(ISO 26262)功能安全需求及方案(FSR)

什么是FSR

功能安全需求(Functional Safety Requirements, FSR)是我们在概念阶段最常听到的概念之一，那什么是FSR呢？

功能安全目标(SG)属于基于车辆或系统级别的安全需求，过于抽象，我们需要将其进行细化，得到为满足安全目标，基于组件级别的相对比较具体的，但依旧还是基于功能层面的逻辑功能需求，这个就是FSR。

大家可能好奇，为什么非要搞得这么麻烦，直接细化到技术层面，信号层面不好吗?

是的，不好！一方面，研究分析工作需要循序渐进，一口吃不成大胖子，对于简单或者非常熟悉的研究对象，在大牛加持下可能可以直接从安全目标导出技术层面的安全需求，但对于大部分系统或者大部分工程师而言，这个很难做到，很容易出现错误或缺失。另外一方面，没有中间工作产物，功能安全评审也过不了。

那么我们应该从哪些方面去定义组件层面的功能安全需求或者功能安全需求应该解决哪些问题呢？根据ISO 26262-3-2018，功能安全需求应该针对以下几个方面，提出相应功能级别的解决方案，作为FSR: 

故障预防

故障探测，控制故障或功能异常

过渡到安全状态

容错机制

发生错误时功能的降级及与驾驶员预警的相互配合

将风险暴露时间减少到可接受的持续时间所必需的驾驶员预警

驾驶员预警，以增加驾驶员对车辆的可控性

车辆级别时间相关要求，即故障容错时间间隔，故障处理时间间隔，和

仲裁逻辑，从不同功能同时生成的多种请求中选择最合适的控制请求。

如何理解呢？通俗的讲，FSR无非就是基于以下两个角度定义安全需求: 

事前预防: 从设计的角度出发，为尽可能避免系统中软件和硬件相关的失效，系统中的组件应该实现或具备哪些功能。

事后补救: 如果系统还是发生了失效，及时探测，显示，控制故障。尽早给驾驶员警示故障，让驾驶员有效干预，或控制车辆系统进入一个安全状态，防止或减轻伤害产生。

此外，针对FSR，还需要注意以下几点:

1、FSR本质是需求，一般是甲方(主机厂)对供应商提出的安全要求，只考虑为满足安全目标及ASIL等级，系统应该怎么正常工作，不涉及具体的技术实现方式。

2、针对每个SG，应该至少导出一个FSR。

3、FSR应该继承对应安全目标的ASIL等级。如果存在ASIL等级分解，则需要遵循ISO 26262-9:2018中独立性(Independence)要求。(注意独立性和免于干扰(FFI)的区别)

4、如果FSR涉及事后补救措施，则该FSR需要定义相应的安全状态，故障容错时间间隔(如果安全状态需要过渡，还需定义紧急运行时间间隔)。很多朋友搞不清楚到底这些东西属不属于安全需求。

5、FSR需要分配至系统架构，并作为FSC的组成部分，这个我们后续详细介绍。

例如，功能安全需求示例: 制动踏板开度必须正确反映驾驶员制动意图(ASIL D)。至于应该采用什么传感器，具体怎么反应意图都不是功能层面考虑的问题。

华菱咨询位于中国长三角、珠三角、京津冀和西南地区地区，成立于 2001 年,专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、杭州、广州、深圳、合肥、江西、西安设立了分支机构。

华菱咨询服务将通过变革的思想，快速的实施及降低风险来为客户提供增值服务。帮助客户构想、开拓、实施及运营关键性业务。

版权声明：

1.本公众号所发布内容，凡未注明“原创”等字样的均来源于网络善意转载，版权归原作者所有！

2.除本平台独家和原创，其他内容非本平台立场，不构成投资建议。

3.如千辛万苦未找到原作者或原始出处，请理解并联系我们。

4.文中部分图片源于网络。

5.本公众号发布此文出于传播消息之目的，如有侵权，联系删除。

华菱咨询深圳官网：http://www.hlemc-sz.com/

华菱咨询苏州官网：http://www.hlemc.com/

若还有其他问题，可直接在平台私信联系我们，我们会第一时间与您取得联系,感谢支持。