|
|
ISO 26262, ISO 21448, ISO 21434是智能汽车三大安全标准,三者共同构成智能网联汽车完整安全体系:ISO 26262(功能安全)是底座、ISO 21448(预期功能安全 SOTIF)是智驾核心、ISO 21434(网络信息安全)是外部防护。下面按最全维度整理对比表格:
一、基础信息总览表
对比维度 | ISO 26262(功能安全 Functional Safety) | ISO 21448(预期功能安全 SOTIF) | ISO/SAE 21434(网络信息安全 Cybersecurity) | | 标准全称 | Road vehicles — Functional safety | Road vehicles — Safety of the intended functionality | Road vehicles — Cybersecurity engineering | | 现行版本 | ISO 26262:2018(第二版) | ISO 21448:2022 | ISO/SAE 21434:2021 | | 国内对应国标 | GB/T 34590 | GB/T 41912 | GB/T 44661、UN R155 强制法规 | | 发布时间 | 2011 初版,2018 更新 | 2019 初版,2022 正式版 | 2021 年 8 月正式发布 | | 行业定位 | 汽车 E/E 系统安全母标准、基础底座 | 高等级 ADAS / 自动驾驶专属核心标准 | 智能网联汽车外部安全防护标准 | | 通俗一句话 | 防 ** 系统坏了(失效)** 出事 | 防系统没坏,但能力不够出事 | 防被外部恶意攻击出事 |
二、核心原理 & 风险来源详细对比
对比维度 | ISO 26262(功能安全) | ISO 21448(SOTIF 预期功能安全) | ISO/SAE 21434(网络安全) | | 风险本质 | 系统失效风险:硬件随机失效、软件系统性失效、故障、错误、失灵 | 功能不足风险:系统完全无故障、正常运行,但性能 / 算法 / 场景能力不足、感知局限、决策缺陷、可预见误用 | 恶意人为风险:外部主动攻击、未授权入侵、漏洞利用、篡改、劫持、数据泄露 | | 事故前提 | 系统发生故障、偏离设计逻辑 | 系统正常完好、完全按设计运行,只是能力边界不足 | 系统本身完好,被外部恶意突破防护 | | 典型风险场景 | 制动控制器硬件故障、ECU 死机、软件 BUG 导致误加速 / 不制动 | 强光逆光识别障碍物失败、雨雾感知降级、弯道预判不足、AEB 漏刹、算法边界盲区、驾驶员误用 | 黑客入侵 CAN 总线、远程劫持车辆、篡改智驾固件、偷取车辆数据、恶意控制刹车转向 | | 解决逻辑 | 故障检测→容错→安全降级→失效安全(Fail-safe) | 场景识别→性能优化→边界约束→人机接管→降低未知场景风险 | 攻击防护→漏洞管控→入侵检测→应急响应→纵深防御→安全更新 |
三、适用范围 & 管控对象对比
对比维度 | ISO 26262(功能安全) | ISO 21448(SOTIF) | ISO/SAE 21434(网络安全) | | 适用系统 | 全车所有安全相关 E/E 系统:底盘(制动 / 转向)、动力、气囊、车身、ADAS 基础控制、BMS 等 | 仅限 ADAS、自动驾驶、感知 / 决策算法系统(L2~L4);不适用传统车身底盘基础电控 | 全车所有联网 E/E 系统:网关、车云通信、OTA、智驾域、车载以太网、CAN/LIN、T-BOX、诊断接口、数据平台 | | 管控对象 | 硬件芯片、ECU、基础软件、操作系统、安全监控机制、故障逻辑 | 传感器、感知算法、融合算法、决策规划、场景库、人机交互 HMI、接管策略、环境适应性 | 通信协议、网络架构、固件、密钥、访问权限、漏洞、OTA 升级、数据、诊断安全、服务器云端安全 | | 车辆范围 | ≤3.5t 乘用车、商用车、摩托车 | 主要乘用车高等级自动驾驶 | 所有道路联网车辆 |
四、分级体系、方法论、核心指标对比
