ISO26262 Functional Safety Concept（叁）

嗨，大家好！本期还是继续上一期的话题，接着聊聊功能安全概念阶段相关的话题。本期主要聊一聊功能安全要求，并举例说明一些功能安全机制。

01什么是安全机制？

1． 安全机制是检测／避免／控制失效或者减轻其有害影响的技术解决方案；

2． 安全机制是由E／E功能、元件或其他技术实现的；

3． 安全机制是能够将相关项维持在安全状态或者提醒驾驶员去控制失效的影响。

下面的例子展示了如何使用E／E功能（Sense， Logic， Actuate）来实现安全机制：

Figure1－Safety Mechanism for Vehicle Headlamp

如果车辆的前大灯在夜间失效了，那么驾驶员是可以注意到的。但是，如果前大灯在白天错误地打开了，驾驶员是不会注意到的，因此，红色的警告灯将会亮起，来警示驾驶员限制在HARA分析中进行的危害暴露（E）的暴露时间。通过在功能级别上实施的安全机制，我们可以节省电池的消耗。

另外，如果前大灯的故障模式错误地关闭了而我们又想在夜间警告驾驶员，那我们就把逻辑改成 NAND，因此，红色警告灯将在任何故障（前大灯、开关、线束、蓄电池等）时被激活。也即，逻辑和控制器是根据驾驶时间来调整的。现在，是时候来重新审视一下我们的功能安全要求了。

02功能安全要求回顾

在我们评论可能的功能安全策略之前，我们首先要明确下两个术语：

Fail－ Safe －＞故障安全；

Fail－ Operational －＞ 故障可操作性；

第一种方式是说，如果故障发生了，那我们必须禁用该功能或者对功能进行降级（部分功能的连续操作）以减轻危害。

而故障操作，是通过冗余支持功能来保持功能的可用性。也就是说，故障安全和故障可操作性都是某种安全的状态。

Fail－Safe －＞ Degraded Mode －＞ Fail－Operational；

如果适用的话，功能安全要求应该规定9点策略：

1． 故障避免 －＞Fault avoidance

这是一个面向过程的概念，目的是防止故障被引入系统。通过小心仔细的设计和制造系统，故障可以被避免。

2． 故障检测 －＞ Fault detection

故障发生时检测故障的机制。