浅析MBSE助力提升自动驾驶汽车的功能安全与信息安全

随着配备高级驾驶辅助系统（ADAS）的汽车不断更新升级，以及业界致力于生产能够在道路上相互通信的全自动驾驶汽车（AV），这就使得汽车系统将变得更加庞大而且复杂。与此同时，它要求汽车系统设计具有更高的安全性与保密性。然而，安全性与保密性这两个需求有时候会产生冲突。为了提高车辆的安全性，需要额外的组件来监控车辆的运行，但由于这些组件可能会提供新的攻击点，这使得黑客有机会访问控制系统与软件，因此这可能会降低车辆的信息安全。

为了支持此类大型复杂系统的开发并且为汽车系统设计提供鲁棒性的开发框架，日本日立工业与控制解决方案有限公司（Hitachi Industry & Control Solutions）在2019年成立了一个名为MBSE设计实验室（MBSE Design Lab）的专职部门。2022年10月，该部门经过规模扩张并更名为MBSE设计中心（MBSE Design Center）。

这个基于模型的系统工程（MBSE）设计中心将Ansys SCADE嵌入式软件和Ansys medini analyze功能安全与信息安全仿真软件作为其汽车设计方法中安全与保密的关键要素。

在支持汽车原始制造商(OEM)与一级供应商(Tier 1)设计和开发自动驾驶、汽车信息娱乐以及汽车控制系统的过程中，日立工业与控制解决方案公司通过MBSE设计中心实施功能安全与信息安全管理策略。从功能角度来看，Ansys SCADE Architect适用于通过逐步迭代内部细节来进行架构设计；Ansys medini analyze能够在一个通用模型上开展两种分析——功能安全分析与信息安全分析。

日立工业与控制解决方案公司MBSE设计中心总经理Takeo Hashimoto表示：“我们相信Ansys仿真工具与MBSE的集成使我们能够了解整个设计流程，从而可以降低开发成本，提高工程效率，推动创新和设计出极具竞争力的产品。”

日立工业与控制解决方案公司采用Ansys解决方案管理汽车功能安全与信息安全的流程图

创建MBSE解决方案

在过去的10年里，日立工业与控制解决方案公司的开发方式经历了从传统设计到系统工程，最后到MBSE的转变。在此之前，汽车行业的开发工作变得越来越庞大而复杂，从而导致客户的汽车开发现场问题频发。

Hashimoto表示：“开发现场在验证流程中经历了大量返工，而这些问题已经无法通过传统的开发方法解决。我们花费了大量时间来研究，如何处理相关需求，以及如何有效使用现有资产来解决上游流程的文档不足问题，因为文档是验证流程的基础所在。”

在经过详细研究后，我们得出了结论：系统工程才是问题的解决方案。根据国际系统工程协会（International Council on Systems Engineering，简称INCOSE）的定义，系统工程是“利用系统原理与概念，以及科学、技术与管理方法使工程系统顺利实施、使用和停止运行的跨学科综合方法。具体而言，它专注于在开发周期的早期阶段制定、平衡和整合利益相关方的目标、方向与成功标准，以及定义实际或预期的客户需求、运营概念与所需功能。”

Hashimoto表示：“但是，当时在日本关于系统工程的文献少之甚少。在日本多所创新高校的帮助下，并根据INCOSE提供的海外文献资料，我们通过反复的试错逐步开发了系统工程。我们可以称得上是日本系统工程实践的开拓者。”

即使实施了系统工程，当开展上游流程的需求分析与架构设计时，设计信息变得极为庞杂，而传统的基于纸张的系统工程开发方式遭遇了新的挑战，即很难在开发与管理的同时保持整体一致性与完整性。

日立工业与控制解决方案公司很快就转向MBSE，INCOSE把它定义为“从概念设计阶段开始、一直持续到整个开发与生命周期后期阶段、以用于支持系统需求、设计、分析、验证与确认活动的形式化建模应用。”

实际上，通过引入MBSE（即利用可以表示系统多层次需求和功能之间关系的系统模型），不仅有利于包括工程师在内的利益相关方达成共识，而且能够在开发与管理大型复杂系统的同时保持整体一致性与完整性。

日立工业与控制解决方案公司MBSE的三大轴心

把仿真融入MBSE流程

利用MBSE，工程师能够轻松地在产品开发流程的早期阶段频繁分析与仿真，以便确认相关需求，同时对多种设计备选方案进行审核，以避免花费资金来开发最终无法满足需求的原型。

日立工业与控制解决方案公司的工程团队花费了一些时间，来确定把Ansys仿真解决方案集成到产品开发流程的最佳方式。如果不进行这种集成，工程师就无法验证需求，而且也无法全面评估性能、成本与风险权衡因素。

如前所述，在安全性设计中，标准做法是设计外部组件来监控组件故障。这样可以确保检测出由组件故障引起的异常情况。然而，在安全保障设计中，这种外部组件也会成为攻击的切入点，从而产生保密风险。解决这些相互冲突对安全和保密来说是非常关键的。

Hashimoto表示：“Ansys仿真解决方案对可视化相互冲突的功能安全需求与信息安全需求结构以及确保它们的可追溯性起到非常大的作用，因为它们能够从不同角度集中管理需求与设计模型，同时提供完整流程的概况。”

日立工业与控制解决方案公司的工程师采用medini analyze集成和分析统一架构，以便他们在功能安全与信息安全方面实现最佳设计。此外，他们还在相关项定义(Item Definition)流程中采用SCADE Architect，其可以在安全与保密范围内逐步实现架构的详细设计。然后，相关架构可以导入到medini analyze中，从而最终可以消除分析目标与分析粒度的不一致性。

Hashimoto表示：“我们认为，仿真软件产品之间的这种协作正是使用Ansys工具的最大优势。”

基于Ansys SCADE Architect的MBSE方法可以从众多方面构建整个系统，以便专家们可以在不同功能安全与信息安全领域达成共识，从而有助于实现最佳的架构解决方案。

Hashimoto表示：“从工程公司的角度来看，如果开发现场由于开发大型复杂系统遇到了麻烦，引入MBSE方法可以提高项目效率。因为该方法使现场能够处理需要满足的需求以及明确系统开发目标，从而将设计与开发活动区分开。我们认为这就是我们工程公司的投资回报。”

利用系统工程与MBSE方法，日立工业与控制解决方案公司在过去10年里已经参与了13家公司的35个项目。凭借Ansys仿真解决方案，他们希望能在未来10年实现项目参与数量的大幅提高。

Hashimoto表示：“我们将会在整个产品生命周期为整个工作场所提供更大的价值。利用Ansys工具以及日立工业与控制解决方案公司的MBSE工程方法，我们将大力支持汽车行业的自动驾驶开发工作，同时以更紧密的方式帮助客户解决生产制造问题。”

审核编辑：刘清