对比维度 | ISO 26262(功能安全) | ISO 21448(SOTIF) | ISO/SAE 21434(网络安全) | | 风险分级体系 | ASIL 分级(A/B/C/D):严重性 S、暴露率 E、可控性 C;D 最高、A 最低 | 无 ASIL;采用SOTIF 风险等级(低 / 中 / 高),基于危害场景概率 & 严重度评估 | TARA 分级:威胁等级、攻击可能性、影响严重度;定义网络安全等级 CSR | | 核心分析方法 | HARA 危害分析、FMEA 故障模式、FTA 故障树、DFA 相关失效、V 模型开发、故障注入测试 | HARA 场景危害分析、场景库建模、场景风险评估、边界分析、极端环境验证、仿真测试、道路实测覆盖 | TARA 威胁分析与风险评估、攻击面分析、漏洞分析、纵深防御设计、渗透测试、应急演练 | | 开发模型 | 严格V 模型开发(需求→设计→软硬件→测试验证) | 场景驱动迭代开发 + V 模型结合;持续场景更新优化 | 全生命周期网络安全管理体系 CSMS+V 模型 + 持续漏洞运维 | | 核心量化指标 | PMHF 硬件随机失效概率、单点故障指标 SPFM、潜在故障指标 LPFM、故障覆盖率 | 场景覆盖率、误触发率、漏响应率、感知准确率、边界场景风险值、接管成功率 | 攻击面大小、漏洞等级、修复时效、入侵检测率、加密强度、访问权限合规率 | | 安全策略 | 故障安全 Fail-safe、故障运行 Fail-operational、冗余备份、故障诊断、安全监控 | 性能限制、场景降级、人机接管预警、算法鲁棒性优化、环境适应性提升、已知边界约束 | 纵深防御、最小权限、加密认证、漏洞闭环管理、安全 OTA、入侵防御、数据脱敏、应急响应 |
五、生命周期、合规要求、协同关系对比
对比维度 | ISO 26262(功能安全) | ISO 21448(SOTIF) | ISO/SAE 21434(网络安全) | | 生命周期覆盖 | 概念→开发→生产→运维→报废全生命周期固定要求;量产前必须完成合规认证 | 概念→开发→仿真测试→道路实测→量产持续迭代优化;无法一次性完全闭环,需持续数据更新 | 概念→开发→运维→漏洞管理→OTA 更新→报废全生命周期动态管理;需持续合规、定期审计 | | 合规性质 | 全球强制量产准入要求;各国法规强制采纳 | L3 及以上自动驾驶法规强制要求;L2 + 强烈推荐 | 全球强制法规(UN R155);所有联网车辆必须合规 | | 三者协同关系 | 底层基础:没有 26262,21448/21434 全部无效;系统先保证不坏,再保证好用、不被攻击 | 上层延伸:弥补 26262 覆盖不到的无失效功能不足;与 26262 联合完成智驾完整安全 | 外围防护:保护 26262、21448 的设计成果不被恶意破坏篡改 |
六、一句话总结三者区别
- ISO 26262:管系统故障—— 车自己坏了怎么办
- ISO 21448:管功能性能—— 车没坏但不够聪明怎么办
- ISO 21434:管外部攻击—— 别人恶意搞破坏怎么办
部分相关:
ISO 26262, ISO 21448, ISO/SAE 21434, A-SPICE, TISAX, GDPR,Penetration test
https://www.pinzhi.org/thread-80521-1-1.html
ISO26262:2018系列标准 ISO 26262-1:2018, ISO 26262-2, 3, 4, 5, 6, 7, 8, 9, 12
https://www.pinzhi.org/forum.php?mod=viewthread&tid=67196
ISO 26262标准族: GB/T 34590-2017道路车辆功能安全-1.2.3.4.5.6.7.8.9.10
https://www.pinzhi.org/forum.php?mod=viewthread&tid=60987
ISO26262-2018 道路车辆功能安全管理培训(高级课程).pdf
https://www.pinzhi.org/thread-100744-1-1.html
ISO26262道路车辆功能安全【中文版】 85页
https://www.pinzhi.org/thread-58995-1-1.html
ISO_SAE_21434_2021 中文译文及工程师专题培训教材 PDF
https://www.pinzhi.org/thread-89846-1-1.html
ISO/SAE 21434 Automotive Cybersecurity
https://www.pinzhi.org/thread-80478-1-1.html
ISO/SAE 21434《道路车辆-信息安全工程》解读
https://www.pinzhi.org/thread-75464-1-1.html
ISO/SAE 21434:2021《道路车辆-网络安全工程》发布 内容及框架
https://www.pinzhi.org/thread-74447-1-1.html
《ISO 21448 与 ISO 26262 开发流程映射》 By 刘逸恒
https://www.pinzhi.org/thread-81574-1-1.html |
|
发表于 
发表于 
发表于 