2011年，汽車行業(yè)關(guān)于電子電氣系統(tǒng)的功能安全標準ISO 26262第一版發(fā)布，至此，功能安全就成為汽車行業(yè)的一個熱門話題從未停止討論，近年來國內(nèi)無論是OEM，還是各子系統(tǒng)、零部件廠商，都在積極開展功能安全工作，然而，功能安全工作的復(fù)雜和繁瑣也讓各位功能安全工程師深有體會。為什么功能安全難做？我們先看看ISO 26262 要求我們做什么？

ISO 26262 標準對電子電氣系統(tǒng)開發(fā)的各個階段提出了相應(yīng)的要求，也就是說，在概念階段、系統(tǒng)設(shè)計、軟硬件設(shè)計的各階段中，都需要伴隨著相應(yīng)的安全相關(guān)活動，比如：項目定義、功能和故障識別、風(fēng)險評估、安全目標和安全需求推導(dǎo)，安全需求分配到架構(gòu)、FMEA和FTA、硬件失效率指標計算、安全項目管理、管理追溯性和一致性證等等。而這些工作，在實際工程中是怎么做的呢？

傳統(tǒng)的方式在不同的點工具中分別做各個階段的工作，比如我們會用很多表格、圖表去做FMEA,FTA，用需求管理工具管理安全需求，用建模工具設(shè)計系統(tǒng)架構(gòu)… 這樣雖然也可以完成安全分析，但各個工作產(chǎn)物相互獨立，缺乏追溯和鏈接，難以保證準確性和一致性，而且一旦發(fā)生變更，就會帶來一系列繁瑣的人工確認工作。以“文檔”為中心的傳統(tǒng)工作方式，確實難做，而且對人力和時間成本都帶來巨大的挑戰(zhàn)。

ANSYS medini analyze作為汽車行業(yè)功能安全分析的旗艦產(chǎn)品，從2006年首次發(fā)布以來，已經(jīng)在國內(nèi)外的汽車功能安全領(lǐng)域得到了廣泛應(yīng)用，全球擁有近兩百家客戶，應(yīng)用領(lǐng)域從OEM整車設(shè)計，到電子電氣子系統(tǒng)、零部件、SOC設(shè)計等。如今隨著汽車系統(tǒng)和功能日趨復(fù)雜，medini也第一時間推出了針對自動駕駛SOTIF、Cyber security、芯片安全分析等領(lǐng)域的解決方案。

針對傳統(tǒng)安全分析方法的問題和挑戰(zhàn)，ANSYS medini analyze提出了以模型為中心的功能安全分析核心理念。所有的系統(tǒng)功能和系統(tǒng)架構(gòu)，是用SysML模型在medini工具里來描述，基于這些系統(tǒng)設(shè)計，可以直接一鍵生成FMEA表格，以及快速的構(gòu)建故障樹，進行FTA。在medini里，還可以管理安全目標、安全需求，并把安全需求分配給對應(yīng)的系統(tǒng)和組件。這樣，安全需求、系統(tǒng)設(shè)計、安全分析三者可以統(tǒng)一在一個工具里面進行連接、交互和管理。

同時，medini提供豐富的開放接口，便于與其他工程工具橋接，可以有效保證工作的無縫銜接。

medini支持從概念階段，到系統(tǒng) 、軟硬件、芯片級的安全分析和可靠性預(yù)計，同時涵蓋定性和定量的分析，從功能安全到信息安全，是一個全流程的工具平臺。

medini工具中，內(nèi)置多個符合ISO26262 最佳實踐的工程模板。基于這些模板，工具自動搭建功能安全分析和驗證的整體框架，整個文件夾中會包含Item definition，Hazard Analysis and Risk Assessment，Safety Goals and Requirement，System Design，Safety Analysis，以及任務(wù)檢查單等文件包。基于這樣一些基本的框架和任務(wù)檢查單，工具會告訴我們在整個功能安全過程中需要做什么工作，以及提供哪些工作產(chǎn)物。

• 首先在Item Denfinition中開始項目定義，medini支持用文本、圖片等多種形式對整個項目進行描述。同樣在Item Denfinition中還需要定義功能和識別故障，工具中可以輕松定義整車級及系統(tǒng)級的功能層次架構(gòu)，并且可以把之前創(chuàng)建的功能分配給相應(yīng)的架構(gòu)組件。

• 隨后進入Hazard Analysis and Risk Assessment。medini工具會自動把內(nèi)置的操作場景庫條目和功能、故障、相應(yīng)的危害進行組合，形成危害事件，生成HRAR表格。安全分析人員基于工程經(jīng)驗來判斷危害事件里的三個參數(shù)Severity，Exposure，Controllability后，工具自動計算出ASIL等級，隨后可以進一步為其關(guān)聯(lián)/創(chuàng)建安全目標以及安全狀態(tài)。

• 接下來可以在工具中開展功能安全概念FSC，進行Safety Goals and Requirement的管理。medini工具可以在不同層次構(gòu)建安全需求，比如：FSR, TSR, HW SR, SW SR。安全目標和安全需求可以用直觀的圖形化方式呈現(xiàn)追溯關(guān)系，也可以通過表格方式查看更多詳細信息。

• 針對系統(tǒng)功能架構(gòu)，可以構(gòu)建初步的故障樹分析，并可以從故障樹的基本事件中直接派生安全需求，另一方面，安全需求可以直接分配給架構(gòu)組件。需求，架構(gòu)，安全分析在概念階段就會建立聯(lián)系。                                

  

• 工具支持把安全需求分配到System Design中不同層次——功能安全架構(gòu)，技術(shù)安全架構(gòu)，硬件安全架構(gòu)等。在系統(tǒng)架構(gòu)設(shè)計的過程中，可以同時進行FMEA,TFA,進一步完善技術(shù)安全需求。

• 在系統(tǒng)的設(shè)計過程中不同的層次架構(gòu)都可以派生出FMEA表和FMEDA表（DC）、并通過拖拽架構(gòu)元素及其失效創(chuàng)建FTA，這樣，一旦設(shè)計發(fā)生變更，安全分析數(shù)據(jù)自動隨之更新。FMEA表格中失效模式、失效影響等會自動生成、上下層次之間的關(guān)聯(lián)一旦建立，后續(xù)自動繼承。因此，在任何一個失效點上點擊“show failure net”就可以一目了然地看到整個失效鏈路。

• 對于硬件部分，medini工具中內(nèi)置了大量失效率的手冊，導(dǎo)入BOM表后，medini工具會自動將BOM表與硬件庫進行匹配，并自動繼承失效率和失效模型。在此基礎(chǔ)上，工具可以自動派生FMEDA，輕松創(chuàng)建定量故障樹，并自動計算SPFM、LFM、PMHF等硬件指標。

  

• 完成一系列分析工作后，對于每個安全目標對應(yīng)的數(shù)據(jù)，可以在medini中自動匯總，方便地進行安全驗證與評審。

ANSYS medini analyze能夠在統(tǒng)一的集成工具中實現(xiàn)關(guān)鍵的安全性分析方法（HAZOP、FTA、FMEA、FMEDA），支持高效、一致地執(zhí)行符合相關(guān)安全標準要求的安全活動。medini analyze可用于研發(fā)汽車、航空航天以及工業(yè)設(shè)備等領(lǐng)域中的安全關(guān)鍵型E/E和SW控制系統(tǒng)，ANSYS medini以模型為中心的解決方案，讓零散的數(shù)據(jù)有了有序的串聯(lián)，也讓繁瑣的功能安全分析，從此撥云見霧，清晰高效。