根据以上的9种功能安全策略,我们应该在功能级别上为每一个策略生成FSR。此外,每个功能安全要求应通过考虑以下五个限制条件来规定,如果适用的话:
1. 操作模式->operational modes:
ADAS/Driver-train/Standby, etc。
2. 故障容错时间间隔->FTTI:
将FTTI附加到FSR。
3. 安全状态->safe state:
如果故障发生,将适当的安全状态附加到特定的功能安全要求中。比如:转向辅助系统应在低速时可用,高速时禁用。比如:应禁用所有的转向辅助。
4. 紧急操作时间间隔->EOTI:
规定EOTI,即不能达到安全状态时,应执行紧急的操作。如果安全状态是禁用功能,则紧急情况可以停止车辆或者禁止其他主要功能以减轻危害。
5. 功能冗余->functional redundancies:
如果主功能失效,我们还有冗余的功能可用。
我们可以在以上9种策略的基础上增加一个策略,来确保系统要素始终正确运转。那么,FSC最后应该是什么样子呢?
03功能安全概念-FSC
FSC应该包含:
初始的系统架构,相关项定义;
安全目标;
安全策略;
Use Case:
SG01: The EPS system shall prevent unintended self-steering in any direction under all vehicle operation conditions (ASIL-D)
非预期的自动转向是指驾驶员未启动的任何转向,或者其他系统(假定运行正常)由于失效而导致的:1-意外启动转向;2-电动转向卡滞在非零扭矩输出上;3-转向错误;请注意,这里我们设定了安全目标并且以适当的方式进行了描述,之后我们将添加功能安全策略,这些策略会在需求中进行描述。那制定策略的功能安全要求应该是什么样的呢?model: < one of the 9 strategies> + < one of the 5 constrains, if applicable>example: <detection strategy> + <FTTI + safe state><The EPS system shall perform Power On self-test and periodic tests to ensure the safety related signals are correct>+< and if there is a fault, the system shall go to safe state #2(All steering-assist shall be disabled within 2 secs)FSR1:The EPS system shall perform Power On self-test and periodic tests to ensure the safety related signals are correct and if there is a fault, the system shall go to safe state #1 within 2 secs.Safe State 1: All steering-assist shall be disabledFTTI : 2 secs功能安全概念可以通过使用FMEA或者FTA对初步的系统架构进行安全分析来支持。也就是说,我们将确定功能级别的潜在危害,然后提出安全策略来防止或者减轻危害。尽管如此,很多的功能安全要求并不是直接来自于安全目标,而是源于减轻FMEA/FTA危害输出的策略(即做FMEA和FTA分析时的一些为避免单点和潜伏失效而增加的机制)。
因此,安全概念是用于(SG 和Concept FMEA/FTA)的策略,然后我们写下元需求,以便可以在功能接构建这些策略。注意,也应涵盖基于FMEA和FTA分析而得出的功能安全策略。这些将是通用的功能安全要求,而不是针对某个安全目标的。
除此之外,功能安全要求应该在逻辑层面。也就是说,可以分配到不同的HW体系架构,而不需要详细的技术细节,也即,我们所写出的FSC对于供应商X Y Z而言都是有效的。
免责声明:本文章中内容是由小编翻译自外文资料,免费分享知识,只限于参考学习,请勿作其他用途