新能源解决方案之六 | 防微杜渐，汽车系统安全和可靠性分析

1年前浏览7419

一 · 引言

基于模型的系统工程(MBSE)在创建复杂系统的时使用的越来越多，特别是在多学科环境中进行协作。SysML是MBSE关键的元素之一，它为需求捕获、体系结构、约束、视图等提供了良好的基础。它允许连接来自不同工程学科的不同类型的模型。随着汽车行业的发展，也引入了MBSE系统工程。

之前解决安全性和可靠性方面的分析，使用的方法主要是文本报告、大表格、专家分析报告和口头交流。这些方法可能是含糊不清的，容易导致误解，而且不能保证一致性，特别是在对设计或分析的一部分进行更改时。目前主要存在的问题点可能有以下：

安全性和可靠性分析信息使用文本不能精确的表示，导致很难将这些分析信息与系统设计信息结合起来。特别是，输入信息和分析结果缺乏可跟踪性，并且系统模型中的安全/可靠性特性会破坏这些信息和结果系统的一致性。

大量的文本安全数据难以解析、交叉检查、验证和确认。文本没有正式的语义，因此不同的涉众会根据不同的认知或经验对文本进行不同的解释。

文本缺少正式的语义，这使得安全可靠性信息的自动化处理变得异常困难，限制了自动化处理工具的潜力，比如识别仍然需要分析的故障，识别安全分析或系统设计中更改的影响(影响分析)，计算信息的度量标准，向认证机构证明分析已覆盖整个系统，所有已知的风险已经被管理，并基于同一模型中的系统信息计算在可靠性信息中使用的不同风险优先级数接受阈值。

文本报告和自定义电子表格通常不便于工具之间自动传输信息，而建模的信息可以转换为其他格式，也可以从其他格式转换(尽管可能会受到特定格式内容的限制)，从而支持工具之间的自动信息交换。

基于模型的系统工程正在解决这些问题，并为系统设计信息提供这些好处。然而，今天的MBSE工具包主要关注系统的设计阶段，这通常是由系统工程师执行的。在开发关键系统时，安全性和可靠性分析与设计活动并行进行。由系统工程师、安全工程师和现场工程师组成的跨职能团队聚在一起分析正在开发的系统的潜在风险和危害。这些分析的结果通常通过对设计进行更改来解决。这意味着设计活动和安全可靠性活动是高度耦合的。因此，一个单独的面向设计的、未集成的MBSE工具包对于关键系统来说是不够的。

二 · 解决方案

为了解决SYSML语言在覆盖安全和可靠性分析上的短板，OMG正在开发的新规范承诺将基于模型的系统工程的优势引入到标准化、集成的工具链的安全和可靠性工程中。OMG最新定义基于UML安全和可靠性分析profile，其拓展了基于SYSML标准进行基于模型的安全和可靠性分析。达索系统CATIA Magic解决方案率先将其集中到产品中成为插件（Safety and Reliability Analyzer Plugin、ISO 26262 Functional Safety Plugin），方便客户使用，特别支持汽车行业标准ISO 26262。

三 · CATIA Magic 安全和可靠性分析

引言

CATIA Magic安全和可靠性分析插件与ISO 26262功能安全插件可以一起使用。

安全可靠性插件提供在产品建模流程中基于模型的安全和可靠性分析。这个功能可以集成到达索系统的CATIA Magic工具包中。该插件支持IEC 60812标准的故障模式、效果和临界分析(FMECA)。并支持根据IEC 62304和ISO 14971:2007等医学标准进行危害分析。随着插件的扩展，还将提供故障树分析(FTA)以及根据ISO 26262 进行车辆功能安全分析。

ISO 26262功能安全插件支持ISO 26262标准，该标准适用于生产车辆中的电动和/或电子系统。这包括驾驶员辅助、推进和车辆动力学控制系统。ISO 26262的目标是确保汽车系统和设备的整个生命周期的安全性。该标准旨在通过可行的需求和流程来帮助避免系统故障和随机硬件故障的风险。ISO 26262是源于IEC 61508的基于风险的安全标准。该标准由10个部分组成，涵盖了汽车安全生命周期的各个方面，包括管理、开发、生产、运营服务和退役。ISO 26262功能安全插件直接覆盖标准3-7和 3-8。

3-7危害分析和风险评估

暴露所有危险并确定所涉及的风险。具有指定的汽车安全完整性级别(ASIL)的安全目标是执行危险分析和风险评估(HARA)的结果。

3-8功能安全理念

功能性安全概念包括对项目安全的独立要求的功能性实现。它通过定义安全目标属性来细化安全目标，并在功能性安全需求和初步架构之间建立联系。

安全可靠性分析

1.1

价值

① 能够证明风险是通过安全要求/风险控制措施、设计元素、关键质量属性来分析控制的。

② 自动验证模型，确保整个设计通过安全和可靠性分析。

③ 提高设计、安全和可靠性分析阶段之间的灵活性:

a) 跨职能部门的安全和可靠性分析团队之间频繁地交换信息。

b)更短的开发周期和更短的安全性和可靠性分析周期带来了更精确的风险和故障检测，更安全。

c) 更可靠的产品

④ 确保对需求、设计元素、关键质量属性(CQA)和其他工件的风险的可追溯性，从设计元素到FMEA的可追溯性，FMEA和风险/危害分析之间的双向可追溯性。

1.2

安全性和可靠性分析流程

对于模型安全和可靠性分析，建议如下工作流

1. 创建或使用系统设计已有的模型。

2. 为每个设计元素定义特定用例失效模型，执行FMEA分析。

3. 识别可能风险并进行进一步风险分析

4. 处理系统设计中的分析，控制并减少潜在危害。

产品安全分析过程是循环的，需要不断的评审，流程如下图所示:

