0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

什么是技术安全需求和安全机制

工程师邓生 来源:AUTO世代 作者:AUTO GENERATION 2022-09-21 14:21 次阅读

我们在概念开发阶段,通过组件层别的安全分析(FTA, FMEA)对功能安全开发最初的安全需求,即安全目标(SG),进行细化,得到了组件级别的功能安全需求(FSR)和方案(FSC)。

但FSR本质上还是属于功能层面的逻辑安全需求,属于"需要做什么"的层次,无法具体实施,所以需要将FSR进一步细化为技术层面的安全需求(TSR),即"怎么做",为后续的软件和硬件的安全开发奠定技术需求基础。

根据ISO 26262,功能安全系统阶段开发内容可以分为两大部分:

技术安全需求及方案开发及验证

系统集成测试及安全确认(Validation)

它们在开发过程中并不连续,分别隶属于系统开发V模型的左边和右边,中间穿插了硬件和软件开发。系统阶段技术安全需求(TSR)和方案(TSC)开发和概念阶段功能安全需求(FSR)和方案(FSC)一脉相承,和概念开发开发紧密衔接。只有硬件和软件开发完成,才能进行系统层面集成测试和需求确认。

系统集成这部分我们留在软件和硬件开发之后再聊。针对第一个大的部分,即技术安全需求(TSR)和方案(TSC),我们主要聊以下内容:

什么是技术安全需求TSR

安全机制的本质

怎么从FSR到TSR

什么是技术安全方案TSC

系统安全架构设计

安全分析

技术安全需求分配至系统架构

鉴于内容较多,今天我们先聊前三部分内容。

01

什么是TSR

总体而言,技术安全需求(TSR:Technical Safety Requirement)是为满足安全目标SG或功能安全需求(FSR),由功能安全需求(FSR)在技术层面派生出的可实施的安全需求。

那到底什么是由FSR派生出的技术安全需求呢?

根据ISO 26262的定义,技术安全要求(TSR)应该明确功能安全需求在各自层级的技术实现; 考虑相关项定义和系统架构设计,解决潜在故障的检测、故障避免、安全完整性(即满足ASIL等级)以及产品生产和服务方面的必要安全问题。

什么意思呢?直接上个我自己总结的公式:

技术安全需求(TSR) = 由FSR技术化的安全需求+ 安全机制 + Stakeholder需求

由FSR技术化的安全需求

将FSR进一步技术化,得到可以实施的技术安全需求,是TSR的重要来源,但它只是TSR其中一个组成部分。

所谓FSR技术化的安全需求就是,基于系统架构中组件分配得到的FSR,根据该组件内部以及对外的依赖关系和限制条件,将FSR定义的逻辑功能需求进行技术性转化和体现。

这部分技术需求属于相对基础的TSR,不涉及深层次的探测,显示,控制或减轻系统出现故障的安全措施,所以并不能保证系统功能安全。它的主要的目的是为后续相关安全机制的开发或者需求的提出奠定技术基础。

例如,由FSR技术化的安全需求包括,定义逻辑功能需求中所涉及的软件组件,硬件组件(传感器,控制单元,执行单元),组件接口技术信息(如信号名称,来源等),传输方式(CAN总线等),计算周期,软件组件不同平台复用配置需要的标定数据,硬件组件指标要求等。

安全机制

安全机制(Safety Mechanism)目的在于探测,显示和控制故障,属于功能安全事后补救措施,是TSR非常重要的组成部分,是实现功能安全,防止安全目标SG或者功能安全需求FSR违反的重要技术实现手段之一。

安全机制应该包含:

检测系统性及随机硬件故障的措施。例如,针对系统I/O,总线信号范围检查,冗余校验,有效性检测,逻辑计算单元数据流及程序流监控,控制器硬件底层软件监控等。

显示故障。例如,对驾驶员进行声音,不同类型及颜色的指示灯,提示文字等预警,增加驾驶员对车辆的可控性。

控制故障的措施。例如,Fail to safe:将系统在指定的故障容错时间间隔(FTTI)导入安全状态,包括降级,故障仲裁,故障记录等。如果不能,还需要定义紧急运行时间间隔及运行状态。或者Fail to operational,通过并行冗余系统,当一个系统失效后,进入另外一个并行系统继续提供全部或部分功能。少。

