軟件安全分析的案例
沃爾沃:敏捷開發中滿足ISO26262的軟件安全分析
這些方法可以識別并消除絕大部分開發階段的軟件錯誤。這個過程被稱為軟件安全的通用分析,它明確地包含了軟件錯誤檢測的概率性質,并非所有軟件狀態都可以檢查。但這確保了通過可用的方法和工具將總體軟件錯誤的可能性降至最低。
第二部分是在架構級別的面向安全的軟件分析,以消除可能在通用分析中遺漏的并且可能不利于安全目標實現的錯誤。架構級別的安全分析保持與軟件工程保持同步,并且跟通用分析也是同步進行的。這兩種分析中通常采用自動化檢查、基于度量的更正、同行評審和自動化測試等方法來輔助分析。
軟件安全的通用分析識別了開發鏈中的錯誤,并給出解決辦法。表1中記錄了我們產品的此類調查結果。如果某類錯誤可能影響四個安全目標中的任何一個,則應進行額外的安全導向分析。這些錯誤類型在表中以粗體顯示。他們會定期評估和更新(例如,一年一次)。負責的軟件安全專家應確保該表的信息是最新的。
表1 汽車軟件確定的錯誤和解決辦法
03 架構級別面向安全的軟件分析
面向安全的分析旨在識別由于需求錯誤說明、錯誤分配、軟件模型之間不正確的信號接口和不正確的功能調用(表1中以粗體顯示)而導致的錯誤。分析分為兩個階段。第1階段的全部分析是面向Simulink模型。有一個敏捷團隊每次選擇一個Simulink模塊,并在軟件安全專家的支持下進行分析。第2階段的分析實體是應用軟件。軟件架構師在軟件安全專家的支持下進行分析,并使用階段1的結果。
第1階段開始于產品負責人與敏捷團隊和軟件安全專家一起組織一個研討會。假設團隊已有關于給定模型的故障模式以及每個故障模式對應的車輛級安全級別(CLs)的正確信息。事實上,這一分析的目標之一就是糾正這一假設。
展開 從功能安全視角看軟件架構設計
軟件組件的相互影響
當軟件由不同安全完整性等級的組件組成時,在EN50128 7.3.4.9和ISO26262-6 7.4.8的要求一致:
除非有證據表明高級別組件和低級別組件之間彼此獨立,從時間分區和空間分區兩個維度,其它情況都應按照最高等級要求開發。
在ISO26262-6提出有兩種不同組件分區的方法,第一種是軟件分區,從執行時序、數據保護、組件之間的數據交互方面考慮組件之間的干擾影響,第二種是硬件保護機制的支持,如MPU;第三種是操作系統或虛擬化層對不同組件互不干擾的支持。
最后,回顧一下五方面主要內容:
軟件需求、軟件架構與組件的關系;
軟件架構需涵蓋的內容;
安全軟件應用技術;
如何應用已存在軟件;
不同安全等級軟件的影響分析
在不同標準中,架構設計還有各自側重的部分,ISO26262-6對軟件安全分析有相應要求,EN50128安全分析的工作放在系統層面進行,要求從系統功能和接口的角度進行分析。EN50128在架構設計階段對軟件設計方法(建模指南、設計指南和編碼規則)有更為詳細的定義,并需要在架構階段完成軟件集成測試規范和軟硬件集成測試規范。
展開 從功能安全視角看軟件架構設計
在ISO26262-6提出有兩種不同組件分區的方法,第一種是軟件分區,從執行時序、數據保護、組件之間的數據交互方面考慮組件之間的干擾影響,第二種是硬件保護機制的支持,如MPU;第三種是操作系統或虛擬化層對不同組件互不干擾的支持。
最后,回顧一下五方面主要內容:
軟件需求、軟件架構與組件的關系;
軟件架構需涵蓋的內容;
安全軟件應用技術;
如何應用已存在軟件;
不同安全等級軟件的影響分析
在不同標準中,架構設計還有各自側重的部分,ISO26262-6對軟件安全分析有相應要求,EN50128安全分析的工作放在系統層面進行,要求從系統功能和接口的角度進行分析。EN50128在架構設計階段對軟件設計方法(建模指南、設計指南和編碼規則)有更為詳細的定義,并需要在架構階段完成軟件集成測試規范和軟硬件集成測試規范。
展開 ALOF含缺陷設備的軟件安全評定計算軟件——門式起重機主梁的角焊縫分析
ALOF含缺陷設備的軟件安全評定計算軟件——門式起重機主梁的角焊縫分析
1、背景介紹及模型簡化ALOF實現
門式起重機主梁的角焊縫是最容易出現裂紋擴展的區域之一,我們以此部位為例介紹ALOF確定漏檢設備檢修周期的過程。
圖1.門式起重機示意圖
