01、摘要
本篇属于汽车功能安全专题系列第十三篇内容,我们主要聊到底什么是技术安全需求(TSR)和技术安全概念(TSC)。
在上一篇文章''MUNIK谈汽车功能安全系列专题分享(十二)功能安全之概念阶段-FSC&FSR''(我是链接)中,我们在概念开发阶段,通过组件层别的安全分析(FTA, FMEA)对功能安全开发最初的安全需求,即安全目标(SG),进行细化,得到了组件级别的功能安全需求(FSR)和方案(FSC)。
在汽车功能安全领域,技术安全需求(TSR)和技术安全概念(TSC)是确保系统安全的关键概念。它们在系统设计和开发过程中起着至关重要的作用,是实现功能安全目标(SG)和功能安全需求(FSR)的技术基础。接下来,我们将详细探讨这两个概念的内涵、重要性以及它们之间的关系。
图一、TSC和SG、FSC的导出关系
02、从FSR到TSR
2.1、FSR和TSR区别
技术安全需求(TSR)是在功能安全需求(FSR)的基础上,进一步细化为技术层面的具体要求。FSR和TSR区别如下:
表1 FSR和TSR区别
| 区别 | FSR | TSR |
|---|---|---|
| 产生阶段 | 概念阶段 | 产品开发阶段 |
| 输入 | SG、整车EE架构 | FSC、产品系统架构 |
| 描述方式 | 功能定义 | 技术规范 |
| 内容 | 故障避免、探测、控制、容忍和切换到安全状态的策略 | 安全相关的技术要求、安全机制 |
| 分配 | 整车架构要素 | 产品架构要素 |
TSR是为了满足安全目标SG或FSR,在技术层面派生出的可实施的安全需求。TSR通常包括以下几个方面:
- 由FSR技术化的安全需求:这部分是将FSR中的逻辑功能需求转化为具体的技术参数和要求,例如定义硬件组件的技术指标、软件组件的功能要求等。
- 安全机制:这是TSR中非常重要的组成部分,它包括一系列措施,用于探测、显示和控制故障,以确保系统在出现故障时能够以一种安全的方式响应。
- Stakeholder需求:这部分需求通常与车辆使用、法律法规、生产和服务等方面相关,它们以具体的技术细节呈现,并直接并入TSR中。
2.2 TJP功能安全要求
2.2.1 TJP功能安全要求
TJP(Traffic Jam Pilot)是一种高级驾驶辅助系统(ADAS),旨在在交通拥堵情况下提供辅助驾驶功能。为帮助导出TJP TSR,假设TJP SG和FSR如下:
表2 TJP SG(示例)
| SG ID | SG Description | ASIL | Safe State | FTTI |
|---|---|---|---|---|
| SG01 | TJP应避免传感器功能丢失 | D | 司机警告 | TBD |
表3 TJP FSR(示例)
| No | FSR | ASIL | Safe state | FTTI | Allocation |
|---|---|---|---|---|---|
| FSR01 | 激光雷达需要正确地感知环境目标 | QM(D) | 司机警告; 车辆刹车停车 | 3s | 激光雷达 |
| FSR02 | 激光雷达信号需要通过带E2E保护的以太网发送到 TJP ECU | B | 司机警告; 车辆刹车停车 | 3s | 激光雷达通信处理 |
2.2.2 TJP系统架构假设
为便于后面TSC分析,TJP ECU 设计假设如下:包含了主系统和后备系统,采用双SoC设计。主系统目标满足 ASILD,后备系统目标满足 ASILB,其中:
- 主备系统互为冗余系统。
- 雷达作为主备系统的输入,感知规定范围内的前方和侧面环境物体;
- 摄像头作为主备系统的输入,感知规定范围内的前、侧环境物体。
- 激光雷达作为主系统的输入,感知规定范围内的周围环境。
- GNSS 和 IMU 作为后备和主系统的定位输入。
- DMS 作为驾驶员监视器输入到后备和主系统。
2.2.3 TJP物理限制和约束假设假设
