概述

汽車電子電氣系統的功能安全隨著智能駕駛、新能源等新興技術的發展而愈發受到重視。在國際功能安全標準ISO 26262的落地過程中遇到了很多的棘手問題：如何正確而有效地實施HARA以得到合適的安全目標？如何進行安全分析才能確保安全需求完整而充分？如何驗證系統/軟件/硬件設計方案的安全性？硬件指標的評估計算要如何開展？開發過程的追溯性、一致性、完整性如何保證？

為了解決智能駕駛開發中的功能不足和設計的局限性導致的風險，ISO組織編制了SOTIF（ISO21448）標準，該標準是對ISO26262標準的補充。由于SOTIF標準還在制定中，如何識別預期功能的危害，如何識別系統的限制特性和觸發條件，如何正確的采用標準要求的技術方法（FMEA/FTA）以及如何與功能安全分析流程有效銜接，是當前自動駕駛產品開發的難點之一。

功能安全開發應用

medini analyze工具是專業的功能安全開發平臺工具，符合ISO 26262開發全流程，功能覆蓋ISO 26262要求的所有開發活動，它的主要功能如下：

• 項目定義

— 支持功能定義、行為設計、初始架構建模

—提供HAZOP模板用于失效識別等

• 危害分析和風險評估

—提供駕駛場景數據庫以支持HARA情景分析

—提供標準HARA模板，讓HARA分析過程更加清晰簡單

• 安全需求開發

—提供滿足ISO 26262要求的半形式化需求模板，確保需求編寫的規范性和完整性

—支持基于安全分析（如FTA）的安全需求導出，確保安全需求不被遺漏

—支持創建UML需求樹，滿足可視化的需求追溯關系建立和維護

—支持和DOORS、DNG、PTC等主流需求管理工具進行交互

• 安全架構設計

—支持標準SysML語言的架構設計，支持向架構分配需求，實現需求和設計的追溯性

—支持導入Simulink、SCADE、Rhapsody、EA等主流建模軟件的輸出模型文件

• 安全分析FMEA

—支持基于SysML的設計模型生成FMEA表格，確保FMEA和其分析對象（架構）直接的關聯性、完整性，也便于架構優化時更新FMEA

—支持創建措施庫（prevention/detection measures）并進行措施管理，集成ISO 26262 part5 appendix D所有安全機制

• 安全分析FTA

—支持基于SysML的設計模型創建FTA，確保FTA和其分析對象（架構）直接的關聯性，也便于實現和FMEA的互相校驗

—支持最小割集、重要度等定性的FTA分析以及定量FTA（PMHF）的計算

• 硬件指標計算FMEDA

—提供SN29500、IEC62380以及ISO 26262 : 2018新推薦的IEC 61709等5個失效率計算手冊

—支持基于Excel/CSV格式BOM自動生成ISO 26262推薦的FMEDA表格

• 強大的可追溯性

—支持創建項目內任意元素的追溯關系，如不同層級的需求關聯關系，需求與設計架構的allocation關系，架構與安全分析驗證的對應關系等

—支持可視化的功能與架構的依附關系展示

—支持Function net、Failure net等可視化的追溯關系展示

預期功能安全開發應用

預期功能安全關注的是：由功能不足、或者由可合理預見的人員誤用所導致的危害和風險。medini可以輔助工程師開展預期功能安全的風險評估工作。

• 引導詞分析

2020 R1對HAZOP引導詞進行了擴展，以涵蓋新引入的限制特性和漏洞的概念。所以，medini中的HAZOP分析除了可以用于功能安全分析中識別malfunction，還可用于SOTIF分析，識別元器件的因標稱特性產生的限制特性。

• 觸發條件

2020 R1中新引入了觸發條件的概念，以描述因限制特性引發危險行為的場景。觸發條件在collection中進行管理，同時支持基于活動圖進行觸發條件分析。

• FTA分析

在2020 R1中，支持基于識別到的限制特性和觸發條件繪制故障樹，導出相應的安全需求。