个名为预期功能的安全（SOTIF）的工作组，旨在提供处理此类违规的指导。研究人员建议相关项定义应该是迭代过程的产物，该过程包括三个步骤：（1）进行HARA分析，其中使用通用操作情况和危害树来生成危害事件（HEs）列表，并根据最后一次迭代更新的功能范围和要求（SRF）更新树；（2）基于所述的一组规则来识别HEs的范围；（3）根据确定范围的HEs细化SRF。一旦HEs和SRF成熟（基于某些标准），用于创建安全目标和相关项定义，迭代过程就结束了，然后将其输入到功能安全概念阶段。

考虑不完全的相关项定义会导致安全需求（例如，功能安全需求（FSRs）和技术安全需求（TSRs））不完整。研究人员声称任何相邻安全需求级别之间存在显著差距（例如，SG与其相应的FSR之间，以及FSR与其相应的TSR之间）。这种差距需要复杂的理由来验证这些需求的完整性和正确性。因此，他们建议对每个安全需求级别进行一定程度的细化。例如，在推导其FSR之前，先制定一个高级别的安全需求。SG被分解为多个较低级别的SG，以缩小差距，从而简化基本原理和验证。

此外，为自动驾驶车辆（AV）指定危害事件（HEs）。传统上，在汽车行业中，通过使用ISO 26262推荐的危害分析技术，如故障树分析（FTA）和故障模式及效应分析（FMEA），来识别HEs。从本质上，这些传统技术基于简单的线性事件链事故因果关系模型，最初是为主要由随机硬件故障引起安全问题的系统设计的；它们不适合自动驾驶汽车，除了硬件失效之外，自动驾驶汽车还可能因软件错误、交互功能失调等而受到损害。

最近，一种名为STPA的相对较新的危险分析技术在各个领域的研究人员和从业者中越来越受欢迎，用于工程化复杂系统的安全性。STPA是基于STAMP（系统理论事故模型和过程）开发的，STAMP是一种新的事故因果模型，将复杂系统的安全性视为系统控制问题，而不是组件失效或可靠性问题。它的目的是识别不充分的控制场景，这可能导致不必要的损失/事故，然后制定详细的安全约束来避免/减轻这种情况。请注意，不充分的控制可能由于人为错误、功能失调的交互、软件失效等而发生。事实上，STPA不仅能够识别FTA识别的所有危害/不安全场景，还能够识别FTA无法识别的场景。

为了更全面地满足自动驾驶汽车的安全需求，研究人员提出将STPA集成到ISO 26262的概念阶段。图3说明了STPA和ISO 26262概念阶段之间的集成，它由五个主要阶段组成 :

图3.将STPA集成到ISO 26262的概念阶段

1)执行STPA的步骤0。首先，确定可能发生在自动驾驶时的事故。其次，识别可能导致已识别事故的高级系统危害。第三，定义用于减轻/避免已识别危害的高级安全约束。最后，绘制系统级控制结构——系统功能框图，其中显示了系统的主要组件及其接口和边界。

2)在ISO 26262概念阶段利用STPA步骤0的输出。首先，从控制结构中提取的信息有助于更精确的相关项定义。其次，利用事故清单推导出运行情况和模式。第三，识别的危害和推导出的操作情况结合起来形成危害事件（HEs）。第四，考虑高级安全约束来制定HEs的安全目标。

3)执行STPA的步骤1。首先，从系统功能框图中识别控制动作。其次，检查控制措施是否可能不安全（即导致一些先前识别的危害或额外的危害），如果没有提供，或不正确提供，或不及时提供，或停止/应用太早/太久。然后，通过使用“应该”、“必须”等引导词将不安全的控制行为转化为安全约束，这也可以用于细化先前确定的安全约束。

