汽车电子电气系统的功能安全随着智能驾驶、新能源等新兴技术的发展而愈发受到重视。在国际功能安全标准iso 26262的落地过程中遇到了很多的棘手问题:如何正确而有效地实施hara以得到合适的安全目标?如何进行安全分析才能确保安全需求完整而充分?如何验证系统/软件/硬件设计方案的安全性?硬件指标的评估计算要如何开展?开发过程的追溯性、一致性、完整性如何保证?
为了解决智能驾驶开发中的功能不足和设计的局限性导致的风险,iso组织编制了sotif(iso21448)标准,该标准是对iso26262标准的补充。由于sotif标准还在制定中,如何识别预期功能的危害,如何识别系统的限制特性和触发条件,如何正确的采用标准要求的技术方法(fmea/fta)以及如何与功能安全分析流程有效衔接,是当前自动驾驶产品开发的难点之一。
功能安全开发应用
medini analyze工具是专业的功能安全开发平台工具,符合iso 26262开发全流程,功能覆盖iso 26262要求的所有开发活动,它的主要功能如下:
- 项目定义
支持功能定义、行为设计、初始架构建模
提供hazop模板用于失效识别等
- 危害分析和风险评估
提供驾驶场景数据库以支持hara情景分析
提供标准hara模板,让hara分析过程更加清晰简单
- 安全需求开发
提供满足iso 26262要求的半形式化需求模板,确保需求编写的规范性和完整性
支持基于安全分析(如fta)的安全需求导出,确保安全需求不被遗漏
支持创建uml需求树,满足可视化的需求追溯关系建立和维护
支持和doors、dng、ptc等主流需求管理工具进行交互
- 安全架构设计
支持标准sysml语言的架构设计,支持向架构分配需求,实现需求和设计的追溯性
支持导入simulink、scade、ea、rhapsody等主流建模软件的输出模型文件
- 安全分析fmea
支持基于sysml的设计模型生成fmea表格,确保fmea和其分析对象(架构)直接的关联性、完整性,也便于架构优化时更新fmea
支持创建措施库(prevention/detection measures)并进行措施管理,集成iso 26262 part5 appendix d所有安全机制
- 安全分析fta
支持基于sysml的设计模型创建fta,确保fta和其分析对象(架构)直接的关联性,也便于实现和fmea的互相校验
支持最小割集、重要度等定性的fta分析以及定量fta(pmhf)的计算
- 硬件指标计算fmeda
提供sn29500、iec62380以及iso 26262:2018新推荐的iec 61709等5个失效率计算手册
支持基于excel/csv格式bom自动生成iso 26262推荐的fmeda表格
- 强大的可追溯性
支持创建项目内任意元素的追溯关系,如不同层级的需求关联关系,需求与设计架构的allocation关系,架构与安全分析验证的对应关系等
支持可视化的功能与架构的依附关系展示
支持function net、failure net等可视化的追溯关系展示
预期功能安全开发应用
预期功能安全关注的是:由功能不足、或者由可合理预见的人员误用所导致的危害和风险。medini可以辅助工程师开展预期功能安全的风险评估工作。
- 引导词分析
2020 r1对hazop引导词进行了扩展,以涵盖新引入的限制特性和漏洞的概念。所以,medini中的hazop分析除了可以用于功能安全分析中识别malfunction,还可用于sotif分析,识别元器件的因标称特性产生的限制特性。
- 触发条件
2020 r1中新引入了触发条件的概念,以描述因限制特性引发危险行为的场景。触发条件在collection中进行管理,同时支持基于活动图进行触发条件分析。
- fta分析
在2020 r1中,支持基于识别到的限制特性和触发条件绘制故障树,导出相应的安全需求。