到底啥是功能安全 - 5

上回更新到功能安全的"概念"階段，系統(tǒng)級(jí)別的需求被分配到了子系統(tǒng)上并得到了相應(yīng)的ASIL級(jí)別，研發(fā)過(guò)程中定義子系統(tǒng)的時(shí)候通常以功能模塊劃分，還是用安全氣囊系統(tǒng)為例，請(qǐng)注意，當(dāng)說(shuō)系統(tǒng)的時(shí)候，每個(gè)廠商的出發(fā)點(diǎn)和理解是不一樣的，比如主機(jī)廠的系統(tǒng)是整車(chē)，而供應(yīng)商的系統(tǒng)是零部件。所以單純說(shuō)系統(tǒng)需求是不負(fù)責(zé)任的表現(xiàn)。確切的應(yīng)該加上前置定語(yǔ)。比如安全氣囊系統(tǒng)需求。好，如果以安全氣囊系統(tǒng)為例，子系統(tǒng)按照功能模塊定義的話，例如：

- 碰撞檢測(cè)系統(tǒng) + ASILB

- 仲裁系統(tǒng) + ASIL A

- 通訊系統(tǒng) + ASIL A

- 執(zhí)行機(jī)構(gòu)系統(tǒng) + ASIL B

- 監(jiān)控系統(tǒng)等。+ ASIL B （純屬虛構(gòu)）

好了，當(dāng)?shù)竭_(dá)這一步的時(shí)候，可能你已經(jīng)注意到，從上一篇以安全氣囊控制器為系統(tǒng)的系統(tǒng)功能安全需求的某些角度出發(fā)，如下圖：

我們已經(jīng)開(kāi)始分配并且設(shè)計(jì)這些功能安全需求如何去具體的分配和落實(shí)到子系統(tǒng)，上面的這個(gè)過(guò)程就是"技術(shù)安全需求"，Technische Sicherheitskonzepte (TSK)的一部分。也就是下圖 3-8 到 4-5 的步驟。

技術(shù)安全需求 TSK 會(huì)如上圖所示，細(xì)化功能安全的概念，同時(shí)考慮功能性的概念和初步的體系架構(gòu)。技術(shù)安全需求通過(guò)對(duì)子系統(tǒng)的提具體的功能安全要求，進(jìn)而實(shí)現(xiàn)系統(tǒng)級(jí)別的安全技術(shù)要求。

TSK規(guī)定了以下幾個(gè)重要的方面：

• 安全機(jī)制

• 包括系統(tǒng)或子系統(tǒng)要達(dá)到安全目標(biāo)的影響因素，工作模式和系統(tǒng)定義的狀態(tài)的失效組合。比如高速120邁掛倒擋的操作會(huì)是變速箱進(jìn)入保護(hù)模式（這是機(jī)械結(jié)構(gòu)的保護(hù)）

• 系統(tǒng)本身的檢測(cè)，指示和故障控制措施

• 系統(tǒng)達(dá)到或維持安全狀態(tài)的措施，互相沖突的安全機(jī)制下優(yōu)先級(jí)和邏輯仲裁

• 細(xì)化和實(shí)現(xiàn)警告和降級(jí)概念的措施

• 防止故障被隱藏的措施

• 安全狀態(tài)的切換，容錯(cuò)的時(shí)間間隔，應(yīng)急操作的時(shí)間間隔和維持安全狀態(tài)的措施。

• ASIL 的分解

• 潛在故障的避免 （依賴(lài)于良好的工程實(shí)踐和經(jīng)驗(yàn)）

• 產(chǎn)品，運(yùn)行，維護(hù)和結(jié)束等

TSK對(duì)系統(tǒng)的設(shè)計(jì)，需要考慮軟件硬件的技術(shù)實(shí)現(xiàn)性，和整體可驗(yàn)證性，在這個(gè)步驟的時(shí)候要做相應(yīng)的系統(tǒng)設(shè)計(jì)分析。

Deductive 是因果分析，inductive 是預(yù)測(cè)分析。表格中有具體分析的方法，感興趣的朋友可以去了解，舉個(gè)淺顯的例子，就是要分析，假如輪胎破了，汽車(chē)會(huì)不會(huì)拋錨和汽車(chē)如果拋錨了，有沒(méi)有可能是輪胎被扎了的區(qū)別。

做這些分析的終極目標(biāo)，是為了實(shí)現(xiàn)一個(gè)高質(zhì)量的系統(tǒng)設(shè)計(jì)，而模塊化的系統(tǒng)設(shè)計(jì)是業(yè)界最常使用的辦法。這也是本文開(kāi)頭說(shuō)，

研發(fā)過(guò)程中定義子系統(tǒng)的時(shí)候通常以功能模塊劃分

歡樂(lè)馬，公眾號(hào)：汽車(chē)嵌入式到底啥是功能安全 -4

終于我們成功的回到了本文的開(kāi)頭。首尾呼應(yīng)，終于讓我自圓其說(shuō)了。

對(duì)于模塊化的系統(tǒng)設(shè)計(jì)，請(qǐng)參照下面的要求：

TSK的技術(shù)安全要求在接下來(lái)要分配到硬件和軟件部分，如何分配取決于系統(tǒng)架構(gòu)師的工作年限和年薪，不過(guò)在這個(gè)時(shí)候，會(huì)有一個(gè)細(xì)化工作，就是大名鼎鼎的 HSI （Hardware Software Interface）。

HSI規(guī)定的是軟件和硬件的交互，應(yīng)至少包含以下方面：

• 硬件設(shè)備的工作模式和配置參數(shù)

• 硬件資源的分配，包括IO，中斷，計(jì)時(shí)器，RAM，ROM

• 硬件設(shè)備之間的通訊協(xié)議，主從關(guān)系

• 硬件和軟件關(guān)于診斷功能的交互等

有經(jīng)驗(yàn)的系統(tǒng)架構(gòu)師會(huì)把功能安全需求合理的分配到硬件和軟件上，兩者相輔相成，共同實(shí)現(xiàn)功能安全目標(biāo)。不僅節(jié)約人力資源，還可以在測(cè)試階段如魚(yú)得水。沒(méi)有經(jīng)驗(yàn)的系統(tǒng)架構(gòu)師，會(huì)打電話給半導(dǎo)體供應(yīng)商，問(wèn)他們要相關(guān)明星產(chǎn)品的application notes，然后選擇覆蓋功能安全需求最多的設(shè)計(jì)方案。不過(guò)請(qǐng)注意，一般半導(dǎo)體廠商的芯片都是 ?Safety Elements out of Context“ (SEooC)， 不過(guò)很多企業(yè)直接拿來(lái)就用了。 總而言之，如果你不會(huì)設(shè)計(jì)，就把最難的，最復(fù)雜的功能安全需求用硬件實(shí)現(xiàn)。剩下的交給軟件系統(tǒng)架構(gòu)師吧。

這篇是技術(shù)安全需求 "TSK" 和相應(yīng)的系統(tǒng)設(shè)計(jì)介紹，下一篇會(huì)從系統(tǒng)需求分配到軟件領(lǐng)域開(kāi)始，具體看看要實(shí)現(xiàn)功能安全I(xiàn)SO26262，對(duì)軟件研發(fā)工作的要求。