汽车行业对故障和安全的理解

​​

芝能科技出品

市场上存在许多不同目的的系统安全概念，如人身安全、金融安全、数据安全、设备安全等。
在汽车行业里面，安全概念包括：

​
● 故障安全（Fail-safe）

​
● 故障容错（Fail-tolerant）

​
● 故障运行（Fail-operational）

​
● 故障安全（Fail-secure）

​
● 故障静默（Fail-silent）
 

01 故障安全（Fail-safe）

故障安全概念用于当检测到关键故障时进入安全模式的安全相关系统。这种概念广泛应用于医疗电子电气系统、铁路控制系统、核控制系统和汽车电子电气系统。

​
一个著名的例子是核武器系统，它们在发出命令后才能发射，因为如果通信系统出现故障，发射就不能进行。铁路信号系统设计为故障安全系统。

​
在汽车领域，发动机控制单元（ECU）就是一个典型的故障安全应用实例。它可以出现故障，但只要停止发动机并提醒驾驶员，就不会导致威胁生命或伤害的事故，因为它的安全间隔足够长，允许驾驶员或其他参与者做出正确反应。按照同样的安全概念，混合控制单元、车辆控制单元、变速器控制单元也设计为故障安全系统。

​
02 故障容错（Fail-tolerant）

故障容错安全概念用于当系统识别到接收到错误信息时避免服务故障的系统。一个例子是普通核反应堆的控制系统。容错的方法通常是让多个计算机不断测试系统的各个部分，并在子系统出现故障时启用备用系统。只要在正常维护间隔内更换或修复故障子系统，这些系统就被认为是安全的。人类使用的计算机、电源和控制终端在这些系统中必须以某种方式复制。

​
03 故障运行（Fail-operational）

故障运行安全概念用于当其控制系统之一出现故障时继续运行的系统。这些系统的例子包括电梯、大多数家用炉子的燃气恒温器和被动安全核反应堆。美国核力量曾拒绝使用 “通信失效即发射” 作为控制系统，因为这种操作模式被认为太过冒险。

​
在汽车领域，先进驾驶辅助系统（ADAS）或自动驾驶系统（AD 系统）可能需要在某些功能失效的情况下继续运行，因为安全间隔不够长，无法确保驾驶员及时接管车辆。故障操作安全概念的另一个典型应用是电子助力转向系统（EPS）。当系统的某个安全相关部件或元件出现故障时，它将继续提供转向辅助，因为驾驶员或其他参与者在安全时间内无法正确处理 EPS 的故障行为。

​
04 故障安全（Fail-secure）

故障安全概念用于在无法操作时仍能保持最大安全性的系统。例如，用于信息敏感区域或金融领域的电子门控制系统在电源故障时将锁住门以保持最大安全性。与故障安全系统相反，故障安全系统将在电源故障时解锁门，通过应用故障安全概念，解锁门可以确保门内的人在火灾或地震等危险情况下能够在安全时间内安全逃生。

​
在汽车领域，故障安全安全概念可用于联网汽车的网络安全问题。另一个应用是银行的控制或服务系统，如果任何故障可能违反安全要求，系统将进入最大安全模式以保护财产和客户隐私。

​
05 故障静默（Fail-silent）

故障静默安全概念用于当检测到任何安全关键故障时，系统作为网络中的一个节点停止与其他节点通信的系统。一个例子是车辆控制单元（VCU）。如果 VCU 检测到任何可能违反安全目标的故障，它将触发安全状态，关闭 CAN 发射器的电源输出，这将导致 VCU 与 CAN 网络中的其他节点保持静默。故障静默系统可以被视为一种故障安全系统，它通过关闭与其他控制单元的通信进入安全操作模式。

​

小结
 

​每种系统安全概念在特定应用场景中都有其独特的重要性。选择合适的安全概念取决于系统的安全需求和潜在的风险评估。在汽车行业，理解并正确应用这些安全概念对于确保车辆的整体安全性至关重要。​​​​