基于模型的功能安全和可靠性工程综合解决方案

1、基于模型的功能安全和可靠性工程解决方案议程ANASYS Medini 与功能安全ANSYS Medini 安全分析在全生命周期中的应用小结2 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017什么是功能安全？任何技术系统的采用都可能对人类造成危害直接- 燃烧，电击，物理伤害等 间接- 污染环境安全safety没有不可接受/不合理的风险unacceptable功能安全functional safety不存在“由于系统功能失效行为引起的危险”而引起的不可接受的风 险示例1：汽车制动系统的潜在不可用性导致之后的碰撞是功能安全性的问题示例2：有害（例如有毒）材料的

2、使用，不是功能安全的问题风险risk伤害发生的概率和危害的严重程度的组合3 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017功能安全标准ISO138491MachineryIEC-61511Process IndustryIEC-61508GenericE/E/PEIEC60880，IEC-61513NuclearIEC-60601Medical DevicesEN-50128Railway ApplicationIEC6180052Electrical DrivesISO-26262AutomotiveISO-13849Control SystemsI

3、SO-25119IFEARP 4761, DO-178B/C, DO- 254Aerospace4 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017工程中有哪些功能安全活动?5 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017分析危害和可操作性分析 HAZOP危害分析和风险评估 HARA故障模式和影响分析 FMEA (定性)故障模式，影响和诊断分析 FMEDA (定量)/FMECA故障树分析 FTA (定性&定量)事件树分析 ETA (定性&定量)数学计算（可靠性和概率计算）或派生数据库概念定义安全目标和安全需求定

4、义架构设计： 从初步的系统级到HW / SW架构可追溯性和分配目前大多采用的手段是excel AnalysesHazard and Operability Study HAZOPHazard and Risk Analysis HARAFailure Mode and Effects Analysis FMEA (qualitative)Failure Mode Effects and Diagnostics Analysis FMEDA (quantitative)Fault Tree Analysis FTA (qualitative and quantitive)Event Tree A

5、nalyisis ETA (qualitative and quantitive)Mathematics (reliability and probability calculations) or derived data basesConcept definitionGoal and requirements definitionvia system level down to HW/SW architecturesArchitecture Design from preliminaryTraceability and allocation and the main tool is Exce

6、l 实际工程中是怎样做的?6 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017功能安全的传统方法：单个任务的点工具工程与安全分析之间没有整合hazard analysisrisk assessmentsafety goalscontrollability analysis driving situation analysissafety requirementssafety validationfailure mode and effects analysishardware diagnosticconfiguration managementcover

7、age metricschange managementfault tree analysissafety architecturefunctional safety conceptno traceabilitydouble workredundant datano round trippingtons of manual confirmationsno automation in case of changes7 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017使用点工具的传统方法容易出错，耗时且浪费人力ANSYS medini: 综合安全分析解决方案

8、功能安全与可靠性工程的综合解决方案符合最先进的标准IEC 61508，ISO 26262，VDA- Band 4，SAE J1739，SN 29500，IEC 62380，MIL HDBK 217F，FIDES，ARP 4761和DO-254（开发中）结合基于模型的方法，在概念、系统、软件和硬件层面有效应用安全可靠性工程方法减少高达50的成本和上市时间，保证安全和可靠性Fault Tree Analysis8 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini: 基于模型的安全分析高质量的系统架构设计与可靠性和安全性分析方法相结合系统模型功能、

9、架构、设计、硬件、软件Extended with analysis related properties基于模型的方法确保无与伦比的一致性、可跟踪性和高效率PHA / HARAFMEAFTA指标安全需求HAZOP9 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017与其他工程工具集成Project management and issue trackingPTC IntegrityRational DOORSEngineering Tools and PlatformsNetlist (NL)BehaviorRegister Transfer Level

10、(RTL)ConfigurationIP Design ToolsRequirement ManagementToolsJAMAPolarionExisting Fault TreesExisting FMEAOther Analysis ToolsOffice ToolsARTOPMATLABSimulinkEnterprise ArchitectRational RhapsodySafe Time and ensure Consistency in Case of Design Iterations10 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 201

11、711 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini 安全分析在全生命周期中的应用medini覆盖整个安全生命周期Traceability, IntegrationsQuantitative FMEDA, FTAChecklistsCompare & MergeTeamworkISO 26262IEC 61508ARP 4761EN 50128Safety GoalsSafety RequirementsQualitative FMEA, FTAQualitative FMEA, FTAReliability/Failure RatesM

