汽車行業對故障和安全的理解

​​

芝能科技出品

市場上存在許多不同目的的系統安全概念，如人身安全、金融安全、數據安全、設備安全等。
在汽車行業裏面，安全概念包括：

​
● 故障安全（Fail-safe）

​
● 故障容錯（Fail-tolerant）

​
● 故障運行（Fail-operational）

​
● 故障安全（Fail-secure）

​
● 故障靜默（Fail-silent）
 

01 故障安全（Fail-safe）

故障安全概念用於當檢測到關鍵故障時進入安全模式的安全相關係統。這種概念廣泛應用於醫療電子電氣系統、鐵路控制系統、核控制系統和汽車電子電氣系統。

​
一個著名的例子是核武器系統，它們在發出命令後才能發射，因為如果通信系統出現故障，發射就不能進行。鐵路信號系統設計為故障安全系統。

​
在汽車領域，發動機控制單元（ECU）就是一個典型的故障安全應用實例。它可以出現故障，但只要停止發動機並提醒駕駛員，就不會導致威脅生命或傷害的事故，因為它的安全間隔足夠長，允許駕駛員或其他參與者做出正確反應。按照同樣的安全概念，混合控制單元、車輛控制單元、變速器控制單元也設計為故障安全系統。

​
02 故障容錯（Fail-tolerant）

故障容錯安全概念用於當系統識別到接收到錯誤信息時避免服務故障的系統。一個例子是普通核反應堆的控制系統。容錯的方法通常是讓多個計算機不斷測試系統的各個部分，並在子系統出現故障時啓用備用系統。只要在正常維護間隔內更換或修復故障子系統，這些系統就被認為是安全的。人類使用的計算機、電源和控制終端在這些系統中必須以某種方式複製。

​
03 故障運行（Fail-operational）

故障運行安全概念用於當其控制系統之一出現故障時繼續運行的系統。這些系統的例子包括電梯、大多數家用爐子的燃氣恆温器和被動安全核反應堆。美國核力量曾拒絕使用 “通信失效即發射” 作為控制系統，因為這種操作模式被認為太過冒險。

​
在汽車領域，先進駕駛輔助系統（ADAS）或自動駕駛系統（AD 系統）可能需要在某些功能失效的情況下繼續運行，因為安全間隔不夠長，無法確保駕駛員及時接管車輛。故障操作安全概念的另一個典型應用是電子助力轉向系統（EPS）。當系統的某個安全相關部件或元件出現故障時，它將繼續提供轉向輔助，因為駕駛員或其他參與者在安全時間內無法正確處理 EPS 的故障行為。

​
04 故障安全（Fail-secure）

故障安全概念用於在無法操作時仍能保持最大安全性的系統。例如，用於信息敏感區域或金融領域的電子門控制系統在電源故障時將鎖住門以保持最大安全性。與故障安全系統相反，故障安全系統將在電源故障時解鎖門，通過應用故障安全概念，解鎖門可以確保門內的人在火災或地震等危險情況下能夠在安全時間內安全逃生。

​
在汽車領域，故障安全安全概念可用於聯網汽車的網絡安全問題。另一個應用是銀行的控制或服務系統，如果任何故障可能違反安全要求，系統將進入最大安全模式以保護財產和客户隱私。

​
05 故障靜默（Fail-silent）

故障靜默安全概念用於當檢測到任何安全關鍵故障時，系統作為網絡中的一個節點停止與其他節點通信的系統。一個例子是車輛控制單元（VCU）。如果 VCU 檢測到任何可能違反安全目標的故障，它將觸發安全狀態，關閉 CAN 發射器的電源輸出，這將導致 VCU 與 CAN 網絡中的其他節點保持靜默。故障靜默系統可以被視為一種故障安全系統，它通過關閉與其他控制單元的通信進入安全操作模式。

​

小結
 

​每種系統安全概念在特定應用場景中都有其獨特的重要性。選擇合適的安全概念取決於系統的安全需求和潛在的風險評估。在汽車行業，理解並正確應用這些安全概念對於確保車輛的整體安全性至關重要。​​​​