上一篇文章,我們討論了系統(tǒng)架構(gòu)設(shè)計以及粒度級別將如何影響我們的安全。本次我們接著來聊一聊安全分析相關(guān)內(nèi)容。

01

安全分析

安全分析是在系統(tǒng)架構(gòu)設(shè)計上來執(zhí)行的建模技術(shù),用來識別架構(gòu)中的安全漏洞。安全分析可以根據(jù)其進行的方式來分類:

Inductive analysis: 歸納分析是一種自下而上的方法,從已知的原因開始,識別可能的影響 → FMEA;

Deductive analysis: 演繹分析是一種自上而下的方法,從已知的影響出發(fā),來尋找可能的原因 → FTA;

FMEA從系統(tǒng)所有的失效模式的潛在原因出發(fā),向前推進。所以FMEA是一種自下而上(Bottom-Up)的風(fēng)險分析方法。另一方面,FTA分析是從預(yù)先確定的影響到失效模式的所有可能原因的反向進行,因此,FTA是一種自上而下(Top-Down)的方法。在這種情況下,FTA分析對于復(fù)雜系統(tǒng)或者影響因素很高的關(guān)鍵過程不是一個合適的工具,比如:相同組件有許多的頂層事件。在這種情況下,FMEA分析更適合于安全分析。

安全分析的主要目的是什么?

安全分析的目標(biāo)是確保由于系統(tǒng)故障或隨機硬件故障而違反安全目標(biāo)的風(fēng)險足夠低。

如何讓故障足夠低?

通過識別先前在HARA期間未識別的新危害,這些新的危害(內(nèi)部或者外部)可能導(dǎo)致違反安全目標(biāo)。

支持安全概念、安全要求的驗證,明確設(shè)計要求和試驗要求,也就是說,它有助于設(shè)計。

如果新的危害有可能違反安全目標(biāo),則必須更新HARA,如果對于車輛級別的分析產(chǎn)生了額外的危害,則更新ASIL等級。另一方面,新的危害可能不會違反安全目標(biāo),因此應(yīng)確定預(yù)防或者控制故障的安全措施。

如果新檢測到的危害是舊危害的變體呢?
那我們需要對新發(fā)現(xiàn)的危害進行注釋,并且證明安全概念已經(jīng)涵蓋了這種新的危害,不需要進行ASIL升級或者其他額外的安全措施。

安全分析的范圍:

安全目標(biāo)和安全概念的確認(rèn);

安全概念和安全需求的驗證;

識別故障檢測額外的安全要求;

安全分析又分為定性分析(qualitative)和定量分析(quantitative)

什么是定性分析?

定性的識別故障,但是不去預(yù)測故障頻率;

比如:定性FMEA和DFMRA;定性FTA和HAZOP;

什么是定量分析?

定量分析方法預(yù)測故障發(fā)生的頻率,只處理隨機硬件故障,不適用于系統(tǒng)故障的推斷。

比如:定量FMEA;定量FTA;馬爾科夫模型(Markov models);可靠性框圖(RBD)

總之,通過進行安全分析,我們降低了系統(tǒng)故障的可能性。此外,在適用的情況下,應(yīng)采用可靠的系統(tǒng)設(shè)計原則。