- 如果道路上有雪/冰,车辆可能无法完全停车。
- 如果有恶劣天气(影响传感器),车辆可能无法准确完全停车。
- 如果传感器工作温度超出规定温度范围,车辆可能无法准确探测障碍物距离。
- TJP 系统只能在行驶速度 0~60km/h 时激活
- 任何因驾驶员误用而造成的危险都不包含在功能安全概念中
- 驾驶员接收到 TJP 报警信号后,应接管车辆控制并停车。
2.2.4 TJP系统运行模式假设
- Off Mode
- Standby Mode
- Active Mode
03、什么是TSC
一般来讲,一个完整的TSC应该包含以下主要内容:
- 系统安全架构
- 技术安全需求TSR
- 安全机制(因篇幅限制,在后续文章中讨论,请大家关注)
- 技术安全需求分配到系统架构
3.1系统安全架构
TJP 系统应根据感知单元实现感知环境,识别障碍物,规划路径,并根据 ECU 向车辆总线发送控制信号,TJP系统安全架构假设如下:
图一、TJP系统安全架构设计假设
3.2 FTTI分解
根据 FSR 和系统架构对SG01的 FTTI 进行分解,如图二所示:
图二、TJP SG01 FTTI分解假设
3.3 ASIL分解
在技术安全概念TSC中,通过使用相关的功能和安全机制,相应的ASIL等级也需要进行分解,SG01的ASIL分解示例如下表:
表4 TJP SG01 ASIL分解(示例)
| 功能 | 分解 | ASIL | 备注 |
|---|---|---|---|
| 感知功能 | 毫米波雷达 | B(D) | |
| 激光雷达 | B(D) | ||
| 超声波雷达 | B(D) | ||
| 视觉摄像头 | B(D) | ||
| 激光雷达信号传输 | 信号传输 | QM(D) | 传输传感器与 ECU、ECU 与车辆总线之间的信号 |
| 信号检测 | B(D) | 检测信号以传输数据 | |
| …… |
3.4告警和降级概念
- 告警的概念
如果确认可能发生碰撞或检测到其他故障模式,TJP 将通过听觉、视觉或触觉方式向驾驶员发送警告信息。
- 降级的概念
如果确认可能发生碰撞或检测到其他故障模式,TJP 将向车辆发送减速命令,将速度限制为 0。
3.5 驾驶员要求
收到 TJP 故障警告后,由驾驶员接管车辆控制权。
3.6 技术安全要求
根据以上分析,导出SG01的技术安全要求,见表 5。
表5 TJP SG01 TSR(示例)
| No | TSR | ASIL | Safe state | FTTI | Allocation |
|---|---|---|---|---|---|
| FSR01_TSR01 | 激光雷达对周围环境物体的感知距离为XXm,精度为XXcm,频率为XXk | QM(D) | NA | 3s | Lidar |
| FSR02_TSR01 | 激光雷达应通过以太网将信号发送到TJP ECU | QM(D) | 驾驶员告警;启用fallback系统 | 3s | Lidar processing |
| FSR02_TSR02 | 激光雷达信号处理应检查激光雷达信号通信的完整性 | B(D) | 驾驶员告警;启用fallback系统 | 2s | Lidar processing |
| …… |
04、写在最后
理解TSR和安全机制对于汽车功能安全的开发至关重要。它们不仅是实现功能安全目标的技术基础,也是确保系统在面对潜在故障时能够安全响应的关键。通过深入理解这两个概念,我们可以更好地设计和开发出符合功能安全要求的汽车系统。
在后续的内容中,我们将继续探讨功能安全系统阶段开发的其他重要方面,包括系统安全机制、安全分析FMEA、FTA、DFA等内容。希望通过这些内容,能够帮助大家更全面地理解汽车功能安全的开发过程。
最后,你是不是还为功能安全系统阶段开发不知道怎么下手而发愁,请不要犹豫,关注上海秒尼科技术服务有限公司官网,获取更多服务内容~