12、odel Driven and Integrated Safety ToolingHazard Analysis and Risk AssessmentTask Management0- +Batterym pEngineTorqueEngineSpeedThrottletransEnginebattpulleyAlternatorCruiseSpeedThrottleCmd CruiseStateCarSpeedCruiseSpeedCruiseStateThrottleCmdAccelerator AccelBrake Brake SpeedOn OnSet SetResume Resum

13、eQuickAccel QuickAccel QuickDecel QuickDecelOff Off12 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017概念阶段：基于模型的PHA/HARATraceability, IntegrationsQuantitative FMEDA, FTAChecklistsCompare & MergeTeamworkISO 26262IEC 61508ARP 4761EN 50128Safety GoalsSafety RequirementsQualitative FMEA, FTAQualitative FMEA

14、, FTAReliability/Failure RatesModel Driven and Integrated Safety ToolingHazard Analysis and Risk AssessmentTask Management0m p- +BatteryEngineTorqueEngineSpeedThrottletransEnginebattpulleyAlternatorCruiseSpeed ThrottleCmdCruiseStateCarSpeed CruiseSpeed CruiseState ThrottleCmdAccelerator AccelBrake B

15、rake SpeedSet SetResume ResumeQuickAccel QuickAccel QuickDecel QuickDecelOn OnOff Off13 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017概念阶段：基于模型的PHA/HARA典型活动项目定义项目定义、描述功能建模、故障识别初始架构建模危害分析和风险评估（PHA/HARA）危害分析确定安全目标推导功能安全需求及规范14 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017项目定义一切从一个好的功能模型开始工具中，可以便捷地设定功 能与功

16、能间、故障间的关系。15 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017项目定义故障识别和建模通常在一个“功能”内部创建故障识别(HAZOP) ：工具预定义了丰富的清单模板可以对因果关系建模16 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017危害分析和风险评估（PHA/HARA）medini支持：对系统提供的每个功能进行危害分析和风险评估。识别在不同情景下系统的潜在故障，通过风险评估， 识别危害的严重度、暴露概率和可控性。危害分级 （SIL，ASIL）预防措施17 2017 ANSYS, Inc.August

17、3, 2017ANSYS UGM 2017medini - 支持 Hazard Log (HARA table) 自由定义More ActionsTable ActionsFilters18 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini 自动计算安全完整性等级选择每个危害事件的合理参数（E， C，S），并对每个参数给出相应的证明。以ASIL为例，确定好严重度、暴露率和可控性三 个参数之后，medini工具会自动计算出ASIL等级Operational SituationMalfunctionHazard/EffectRisk Estima

18、tionASIL19 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini 安全目标和安全需求安全目标+ 功能安全需求功能安全架构(SysML)安全需求分配Safety Goal = Top level Safety Objective20 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017定性FTA (分析初始架构: 什么将导致安 全目标违例?)自顶向下的安全分析从不良事件开始发生下一级事件的条件是什么（使用AND, OR, n out of m,.)可以在各个阶段、各个层次进行FTA21 2017 ANS

19、YS, Inc.August 3, 2017ANSYS UGM 2017medini 定性FTAmedini 安全目标、需求模型与FTA集成与定性FTA集成在FTA活动中创建需求通过脚本将（A）SIL调整到目标的（A）SIL22 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017系统设计阶段：安全目标、安全需求与系统设计模型集成Traceability, IntegrationsQuantitative FMEDA, FTAChecklistsCompare & MergeTeamworkISO 26262IEC 61508ARP 4761EN 50128

20、Safety GoalsSafety RequirementsQualitative FMEA, FTAQualitative FMEA, FTAReliability/Failure RatesModel Driven and Integrated Safety ToolingHazard Analysis and Risk AssessmentTask Management0m p- +BatteryEngineTorqueEngineSpeedThrottletransEnginebattpulleyAlternatorCruiseSpeed ThrottleCmdCruiseState

21、CarSpeed CruiseSpeed CruiseState ThrottleCmdAccelerator AccelBrake Brake SpeedSet SetResume ResumeQuickAccel QuickAccel QuickDecel QuickDecelOn OnOff Off23 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017系统设计阶段：安全目标、安全需求与系统设计模型集成24 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017要完成的任务：应按照功能安全概念规定技术安全需求应对技术

22、安全需求规定必要的安全机制技术安全需求应分配给系统设计元素，应直接分配或进一步细化为给硬件、软件或两者典型活动：推导技术安全需求建立技术安全架构（SysML）分配安全需求安全分析: FMEA从元件故障模式开始，发现潜在的影响分析因果链规划对策medini 技术安全需求与技术安全架构从功能安全需求推导技术安全需求技术安全架构（SysML）分配安全需求25 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini 系统设计建模Medini支持基于SysML 进行系统架构、设计和行为建模，集成了基于功能安全分析方法的架构/功能设计通过图形和表格编辑器进行S