Stakeholder需求

Stakerholder需求主要包括车辆使用,法律法规,生产和服务方面相关的安全需求。一般都是以具体技术细节直接进行呈现,所以会直接并入TSR之中。

例如,车辆发生碰撞后,相关项应该采取的哪些应对措施,可能是转矩输出非使能,高压系统断电等。

此外,针对TSR,还需要注意以下几点:

1

技术安全要求和非安全要求不能互相矛盾。

2

对于使相关项达到或保持安全状态的每个安全机制,应指定以下内容:切换到安全状态的条件,时间间隔(FTTI),必要的话,紧急运行状态及时间间隔。

3

对于ASIL(A)、(B)、C 和 D 等级的技术安全需求,应该制定防止故障潜伏安全机制。

4

对于 ASIL(A)、(B)、C和 D 等级的TSR: 用于防止双点故障变成潜伏故障的安全机制的开发应符合以下ASIL安全等级要求:

a) ASILB(对于分配为ASILD的技术安全要求);

b) ASILA(对于分配为ASILB和ASILC的技术安全要求);

c) QM(对于分配 ASILA的技术安全要求)。

这个就是安全机制的安全机制ASIL等级的约束,该约束的本质是对TSR对应ASIL等级的分解,主要是为防止由安全机制失效导致的双点故障潜伏。(我后面在安全机制的本质会细聊)

02

安全机制的本质

接下我们聊聊困惑很多朋友的一个问题:安全机制到底是什么,它和TSR到底有什么区别?

在ISO 26262-4:2018中,TSR和安全机制这两部分内容独立成章节,并没有合在一起进行阐述,这给很多朋友造成一种误解,认为安全机制和TSR好像是不一样的存在,它们之类的区别也不够清楚。下面我从三个方面来阐述一下安全机制的本质:

1. 安全机制属于更深层次的TSR

安全机制是为防止SG或FSR的违反,基于由FSR技术化的安全需求,提出的更深层次的事后补救技术安全措施,它包括:

由FSR技术化得到的TSR的安全机制,主要是防止系统性故障,或硬件单点故障潜伏提出的技术安全需求。

以及安全机制的安全机制。例如针某TSR提出了已经有了安全机制A,但由于该TSR的ASIL等级较高(C或D),安全机制A本身也可能失效,此时如果原有功能正常,系统不会违反安全目标SG,但安全机制A的失效就会潜伏,变成双点故障,所以需要对安全机制A的功能安全进行监控,提出针对安全机制A的相应的技术安全需求,防止安全机制A的故障潜伏。

一般来讲,考虑到系统实现的成本和复杂度,安全机制不超过两层。根据ISO 26262,三点及以上故障就可以认为安全故障,否则就会出现无穷的安全机制嵌套。

2. 安全机制是实现相应ASIL等级的关键之一

除ISO 26262对不同开发过程的约束(包括方法,验证等)外,在系统,软件和硬件开发阶段,不同ASIL等级直接决定了应该采取哪些安全措施,以及安全措施的类型(或高级层度)。

越高的ASIL等级对应的安全措施,在数量和质量的要求越高。例如,对于ASILB的系统,可能具有单独时间Base的Watchdog可能就够了,但是对ASILD系统而言,可能需要上程序流逻辑监控才能满足。

当然不同的安全机制在实施难度和成本上都有所不同,这部分内容我会在后续的专题里一步步讲解。

3. 安全机制多和系统安全架构设计相关,一定程度上决定了系统安全架构

安全机制是保证系统功能安全的非常重要的技术手段,而这些技术手段,例如,硬件冗余,输入输出有效性检验,安全状态导入,或我们常见的控制器3层安全监控架构等等,这些都直接决定了我们系统的安全架构,会在架构设计中进行考虑,直接融入架构设计之中。这个也是为什么在功能安全在系统阶段开发过程中,花很大的篇幅来讲安全机制和架构设计的重要原因之一。

为了方便理解安全机制,我们一起来看个关于加速踏板开度采集的例子:

281594b6-3972-11ed-9e49-dac502259ad0.png

其中,左边属于由FSR技术化的安全需求,主要是明确加速踏板技术信息,包括采用什么样传感器,输出信号有哪些,类型,采样周期等。

在实际系统开发过程中,为实现相应的ASIL等级,控制系统一般进行分层设计,功能安全拥有独立的软件层和硬件层,开发过程相对独立,甚至独立的开发团队。

为实现后续安全监控,需要将安全相关的应用层功能在监控层进行多样化设计复现,所以这部分TSR和我们正常的系统应用层功能开发需求有点类似,但不是完全复制,而是多样化,差异化的设计实现,所以这些信息或者需求会和应用层功能实现存在一定关联。

右边是安全机制,是更深层次技术安全需求,这些都是保证系统功能安全的关键技术手段。

03

怎么从FSR到TSR

上面我们聊到TSR的具体组成部分,包括由FSR技术化的TSR,安全机制和Stakeholder需求。

前两部分TSR的导出,和概念阶段聊到的SG到FSR类似,都是通过安全分析(即FTA,FMEA分析方法)完成。

以FTA分析为例,主要是将违反的FSR作为顶层分析事件,进行原因分析,安全分析的具体细节我在这里就不重复了,不熟悉的朋友移步功能安全专题03篇内容。

实际操作过程中,对于比较简单的FSR,即涉及的组件功能的比较简单,完全可以依据经验直接导出,对于相对比较复杂的FSR则需要进行完整的安全分析。

对于Stakeholder需求,一般需要根据Item Definition中定义的法律法规及之前项目经验进一步细化,一般情况下,该部分需求可以在不同项目中可以复用。

写在最后: TSR和安全机制我们就聊完了,网络上很多关于它们的介绍都太表面,照抄标准,希望这篇能够给朋友们理解TSR和安全机制带来帮助,下期我们继续看功能安全系统阶段开发其他内容。




审核编辑:刘清

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 传感器
    +关注

    关注

    2551

    文章

    51077

    浏览量

    753361
  • 控制器
    +关注

    关注

    112

    文章

    16351

    浏览量

    177955
  • CAN总线
    +关注

    关注

    145

    文章

    1950

    浏览量

    130745
  • FTA
    FTA
    +关注

    关注

    0

    文章

    7

    浏览量

    6527

原文标题:04 - 汽车功能安全(ISO 26262)系列: 系统阶段开发 - 技术安全需求(TSR)及安全机制

文章出处:【微信号:阿宝1990,微信公众号:阿宝1990】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    汽车上芯片种类及安全需求和性能需求

    随着车辆的网联化和智能化的逐步提升,汽车上芯片的数量越来越多。据网上统计,2021年每辆汽车的芯片需求已经突破1000颗,一些高端新能源汽车的芯片需求甚至可能接近2000颗。 这么多芯片都有
    的头像 发表于 11-11 10:14 989次阅读
    汽车上芯片种类及<b class='flag-5'>安全</b><b class='flag-5'>需求和</b>性能<b class='flag-5'>需求</b>

    EMB系统功能安全分析(2)

    功能安全概念(functional safety concept,FSC)是以安全目标为最上层需求,进而制定安全机制,实现功能
    的头像 发表于 10-16 14:28 459次阅读
    EMB系统功能<b class='flag-5'>安全</b>分析(2)

    基于GPU器件行为的创新分布式功能安全机制为智能驾驶保驾护航

    在锁步和重复校验两种常见的功能安全机制之外,全球领先的GPU IP厂商Imagination带来一种全新的、高性价比的分布式功能安全机制
    的头像 发表于 10-11 13:14 243次阅读
    基于GPU器件行为的创新分布式功能<b class='flag-5'>安全</b><b class='flag-5'>机制</b>为智能驾驶保驾护航

    工业交换机的安全机制

    在当今信息技术迅速发展的时代,工业交换机作为网络通信的重要设备,其安全机制愈发受到重视。工业交换机的安全性不仅关乎企业的信息保护,更是整个工业网络运行稳定性的基石。为了确保数据传输的
    的头像 发表于 10-09 15:02 186次阅读
    工业交换机的<b class='flag-5'>安全</b><b class='flag-5'>机制</b>