圖2.門式起重機主梁參數化建模對話框與參數化模型
通過對該設備進行現場儀器探測和主梁模型的有限元分析,發現在某角焊縫處存在最大拉應力σm=150MPa,該部位受力如下圖3所示:
圖3角焊縫模型
該角焊縫處存在一漏檢表面裂紋,以探測設備的漏檢長度作為裂紋初始長度,裂紋長度a =2mm,如下圖4所示。對該角焊接局部區域建立有限元模型,并定義初始裂紋,進行檢修周期的計算,有限元模型如圖5所示。
(b) 生成平面網格模型 (c)拉伸得到實體網格模型
圖4.角焊接區建模過程
2、計算結果展示
圖 5.角焊接處裂紋擴展結果展示
圖6.動態裂紋擴展過程應力云圖、網格變化及散點圖
3、確定檢修周期。
(a) 安全系數與疲勞次數關系曲線 (b)裂紋擴展量和疲勞次數關系曲線
圖7.疲勞次數分析結果
由圖可知,該裂紋在應力循環1.4百萬次以后,安全系數急劇變小,疲勞次數也趨于一極限值,此時結構將發生破壞,而裂紋擴展前十步的疲勞次數達到總壽命的95%以上,故取該疲勞次數來確定檢修周期,根據國內外實踐經驗通常取疲勞擴展次數的十分之一作為檢修周期,所以該設備的檢修周期為:
檢修周期=1.46百萬次÷每日使用次數200÷一年365天÷保守系數10=2年
展開 
基于功能安全的示例AUTOSAR軟件系統
(如果燈光失效/故障,則對應MF03)
車輛級安全需求
作為車輛級安全分析的一部分,根據系統架構,還定義了警告和降級概念。
功能安全--安全分析
SWFMEA,主要針對架構元素進行分析,如針對接口,分析其傳入的參數的異常情況、錯誤調用接口情況等;針對函數,分析其傳參的異常情況、調度的異常情況(沒調用、調用過快、過慢等)、數據的一致性分析、資源消耗異常等情況。
安全機制的覆蓋度,可參考ISO26262標準附錄。
06 DFA
DFA指的是相關性分析,ISO26262要求從三個層面(系統、硬件、軟件)分析,找出系統中的共因以及級聯失效。
若系統進行了ASIL分解,則DFA必須分析,以此作為系統分解后的證據。
級聯失效:
任一失效,系統都會失效;
共因失效:
失效后,冗余措施不起作用。
系統分析角度:
系統架構、系統邊界、系統人員、系統環境、系統開發生產維護等過程。
硬件分析角度:
硬件架構、硬件選型、硬件人員、供電電源等。
軟件分析角度:
CPU共享資源、軟件架構、軟件人員、軟件工具、算法方案等
展開 [可靠性軟件介紹]可靠性、維修性和安全性工程設計分析Isograph
Isograph 軟件的一個顯著特性就是將各軟件工具的功能、設計分析信息、分析流程等有機地集成在一起。
功能集成
Isograph 軟件集成了以下可靠性、維修性、綜合保障分析工作內容:
※ Reliability Prediction -可靠性預計
※ Maintainability Prediction -維修性預計( MTTR 預計)
※ Reliability Block Diagram -可靠性框圖
※ FMEA / FMECA -故障模式、影響及危害性分析
※ Fault Tree Analysis -故障樹分析
※ Event Tree Analysis -事件樹分析
※ Markov Analysis -馬爾可夫過程分析
※ Reliability-Centred Maintenance -以可靠性為中心的維修工作分析
※ Hazop Analysis -風險性及可行性分析
※ Weibull Analysis -威布爾故障數據分析
※ LccWare -壽命周期費用分析
※ AvSim -高級仿真分析
項目集成
※ 系統、分系統、設備、部件、組件、元器件的統一分析和管理
※ 支持工程項目的分離與合并
※ 自動實現產品中各層次單元的數據傳遞關系
※ 最大限度地保證可靠性設計分析工作與產品研制狀態的一致性
數據集成
※ 通過數據共享和數據鏈接技術實現數據集成
※ 軟件內部的數據鏈接由系統自動實現
※ 軟件與外部接口的數據鏈接由用戶自由指定
展開 客戶案例 | 通過medini工具完成FMEA/FTA定性和定量分析,并實現功能安全設計各層級的追溯
