功能安全的安全性与可用性的平衡

zy_wawj

1.功能安全中RAMS的含义

“RAMS是可靠性（Reliability）、可用性（Availability）、可维修性（Maintainability）和安全性（Safety）这四个英文字母的首字母的缩写。

可靠性：产品在规定的条件和规定的时间内，完成规定功能的能力。

可用性：产品在任意随机时刻需要和开始执行任务时，处于可工作或可使用状态的程度。

安全性：产品所具有的不导致人员伤亡、系统损坏、重大财产损失、不危害员工健康与环境的能力。”

可维修性：产品在规定条件下和规定时间内，按规定的程序和方法进行维修时，保持或恢复到规定状态的能力。

2.功能安全中的可用性与可靠性
当我们使用一个功能时会出现失效模式：一种是完全不响应，另一种是给出错误响应。与能否及时给出响应相关的问题，我们称为可用性问题（Availability）,与能否给出正确响应相关的问题，我们称为可靠性问题（Reliability）。一般来说，增加可用性（Availability）通常会降低可靠性（Reliability），反之亦然。例如，我们通过CPU的主核和安全核来计算结果并比较结果的方式来增加系统的可靠性（Relaibility）。不幸的是，这种方式虽然可以增加系统的可靠性，但是由于其双路并行的属性会降低系统的可用性（Availability）（因为任何一失效，整个系统都会该次计算结果失效）。

由于可靠性与可用性之间的这种矛盾，在设计之初就需要考虑清楚偏向的重点以及如何进行平衡。尽管，会牺牲系统的可用性（Availability），但是，对于强调安全的系统来说，可靠性（Reliability）明显是更为重要的考虑因素。

3.功能安全的安全性与可用性
例如：针对动力系统，我们选择一个常见的功能安全目标：应避免车辆发生绝缘故障，导致人员发生触电。安全状态：断开高压；FTTI：800ms；



车辆的绝缘故障可能造成高压泄露，也可能不会造成高压泄露，主要原因是绝缘的传感器及硬件检测电路故障，此时不一定有绝缘故障，如果此时下高压，此时的可用性降低。但是不下高压，若发生绝缘故障，将接收不到该信号，导致人员发生触电，安全性降低。因此，到底需不需要立即下高压。结合车辆的场景：车辆绝缘故障发生时，车辆可能处于行驶状态，也可能处于非行驶状态（例如，快充状态，慢充状态，V2X状态等等），并结合功能安全和可用性方面，进行策略的制定。因此，导致了该策略分为激进型、温和型、中庸型。下面详细分析一下各种型号策略的制定。



到底如何平衡可用性与安全性？这是一个没有准确答案的命题，但是，项目开发的过程中可以综合考虑项目的特殊性，以及车辆所处的市场，以及法律法规，同时对标行业的常规技术方案等方面进行综合考虑。同时，可以深入的研究一下功能安全标准中的降级模式，主要原因是增加了降级措施，虽然故障的严重性上升，系统性能下降，但是功能降级增加了可控性，从而也能满足功能安全需求，例如碰撞传感器故障，如果发生碰撞时，会造成安全气囊无法弹开，造成驾乘人员的受伤害的严重程度增加，但是也不一定需要立即下高压，从项目的可用性方面考虑，限制车辆的速度，避免车辆碰撞时，对于人的伤害，也增加了驾驶员的可控度，也是符合实际项目经验的方法；因此，降级模式，说不定能够给你的项目的决策中带来另一个春天。

4.功能备份与功能安全冗余
功能备份：增加了可用性，但并不能认为其进行了ASIL分解，例如：碰撞信号同时通过PWM和CAN信号同时采集，如果PWM采集信号失效了，则采用CAN采集的信号，则增加了可用性。如果PWM以及CAN信号都满足相应的功能安全等级，并满足独立性分析的要求，则认为是进行了ASIL分解，认为时功能安全冗余。在项目中，一定要理解功能备份和功能安全冗余的深刻含义，很多时候会将两者概念混淆。