    浅谈SOC片上系统LoRa-STM32WLE5数据安全防御机制

    LoRa-STM32WLE5 SoC模块不仅仅是一个具备出色通信能力的无线模块,更是一个集成了多重安全机制的高效SoC解决方案。通过AES硬件加密、PCROP读写保护、MPU内存管理等技术的结合,它为物联网设备提供了全方位的
    的头像 发表于 09-06 17:37 519次阅读
    浅谈SOC片上系统LoRa-STM32WLE5数据<b class='flag-5'>安全防御机制</b>

    MSPM0 MCU中的网络安全机制

    电子发烧友网站提供《MSPM0 MCU中的网络安全机制.pdf》资料免费下载
    发表于 08-29 10:05 0次下载
    MSPM0 MCU中的网络<b class='flag-5'>安全</b><b class='flag-5'>机制</b>

    带你走进信息安全软件架构

    经纬恒润车端信息安全解决方案整合了 MCU 端以及 MPU 端的信息安全解决方案,具体方案包括 Security Boot、安全通信、安全存储、安全
    的头像 发表于 06-12 14:36 893次阅读
    带你走进信息<b class='flag-5'>安全</b>软件架构

    深圳特信电子|手机信号屏蔽器厂家:技术领先,保障信息安全.

    地满足不同用户的需求。同时,随着5G技术的普及,屏蔽器也需要不断更新换代,以适应新的通信频段和技术要求。 手机信号屏蔽器作为一种重要的信息安全设备,在现代社会中发挥着不可替代的作用。
    发表于 04-26 09:09

    经纬恒润功能安全软件库SAFETY BASE V1.0正式发布

    (AssumptionofUse)假设性需求。然而,在项目开发过程中,经常面临无量产化的安全机制软件库和集成方案、成本高、安全性与可靠性无法平衡、无法验证等多个难题。基于目前的市场
    的头像 发表于 04-23 08:00 540次阅读
    经纬恒润功能<b class='flag-5'>安全</b>软件库SAFETY BASE V1.0正式发布

    知语云全景监测技术:现代安全防护的全面解决方案

    随着信息技术的飞速发展,网络安全问题日益突出,企业和个人对安全防护的需求也越来越迫切。在这个背景下,知语云全景监测技术应运而生,为现代
    发表于 02-23 16:40

    CP AUTOSAR信息安全机制全面解析

    这个模块一定是我们工程师最先接触到的AUTOSAR信息安全机制,主要用于ECU板级的安全通信。 大家应该有印象,在以往没有该机制,CAN通信通常是使用Checksum和RollingC
    的头像 发表于 02-22 11:44 3148次阅读
    CP AUTOSAR信息<b class='flag-5'>安全</b><b class='flag-5'>机制</b>全面解析

    安全继电器和普通继电器区别 安全继电器应用案例

    安全继电器具有内置的故障检测机制和逻辑,以实时监测继电器本身的运行状态。在发生故障时,安全继电器会采取相应的断开或切断操作,以保证人员和设备的安全
    的头像 发表于 02-06 15:57 3079次阅读
    <b class='flag-5'>安全</b>继电器和普通继电器区别 <b class='flag-5'>安全</b>继电器应用案例

    如何使用PSoC 61进行安全启动?

    我们知道所有关于安全启动的文档都是基于 PSoC 62、63 或 64 的。 因为安全启动机制包括 M0+ 和 M4。 我们想知道如何使用 PSoC 61 进行安全启动。(\"PSoC
    发表于 01-30 07:51

    SAL-TC389QP-160F300S AE是否有专门用于旋转变压器安全安全机制

    我们正在使用 SAL-TC389QP-160F300S AE 微控制器进行牵引逆变器项目。 我们正在使用旋转变压器来获得 WM_MOTOR_CONTROL_01 这个项目中的位置,我想知道是否有专门用于旋转变压器安全安全机制
    发表于 01-19 06:09

    如何采用TLF35584的CAN安全机制?

    采用 TLF35584 的 CAN 安全机制
    发表于 01-18 10:03