汽車的功能安全分析就成了汽車系統研發設計的關鍵要素。因此,一款用于復雜產品的系統,硬件,軟件的安全分析和可靠性計算、且滿足功能安全認證標準要求的專業軟件對汽車研發團隊就是非常必要的了。medini含有的可靠性計算模型和失效模式分布等特性,可以為安全分析提供有力的支撐,減少其中的無效步驟,提高研發效率,medini中帶有的分析安全需求的追溯鏈接設置,有助于確保各層級設計的追溯性和合理性。
客戶簡介
深圳麥格米特電氣股份有限公司是一家專注于電能的變換、控制和應用的電氣自動化公司,以電力電子及工業控制為核心技術,業務涵蓋智能家電電控、電源產品、工業自動化、新能源&軌道交通、智能裝備、精密連接六大板塊。
主營業務涵蓋智能家電電控、電源產品、工業自動化、新能源&軌道交通、智能裝備、精密連接六大領域并包括三大核心技術平臺分別是數字化電源控制技術平臺、功率變換硬件技術平臺、系統控制與通訊軟件技術平臺。
所遇工程挑戰
需要一個可靠性高的并且通過功能安全認證的軟件工具,進行包括硬件BOM的失效模式定義、失效率設置和計算等在內的功能安全的定量分析功能;
需要軟件內置多種常用知名標準的失效率數據庫,同時該工具業內知名度較高、客戶廣泛,生成的工程文件可通用;
可以在安全分析(演繹法、歸納法)和安全需求,甚至安全架構、安全機制之間形成清晰的、有邏輯的追溯關系, 因為使用傳統的Excel和手寫工具進行定量分析,效率較低,復用性差;
需要軟件含有一系列成功應用的案例和最佳實踐模版,以及有良好的售后支持,包括提供軟件的使用培訓、二次開發和持續改進的能力。
展開 ISO 26262安全的軟件開發流程
來源 |
糖果Autosar
軟件開發啟動
根據ISO 26262-6 5.4.6中建議,在軟件開發的啟動階段,對于啟動軟件級產品開發,首先需要制定關于整個軟件級開發的活動和方法的計劃,對于軟件開發的每個子階段,應該根據應用規范來選擇對應的方法和相應的工具。
根據標準,SmartSAR Studio在選擇建模語言時考慮到了:對于建模語言需要有清晰的定義,我們采用EMF、GMF兩種建模語言搭建給一個建模環境提供給用戶;建模語言支持模塊化,抽象和結構化的構造,根據標準中對于建模和編碼規范中需要包含的問題,我們的工具支持的建模和編碼規范,如下表所示:
Studio的建模方法非常簡單,每個模型的圖元也不復雜,符合嵌入式領域軟件開發人員的常識,同時我們參照了多個領域軟件開發語言,定義了一套通用的建模語言。本建模語言使用強類型,每個模型有自己特定的類型,需要聲明后才能使用,每個模型在建模工具中都有唯一清晰確定的圖形表示,同時對于默認的模型名稱有符合意義的命名方式,并且符合C語言命名規范。由于Studio是屬于基于模型驅動的開發方法,同時也是一個多層的開發架構,不應該由于上層或者外部的輸入錯誤而導致本層次被破壞,這也是將可能出現的錯誤造成的影響控制在最小的范圍內。因此,不僅在編碼構建本工具的過程中,我們采用防御式編程方法,同時在建模環境中對用戶的模型也提供最大可能的防御措施,包括各種驗證提示,在代碼級最大可能容忍恢復用戶的建模錯誤,將各種可能的錯誤風險提到最上層等。
需求分析階段
需求分析階段是軟件工程領域中軟件開發最開始的階段,它主要是完成對系統整個的定義,確定系統的各種需求,幫助開發測試人員理解整個系統的功能,為后續的工作打下基礎。
展開 7/16 基于模型的功能安全分析助力提高BMS安全
簡介:
作為電動汽車電池系統中最為復雜的控制中心,BMS的安全直接影響著電動汽車的整體安全性,某些功能要求嚴格的BMS,其安全完整性等級要求可以達到ASIL D級,也就是ISO 26262 最高的安全完整性等級。 如何保障BMS的安全,并高效完成其功能安全分析,這給BMS廠商帶來了新的挑戰和巨大的工作量。Ansys medini?提供基于模型的安全性分析和可靠性工程的綜合解決方案,其內置的ISO 26262 安全模板涵蓋一系列安全分析技術,覆蓋整個安全生命周期,高效連接安全需求、安全分析、架構設計,確保追蹤性和一致性,可以有效保障 BMS 的安全,并大大加速和優化安全分析過程。
講師簡介:
楊瑾婧
Ansys SBU 安全與認證高級咨詢。多年來專注于航空、軌道、汽車等領域的安全認證、功能安全分析等,有豐富的行業咨詢和產品應用經驗。
點擊報名:http://event.31huiyi.com/1873747357/index?c=jishulink
