自動駕駛信任案例：ISO/SAE 21434合規之外的完整安全論據框架

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）指出，挪威學者 Jenssen、Myklebust 與 Stålhane 於 2023 年發表的研究揭示一個關鍵盲點：現行 ISO/SAE 21434 所要求的安全保證案例與功能安全案例，均無法涵蓋自動駕駛車輛取得公眾信任所需的「信任案例（Trust Case）」——研究發現信任與安全兩者在統計上並不相關，這意味著台灣汽車供應鏈廠商若僅依賴合規文件，可能在客戶與市場端留下無法量化的信任缺口。

關於作者與這項研究

本論文由三位挪威研究者共同撰寫：Gunnar Jenssen 長期深耕自動駕駛車輛安全與公眾信任領域，Thor Myklebust 為挪威 SINTEF 研究機構的功能安全專家，在鐵路與車用安全標準制定上具有直接貢獻，Tor Stålhane 則是 NTNU（挪威科技大學）軟體工程教授，研究重點涵蓋需求工程與安全案例方法論。三人組合了學術嚴謹性與業界標準的實作深度，使本論文在安全案例（Safety Case）與網路安全案例（Cybersecurity Case）的跨領域研究上具有相當的可信度。

本論文發表於 2023 年 RAMS（Reliability and Maintainability Symposium），DOI 為 https://doi.org/10.1109/rams51473.2023.10088202，目前已被引用 3 次，其中 1 次為高影響力引用。論文提出的「Trust Case」框架是對 ISO/SAE 21434 等現行標準的重要補充，並參照 EN TS 50701:2021（鐵路網路安全技術規範）的附錄 G 架構，提出跨產業的案例設計方法。

「安全合規」與「公眾信任」之間：自動駕駛的完整圖像

本研究的核心問題是：當一輛自動駕駛巴士取得了所有必要的安全認證，它是否就能被乘客、監管機構與社會大眾所信任？研究者的答案明確而令人警醒——不一定。

核心發現一：信任與安全在統計上不相關

透過文獻研究、焦點團體訪談與問卷調查，Jenssen 等人發現：民眾對自動駕駛車輛的「信任感」與車輛本身的「安全表現」之間並不存在穩定的正相關。換言之，即便車輛完全符合功能安全標準（如 ISO 26262）與車輛網路安全標準（如 ISO/SAE 21434），仍無法自動轉換為公眾信任。這一發現挑戰了「合規即信任」的普遍假設，對自動駕駛車輛的商業化推進具有深遠意義。

核心發現二：現行「安全案例」框架存在系統性缺口

研究者進一步指出，目前業界慣用的「安全案例（Safety Case）」與依 ISO/SAE 21434 建立的「網路安全案例（Cybersecurity Case）」，在設計上聚焦於技術性論據與法規符合性，並未涵蓋以下信任構建要素：（1）對 AI 決策邏輯的可解釋性呈現；（2）對系統失效後如何重建信任的說明；（3）以一般大眾而非技術專家為受眾的「公眾版安全案例（Safety Case for the Public）」；（4）涵蓋深度學習模型行為的透明性揭露。BSI PAS 1881:2022 已明確要求試驗組織必須發布「公眾版安全案例」，但現行多數汽車廠商尚未建立相應流程。

核心發現三：提出「信任案例（Trust Case）」作為補充框架

為填補上述缺口，研究者提出「Trust Case」的概念，作為安全案例與網路安全案例之外的第三個結構化論證框架。Trust Case 以外行人能理解的語言，呈現與信任相關的具體資訊主題，包括：系統透明度、組織問責、AI 行為邊界說明、失效後的應對機制等。這是目前國際學術界對「完整自動駕駛安全論證圖像」最系統性的補充之一。

對台灣汽車網路安全（AUTO）實務的意義：合規之外的信任建構

台灣汽車零組件供應商在追求 TISAX 認證與 ISO/SAE 21434 合規的同時，必須意識到：歐洲車廠客戶的要求正在從「合規文件齊備」轉向「可向最終用戶說明的安全論據」。這項轉變與 UNECE WP.29 法規框架下對車輛類型認證的要求方向一致，並隨著自動駕駛功能等級（ADAS/AD）在量產車型中的普及而日益迫切。

具體而言，台灣供應商目前面臨的三個實務挑戰如下：

第一，安全保證案例的建立尚未系統化。根據 ISO/SAE 21434 Clause 15 的要求，供應商應建立可追溯的安全論據體系；然而台灣多數中型供應商的現況是文件分散、缺乏結構化論證，在 Tier 1 客戶稽核時面臨補件壓力。

第二，對 AI 系統的網路安全案例建立能力明顯不足。本論文明確指出，深度學習相關的錯誤回報（如 false positive 結果導致駕駛誤判）是現行安全案例的空白地帶。台灣供應商若承接 ADAS 相關元件，必須開始建立針對 AI 感知系統的車用網路安全威脅分析（TARA）。

第三，UNECE WP.29 R155 法規已自 2024 年 7 月起對所有新型車輛全面生效，這意味著台灣供應商的歐洲客戶在選擇零件供應商時，將把「是否能協助完成完整安全論據鏈」列為評估標準之一。

