ANSYS medini™ Analyze: модельно-ориентированный подход к процессам анализа функциональной безопасности, расчета надежности и ремонтопригодности

Павел Брук, региональный директор ANSYS SBU, Россия, Скандинавия, Ближний Восток и Африка

Функциональная безопасность и расчет надежности

Функциональная безопасность — это часть общей безопасности системы, компонента системы или оборудования, работающих правильно в ответ на входные воздействия и обеспечивающих, со своей стороны, отсутствие неприемлемого риска  для здоровья  людей, их собственности или окружающей среды.

Процессы анализа функциональной безопасности и расчета надежности критичных систем в настоящее время хорошо описаны в многочисленных стандартах, выпущенных в этой области для различных отраслей промышленности. Достаточно сказать, что, например, стандарт для автомобильной промышленности, ISO 26262, является самым объемным из всех существующих стандартов этой организации. Другие стандарты, такие как IEC 61508 для общего машиностроения, EN 50128 для железнодорожной промышленности, IEC 61513 для атомной отрасли, ISO 13849 для систем управления, и рекомендации ARP4761 для авиационной промышленности также широко применяются при проектировании систем, а в некоторых случаях — обязательны к применению.

Однако, несмотря на наличие стандартов, большинство требуемых к исполнению техник анализа являются весьма субъективными и зависят, в основном, от уровня подготовки инженеров, которые данный анализ проводят. Поскольку обычно эта работа реализуется без применения какого­либо специализированного программного обеспечения, вероятность того, что она будет выполнена качественно, всеобъемлюще и в нужные сроки, очень мала. Существующие сегодня на рынке программные комплексы в данной области обычно занимаются простой автоматизацией операций, которые пользователи выполняют с помощью офисных приложений. Эти данные никак не связаны ни с моделью системы, ни с какими­либо другими базами знаний и позволяют автоматизировать лишь такие простейшие действия, как, например, формирование таблиц АВПО, построение «деревьев отказов», или выпуск отчетов и документации требуемого формата. Отсутствие связи этих данных с архитектурой анализируемой системы приводит к тому, что инженеры по оценке безопасности тратят огромное количество времени на понимание деталей поведения системы и ручное оформление документов, вместо проведения качественного анализа. Не говоря уже о ситуации, когда требуется внести какие­либо изменения.

Модельно­ориентированный подход

Модельно­ориентированный подход в настоящее время очень широко применяется при проектировании критичных систем. При данном подходе различные процессы, такие как симуляция, верификация, тестирование, генерация кода (в случае наличия встраиваемого программного обеспечения), основываются на формализованной модели системы, описанной с помощью специального проблемно­ориентированного языка.

Модельно­ориентированная разработка позволяет моделировать не только элементы встраиваемого ПО, но и такие физические компоненты, как электрические, электронные и механические элементы. Путем комбинирования моделей, состоящих из цифровых компонентов (аппаратное и программное обеспечение), с моделями механических компонентов (насосы, клапаны, генераторы и пр.) мы можем создать единую модель, которая позволит симулировать номинальное поведение системы. Данная модель может быть расширена путем добавления любых дополнительных данных, образовывая в результате так называемую расширенную системную модель, которая может отображать какой­либо специализированный контент, в зависимости от ее области применения. Так, например, при ее расширении дополнительными данными в области функциональной безопасности, надежности, ремонтопригодности, обслуживаемости и т.п. она становится отличным источником исходных данных для проведения всех необходимых видов анализа и расчетов в данной предметной области.

Анализ функциональных опасностей на уровне самолета (FHA) в соответствии с ARP4761

Итак, если мы дополним системную модель данными в области безопасности и надежности, например моделью отказов, описанием опасностей и мерами их предотвращения, перечнем отказных состояний, событиями и их вероятностями возникновения, а также требованиями, у нас появляется возможность создания управляемой, автоматизированной среды для проведения всех требуемых видов анализа. Использование единой модели позволит инженерам­системотехникам и конструкторам значительно облегчить проведение анализа безопасности и расчета надежности, сократить затраты на разработку и улучшить качество критичных систем.

В расширенной системной модели процесс анализа безопасности состоит из описания набора формальных свойств для представления требований в области безопасности для системы с последующим применением формализованных техник анализа. Генерация любых отчетов происходит автоматизированно, как побочный продукт процесса формального анализа.