1.3

安全性和可靠性插件功能

① 提供如下3种预定义模板，创建项目的时候可以直接使用

FMEA项目（失效模式影响分析项目）。如果只需要可靠性分析，可以选择该模板

安全和可靠性分析项目（包含FMEA项目）。如果项目需要FMEA和风险分析，可以选择该模板。

ISO26262项目（功能安全项目）。如果需要进行危害分析和风险分析，选择该模板。

② 使用FMEA进行可靠性分析

识别产品或过程的潜在失效模式
评估与这些失效模式相关的风险
按重要性对问题进行排序
识别并实施纠正措施以解决最严重的问题。

③ 支持安全性分析

在风险表中创建并描述安全分析项。
创建风险降低表格以分析模型的安全性，包括风险降低前后
使用待分析FMEA文件夹/包下追溯仍需要安全分析的FMEA项。

④完成安全和可靠性分析后，插件还给提供一系列其他后分析特性对模型进行进一步分析、管理和追溯。

创建追溯地图评审安全分析项或FMEA项和其他模型元素间关系
执行安全和可靠性覆盖分析，识别被安全分析和FMEA覆盖的设计元素
从FMEA、风险或风险降低表自动生成报告

⑤ 插件还支持自定义安全分析和FMEA配置

在安全性和可靠性分析模型中，使用安全分析配置和FMEA配置元素，可以定义所有可计算属性的值和表达式，如可纠正性、概率、严重程度、风险评分和其他。

1.4

特性

① 根据ISO 26262标准对车辆生产过程中的电动或电子系统进行安全分析，保证整个汽车系统和设备在整个生命周期内的安全。

② 通过FMEA进行可靠性分析

③ 具有将设计与可靠性分析、可靠性分析与安全性分析、安全性分析与设计相结合的能力

④ 为安全和可靠性分析预定义的报告

⑤ 该插件是可定制的，允许用户添加自己的数据列和自定义风险计算规则和报告

汽车安全分析

CATIA Magic安全和可靠性分析仪插件可以与一个全新的ISO 26262功能安全插件一起使用。该插件紧密集成了MBSE的功能安全性，并支持ISO 26262标准(IEC 61508的修订版)，以满足道路车辆中电气和电子(E/E)系统应用领域的具体需求。ISO 26262功能安全插件为终端用户提供了进行危害分析和风险评估的方法:

定义每个功能故障行为
制定一个操作条件库
将操作状态定义为条件组合
将故障行为与操作情况结合起来定义事故场景
制定危害库
定义系统层和车辆层影响
将危害、影响和事故场景合并成危险事件

2.1

ISO 26262功能安全插件功能

① 插件提供如下表格和视图模板

HazOp Table

HazOp表可以执行危害和可操作性分析，这是复杂系统中常见的危害分析方法。在HazOp表中，您可以对系统中的每个功能进行故障行为分析。

Operational Conditions Table

操作条件表可以定义和管理操作条件，这些条件将作为操作情况一部分。本质上，操作条件表充当功能安全分析的库。为了识别操作条件，可以使用五个预定义的操作条件组:位置（城市、乡村、高速道路等）、道路条件（干燥、雨、雪等）、交通和人员、车辆使用（加速、减速等）和环境条件（白天、黑夜等）。也可以通过扩展ISO 26262库来扩展组列表，来增加一个额外的组

Operational Situations Table

操作情况表是将各种操作条件进行组合，并对其进行管理。

Accident Scenarios Table

事故情景表允许将事故情景定义为故障行为和操作情景的组合。表中可创建事故场景并分配可控性级别、故障行为和操作情况。

Effects Table

影响表定义和管理可能导致影响的系统级和车辆级影响。要识别影响，可以使用两个预定义的影响组:系统级影响和车辆级影响。还可以通过扩展ISO 26262库来扩展额外的组。

Hazards Table

危害表用来定义和管理在特定工作条件下对某物或某人产生影响的潜在危害源。本质上，危害表充当功能安全分析的库。

HARA Table

HARA表允许您将危险事件定义为危害、影响和事故场景的组合。默认情况下，该表显示7列。其余的列是隐藏的，但是如果需要，您可以显示它们。

Safety Requirement Diagram

安全需求图显示了安全目标、安全需求及其关系。此图的主要目的是创建覆盖HARA中定义的安全目标的需求。

② 插件提供如下规则检查

ASIL分解和派生需求关系
ASIL分解和独立需求关系
ASIL分解
不兼容类别
独立需求和派生需求关系

③ 支持自定义功能，通过向默认表添加新类型的元素或为ISO 26262元素创建新属性来扩展ISO 26262库

四 · 结论

在汽车开发过程中，面对越来越复杂的设计系统，可利用CAITA Magic工具中的Safety and Reliability Analyzer插件和ISO 26262 Functional Safety插件来解决安全和可靠性分析问题。从纯系统工程扩展到设计关键系统的其他方面，从基于文档的分析阶段转换到基于模型的分析阶段，通过将基于模型的技术应用于与安全性相关的系统信息的管理以及安全性和可靠性分析方法，实现更自动化、更少的时间，以及更可靠的关键系统设计方法，带来更高的效率及可靠性。

此文来自上海创景信息科技有限公司

- END -

上海创景信息科技有限公司，专注于高可靠、高安全性系统软件开发与验证技术研究与应用推广。