本文總結一些有關道路車輛功能安全的常見問題。
什么是功能安全?
功能安全中的功能指產品的功能,安全指使用者的生命安全。
每個產品都有期望的功能。你可以把產品的功能簡單理解為幫助用戶做事。比如:
- 制動系統產生制動力
- 電機產生扭矩
但產品在某些時候會功能不正常。功能部分或全部喪失、不期望的產品功能。比如:
- 制動系統制動力不足。功能部分喪失。
- 電機不能產生扭矩。功能全部喪失。
- 電機發熱。不期望的功能。
功能不正常會導致一個對人嘗試危害的狀態,可能會造成人物理傷害。比如:
- 制動力不足可能導致裝上前面的車輛。 ==> 導致人身傷害。
- 電機不能產生扭矩可能導致車輛在高速路失速、停車。 ==> 導致人身傷害。
- 電機發熱可能導致車輛自燃。 ==> 導致人身傷害。
人的生命是寶貴的。
功能安全就是預防、減輕產品不正常功能對人的物理傷害,使其不會產生不可接受的風險。(風險是否可以接受有社會倫理、價值決定)。
產品工作正常,仍然對人產生了傷害。這不是功能安全的范疇。比如制動系統工作正常,但駕駛員就偏偏要在高速路嘗踩急剎車,導致和后車追尾。
absence of unreasonable risk (1.136)
risk (1.99) judged to be unacceptable in a certain context according to valid societal moral concepts
failure or unintended functionality ==> malfunction ==> physical injury or damage to the health of persons。
電機過熱。
severity can be changed: change from risk state to safe state (detect malfunction. ==> switch malfunction).
possibility can be changed: lower the possibility.
safety mechanism: detect failure ==> change to safe state. (functional degraded or function switch off).
電機過熱:
電機的功能是產生扭矩。
malfunctionality:
- 不產生扭矩;
- 發熱過大。(不期望的功能)
檢測到malfunction,切換至安全狀態。(degraded operating mode; switched-off mode.)
功能安全要解決什么問題?
With the trend of increasing technological complexity, software content and mechatronic implementation, there are increasing risks from systematic failures and random hardware failures. ISO 26262 includes guidance to avoid these risks by providing appropriate requirements and processes.
1.56
harm
physical injury or damage to the health of persons
1.57
hazard
potential source of harm (1.56) caused by malfunctioning behaviour (1.73) of the item (1.69)
NOTE This definition is restricted to the scope of ISO 26262; a more general definition is potential source of harm.
1.58
hazard analysis and risk assessment
method to identify and categorize hazardous events (1.59) of items (1.69) and to specify safety goals
(1.108) and ASILs (1.6) related to the prevention or mitigation of the associated hazards in order to avoid unreasonable risk (1.136) (safety)
1.73
malfunctioning behaviour
failure (1.39) or unintended behaviour of an item (1.69) with respect to its design intent
1.102
safe state
operating mode (1.81) of an item (1.69) without an unreasonable level of risk (1.99)
EXAMPLE Intended operating mode; degraded operating mode; switched-off mode.
1.103
safety
absence of unreasonable risk (1.136)
1.136
unreasonable risk
risk (1.99) judged to be unacceptable in a certain context according to valid societal moral concepts
汽車功能安全要解決什么問題?
汽車功能安全關注的誰的安全?
汽車功能的安全性,為了確保人的安全。
如何實現功能安全?
ISO26262指考慮E/E架構的功能安全。
功能安全就是預防、減輕產品不正常功能對人的物理傷害,使其不會產生不可接受的風險。
常見的實現功能安全的思路是:
- 產品檢測到自己功能不正常。
- 產品自己切換到安全狀態。
如何檢測到功能不正常?
方法是通過冗余,相互校驗。
比如需要車速作為輸入,如何檢測傳感器是否工作正常呢?
用兩個傳感器,相互校驗。
如果功能安全要求很高,有時會要求兩個傳感器要足夠獨立,比如采用不同架構的傳感器,避免系統失效。
如何切換到安全狀態?
功能降級:關閉部分功能,功能關閉:關閉全部功能。
實例:
轉向力力有三個平行的計算單元。其中兩個計算的方向一致,第三個不一致。此時應該怎么辦?
- 按照其中兩個一直方向提供轉向力,但是減小轉向力。 就是功能降級。
- 關閉轉向助力功能。就是關閉全部功能。
通過關閉功能來實現安全的背后的思路是“不出港口的港口的船最安全”,“禍從口出”。
在上面的例子中,如果我們只有兩個平行的計算單元。當它們計算的結果不一致時,從功能安全角度只能關閉轉向助力功能。
檢測機制誤檢:
一個開關K,一個是安全氣囊。
開關短路發生短路概率太高,找了世界上最好的開關,還是達不到要求。
降低開關短路的發生概率,把一個開關換為兩個串聯的開關。
兩個開關組成一個系統,終於安全了。
那這種冗余設計達到的安全有沒有什么副作用呢?
系統正常工作,誤功能,沒有功能。
失效1 ==》 頂事件失效, 系統沒有功能
加入冗余設計后:
失效1 ==》 頂事件失效 系統沒有功能
失效2 ==》
失效1 ==》 檢測,提示出現故障。很保守的功能安全工程師,甚至要求,檢測到一次故障就一直亮故障燈,需要換件,系統沒有功能
失效2 ==》 檢測,提示出現故障,需要換件,系統沒有功能
....出大事了.....................|.......................正常工作..........................................
....出大事了.....|......帶病工作,可能要出大事,亮燈提醒.....|........正常工作...
系統安全就是保證系統不出大事,但是系統可能更容易出現小故障。
系統安全性提高了,但是卻更容易壞。
有的時候系統設計得過於安全,很容易就報故障亮燈,然后聽取罵聲一片。
功能安全和預期功能安全SOTIF的關系
有沒有可能本身系統設計就有問題。比如自動駕駛技術,在設計的時候只考慮了高速公路路況,然后實際卻被開到山區小路,沒有任何隨機失效,自動駕駛系統卻把車開到溝里去了。這種失效就不是ISO26262的范疇了,而是ISO/PAS2144 (SOTIF)的范疇。有興趣可以了解一下。
功能安全和信息安全的關系
還有另一個和功能安全相關的話題。還是以自動駕駛為例,系統設計研發設計很成熟,足以應付山區小道。但不幸的是你的車被黑客黑了,黑客操控你的車,把你的車開到溝里去了。黑客的攻擊可以改變ISO26262和ISO/PAS21444中設計的各種安全機制,當然也就不存在任何安全了。這是信息安全的范疇,感興趣的可以了解 ISO21434和SAE J3061.
參考
[1] 如何理解預期功能安全SOTIF
版權聲明: 本文為博主原創,未經許可不得轉載。原文地址:https://www.cnblogs.com/byronsh/p/11006718.html
本文的數字簽名如下:
MGUCMQDSfT+z/YlwGJa/DLSpayGUT/eia/OBY+Yun44IiGjvaalSKxU3St20u4ZgidPLP9gCMDyNPfaRfw59SdxBtHmVGCQmFc/S5My+r90gx8qybzrfRIxC/rzOqpmraCNqi647PQ==
--- 2019-7-20 9:30:33