23、ysML建模使用块定义图和内部框图对功能依赖性和故障的功能架构进行图形化建模使用活动图对功能和过程的行为建模26 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini FMEA安全分析11234567892445678927 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017FMEA工作表列各不相同，但基本结构和（风险）评估 通常类似：组件故障模式 影响效果;识别原因、现有措施、行动风险优先级编号（RPN）作为产品 -“严重性x发 生率x检测”IEC 60812的FMEA流程medini基于模型的安全性分析:

24、 设计/分析工作流程功能安全需求外部技术其他技术系统需求Functional Safety ConceptDegradation + Warning Concept初始架构安全系统设计修正后架构技术安全需求HSI内外部接口Technical Safety Concept安全机制软件设计软硬件安全需求FTAFMEA安全分析设计和分析 相互迭代硬件设计28 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017安全验证：基于模型的不同层次安全分析和可靠性预测Traceability, IntegrationsQuantitativeFMEDA, FTACheckl

25、istsCompare & MergeTeamworkISO 26262IEC 61508ARP 4761EN 50128Safety GoalsSafety RequirementsQualitative FMEA, FTAQualitative FMEA, FTAReliability/Failure RatesModel Driven and Integrated Safety ToolingHazard Analysis and Risk AssessmentTask Management0m p- +BatteryEngineTorqueEngineSpeedThrottletran

26、sEnginebattpulleyAlternatorCruiseSpeed ThrottleCmdCruiseStateCarSpeed CruiseSpeed CruiseState ThrottleCmdAccelerator AccelBrake Brake SpeedSet SetResume ResumeQuickAccel QuickAccel QuickDecel QuickDecelOn OnOff Off29 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017安全验证：基于模型的不同层次安全验证和可靠性预测典型活动定性/定量 FTA、F

27、MEA 、 诊断覆盖率硬件安全需求规范硬件结构指标硬件随机失效评估、验证30 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini - 将故障层次结构集成到系统设计模型中更低层原因更高层影响技术架构硬件设计系统设计(功能性)环境、 场景31 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini - 支持在不同设计层次应用 FMEAFTAHARAComponent FMEAFMEDADFMEASFMEASystem ModelsDesignSW UnitsPCB Layout/ BOMFMHW Blo

28、ck Model FMComponent Model MFMFMFHAZARDFunctional/LogicalHWHWE1E2SW E3Cn E4TLEComponent Model MFSW ArchitectureErrorNote: the hierarchy of FMEA as “failure net” (“failure cause higher level effect”) is only partly overlapping with a fault tree analysis (“immediate failure cause effect”).32 2017 ANSY

29、S, Inc.August 3, 2017ANSYS UGM 2017System context,environment, usage scenarios提供FMEA的标准模板自由定制的FMEA表布局自动计算风险优先级编号（RPN）自动填充表，并保持与SysML模型 元素的一致性支持Excel和MSR-FMEA导入medini - 硬件级安全分析BOM (物料清单):accurate data, in sync withpurchasing, e.g. from SAP, CAD toolsPart Number = Unique ID for type and manufacturer o

30、f componentsPCB (Printed Circuit Board)C123C124Res123IC42C123(stress)open 90%short 10%C124(stress) open 90%short 10%Res123(stress)open 40%drift 60%IC42(stress)FM1 X1%FM2 X2%BOM(Excel, CSV)IEC62380, etc.)部件库对于硬件级的安全分析，主要是处理随机硬件故障。medini可用于基于HW元件特性导出其基本故障率进一步将基本故障率分布在故障模式或复杂硬件元素的部分进而完成根据安全标准所要求的硬件指标和P

31、MHF的计算。应力参数 手册(SN29500,FMEDA/FTA的基础NameFailureMode%FITCritical?SMDCSPFFMEDAFTA33 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini - 随机HW故障的概率指标（PMHF）通常通过定量FTA硬件架构(SysML) 元素的失效模式在FTA中呈现34 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini -计算完整的基于SysML的架构模型的指标（FMEDA/FMECA）诊断覆盖率分析和确定安全失效分数ISO 26262:单点和潜在故障HW架构指标35 2017 ANSYS, Inc.August 3, 2017ANSYS UGM 2017medini - FMEDA 与 FTA 的数据共享BOMNameFailure Mode%FITSAFEFITCritical?Safety Me