Функциональная архитектура безопасности замка электронной блокировки руля автомобиля

Преимущества модельно­ориентированного подхода при анализе функциональной безопасности и расчете надежности заключаются прежде всего в наличии общей формализованной модели, используемой как для системного проектирования, так и для анализа безопасности. Благодаря этому мы получим целостную и неделимую среду, обеспечивающую значительное сокращение ручной работы, особенно в тех видах анализа, которые являются наиболее трудоемкими и, как следствие, порождают наибольшее число ошибок. Единая модель также позволяет быть уверенным, что результаты, полученные в ходе анализа безопасности и расчета надежности, полностью соответствуют текущему состоянию разработки и не устарели. Кроме того, она позволяет исследовать различные варианты архитектурных и конструкторских решений, чтобы выбрать то, которое наилучшим образом соответствует целям обеспечения безопасности критичных систем. В идеальном случае использование расчетных средств, таких как средства проверки модели, дает возможность автоматизировать множество действий в области анализа безопасности.

В поддержку преимуществ модельно­ориентированного подхода компания ANSYS выпустила на рынок первое модельно­ориентированное решение для анализа функциональной безопасности и расчета надежности — ANSYS medini™ Analyze.

Инструмент ANSYS medini™ Analyze

ANSYS medini™ Analyze представляет собой модельно­ориентированную среду и интегрированный набор инструментов, обеспечивающий выполнение требуемых по стандартам видов анализа, таких, например, как анализ опасностей и оценка рисков, исследование факторов опасности и работоспособности, анализ «деревьев отказов», анализ видов и последствий отказов, расчеты надежности, ремонтопригодности и обслуживаемости. Все эти виды анализа полностью соответствуют уже перечисленным выше стандартам, в частности ISO 26262, IEC 61508, ARP4761, EN50128 и др.

Пример таблицы анализа вероятностей и последствий отказов (АВПО) по стандарту ISO 26262

Medini позволяет интегрировать архитектурные и функциональные проектные модели с методиками анализа качества, надежности и функциональной безопасности. Обеспечивается идентификация и управление требованиями к функциональной и технической безопасности, поддержка полной трассируемости, настраиваемое формирование пользовательской рабочей и проектной документации, совместная работа над проектом с возможностью детального сравнения и слияния элементов проекта.

Модуль исследования факторов опасности и работоспособности и оценки рисков содержит методику HAZOP для выявления неисправностей и системных отказов, методику HARA в связке с моделью системы. Обеспечивается построение матриц рисков, удобное представление комбинаций неисправностей и эксплуатационных ситуаций.

Фрагмент количественного дерева отказов

Большую роль играет возможность связи с системами управления требованиями, ведь часть требований по безопасности формируется именно в процессе выполнения различных видов анализа. Medini имеет в своем составе графические и табличные редакторы требований по безопасности, обеспечивает визуализацию иерархий требований и их трассировку с использованием диаграмм, привязку требований к архитектуре системы, программным, аппаратным и функциональным моделям. Осуществляется полная поддержка концепций таких стандартов в области безопасности, как декомпозиция уровней полноты безопасности (SIL, ASIL, DAL, PL и т.п.). Реализованы правила подтверждения соответствия для проверки соблюдения стандартов в области безопасности и корпоративных правил. Поддерживается импорт, экспорт и обмен данными с наиболее популярными на рынке системами управления требованиями (DOORS, DOORS NG, PTC Integrity, Jama), включая сопоставление пользовательских атрибутов, а также общий механизм обмена требованиями ReqIF/RIF.

Как уже отмечалось, medini является модельно­ориентированным инструментом, а значит, оснащен базовыми возможностями моделирования систем, ПО и аппаратного обеспечения. Имеется встроенный графический редактор системных моделей, обеспечивающий структурное моделирование архитектуры и дизайна систем с помощью блоков, элементов, портов и связей, моделирование функций и процессов путем привязки к проектным моделям (система/ПО/аппаратное обеспечение), а также специализированные возможности для анализа функциональной безопасности и надежности, такие как:

• специфицирование видов и интенсивностей отказов для элементов модели;
• определение типов блоков и библиотек элементов с возможностью многократного использования для полуавтоматического обновления в случае внесения изменений;
• расчет, подтверждение соответствия и визуализация уровней полноты безопасности при проектировании систем.

Имеется полная интеграция с ключевым инструментом ANSYS в области системного инжиниринга — SCADE Architect для проектирования, анализа и симуляции встраиваемых систем, а также интеграция с MATLAB/Simulink Stateflow, IBM Rational DOORS, PTC Integrity, MS Office, TortoiseSVN, IBM Rational ClearCase и другими подобными инструментами.

