Тема экологии для нас важна почти так же, как и безопасность транспортных средств. В ходе некоторых наших проектов нам удалось их совместить и перестать “рубить деревья отказов”, а воспользоваться новейшими методами анализа: MBSA (Model-Based Safety Analysis или модельно-ориентированный анализ безопасности).
Наши подписчики наверняка помнят, что с декабря 2023 года опубликована очередная ревизия документа SAE ARP 4761A, которая не только гармонизируется с обновленной ревизией SAE ARP 4754B, но и добавляет специалистам в области оценки безопасности авиационных систем больше новых обязательных и опциональных анализов. Одним из таких опциональных анализов и является MBSA. К сожалению, общепринятой и опубликованной версии перевода и сокращения еще нет, но ключевые специалисты отрасли активно работают над этим в рамках рабочей группы по переводу ARP 4761A на русский язык. Пока будем пользоваться имеющимся мировым аналогом.
Когда нужен MBSA и как его использовать:
MBSA - это метод, который позволительно использовать вместо классических FTA и FMEA. Основное отличие - использование моделей распространения отказов вместо ручной аналитики бессчетного количества документов, описывающих состав, логику работы и интерфейсы изделия. При этом ARP-4761A несколько дистанцируется от методов MBSE (Model-Based Systems Engineering), описывающих аналогичный подход к разработке в целом, но допускает и их наравне с привычными “текстовыми” вариантами разработки.
Итак, для MBSA выделяют два подхода - индуктивный и дедуктивный, каждый из которых решает свою задачу.
- Дедуктивный подход - фиксируется отказное состояние изделия и по цепочке формул и логических выражений устанавливаются первопричины его возникновения. Напоминает FTA, не так ли? Только автоматически. Совсем без человека (если модель уже разработана).
- Индуктивный подход - исследуются влияние отказов отдельных входов модели, начальных состояний на поведение системы в целом. Почти как в FMEA. И тоже автоматически (если модель уже разработана).
На выходе можно получить минимальные сечения отказов, а сложив их вероятности - итоговую вероятность возникновения отказного состояния. Либо последовательность развития отказа внутри системы.
Можно с уверенностью сказать, что для сложных устройств и систем, с резервированием MBSA настоящий подарок. Конечно, остаются вопросы и сложности с поддержкой модели (уровень детализации? сохранение актуальности? сходимость с реальностью?), но задавшись целью можно вывести свою разработку на совершенно новый качественный уровень.
Какие ключевые достоинства мы вынесли при выполнении MBSA:
- Во-первых, конечно, скорость получения результатов оценки безопасности. Построение одного дерева и расчет вероятности могло занимать и несколько дней (в зависимости от сложности системы), а сейчас, закончив наконец построение модели распространения отказа, систему можно изучать быстро и разносторонне.
- Во-вторых, удобство и наглядность. Поняв принцип семантики специфических нотаций моделей (например, но не ограничиваясь из Ansys medini analyze, Matlab Simulink, AltaRICA, Capella и т.д.), разработчик и безопасник начинают говорить на одном языке, а не изолироваться друг от друга (что иногда случается).
- На и наконец (но не по значимости) рост компетенций всей проектной команды: “системщики”, “аппаратчики”, “софтовики” и “отказники” вместе управляют моделью и начинают осознавать степень взаимовлияния их процессов между собой.
Какие ключевые недостатки мы вынесли при выполнении MBSA:
- Размеры модели. С увеличением сложности системы рост взаимосвязей внутри и путей распространения отказов тоже увеличивается. Приходится четко определять границы, уровень детализации.
- Управление конфигурацией. Пока проект “живет”, в него обычно вносятся изменения и исправления, улучшения и уточнения, корректировки и поправки, а иногда даже устранение ошибок. Радикальных пользователей MBSE пока не так много. А это значит, что изменять и исправлять, улучшать и уточнять, корректировать и править, а иногда даже устранять ошибки в моделях приходится, обычно, случайно на них наткнувшись, что может сводить на “нет” все усилия по использованию MBSA. Но и классические методы от этого никак не защищены.
- Валидация модели. Чаще всего речь идет о критичных отказах, где важно определить как количественный показатель (вероятность), так и качественный (отсутствие общих причин). Расчеты покажут все точно и в полной мере, не пропустят ни одного сечения отказа - в этом мы уверены. Но кто может быть уверен, что модель для расчетов построена правильно, особенно в контексте проблемы с конфигурацией? Доказать, что модель будет соответствовать блоку или системе,реализованной в железе, - задача большая и неочевидная.
Вместо вывода.
Новые методы - это всегда интересно и увлекательно. Начинания с нуля, первые попытки и финальные результаты вызывают как научный, так и практический интерес.
При этом известные проблемы классических методов давно понятны, а здесь еще будут выявляться в процессе внедрения. А потому в нашем лесу безопасности предстоит посадить еще не одно дерево отказов.
Но и прогресс не остановить. Моделирование отказов - логичный, необходимый следующий шаг. Мы надеемся, что это (как и в целом MBSE) позволит кратно ускорить разработку систем и минимизировать риск человеческой ошибки при выполнении оценки безопасности.
Ну а наш непосредственный опыт был крайне положительно оценен заказчиком - в крайне сжатые сроки удалось выполнить то, что классическими методами не решилось бы и за срок вдвое дольше.
Еще больше интересных статей вы можете почитать ниже: