基于模型的功能安全开发工具Medini
编者按
随着自动驾驶技术的迅猛发展,电子电气的架构逐渐复杂化,功能安全越发重要。本文介绍了Ansys Medini软件在功能安全、预期功能安全、信息安全方面的卓越功能。
本文阅读时长约3分钟,希望能够给各位读者朋友带来帮助与启发。
1
为什么要做安全分析?
宝马因组合仪表黑屏,车辆信息(例如车速)不显示等问题召回五系汽车超17w台;
北京汽车因恶劣环境下水进入乘员舱,可能导致安全气囊无法工作,召回超10w辆绅宝D50汽车;
大众汽车因安全气囊可能存在气体发生器异常破损,飞出会伤害驾驶员和乘客,召回近2w辆甲壳虫系列。
通过这组数据可以看到如果这些风险真实发生的话,那危害是很严重的。并且随着自动驾驶技术的迅猛发展,电子电气的架构逐渐复杂化,发生这些危害的可能性其实大大增加,另外自动驾驶与传统驾驶的区别在于使用感知、决策、执行系统替代驾驶员进行操控,而这些系统都会在功能和性能上表现不足与局限性,从而造成整车层面的危害,这就是预期功能安全(SOTIF)考虑的范畴,如今的汽车更像是“四个轮子的智能手机”,可能遭受远程控制、隐私数据窃取等信息安全问题,一旦攻击成功,将会造成经济和名誉的损失甚至人身伤害。
2
Medini支持全流程安全分析
Medini作为一款热门的安全开发工具,支持功能安全、预期功能安全、信息安全的全生命周期安全分析与管理,可以和主流的工具比如DOORS、MATLAB、Simulink等都设置接口,保证工作的无缝衔接,自动计算提高工作效率。
功能安全:
支持相关项创建,HARA分析,Medini提供了完整的场景库,经过严重度、暴露率、可控性打分后自动判断安全完整性等级,关联顶层的安全目标和安全需求,通过SYSML建模后形成需求与架构的映射,保证了安全分析的可追溯性。
支持FTA、FMEA、FMEDA分析,由于基于的是同一个模型,进而也保证了安全分析的一致性。
预期功能安全:
Medini支持在同一操作环境下对SOTIF与FuSa结合进行安全分析,提供HAZOP引导词分析法可以系统得到功能相关故障,识别Limitations和Weakness,通过因果分析和传感器测试、道路测试的组合保证触发条件的完整性。静态分析完成后,Medini还可以和Ansys仿真软件结合进行验证确认,对功能进行改进,支持STPA分析。
信息安全:
Medini支持TARA分析,首先建立模型后识别资产,添加资产的安全属性,对损坏场景的影响进行评级,可以基于SRTIDE方法导出潜在威胁,建立攻击树后Medini可以自动分析攻击路径,基于三种攻击可行性分析方法对攻击路径进行评级,一般选择基于攻击潜力的方法,最后确定风险等级后提出四种处置方式,包括接受、缓解、避免和转移分担。从而提出信息安全需求和安全措施。
作者简介
李欢,上海安世亚太功能安全工程师,车辆工程硕士。主要从事汽车功能安全、预期功能安全、信息安全领域,负责ANSYS Medini功能安全开发工具,为客户提供软件技术支持和咨询服务等。
