新技术挑战下如何高效开展ISO26262功能安全分析?
在汽车、航空航天、轨道、芯片设计等领域,系统的安全性一直都备受关注。随着各行业功能需求和技术不断创新,系统日趋复杂,安全分析的工作量和难度也呈指数增长,各行业也相应对系统安全性建立了标准,这对安全分析人员提出了一系列严格的要求,面对日趋增长的挑战,有什么样的方法、思路和工具可以让我们的安全分析工作更高效便捷呢?
本文将以汽车行业为例,介绍ANSYS如何高效地帮助实现符合ISO 26262的功能安全分析。
为什么功能安全这么难?
2011年,汽车行业关于电子电气系统的功能安全标准ISO 26262第一版发布,至此,功能安全就成为汽车行业的一个热门话题从未停止讨论,近年来国内无论是OEM,还是各子系统、零部件厂商,都在积极开展功能安全工作,然而,功能安全工作的复杂和繁琐也让各位功能安全工程师深有体会。为什么功能安全难做?我们先看看ISO 26262 要求我们做什么?
ISO 26262 标准对电子电气系统开发的各个阶段提出了相应的要求,也就是说,在概念阶段、系统设计、软硬件设计的各阶段中,都需要伴随着相应的安全相关活动,比如:项目定义、功能和故障识别、风险评估、安全目标和安全需求推导,安全需求分配到架构、FMEA和FTA、硬件失效率指标计算、安全项目管理、管理追溯性和一致性证等等。而这些工作,在实际工程中是怎么做的呢?
传统的方式在不同的点工具中分别做各个阶段的工作,比如我们会用很多表格、图表去做FMEA,FTA,用需求管理工具管理安全需求,用建模工具设计系统架构… 这样虽然也可以完成安全分析,但各个工作产物相互独立,缺乏追溯和链接,难以保证准确性和一致性,而且一旦发生变更,就会带来一系列繁琐的人工确认工作。以“文档”为中心的传统工作方式,确实难做,而且对人力和时间成本都带来巨大的挑战。
从“以文档为中心”,到“以模型为中心”
ANSYS medini analyze作为汽车行业功能安全分析的旗舰产品,从2006年首次发布以来,已经在国内外的汽车功能安全领域得到了广泛应用,全球拥有近两百家客户,应用领域从OEM整车设计,到电子电气子系统、零部件、SOC设计等。如今随着汽车系统和功能日趋复杂,medini也第一时间推出了针对自动驾驶SOTIF、Cyber security、芯片安全分析等领域的解决方案。
针对传统安全分析方法的问题和挑战,ANSYS medini analyze提出了以模型为中心的功能安全分析核心理念。所有的系统功能和系统架构,是用SysML模型在medini工具里来描述,基于这些系统设计,可以直接一键生成FMEA表格,以及快速的构建故障树,进行FTA。在medini里,还可以管理安全目标、安全需求,并把安全需求分配给对应的系统和组件。这样,安全需求、系统设计、安全分析三者可以统一在一个工具里面进行连接、交互和管理。
同时,medini提供丰富的开放接口,便于与其他工程工具桥接,可以有效保证工作的无缝衔接。
ANSYS medini对ISO 26262安全生命周期实现全面支持
medini支持从概念阶段,到系统 、软硬件、芯片级的安全分析和可靠性预计,同时涵盖定性和定量的分析,从功能安全到信息安全,是一个全流程的工具平台。
medini工具中,内置多个符合ISO26262 最佳实践的工程模板。基于这些模板,工具自动搭建功能安全分析和验证的整体框架,整个文件夹中会包含Item definition,Hazard Analysis and Risk Assessment,Safety Goals and Requirement,System Design,Safety Analysis,以及任务检查单等文件包。基于这样一些基本的框架和任务检查单,工具会告诉我们在整个功能安全过程中需要做什么工作,以及提供哪些工作产物。
首先在Item Denfinition中开始项目定义,medini支持用文本、图片等多种形式对整个项目进行描述。同样在Item Denfinition中还需要定义功能和识别故障,工具中可以轻松定义整车级及系统级的功能层次架构,并且可以把之前创建的功能分配给相应的架构组件。
随后进入Hazard Analysis and Risk Assessment。medini工具会自动把内置的操作场景库条目和功能、故障、相应的危害进行组合,形成危害事件,生成HRAR表格。安全分析人员基于工程经验来判断危害事件里的三个参数Severity,Exposure,Controllability后,工具自动计算出ASIL等级,随后可以进一步为其关联/创建安全目标以及安全状态。
接下来可以在工具中开展功能安全概念FSC,进行Safety Goals and Requirement的管理。medini工具可以在不同层次构建安全需求,比如:FSR, TSR, HW SR, SW SR。安全目标和安全需求可以用直观的图形化方式呈现追溯关系,也可以通过表格方式查看更多详细信息。
针对系统功能架构,可以构建初步的故障树分析,并可以从故障树的基本事件中直接派生安全需求,另一方面,安全需求可以直接分配给架构组件。需求,架构,安全分析在概念阶段就会建立联系。
工具支持把安全需求分配到System Design中不同层次——功能安全架构,技术安全架构,硬件安全架构等。在系统架构设计的过程中,可以同时进行FMEA,TFA,进一步完善技术安全需求。
在系统的设计过程中不同的层次架构都可以派生出FMEA表和FMEDA表(DC)、并通过拖拽架构元素及其失效创建FTA,这样,一旦设计发生变更,安全分析数据自动随之更新。FMEA表格中失效模式、失效影响等会自动生成、上下层次之间的关联一旦建立,后续自动继承。因此,在任何一个失效点上点击“show failure net”就可以一目了然地看到整个失效链路。
对于硬件部分,medini工具中内置了大量失效率的手册,导入BOM表后,medini工具会自动将BOM表与硬件库进行匹配,并自动继承失效率和失效模型。在此基础上,工具可以自动派生FMEDA,轻松创建定量故障树,并自动计算SPFM、LFM、PMHF等硬件指标。
完成一系列分析工作后,对于每个安全目标对应的数据,可以在medini中自动汇总,方便地进行安全验证与评审。
ANSYS medini analyze能够在统一的集成工具中实现关键的安全性分析方法(HAZOP、FTA、FMEA、FMEDA),支持高效、一致地执行符合相关安全标准要求的安全活动。medini analyze可用于研发汽车、航空航天以及工业设备等领域中的安全关键型E/E和SW控制系统,ANSYS medini以模型为中心的解决方案,让零散的数据有了有序的串联,也让繁琐的功能安全分析,从此拨云见雾,清晰高效。
