[Paper] LLM 驱动的功能安全与安全设计在汽车系统中

Source: arXiv - 2601.02215v1

概述

作者提出了一种新颖的工作流，利用大型语言模型（LLMs）来简化 Software‑Defined Vehicles (SDVs) 的开发。通过将 LLM 与形式化安全模型和模型驱动工程相结合，该方法解决了两个关键痛点：设计安全的系统拓扑 和 自动验证面向事件的安全代码，适用于诸如 CAN 等汽车控制网络以及新兴的 Vehicle Signal Specification (VSS)。

关键贡献

• LLM‑增强的设计助理，用于使用模型驱动工程（MDE）和 OCL 约束生成和检查具备安全意识的车辆系统拓扑。
• 事件链形式化，捕获 ECU 之间消息流的语义，实现对 CAN 和 VSS 消息的系统功能安全验证（ISO‑26262）。
• 端到端工作流，将高级架构模型与低层源码分析相连接，利用 LLM 提取自然语言规格并生成规则。
• 原型实现，在真实的 ADAS 用例上进行评估，展示了本地可部署的开源堆栈和专有解决方案。
• 实证证据表明，LLM 驱动的流水线在保持功能安全标准合规性的同时，降低了安全/安全审查的人工工作量。

方法论

1. 模型驱动拓扑设计

   • 工程师使用领域特定语言描述车辆的逻辑架构（ECU、通信总线、VSS 数据模型）。
   • 大语言模型解析这些文本规范，并自动生成 UML/MDE 模型，其中加入 对象约束语言（OCL） 规则，以编码安全策略（例如身份验证、隔离）。

2. 事件链构建

   • 系统的运行时行为被抽象为 事件链——组件之间交换的有序消息序列。
   • 每条链都标注有 语义前置和后置条件，这些条件来源于 VSS 本体和 CAN 信号定义。

3. 安全性与安全分析

   • 大语言模型帮助将自然语言的安全需求（例如 “刹车指令必须在 10 ms 内得到确认”）翻译为正式的 时序逻辑 约束。
   • 静态分析引擎检查事件链模型是否满足这些约束，标记出如缺少确认或未经授权的消息路径等违规情况。

4. 工具链集成

   • 该工作流可接入现有的汽车开发流水线（例如 AUTOSAR、ROS‑2），并且可以 本地（开源）运行，或作为 专有 SaaS 提供。

结果与发现

该研究表明，LLM 辅助分析 能够捕获传统静态分析工具遗漏的细微安全和安全漏洞，尤其是涉及跨总线消息语义（CAN ↔ VSS）的情况。此外，该方法能够在不成比例增加人工审查工作量的前提下，扩展到复杂的 ADAS 堆栈。

实际意义

• 更快的上市时间：自动化拓扑安全检查和安全验证可将 SDV 项目验证阶段的时间缩短数周。
• 降低工程成本：通过将常规规则生成和合规检查交给 LLM，团队可以将高级工程师重新分配到更高影响力的设计工作上。
• 提升安全保障：形式化的事件链分析确保安全关键消息在异构总线系统中保持其预期语义，这是现代车辆中隐藏缺陷的常见来源。
• 无缝集成：工作流可嵌入现有 CI/CD 流水线，实现代码演进过程中的持续安全/安全性验证——这对空中下载（OTA）更新至关重要。
• 供应商中立的工具：开源版本为 OEM 和 Tier‑1 供应商提供了一种成本有效的方式，采用 LLM 驱动的安全工程，而无需锁定在单一供应商生态系统中。

限制与未来工作

• LLM 幻觉：模型有时会生成不准确的 OCL 约束或误解模糊的自然语言需求，需要人工进行合理性检查。
• 形式化验证的可扩展性：虽然事件链模型对当前 ADAS 模块是可处理的，但扩展到整车架构可能需要组合验证技术。
• 领域特定训练数据：LLM 的性能依赖于汽车专用语料库；更广泛的采用将受益于涵盖新标准（如 AUTOSAR Adaptive、VSS 2.0）的精选数据集。
• 安全威胁建模：当前工作侧重于拓扑约束；未来的扩展可以直接从 LLM 提示生成威胁模型（例如 STRIDE）。

总体而言，本文展示了将 LLM 与形式化汽车安全工程相结合的有力蓝图，为构建下一代互联、软件定义车辆的开发者带来显著的生产力提升。

作者

• Nenad Petrovic
• Vahid Zolfaghari
• Fengjunjie Pan
• Alois Knoll

论文信息

• arXiv ID: 2601.02215v1
• 类别: cs.SE, cs.AI
• 出版日期: 2026年1月5日
• PDF: 下载 PDF