積穗科研協助台灣企業從合規走向信任建構的具體做法

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）協助台灣汽車供應鏈廠商取得 TISAX 認證，導入 ISO/SAE 21434 標準，符合 UNECE WP.29 道路車輛網路安全法規要求，並協助企業建立超越基礎合規的完整安全論據體系。

1. 建立結構化安全保證案例（Security Assurance Case）：依據 ISO/SAE 21434 Clause 15 與 EN TS 50701 附錄 G 架構，協助供應商將現有分散文件整合為可稽核的論據鏈，滿足 Tier 1 客戶與認證機構的審查要求，目標在 90 天內完成初版框架。
2. 針對 AI 感知元件建立 TARA 分析流程：協助承接 ADAS/AD 相關元件的台灣供應商，建立涵蓋深度學習模型行為邊界的威脅分析與風險評鑑（TARA）流程，確保網路安全案例能回應 ISO/SAE 21434 對 AI 相關威脅的新興要求。
3. 導入 TISAX 認證並建立持續合規機制：積穗科研提供從 TISAX 缺口分析、機制設計到現場稽核準備的全程輔導，協助台灣企業在 7 至 12 個月內建立符合 TISAX AL2/AL3 要求的管理機制，同時確保符合 UNECE WP.29 R155 對供應鏈網路安全管理的要求。

常見問題

什麼是「Trust Case」，它與 ISO/SAE 21434 的網路安全案例有何不同？

「Trust Case」是 Jenssen 等人於 2023 年提出的補充框架，旨在填補現行安全案例與網路安全案例對公眾信任建構的不足。ISO/SAE 21434 所要求的安全保證案例聚焦於技術性論據與法規符合性，以工程師與認證機構為受眾；而 Trust Case 則以外行人可理解的語言，說明 AI 決策邏輯、失效應對機制與組織問責制度。兩者並非替代關係，而是互補——合規文件解決「是否符合標準」的問題，Trust Case 則回答「為何值得信任」的問題。對台灣供應商而言，隨著歐洲客戶要求提升，理解此框架差異有助於在客戶稽核與供應商評審中取得競爭優勢。

台灣企業導入 ISO/SAE 21434 時最常遇到哪些合規挑戰？

台灣供應商導入 ISO/SAE 21434 的主要挑戰集中在三個面向：第一，ISO/SAE 21434 Clause 15 要求建立完整的安全保證案例，但多數企業缺乏結構化論證文件；第二，TARA（威脅分析與風險評鑑）流程需橫跨供應鏈管理，台灣 Tier 2/3 供應商往往缺乏向上游傳遞安全要求的機制；第三，量產後（Post-production）的事件處理流程普遍未建立，而 UNECE WP.29 R155 已要求車廠及供應鏈具備持續監控能力。積穗科研建議企業優先完成 ISO/SAE 21434 缺口分析，識別現有流程與標準要求之間的差距，作為合規路線圖的起點。

TISAX 認證的核心要求是什麼？台灣企業如何規劃導入步驟？

TISAX（Trusted Information Security Assessment Exchange）是歐洲汽車業界通行的資訊安全評估標準，以 VDA ISA 問卷為基礎，分為 AL1、AL2、AL3 三個保護等級。台灣供應商通常需取得 AL2，部分涉及高度機密設計資料的供應商需取得 AL3。導入步驟建議如下：第 1 至 3 個月進行缺口分析與現況評估；第 4 至 6 個月建立管理機制與文件體系；第 7 至 9 個月進行內部預稽核與缺口補強；第 10 至 12 個月接受 ENX 認可的第三方稽核機構正式評估。TISAX 認證結果可在 ENX Portal 上與歐洲車廠客戶共享，是進入歐洲供應鏈的重要入場券，並與 ISO/SAE 21434 及 UNECE WP.29 R155 的要求高度互補。

建立自動駕駛相關的安全案例需要哪些資源，預期效益為何？

建立符合 ISO/SAE 21434 要求的完整安全案例，中型台灣供應商通常需要投入 3 至 6 名具備資安工程背景的人員，時程約 6 至 9 個月。若涉及 AI 感知元件，需額外建立針對深度學習模型行為的 TARA 分析，約增加 20%至 30% 的工時。預期效益方面，完整的安全論據體系可直接降低歐洲客戶稽核補件率，縮短供應商認可（QA）週期，並在 UNECE WP.29 R155 全面生效後（2024 年 7 月起適用所有新型車輛）維持供應鏈准入資格。積穗科研協助企業以模組化方式建立案例框架，可有效降低初期建置成本。

為什麼找積穗科研協助汽車網路安全（AUTO）相關議題？

積穗科研股份有限公司（Winners Consulting Services Co. Ltd.）專注於台灣汽車供應鏈的車用網路安全顧問服務，具備從 ISO/SAE 21434 導入、TISAX 認證輔導到 UNECE WP.29 合規規劃的完整服務能力。相較於一般 IT 資安顧問，積穗科研的顧問團隊深入理解汽車開發生命週期（V-Model）與 TARA 方法論，能將學術研究的最新框架（如本篇論文的 Trust Case 概念）轉化為台灣企業可執行的實務方案。積穗科研提供免費的汽車資安機制診斷，協助企業在 7 至 12 個月內完成 TISAX 認證，是台灣汽車供應鏈進入歐洲市場的可靠合規夥伴。