展開 Ansys與霍尼韋爾合作加速安全關鍵型軟件研發
本次技術聯合將確保航空航天、汽車及其他行業的安全關鍵型系統自動完成驗證,具備安全可靠性能
主要亮點
霍尼韋爾航空航天集團使用Ansys仿真技術加速安全關鍵型嵌入式系統的研發、分析和認證
將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試自動駕駛汽車、電動飛機和安全關鍵型代碼的嵌入式代碼
通過全新深入的合作,Ansys將為霍尼韋爾航空航天集團提供基于模型的研發解決方案,以加速在各個垂直行業對自動駕駛汽車、電動飛機和安全關鍵型代碼中的安全關鍵型嵌入式系統的研發、分析與認證。
安全關鍵型嵌入式軟件必須符合嚴格且復雜的行業法規。這種關鍵型軟件的驗證和確認是一項成本高昂、耗時耗力的工作,和許多手動操作過程一樣,它也容易出錯。霍尼韋爾與Ansys合作開發的基于模型的可靠工作流程進一步擴展了兩家公司的測試與分析功能,在整個軟件研發過程中提供自動化、效率與價值。將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試廣泛應用的嵌入式代碼。
Ansys聯合霍尼韋爾確保航空航天、汽車和其他行業的安全關鍵系統得到自動驗證,且安全和可靠
霍尼韋爾航空航天集團高級技術總監Jeff Radke表示:“Ansys與我們共同致力于轉型軟件研發。此次合作將有助于降低研發成本,縮短霍尼韋爾產品的上市時間。
展開 
Ansys與霍尼韋爾合作加速安全關鍵型軟件研發
本次技術聯合將確保航空航天、汽車及其他行業的安全關鍵型系統自動完成驗證,具備安全可靠性能
主要亮點
霍尼韋爾航空航天集團使用Ansys仿真技術加速安全關鍵型嵌入式系統的研發、分析和認證
將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試自動駕駛汽車、電動飛機和安全關鍵型代碼的嵌入式代碼
通過全新深入的合作,Ansys將為霍尼韋爾航空航天集團提供基于模型的研發解決方案,以加速在各個垂直行業對自動駕駛汽車、電動飛機和安全關鍵型代碼中的安全關鍵型嵌入式系統的研發、分析與認證。
安全關鍵型嵌入式軟件必須符合嚴格且復雜的行業法規。這種關鍵型軟件的驗證和確認是一項成本高昂、耗時耗力的工作,和許多手動操作過程一樣,它也容易出錯。霍尼韋爾與Ansys合作開發的基于模型的可靠工作流程進一步擴展了兩家公司的測試與分析功能,在整個軟件研發過程中提供自動化、效率與價值。將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試廣泛應用的嵌入式代碼。
Ansys聯合霍尼韋爾確保航空航天、汽車和其他行業的安全關鍵系統得到自動驗證,且安全和可靠
霍尼韋爾航空航天集團高級技術總監Jeff Radke表示:“Ansys與我們共同致力于轉型軟件研發。此次合作將有助于降低研發成本,縮短霍尼韋爾產品的上市時間。
展開 圓桌對話:安全、產業協同、軟件能力建設問題
來源 | 中國汽車論壇
中國汽車工業協會主辦的第11屆中國汽車論壇舉辦的主題論壇“共創軟件定義汽車新生態”上,舉辦了以“安全、產業協同、軟件能力建設問題”為主題的圓桌對話。以下內容為現場對話實錄:
主持人:
清華大學汽車產業與技術戰略研究院院長 趙福全
對話嘉賓:
華為智能汽車解決方案BUCTO 蔡建永
長安汽車軟件科技公司總經理 張杰
小鵬汽車嵌入式高級總監 余鵬
主持人(趙福全):剛剛幾位嘉賓都做了非常精彩的分享,下面我們進入圓桌對話環節,進一步探討幾個問題。第一個問題,原來汽車生態是供應商提供硬件,整車企業集成,然后再賣給經銷商。而現在進入軟件定義汽車的大生態,產業需要再分工。今天葉秘書長講到,未來的關鍵要看新生態的搭建;我也講過,生態是一個生存的空間、狀態和環境,絕對不是一家企業單打獨斗就能做起來的;張杰總也講了,“吃獨食”玩不轉,我們要共同建立生態,有可能整車企業會作為主導和設計方。弄明白企業在大生態下如何參與、需要哪些能力,即我去哪兒、怎么去,這就是戰略。請問各位,你覺得在未來產業分工大環境下,如何有效及合理地定位自己的分工,才能在未來競爭中勝出?
