概述

       汽车电子电气系统的功能安全随着智能驾驶、新能源等新兴技术的发展而愈发受到重视。在国际功能安全标准ISO 26262的落地过程中遇到了很多的棘手问题：如何正确而有效地实施HARA以得到合适的安全目标？如何进行安全分析才能确保安全需求完整而充分？如何验证系统/软件/硬件设计方案的安全性？硬件指标的评估计算要如何开展？开发过程的追溯性、一致性、完整性如何保证？ 

       为了解决智能驾驶开发中的功能不足和设计的局限性导致的风险，ISO组织编制了SOTIF（ISO21448）标准，该标准是对ISO26262标准的补充。由于SOTIF标准还在制定中，如何识别预期功能的危害，如何识别系统的限制特性和触发条件，如何正确的采用标准要求的技术方法（FMEA/FTA）以及如何与功能安全分析流程有效衔接，是当前自动驾驶产品开发的难点之一。

功能安全开发应用
       medini analyze工具是专业的功能安全开发平台工具，符合ISO 26262开发全流程，功能覆盖ISO 26262要求的所有开发活动，它的主要功能如下：

• 项目定义

»  支持功能定义、行为设计、初始架构建模
»  提供HAZOP模板用于失效识别等

• 危害分析和风险评估

»  提供驾驶场景数据库以支持HARA情景分析
»  提供标准HARA模板，让HARA分析过程更加清晰简单

• 安全需求开发

»  提供满足ISO 26262要求的半形式化需求模板，确保需求编写的规范性和完整性
»  支持基于安全分析（如FTA）的安全需求导出，确保安全需求不被遗漏
»  支持创建UML需求树，满足可视化的需求追溯关系建立和维护
»  支持和DOORS、DNG、PTC等主流需求管理工具进行交互

• 安全架构设计

»  支持标准SysML语言的架构设计，支持向架构分配需求，实现需求和设计的追溯性
»  支持导入Simulink、SCADE、Rhapsody、EA等主流建模软件的输出模型文件

• 安全分析FMEA

»  支持基于SysML的设计模型生成FMEA表格，确保FMEA和其分析对象（架构）直接的关联性、完整性，也便于架构优化时更新FMEA
»  支持创建措施库（prevention/detection measures）并进行措施管理，集成ISO 26262 part5 appendix D所有安全机制

• 安全分析FTA

»  支持基于SysML的设计模型创建FTA，确保FTA和其分析对象（架构）直接的关联性，也便于实现和FMEA的互相校验
»  支持最小割集、重要度等定性的FTA分析以及定量FTA（PMHF）的计算

• 硬件指标计算FMEDA

»  提供SN29500、IEC62380以及ISO 26262 : 2018新推荐的IEC 61709等5个失效率计算手册
»  支持基于Excel/CSV格式BOM自动生成ISO 26262推荐的FMEDA表格

• 强大的可追溯性

»  支持创建项目内任意元素的追溯关系，如不同层级的需求关联关系，需求与设计架构的allocation关系，架构与安全分析验证的对应关系等
»  支持可视化的功能与架构的依附关系展示
»  支持Function net、Failure net等可视化的追溯关系展示

预期功能安全开发应用
       预期功能安全关注的是：由功能不足、或者由可合理预见的人员误用所导致的危害和风险。medini可以辅助工程师开展预期功能安全的风险评估工作。

• 引导词分析

       2020 R1对HAZOP引导词进行了扩展，以涵盖新引入的限制特性和漏洞的概念。所以，medini中的HAZOP分析除了可以用于功能安全分析中识别malfunction，还可用于SOTIF分析，识别元器件的因标称特性产生的限制特性。

• 触发条件

       2020 R1中新引入了触发条件的概念，以描述因限制特性引发危险行为的场景。触发条件在collection中进行管理，同时支持基于活动图进行触发条件分析。

• FTA分析

       在2020 R1中，支持基于识别到的限制特性和触发条件绘制故障树，导出相应的安全需求。