本文总结一些有关道路车辆功能安全的常见问题。
什么是功能安全?
功能安全中的功能指产品的功能,安全指使用者的生命安全。
每个产品都有期望的功能。你可以把产品的功能简单理解为帮助用户做事。比如:
- 制动系统产生制动力
- 电机产生扭矩
但产品在某些时候会功能不正常。功能部分或全部丧失、不期望的产品功能。比如:
- 制动系统制动力不足。功能部分丧失。
- 电机不能产生扭矩。功能全部丧失。
- 电机发热。不期望的功能。
功能不正常会导致一个对人尝试危害的状态,可能会造成人物理伤害。比如:
- 制动力不足可能导致装上前面的车辆。 ==> 导致人身伤害。
- 电机不能产生扭矩可能导致车辆在高速路失速、停车。 ==> 导致人身伤害。
- 电机发热可能导致车辆自燃。 ==> 导致人身伤害。
人的生命是宝贵的。
功能安全就是预防、减轻产品不正常功能对人的物理伤害,使其不会产生不可接受的风险。(风险是否可以接受有社会伦理、价值决定)。
产品工作正常,仍然对人产生了伤害。这不是功能安全的范畴。比如制动系统工作正常,但驾驶员就偏偏要在高速路尝踩急刹车,导致和后车追尾。
absence of unreasonable risk (1.136)
risk (1.99) judged to be unacceptable in a certain context according to valid societal moral concepts
failure or unintended functionality ==> malfunction ==> physical injury or damage to the health of persons。
电机过热。
severity can be changed: change from risk state to safe state (detect malfunction. ==> switch malfunction).
possibility can be changed: lower the possibility.
safety mechanism: detect failure ==> change to safe state. (functional degraded or function switch off).
电机过热:
电机的功能是产生扭矩。
malfunctionality:
- 不产生扭矩;
- 发热过大。(不期望的功能)
检测到malfunction,切换至安全状态。(degraded operating mode; switched-off mode.)
功能安全要解决什么问题?
With the trend of increasing technological complexity, software content and mechatronic implementation, there are increasing risks from systematic failures and random hardware failures. ISO 26262 includes guidance to avoid these risks by providing appropriate requirements and processes.
1.56
harm
physical injury or damage to the health of persons
1.57
hazard
potential source of harm (1.56) caused by malfunctioning behaviour (1.73) of the item (1.69)
NOTE This definition is restricted to the scope of ISO 26262; a more general definition is potential source of harm.
1.58
hazard analysis and risk assessment
method to identify and categorize hazardous events (1.59) of items (1.69) and to specify safety goals
(1.108) and ASILs (1.6) related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk (1.136) (safety)
1.73
malfunctioning behaviour
failure (1.39) or unintended behaviour of an item (1.69) with respect to its design intent
1.102
safe state
operating mode (1.81) of an item (1.69) without an unreasonable level of risk (1.99)
EXAMPLE Intended operating mode; degraded operating mode; switched-off mode.
1.103
safety
absence of unreasonable risk (1.136)
1.136
unreasonable risk
risk (1.99) judged to be unacceptable in a certain context according to valid societal moral concepts
汽车功能安全要解决什么问题?
汽车功能安全关注的谁的安全?
汽车功能的安全性,为了确保人的安全。
如何实现功能安全?
ISO26262指考虑E/E架构的功能安全。
功能安全就是预防、减轻产品不正常功能对人的物理伤害,使其不会产生不可接受的风险。
常见的实现功能安全的思路是:
- 产品检测到自己功能不正常。
- 产品自己切换到安全状态。
如何检测到功能不正常?
方法是通过冗余,相互校验。
比如需要车速作为输入,如何检测传感器是否工作正常呢?
用两个传感器,相互校验。
如果功能安全要求很高,有时会要求两个传感器要足够独立,比如采用不同架构的传感器,避免系统失效。
如何切换到安全状态?
功能降级:关闭部分功能,功能关闭:关闭全部功能。
实例:
转向力力有三个平行的计算单元。其中两个计算的方向一致,第三个不一致。此时应该怎么办?
- 按照其中两个一直方向提供转向力,但是减小转向力。 就是功能降级。
- 关闭转向助力功能。就是关闭全部功能。
通过关闭功能来实现安全的背后的思路是“不出港口的港口的船最安全”,“祸从口出”。
在上面的例子中,如果我们只有两个平行的计算单元。当它们计算的结果不一致时,从功能安全角度只能关闭转向助力功能。
检测机制误检:
一个开关K,一个是安全气囊。
开关短路发生短路概率太高,找了世界上最好的开关,还是达不到要求。
降低开关短路的发生概率,把一个开关换为两个串联的开关。
两个开关组成一个系统,终于安全了。
那这种冗余设计达到的安全有没有什么副作用呢?
系统正常工作,误功能,没有功能。
失效1 ==》 顶事件失效, 系统没有功能
加入冗余设计后:
失效1 ==》 顶事件失效 系统没有功能
失效2 ==》
失效1 ==》 检测,提示出现故障。很保守的功能安全工程师,甚至要求,检测到一次故障就一直亮故障灯,需要换件,系统没有功能
失效2 ==》 检测,提示出现故障,需要换件,系统没有功能
....出大事了.....................|.......................正常工作..........................................
....出大事了.....|......带病工作,可能要出大事,亮灯提醒.....|........正常工作...
系统安全就是保证系统不出大事,但是系统可能更容易出现小故障。
系统安全性提高了,但是却更容易坏。
有的时候系统设计得过于安全,很容易就报故障亮灯,然后听取骂声一片。
功能安全和预期功能安全SOTIF的关系
有没有可能本身系统设计就有问题。比如自动驾驶技术,在设计的时候只考虑了高速公路路况,然后实际却被开到山区小路,没有任何随机失效,自动驾驶系统却把车开到沟里去了。这种失效就不是ISO26262的范畴了,而是ISO/PAS2144 (SOTIF)的范畴。有兴趣可以了解一下。
功能安全和信息安全的关系
还有另一个和功能安全相关的话题。还是以自动驾驶为例,系统设计研发设计很成熟,足以应付山区小道。但不幸的是你的车被黑客黑了,黑客操控你的车,把你的车开到沟里去了。黑客的攻击可以改变ISO26262和ISO/PAS21444中设计的各种安全机制,当然也就不存在任何安全了。这是信息安全的范畴,感兴趣的可以了解 ISO21434和SAE J3061.
参考
[1] 如何理解预期功能安全SOTIF
版权声明: 本文为博主原创,未经许可不得转载。原文地址:https://www.cnblogs.com/byronsh/p/11006718.html
本文的数字签名如下:
MGUCMQDSfT+z/YlwGJa/DLSpayGUT/eia/OBY+Yun44IiGjvaalSKxU3St20u4ZgidPLP9gCMDyNPfaRfw59SdxBtHmVGCQmFc/S5My+r90gx8qybzrfRIxC/rzOqpmraCNqi647PQ==
--- 2019-7-20 9:30:33
数字签名验证方法