4)执行STPA的步骤2。首先，根据系统功能框图识别不安全控制行为的因果场景。其次，针对已识别的因果场景得出新的或更详细的安全约束。

5)在ISO 26262概念阶段利用STPA第2步的输出。最终确定的详细安全约束被输入到ISO 26262的功能安全概念中，以得出功能安全要求。

D.AV网络安全分析

SAE J3061是一项车辆网络安全标准，它是以ISO 26262标准为基础开发的。因此，两个标准都包含相似的阶段。SAE J3061定义的安全流程包括概念、产品开发以及生产和运营阶段。在概念阶段进行威胁分析和风险评估（TARA），定义威胁、安全风险和安全目标。在产品开发阶段，根据安全目标定义安全需求，并制定网络安全对策。

攻击树分析通常用于执行TARA。它有助于确定攻击者可能采取的导致顶级威胁的潜在路径。攻击树是一个图，其中节点代表攻击事件，边代表通过系统的攻击路径，可以使用and和OR门连接。

行为图，如数据流图（DFD）和信息流图（IFD），可用于识别要包含在攻击树分析中的攻击。DFD包括过程、数据流和数据存储等元素，用于模拟软件组件之间的数据流。IFD包括单元及其之间的信息流，可用于模拟软件和硬件组件之间的信息流，如执行器、控制器、传感器等。我们提出了一种使用六步模型生成IFD的方法，以识别对CPSs的可能攻击。

03.集成自动驾驶汽车功能安全和网络安全的分析方法

本节提出了一种集成自动驾驶功能安全和网络安全分析的方法，该方法使用六步模型和STPA方法，并符合国际标准SAE J3016、SAE J3061和ISO 26262。

图4描述了所提出的方法，并展示了六步模型的各个步骤与自动驾驶车辆定义和设计、功能安全分析、网络安全分析过程中的各种工件之间的关系。

AV六步模型的步骤按以下顺序执行：

•步骤(1)和(2)。自动驾驶功和功能系统（结构）是在自动驾驶定义和设计过程中定义的。因此，AV功能和结构层次结构及其关系被定义并添加到六步模型中。功能和结构将根据功能安全和网络安全分析的结果不断更新。

•步骤(3)和(4)。这些步骤对应于AV漏洞（危害和威胁）分析。在安全方面，执行HARA（由ISO 26262定义）和STPA以识别和评估危害事件，并定义AV功能安全要求。在危害分析阶段结束时，将在安全要求中考虑失效，从故障树中提取并添加到六步模型中（步骤(3)）。在安保方面，执行TARA（如SAE J3061所定义）是为了评估安全威胁并得出AV网络安全要求。步骤（2）中定义的AV结构层次可用于定义攻击面和构建信息流模型，这有助于识别可能的攻击并构建攻击树，如第2-D节所述。然后评估与每次攻击相关的风险，并定义网络安全需求。与失效类似，网络安全需求中包含的攻击从攻击树中提取，并添加到六步模型中（步骤（4））。攻击、失效、功能和结构之间的关系也被添加到六步模型中。

•步骤(5)和(6)。在这些步骤中，选择功能安全和网络安全对策并将其添加到模型中，以及它们与模型其余元素的关系。在功能安全方面，将功能安全需求细化为技术需求，并设计相应的对策来满足这些需求。同样，在网络安全方面，网络安全需求被分解为网络安全的技术需求。双方的对策都被添加到六步模型中，以分析它们与模型其余元素的关系。特别是，这些矩阵可用于确保确实需要每种对策（解决未完全涵盖的攻击/失效）矩阵X-A、X-B、Z-A和A-B中所示的任何其他对策，并且对策之间不存在矛盾（矩阵Z-X）。

在步骤(1)-(6)中构建的AV六步模型是AV漏洞分析的支柱。它支持三个AV 流程，即AV定义和设计、AV功能安全分析和AV网络安全分析，如图4所示。此外，它还支持在整个AV生命周期中开发的功能安全和网络安全工件的集成（例如失效、攻击、功能安全和网络安全对策）纳入AV功能和结构层次结构中，以确保其一致性和完整性。

图4.作为集成AV功能安全和网络安全分析支柱的六步模型

AV六步模型必须在整个AV生命周期中得到维护。这对于安全分析尤其重要，因为新的威胁不断被识别并必须进行分析。

04.AV的六步模型示例

本示例描述了一个高度自动化的AV。其六步模型如图5所示。由于篇幅限制，图5中仅包含了六步模型的部分内容。此外，图中仅展示了元素之间的高度关联关系。

本示例中描述的自动驾驶执行三个主要的自动驾驶功能，即感知、决策和控制以及车辆平台操纵，如第2-A节中所述。感知功能可以进一步分解为感知、传感器融合、定位、语义理解和世界模型。这些功能被添加到六步模型的顶部，并识别它们之间的相互关系，如图5步骤（1）所示。

图5.AV六步模型的示例

AV实现自动驾驶功能的主要系统有：认知驾驶智能、车辆平台和通信系统。认知驾驶智能包括车载计算机和用于感知环境的外部传感器，例如激光雷达（LIDAR）、摄像头和超声波雷达。车辆平台包括控制器 (ECU) 和执行器，用于实现所需的运动。通信系统包括车载和V2X（车对车、基础设施和人）通信网络。在本例中，仅考虑车内通信。所有这些结构元素都在步骤(2)中添加到模型中。

在步骤（3）和（4）中，我们向六步模型添加了失效和攻击。在此示例中，我们描述了激光雷达失效和攻击。激光雷达结合摄像头用于自动驾驶汽车的导航。与其他传感器一起提供执行AV定位功能（确定车辆相对于周围环境的位置）所需的信息。激光雷达包括以下部件：激光镜头过滤器、接收器、电源调节器、旋转镜等。

在此示例中，激光雷达通过以太网连接到车载计算机以发送其读数。

故障树通常用于安全分析，如第2-C节中所述。图6显示了激光雷达故障树的示例。顶级不良事件是定位失效，它使用激光雷达读数与其他传感器结合进行AV定位。因此，如果激光雷达或其他传感器发生故障，则可能会发生定位失效。激光雷达失效可以进一步分解为电子失效、激光雷达组件失效或激光雷达通信失效，如图6所示。在故障树分析结束时，将失效添加到六步模型中。由于篇幅限制，图5 中仅显示了高级激光雷达失效。

图6

STPA可用于补充AV功能安全分析，并有助于识别故障树未捕捉到的失效，如第2-C节所述。图7描述了典型AV的高级控制结构，这是STPA中识别可能导致危害或危害事件的不充分控制的前提。图7中所示的箭头表示组件之间的控制关系。例如，传感器（例如，激光雷达）将其读数发送到计算机计算目，随后计算机命令ECU相应地操纵车辆的运动。每种控制可以通过四种不同的方式进行评估（即未提供、提供不正确、提供不及时和停止/应用过快/过长）。例如，如果没有提供激光雷达读数，那么由计算机执行的、依赖于激光雷达读数的定位很可能会失败。相应的安全约束条件是“计算机必须始终接收激光雷达读数”。然后，需要识别每个不充分控制可能发生的方式。例如，计算机没有接收到来自激光雷达的数据，因为它与以太网断开了连接。因此，相应的安全约束将是“激光雷达必须始终连接到计算机”。当然，可以绘制更多的低级控制结构图，以显示组件及其相应子组件之间更明确的交互；因此，可以更明确地推导出不安全的控制行为及其因果场景（故障）以及相应的安全约束。在综合安全分析结束时，故障和安全对策，以及更新的结构和功能，被添加到六步模型中。

