ISO26262功能安全分析：新技术挑战下的高效策略

在汽车、航空航天、轨道、芯片设计等领域，系统的安全性一直都备受关注。随着各行业功能需求和技术不断创新，系统日趋复杂，安全分析的工作量和难度也呈指数增长，各行业也相应对系统安全性建立了标准，这对安全分析人员提出了一系列严格的要求，面对日趋增长的挑战，有什么样的方法、思路和工具可以让我们的安全分析工作更高效便捷呢？

本文将以汽车行业为例，介绍ANSYS如何高效地帮助实现符合ISO 26262的功能安全分析。

为什么功能安全这么难？

2011年，汽车行业关于电子电气系统的功能安全标准ISO 26262第一版发布，至此，功能安全就成为汽车行业的一个热门话题从未停止讨论，近年来国内无论是OEM，还是各子系统、零部件厂商，都在积极开展功能安全工作，然而，功能安全工作的复杂和繁琐也让各位功能安全工程师深有体会。为什么功能安全难做？我们先看看ISO 26262 要求我们做什么？

ISO 26262 标准对电子电气系统开发的各个阶段提出了相应的要求，也就是说，在概念阶段、系统设计、软硬件设计的各阶段中，都需要伴随着相应的安全相关活动，比如：项目定义、功能和故障识别、风险评估、安全目标和安全需求推导，安全需求分配到架构、FMEA和FTA、硬件失效率指标计算、安全项目管理、管理追溯性和一致性证等等。而这些工作，在实际工程中是怎么做的呢？

传统的方式在不同的点工具中分别做各个阶段的工作，比如我们会用很多表格、图表去做FMEA,FTA，用需求管理工具管理安全需求，用建模工具设计系统架构… 这样虽然也可以完成安全分析，但各个工作产物相互独立，缺乏追溯和链接，难以保证准确性和一致性，而且一旦发生变更，就会带来一系列繁琐的人工确认工作。以“文档”为中心的传统工作方式，确实难做，而且对人力和时间成本都带来巨大的挑战。

从“以文档为中心”，到“以模型为中心”

ANSYS medini analyze作为汽车行业功能安全分析的旗舰产品，从2006年首次发布以来，已经在国内外的汽车功能安全领域得到了广泛应用，全球拥有近两百家客户，应用领域从OEM整车设计，到电子电气子系统、零部件、SOC设计等。如今随着汽车系统和功能日趋复杂，medini也第一时间推出了针对自动驾驶SOTIF、Cyber security、芯片安全分析等领域的解决方案。

针对传统安全分析方法的问题和挑战，ANSYS medini analyze提出了以模型为中心的功能安全分析核心理念。所有的系统功能和系统架构，是用SysML模型在medini工具里来描述，基于这些系统设计，可以直接一键生成FMEA表格，以及快速的构建故障树，进行FTA。在medini里，还可以管理安全目标、安全需求，并把安全需求分配给对应的系统和组件。这样，安全需求、系统设计、安全分析三者可以统一在一个工具里面进行连接、交互和管理。

同时，medini提供丰富的开放接口，便于与其他工程工具桥接，可以有效保证工作的无缝衔接。

ANSYS medini对ISO 26262安全生命周期实现全面支持

medini支持从概念阶段，到系统 、软硬件、芯片级的安全分析和可靠性预计，同时涵盖定性和定量的分析，从功能安全到信息安全，是一个全流程的工具平台。

medini工具中，内置多个符合ISO26262 最佳实践的工程模板。基于这些模板，工具自动搭建功能安全分析和验证的整体框架，整个文件夹中会包含Item definition，Hazard Analysis and Risk Assessment，Safety Goals and Requirement，System Design，Safety Analysis，以及任务检查单等文件包。基于这样一些基本的框架和任务检查单，工具会告诉我们在整个功能安全过程中需要做什么工作，以及提供哪些工作产物。

• 首先在Item Denfinition中开始项目定义，medini支持用文本、图片等多种形式对整个项目进行描述。同样在Item Denfinition中还需要定义功能和识别故障，工具中可以轻松定义整车级及系统级的功能层次架构，并且可以把之前创建的功能分配给相应的架构组件。
• 随后进入Hazard Analysis and Risk Assessment。medini工具会自动把内置的操作场景库条目和功能、故障、相应的危害进行组合，形成危害事件，生成HRAR表格。安全分析人员基于工程经验来判断危害事件里的三个参数Severity，Exposure，Controllability后，工具自动计算出ASIL等级，随后可以进一步为其关联/创建安全目标以及安全状态。
• 接下来可以在工具中开展功能安全概念FSC，进行Safety Goals and Requirement的管理。medini工具可以在不同层次构建安全需求，比如：FSR, TSR, HW SR, SW SR。安全目标和安全需求可以用直观的图形化方式呈现追溯关系，也可以通过表格方式查看更多详细信息。
• 针对系统功能架构，可以构建初步的故障树分析，并可以从故障树的基本事件中直接派生安全需求，另一方面，安全需求可以直接分配给架构组件。需求，架构，安全分析在概念阶段就会建立联系。
• 工具支持把安全需求分配到System Design中不同层次——功能安全架构，技术安全架构，硬件安全架构等。在系统架构设计的过程中，可以同时进行FMEA,TFA,进一步完善技术安全需求。
• 在系统的设计过程中不同的层次架构都可以派生出FMEA表和FMEDA表（DC）、并通过拖拽架构元素及其失效创建FTA，这样，一旦设计发生变更，安全分析数据自动随之更新。FMEA表格中失效模式、失效影响等会自动生成、上下层次之间的关联一旦建立，后续自动继承。因此，在任何一个失效点上点击“show failure net”就可以一目了然地看到整个失效链路。
• 对于硬件部分，medini工具中内置了大量失效率的手册，导入BOM表后，medini工具会自动将BOM表与硬件库进行匹配，并自动继承失效率和失效模型。在此基础上，工具可以自动派生FMEDA，轻松创建定量故障树，并自动计算SPFM、LFM、PMHF等硬件指标。
• 完成一系列分析工作后，对于每个安全目标对应的数据，可以在medini中自动汇总，方便地进行安全验证与评审。

ANSYS medini analyze能够在统一的集成工具中实现关键的安全性分析方法（HAZOP、FTA、FMEA、FMEDA），支持高效、一致地执行符合相关安全标准要求的安全活动。medini analyze可用于研发汽车、航空航天以及工业设备等领域中的安全关键型E/E和SW控制系统，ANSYS medini以模型为中心的解决方案，让零散的数据有了有序的串联，也让繁琐的功能安全分析，从此拨云见雾，清晰高效。

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删