安全機(jī)制的本質(zhì)

安全機(jī)制到底是什么，它和TSR到底有什么區(qū)別?

在ISO 26262-4:2018中，TSR和安全機(jī)制這兩部分內(nèi)容獨(dú)立成章節(jié)，并沒有合在一起進(jìn)行闡述，這給很多朋友造成一種誤解，認(rèn)為安全機(jī)制和TSR好像是不一樣的存在，它們之類的區(qū)別也不夠清楚。下面我從三個(gè)方面來闡述一下安全機(jī)制的本質(zhì):?

1. 安全機(jī)制屬于更深層次的TSR

安全機(jī)制是為防止SG或FSR的違反，基于由FSR技術(shù)化的安全需求，提出的更深層次的事后補(bǔ)救技術(shù)安全措施，它包括:

由FSR技術(shù)化得到的TSR的安全機(jī)制，主要是防止系統(tǒng)性故障，或硬件單點(diǎn)故障潛伏提出的技術(shù)安全需求。

以及安全機(jī)制的安全機(jī)制。例如針某TSR提出了已經(jīng)有了安全機(jī)制A，但由于該TSR的ASIL等級(jí)較高(C或D)，安全機(jī)制A本身也可能失效，此時(shí)如果原有功能正常，系統(tǒng)不會(huì)違反安全目標(biāo)SG，但安全機(jī)制A的失效就會(huì)潛伏，變成雙點(diǎn)故障，所以需要對(duì)安全機(jī)制A的功能安全進(jìn)行監(jiān)控，提出針對(duì)安全機(jī)制A的相應(yīng)的技術(shù)安全需求，防止安全機(jī)制A的故障潛伏。

一般來講，考慮到系統(tǒng)實(shí)現(xiàn)的成本和復(fù)雜度，安全機(jī)制不超過兩層。根據(jù)ISO 26262，三點(diǎn)及以上故障就可以認(rèn)為安全故障，否則就會(huì)出現(xiàn)無窮的安全機(jī)制嵌套。

2. 安全機(jī)制是實(shí)現(xiàn)相應(yīng)ASIL等級(jí)的關(guān)鍵之一

除ISO 26262對(duì)不同開發(fā)過程的約束(包括方法，驗(yàn)證等)外，在系統(tǒng)，軟件和硬件開發(fā)階段，不同ASIL等級(jí)直接決定了應(yīng)該采取哪些安全措施，以及安全措施的類型(或高級(jí)層度)。

越高的ASIL等級(jí)對(duì)應(yīng)的安全措施，在數(shù)量和質(zhì)量的要求越高。例如，對(duì)于ASILB的系統(tǒng)，可能具有單獨(dú)時(shí)間Base的Watchdog可能就夠了，但是對(duì)ASILD系統(tǒng)而言，可能需要上程序流邏輯監(jiān)控才能滿足。

當(dāng)然不同的安全機(jī)制在實(shí)施難度和成本上都有所不同，這部分內(nèi)容我會(huì)在后續(xù)的專題里一步步講解。

3. 安全機(jī)制多和系統(tǒng)安全架構(gòu)設(shè)計(jì)相關(guān)，一定程度上決定了系統(tǒng)安全架構(gòu)

安全機(jī)制是保證系統(tǒng)功能安全的非常重要的技術(shù)手段，而這些技術(shù)手段，例如，硬件冗余，輸入輸出有效性檢驗(yàn)，安全狀態(tài)導(dǎo)入，或我們常見的控制器3層安全監(jiān)控架構(gòu)等等，這些都直接決定了我們系統(tǒng)的安全架構(gòu)，會(huì)在架構(gòu)設(shè)計(jì)中進(jìn)行考慮，直接融入架構(gòu)設(shè)計(jì)之中。這個(gè)也是為什么在功能安全在系統(tǒng)階段開發(fā)過程中，花很大的篇幅來講安全機(jī)制和架構(gòu)設(shè)計(jì)的重要原因之一。

其中，左邊屬于由FSR技術(shù)化的安全需求，主要是明確加速踏板技術(shù)信息，包括采用什么樣傳感器，輸出信號(hào)有哪些，類型，采樣周期等。

在實(shí)際系統(tǒng)開發(fā)過程中，為實(shí)現(xiàn)相應(yīng)的ASIL等級(jí)，控制系統(tǒng)一般進(jìn)行分層設(shè)計(jì)，功能安全擁有獨(dú)立的軟件層和硬件層，開發(fā)過程相對(duì)獨(dú)立，甚至獨(dú)立的開發(fā)團(tuán)隊(duì)。

為實(shí)現(xiàn)后續(xù)安全監(jiān)控，需要將安全相關(guān)的應(yīng)用層功能在監(jiān)控層進(jìn)行多樣化設(shè)計(jì)復(fù)現(xiàn)，所以這部分TSR和我們正常的系統(tǒng)應(yīng)用層功能開發(fā)需求有點(diǎn)類似，但不是完全復(fù)制，而是多樣化，差異化的設(shè)計(jì)實(shí)現(xiàn)，所以這些信息或者需求會(huì)和應(yīng)用層功能實(shí)現(xiàn)存在一定關(guān)聯(lián)。

右邊是安全機(jī)制，是更深層次技術(shù)安全需求，這些都是保證系統(tǒng)功能安全的關(guān)鍵技術(shù)手段。

華菱咨詢位于中國長三角、珠三角、京津冀和西南地區(qū)地區(qū)，成立于 2001 年,專注于標(biāo)準(zhǔn)體系咨詢、產(chǎn)品認(rèn)證咨詢、企業(yè)管理項(xiàng)目咨詢以及相關(guān)教育訓(xùn)練的顧問公司。公司已在北京、上海、杭州、廣州、深圳、合肥、江西、西安設(shè)立了分支機(jī)構(gòu)。

經(jīng)過20多年的發(fā)展與實(shí)踐沉淀，華菱咨詢將利用深厚的行業(yè)知識(shí)，幫助客戶把握新機(jī)遇，評(píng)估和管理風(fēng)險(xiǎn)，以實(shí)現(xiàn)負(fù)責(zé)任的增長。華菱咨詢高績效的跨學(xué)科團(tuán)隊(duì)可幫助客戶滿足監(jiān)管要求，確?？蛻?/strong>及時(shí)了解信息并滿足利益相關(guān)者的需求。華菱咨詢將為客戶提供全面的端到端的服務(wù)，利用技術(shù)的進(jìn)步真正推動(dòng)業(yè)務(wù)的發(fā)展。

版權(quán)聲明：