蔡建永:這個問題很有挑戰,華為與所有的車企和供應商都要面對這個問題。生態最重要的一點是消費者,第二是整車廠(OEM),第三是供應商Tier1,此外,還包括平臺供應商。也就是說,生態中有四個核心的利益相關者。要想生態繁榮,必須對四個利益相關者都有好處,如果有人吃虧,這個生意就“長”不起來。
在軟件定義汽車背景下,我們認為汽車里有基礎的活動,涉及到底層的操作系統。底層操作系統包括基礎的網絡安全,涉及多認證加密、隱私保護等是能力是由技術平臺提供的,這是一部分。
展開 Ansys與霍尼韋爾合作加速安全關鍵型軟件研發
本次技術聯合將確保航空航天、汽車及其他行業的安全關鍵型系統自動完成驗證,具備安全可靠性能
主要亮點
霍尼韋爾航空航天集團使用Ansys仿真技術加速安全關鍵型嵌入式系統的研發、分析和認證
將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試自動駕駛汽車、電動飛機和安全關鍵型代碼的嵌入式代碼
通過全新深入的合作,Ansys將為霍尼韋爾航空航天集團提供基于模型的研發解決方案,以加速在各個垂直行業對自動駕駛汽車、電動飛機和安全關鍵型代碼中的安全關鍵型嵌入式系統的研發、分析與認證。
安全關鍵型嵌入式軟件必須符合嚴格且復雜的行業法規。這種關鍵型軟件的驗證和確認是一項成本高昂、耗時耗力的工作,和許多手動操作過程一樣,它也容易出錯。霍尼韋爾與Ansys合作開發的基于模型的可靠工作流程進一步擴展了兩家公司的測試與分析功能,在整個軟件研發過程中提供自動化、效率與價值。將霍尼韋爾自主開發的基于模型的驗證解決方案與Ansys基于模型的研發環境集成,能夠可靠地設計、仿真和測試廣泛應用的嵌入式代碼。
Ansys聯合霍尼韋爾確保航空航天、汽車和其他行業的安全關鍵系統得到自動驗證,且安全和可靠
霍尼韋爾航空航天集團高級技術總監Jeff Radke表示:“Ansys與我們共同致力于轉型軟件研發。此次合作將有助于降低研發成本,縮短霍尼韋爾產品的上市時間。
展開 【Ansys線上直播回看】基于模型的功能安全分析助力提高BMS安全
『點擊觀看直播回放』
作為電動汽車電池系統中最為復雜的控制中心,BMS的安全直接影響著電動汽車的整體安全性,某些功能要求嚴格的BMS,其安全完整性等級要求可以達到ASIL D級,也就是ISO 26262 最高的安全完整性等級。 如何保障BMS的安全,并高效完成其功能安全分析,這給BMS廠商帶來了新的挑戰和巨大的工作量。
此次網絡直播吸引了眾多觀眾在線觀看,在會后我們也陸續收到在線觀眾以及其他用戶前來詢問,在此附上本場網絡直播錄播內容,供大家回看學習。
▼▼▼2020 Ansys網絡研討會有獎反饋 - 可免費獲取本場錄播和講解資料,參與者均可獲得千元培訓券及技術鄰金幣獎勵!
▼▼▼“更多Ansys近期專題研討會” - 歡迎掃碼報名參加!
『或點擊此處進入報名通道』
立即提交作品參加Ansys“仿真的藝術”圖片作品大賽
為紀念公司成立50周年,Ansys于近期推出全新“仿真的藝術”圖片作品大賽,讓您有機會充分發揮自身超強的建模能力,開展巧奪天工的設計,并展示您精彩的作品。歡迎提交采用Ansys仿真解決方案制作的設計作品,可選擇的參賽仿真設計主題有16類,涵蓋主要物理領域和新興技術。
『或點擊此處進入報名通道』
展開 