目前，有很多令人眼花繚亂的fail—xxx概念，fail-safe，fail-silent，fail-stop，fail-warning, fail-operational等等, 個人認(rèn)為搞這么多概念有害無益，從ASPICE、AUTOSAR、功能安全、信息安全、到預(yù)期功能安全，這些東西已經(jīng)包含了很多拗口的概念，越來越多的工程師已經(jīng)感到疲憊，麻木、稍微停止學(xué)習(xí)就會落后，再加上汽車開發(fā)周期的縮短，工程師們一邊忙著趕項目進度，一邊擠出來的碎片時間里學(xué)習(xí)新知識。

所以玩更多的概念只會更讓工程師們抓耳撓腮。

言歸正傳， 這些fail—xxx概念里面只需關(guān)注fail-safe和fail-operational即可，其他的都逃不出這兩個概念。

需要注意的是fail-operational包含fail-safe，不管是fail后降級運行還是全功能運行，前提都是safe的。

下面結(jié)合SAE對自動駕駛等級的劃分以及當(dāng)前自動駕駛技術(shù)水平闡述一下從fail-safe到fail-operational的發(fā)展歷程，如下表所示:



可以看出，從fail-safe到fail-operational一方面是高階自動駕駛的硬性需求，另一方面也提升了系統(tǒng)的可用性，同時也提升了用戶體驗。

從進入安全狀態(tài)只能靠邊停車到進入安全狀態(tài)也可以繼續(xù)駕駛的技術(shù)飛躍。

值得注意的是，進入安全狀態(tài)的車，即使可以繼續(xù)運行，這個時候系統(tǒng)能達(dá)到的ASIL等級已經(jīng)不是原來的ASIL等級。

直白一點說就是，原來你開的是一輛ASIL D的車，發(fā)生故障后你開的可能是一輛ASIL B的甚至是一輛QM的車，這么說不太精確，但道理就是這個道理。

所以盡快去修車。

那么如何才能實現(xiàn)fail-operational呢？ ISO 26262沒有提供答案，功能安全之母IEC61508倒是提供了一些技術(shù)參考。

IEC61508里面有一個重要的概念，HFT(hardware fault tolerance),即硬件故障容忍度，HFT=1代表整個系統(tǒng)容忍一個硬件危險故障。即發(fā)生一個硬件危險故障的時候，系統(tǒng)可運行。

基于此，IEC 61508還給出了幾種架構(gòu)來指導(dǎo)設(shè)計，這種架構(gòu)用MooN來表示，M表示輸出，oo表示out of，N表示通道個數(shù)，D代表診斷。



下面看一下幾個典型的架構(gòu)。

1. 1oo2架構(gòu)

1oo2架構(gòu)等效電路框圖為



可以看出，假如通道1輸出卡滯在開路故障下，執(zhí)行器就沒辦法執(zhí)行任務(wù)，所以1oo2架構(gòu)不能實現(xiàn)失效可運行。

2. 2oo2架構(gòu)



2oo2架構(gòu)等效電路框圖為




當(dāng)通道1輸出卡滯在短路故障下，執(zhí)行器一直處在執(zhí)行狀態(tài)，沒辦法根據(jù)請求正常關(guān)斷，所以2oo2架構(gòu)也不能實現(xiàn)失效可運行。

3. 2oo3架構(gòu)



2oo3架構(gòu)等效電路框圖為



2oo3 等效完后看起來還有點不是一目了然，進一步簡化為：



2oo3投票電路 根據(jù)等效投票電路，假如通道1出現(xiàn)故障，一直卡滯在開路狀態(tài)，



通道1卡滯在開路故障 2oo3的架構(gòu)就變成了1oo2的架構(gòu)，系統(tǒng)可以依賴通道2和通道3繼續(xù)運行。 假如通道1出現(xiàn)一直卡滯在短路狀態(tài)故障，



通道1卡滯在短路故障 2oo3的架構(gòu)就變成了2oo2的架構(gòu)，系統(tǒng)依然可以依賴通道2和通道3繼續(xù)運行。所以2oo3架構(gòu)可以實現(xiàn)失效可運行。

綜上2oo3可以實現(xiàn)失效可運行。

盡管功能安全文化中強調(diào)相比于成本，安全的優(yōu)先級最高。



但是汽車作為一個大規(guī)模量產(chǎn)的東西，對成本非常敏感，所以做的成本和安全的融合也至關(guān)重要，不然最后還是消費者買單。

盡管2oo3這種架構(gòu)實現(xiàn)了失效可運行，但是其成本不友好，一般在汽車電子領(lǐng)域不采用這種架構(gòu)，在航空航天領(lǐng)域有時候會采用2oo3架構(gòu)。



下面介紹一個低成本的可以實現(xiàn)失效可運行的架構(gòu)，1oo2D架構(gòu)，



1oo2D架構(gòu)等效電路框圖為：



1oo2D 1oo2D進一步等效框圖為：



1oo2D 設(shè)通道1故障，卡滯在開路狀態(tài)， 執(zhí)行器的正常執(zhí)行可以通過通道 2以及通道2的診斷通道實現(xiàn)；



假設(shè)通道1發(fā)生卡滯在短路的狀態(tài)，通道1的診斷電路診斷出故障，利用CH1D開關(guān)切斷通道1，執(zhí)行器的正常執(zhí)行依然可以通過通道2和通道2的診斷通道來實現(xiàn)，



結(jié)合以上分析，得出1oo2D架構(gòu)可以實現(xiàn)fail-operational，并且成本友好，畢竟診斷可以由多種低成本技術(shù)來實現(xiàn)。