MUNIK解读ISO26262:功能安全之系统阶段-TSC-TSR
—原创文章,文章内所有内容文字资料,版权均属本公众号所有,任何媒体、网站、公众号或个人未经Munik公司授权不得转载、转贴、引用或以其他方式复制发布 、发表。已经被Munik公司授权的媒体、网站、公众号、个人,在下载使用时必须注明来源,违者Munik公司将依法追究相关责任.
回到本文的源头文章“ISO26262标准解读”,请点击链接:ISO26262 Functional Safety of Automotive汽车功能安全服务
回到知识分享,请点击链接:MUNIK中国-技术分享
01、摘要
本篇属于汽车功能安全专题系列第十三篇内容,我们主要聊到底什么是技术安全需求(TSR)和技术安全概念(TSC)。
在上一篇文章''MUNIK谈汽车功能安全系列专题分享(十二)功能安全之概念阶段-FSC&FSR''(我是链接)中,我们在概念开发阶段,通过组件层别的安全分析(FTA, FMEA)对功能安全开发最初的安全需求,即安全目标(SG),进行细化,得到了组件级别的功能安全需求(FSR)和方案(FSC)。
在汽车功能安全领域,技术安全需求(TSR)和技术安全概念(TSC)是确保系统安全的关键概念。它们在系统设计和开发过程中起着至关重要的作用,是实现功能安全目标(SG)和功能安全需求(FSR)的技术基础。接下来,我们将详细探讨这两个概念的内涵、重要性以及它们之间的关系。
图一、TSC和SG、FSC的导出关系
02、从FSR到TSR
2.1 FSR和TSR区别
技术安全需求(TSR)是在功能安全需求(FSR)的基础上,进一步细化为技术层面的具体要求。FSR和TSR区别如下:
表1 FSR和TSR区别
|
区别 |
FSR |
TSR |
|
产生阶段 |
概念阶段 |
产品开发阶段 |
|
输入 |
SG、整车EE架构 |
FSC、产品系统架构 |
|
描述方式 |
功能定义 |
技术规范 |
|
内容 |
故障避免、探测、控制、容忍和切换到安全状态的策略 |
安全相关的技术要求、安全机制 |
|
分配 |
整车架构要素 |
产品架构要素 |
TSR是为了满足安全目标SG或FSR,在技术层面派生出的可实施的安全需求。TSR通常包括以下几个方面:
l 由FSR技术化的安全需求:这部分是将FSR中的逻辑功能需求转化为具体的技术参数和要求,例如定义硬件组件的技术指标、软件组件的功能要求等。
l 安全机制:这是TSR中非常重要的组成部分,它包括一系列措施,用于探测、显示和控制故障,以确保系统在出现故障时能够以一种安全的方式响应。
l Stakeholder需求:这部分需求通常与车辆使用、法律法规、生产和服务等方面相关,它们以具体的技术细节呈现,并直接并入TSR中。
2.2 TJP功能安全要求
2.2.1 TJP功能安全要求
TJP(Traffic Jam Pilot)是一种高级驾驶辅助系统(ADAS),旨在在交通拥堵情况下提供辅助驾驶功能。为帮助导出TJP TSR,假设TJP SG和FSR如下:
表2 TJP SG(示例)
|
SG ID |
SG Description |
ASIL |
Safe State |
FTTI |
|
SG01 |
TJP应避免传感器功能丢失 |
D |
司机警告 |
TBD |
表3 TJP FSR(示例)
|
No |
FSR |
ASIL |
Safe state |
FTTI |
Allocation |
|
FSR01 |
激光雷达需要正确地感知环境目标 |
QM(D) |
司机警告; 车辆刹车停车 |
3s |
激光雷达 |
|
FSR02 |
激光雷达信号需要通过带E2E保护的以太网发送到 TJP ECU |
B |
司机警告; 车辆刹车停车 |
3s |
激光雷达通信处理 |
2.2.2 TJP系统架构假设
为便于后面TSC分析,TJP ECU 设计假设如下:包含了主系统和后备系统,采用双SoC设计。主系统目标满足 ASILD,后备系统目标满足 ASILB,其中:
l 主备系统互为冗余系统。
l 雷达作为主备系统的输入,感知规定范围内的前方和侧面环境物体;
l 摄像头作为主备系统的输入,感知规定范围内的前、侧环境物体。
l 激光雷达作为主系统的输入,感知规定范围内的周围环境。
l GNSS 和 IMU 作为后备和主系统的定位输入。
l DMS 作为驾驶员监视器输入到后备和主系统。
2.2.3 TJP物理限制和约束假设假设
l 如果道路上有雪/冰,车辆可能无法完全停车。
l 如果有恶劣天气(影响传感器),车辆可能无法准确完全停车。
l 如果传感器工作温度超出规定温度范围,车辆可能无法准确探测障碍物距离。
l TJP 系统只能在行驶速度 0~60km/h 时激活
l 任何因驾驶员误用而造成的危险都不包含在功能安全概念中
l 驾驶员接收到 TJP 报警信号后,应接管车辆控制并停车。
2.2.4 TJP系统运行模式假设
l Off Mode
l Standby Mode
l Active Mode
03、什么是TSC
一般来讲,一个完整的TSC应该包含以下主要内容:
l 系统安全架构
l 技术安全需求TSR
l 安全机制(因篇幅限制,在后续文章中讨论,请大家关注)
l 技术安全需求分配到系统架构
3.1 系统安全架构
TJP 系统应根据感知单元实现感知环境,识别障碍物,规划路径,并根据 ECU 向车辆总线发送控制信号,TJP系统安全架构假设如下:
图一、TJP系统安全架构设计假设
3.2 FTTI分解
根据 FSR 和系统架构对SG01的 FTTI 进行分解,如图二所示:
图二、TJP SG01 FTTI分解假设
3.3 ASIL分解
在技术安全概念TSC中,通过使用相关的功能和安全机制,相应的ASIL等级也需要进行分解,SG01的ASIL分解示例如下表:
表4 TJP SG01 ASIL分解(示例)
|
功能 |
分解 |
ASIL |
备注 |
|
感知功能 |
毫米波雷达 |
B(D) |
|
|
激光雷达 |
B(D) |
|
|
|
超声波雷达 |
B(D) |
|
|
|
视觉摄像头 |
B(D) |
|
|
|
激光雷达信号传输 |
信号传输 |
QM(D) |
传输传感器与 ECU、ECU 与车辆总线之间的信号 |
|
信号检测 |
B(D) |
检测信号以传输数据 |
|
|
…… |
|
|
|
3.4 告警和降级概念
l 告警的概念
如果确认可能发生碰撞或检测到其他故障模式,TJP 将通过听觉、视觉或触觉方式向驾驶员发送警告信息。
l 降级的概念
如果确认可能发生碰撞或检测到其他故障模式,TJP 将向车辆发送减速命令,将速度限制为 0。
3.5 驾驶员要求
收到 TJP 故障警告后,由驾驶员接管车辆控制权。
3.6 技术安全要求
根据以上分析,导出SG01的技术安全要求,见表 5。
表5 TJP SG01 TSR(示例)
|
No |
TSR |
ASIL |
Safe state |
FTTI |
Allocation |
|
FSR01_ TSR01 |
激光雷达对周围环境物体的感知距离为XXm,精度为XXcm,频率为XXk |
QM(D) |
NA |
3s |
Lidar |
|
FSR02_ TSR01 |
激光雷达应通过以太网将信号发送到TJP ECU |
QM(D) |
驾驶员告警; 启用fallback系统 |
3s |
Lidar processing |
|
FSR02_ TSR02 |
激光雷达信号处理应检查激光雷达信号通信的完整性 |
B(D) |
驾驶员告警; 启用fallback系统 |
2s |
Lidar processing |
|
…… |
|
|
|
|
|
04、写在最后
在后续的内容中,我们将继续探讨功能安全系统阶段开发的其他重要方面,包括系统安全机制、安全分析FMEA、FTA、DFA等内容。希望通过这些内容,能够帮助大家更全面地理解汽车功能安全的开发过程。
最后,你是不是还为功能安全系统阶段开发不知道怎么下手而发愁,请不要犹豫,关注上海秒尼科技术服务有限公司官网,获取更多服务内容~