Модель системы для последующего выполнения анализа PSSA и SSA
в соответствии с ARP4761

Большой блок функциональности medini посвящен расчету надежности. Имеется механизм прогнозирования интенсивности и видов отказов для систем и аппаратных компонентов. Определение интенсивности и видов отказов осуществляется с помощью встроенных каталогов SN 29500, IEC TR 62380, FIDES Guide и MIL­HDBK­217F. Для агрегации или распределения интенсивности отказов применяются различные модели прогнозирования (например, по компонентам, портам и т.п.). Пользователи могут импортировать и синхронизировать данные состава изделия (BOM) при проектировании микроэлектронных изделий. По умолчанию в системе доступны библиотеки видов отказов в соответствии с методиками, изложенными в IEC TR 62380, MIL­HDBK­338B, A.Birolini Reliability Engineering. Поддерживаются полностью настраиваемые методики определения интенсивности отказов.

Анализ видов и последствий отказов (АВПО) является наиболее часто применяемым видом качественной оценки безопасности технических систем. Существенной чертой этого метода является рассмотрение каждой системы в целом или каждой составной ее части на предмет того, как она может стать неисправной (вид и причина отказа) и как этот отказ воздействует на технологическую систему (последствия отказа). Medini имеет в своем составе поддержку выполнения АВПО для функций, систем и процессов в соответствии с VDA/AIAG, SAE J1739, IEC 60812 (ГОСТ Р 51901.12­2007 (МЭК 60812)) и связанных с ними стандартов. Модельно­ориентированные таблицы АВПО синхронизируются со структурными элементами и функциями из проектных и процессных моделей, осуществляется управление оценками и проектными решениями. Предусмотрен редактор сети отказов для причинно­следственных цепочек на всех уровнях абстракции. Матрицы рисков позволяют проводить оценку рисков и оптимизацию метрик. Дополнительно к качественному АВПО имеется возможность проведения количественного анализа отказов, их последствий и диагностики (АОПД) и расчет метрик диагностического покрытия с долями безопасных отказов в соответствии со стандартом IEC 61508 (ГОСТ Р МЭК 61508), расчет метрик архитектуры аппаратных средств по метрикам одиночных и скрытых отказов в соответствии с ISO 26262­5.

Функциональность анализа деревьев отказов состоит из графического редактора для проведения количественного и качественного видов анализа, возможностей формирования автоматических графических представлений и поддержки работы с очень большими деревьями отказов с помощью множественных диаграмм. Редактор позволяет создавать события и ветви дерева методом drag & drop элементов модели и видов отказов из системной модели. Поддерживаются согласованные и несогласованные деревья отказов, различные вероятностные модели (фиксированная, экспоненциальное распределение, модель с мониторингом и восстановлением, Weibull и др.). Осуществляются оценка минимальных сечений отказов (с настраиваемыми ограничениями по размеру) и анализ пути, расчеты недоступности, ненадежности, интенсивности условных отказов относительно временной шкалы для событий верхнего и среднего уровней, а также такие важные метрики, как семейства распределений Бирнбаума — Сондерса, значимость базисных событий по Fussell — Vesely, критичность по первичным событиям. Благодаря модельно­ориентированному подходу, при внесении изменений в проект все значения вероятностей пересчитываются автоматически.

Medini предоставляет пользователям широкие возможности командной работы и обеспечение интегрированного управления проектами, включая сравнение проектов путем двухстороннего и трехстороннего анализа отличий, функциональность слияния проектов для обеспечения командной работы, интеграцию с системами управления конфигурациями (TortoiseSVN, IBM Rational ClearCase, PTC Integrity), интеграцию с системами отслеживания проблем (Bugzilla, Trac, RTC, Redmine, Jira, Mantis, PTC Integrity, Microsoft Outlook).

Завершая краткое описание инструмента, необходимо отметить функциональность в области формирования отчетной документации и верификации проектов. Генерация отчетов осуществляется в форматах PDF, Word, Excel или HTML для всего содержимого проекта. Имеются готовые шаблоны отчетов для результатов анализов HARA, концепции безопасности, требований к безопасности, АВПО, АОПД и FTA, а также настраиваемый генератор отчетов. Имеется механизм профилирования для добавления пользовательских полей, ссылок и запросов ко всем видам моделей и анализа, расширяемый набор правил подтверждения соответствия для проверки целостности всех проектных данных.

Заключение

Современные технические системы становятся все более сложными, поэтому модельно­ориентированный подход к процессам анализа функциональной безопасности и надежности набирает популярность во всем мире и уже достаточно широко применяется во многих отраслях промышленности. Его преимущества становятся наиболее очевидными при проектировании сложных критичных и ответственных систем, при необходимости их сертификации, а также получения доказательств обеспечения требуемого уровня полноты безопасности. Инструмент ANSYS medini появился на мировом и российском рынках сравнительно недавно, но уже успел завоевать популярность и успешно применяется в самых различных отраслях промышленности, включая автомобилестроение, авиацию, космос, электронную промышленность, железнодорожный транспорт, а специальное расширение для анализа кибербезопасности позволяет расширить его применение и на данную область.