图7.AV的高级控制结构图

攻击树可用于安全分析，如第2-D节中所述。它们显示了通过系统的攻击路径。图8显示了激光雷达攻击树的示例。从图8中我们可以看到，攻击者可以对激光雷达执行网络或直接物理攻击。为了执行网络攻击以改变激光雷达读数，攻击者可以使用以太网，因为激光雷达连接到以太网。可以对传感器读数执行两种常见类型的攻击：欺骗和拒绝服务(DoS)。欺骗攻击用于修改传感器读数，而DoS攻击——阻止车载计算机及时接收读数。或者，攻击者可以访问机载计算机并修改机载计算机接收到的激光雷达读数，如图8所示。来自激光雷达攻击树（图8）的信息被添加到步骤（4）中的六步模型中（见图5）。

图8.LIDAR攻击树示例

从图5中我们可以看出，激光雷达失效或攻击影响的主要功能是感知功能。此外，激光雷达攻击与失效之间存在很强的关系，激光雷达攻击与以太网密切相关（即攻击者可以通过以太网攻击激光雷达）。

为了减轻传感器攻击和失效，需要提供传感器冗余并执行传感器融合。激光雷达、毫米波雷达和摄像头的组合可以在大多数环境条件下提供良好的AV任务覆盖范围。在模型的步骤（5）中将毫米波雷达添加为安全对策。当激光雷达发生失效时，毫米波雷达和摄像头仍然能够对驾驶环境进行感知。

网络安全的应对措施：多个激光雷达或V2X通信来比较目标车辆与附近车辆的测量结果。然而，由于激光雷达的成本较高，本AV中没有考虑多个激光雷达。此外，此AV示例中没有V2X通信。如果车辆具有V2X通信，则可以通过交叉比较附近车辆的激光雷达读数来检测激光雷达攻击。

各种激光雷达攻击检测和缓解方法可以在机载计算机内部实现，例如，通过比较将激光雷达读数与毫米波雷达和摄像头读数来检测激光雷达攻击，而缩短或随机化的激光雷达扫描间隔有助于防止攻击。在图5中，添加了一种网络安全的应对措施“使用毫米波雷达和摄像头读数的激光雷达攻击检测方法”。另一种应对措施“以太网访问控制”用于防止激光雷达攻击。

矩阵X-A、X-B、Z-A、Z-B和Z-X对于集成功能安全和网络安全分析非常有用。X-B显示毫米波雷达可以部分覆盖激光雷达失效，因为毫米波雷达无法完全替代激光雷达。Z-A和Z-B表明激光雷达攻击检测方法不仅能够覆盖激光雷达攻击，还能够覆盖失效，因为它将检测损坏的激光雷达读数，这在任何一种情况下都可能发生。最后，矩阵Z-X显示了功能安全和网络安全对策之间的相互依赖关系。从图5中我们可以看出，毫米波雷达（功能安全应对措施）和激光雷达攻击检测方法（网络安全应对措施）存在条件依赖关系（用x表示），即为了实现攻击检测方法，我们需要一个毫米波雷达；而毫米波雷达和以太网访问机制相互加强。

由于新的结构组件毫米波雷达已在步骤(5)中添加到模型中，因此有必要返回步骤(2)将其包含到AV结构层次结构中并建立其与模型其余元素的关系。

05.结论和未来工作

本文提出了一种符合国际标准SAE J3016、SAE J3061和ISO 26262的AV功能安全和网络安全综合分析方法。STPA方法被整合到ISO 26262的概念阶段中，以获得更准确和详细的功能、失效和安全对策列表。所提出的方法使用六步模型，在整个AV生命周期内实现并保持功能安全和网络安全工件之间的集成和一致性。六步模型包含了AV的六个层次，即功能、结构、失效、攻击、功能安全对策和网络安全对策。为了展示所提出方法的有用性，本文包含了一个AV六步模型的示例。未来的工作将包括改进所提出的方法，以促进其在工业中的应用和其他研究人员的使用。此外，我们目前正在将所提出的方法扩展到交通系统（系统体系）级别。