针对电子控制器的功能安全定义

浪浪沙

在我们的日常生活中，使用的汽车。我们可以将汽车看做为机器人，汽车驾驶员给机器人发送信号。就比如踩踏板给油，汽车接收到命令之后开始执行，这就是电喷系统增加喷油发动机输出扭矩增加，来实现车辆的加速。
对于传统汽车而言，它的结构就比较简单了，在大多数命令都是通过机械方式来实现的，像老实汽车的机械式节气门等，失效的可预见性比较大，然而在我们现代汽车中，电子电气化的增加，驾驶员的指令会先转化相关信号，这些信号传递会给控制器的处理芯片，然后最终驱动相关的执行器来执行，失效的可预见性会大大的降低。
正因为现代汽车随着电子电气化的程度越来越高，其整车的安全性很大程度就取决于电子控制器的安全性，比如发动机控制器ECU，变速箱控制器TCU，车辆稳定性控制器ESP等等。而且电子控制器失效的可预见性非常低，比如芯片／电路受外界干扰等，这很难预料什么情况会出问题。  因此必须考虑电子控制器失效了会怎么办的问题。
针对电子控制器失效了怎么办这个问题，首先得确定一个角度。比如极端高温情况下的ECU自燃，b炸等这种系统本身带来的风险，这种风险不在功能安全的考虑范围内。
从产品安全的角度来说，可将其安全分为传统安全以及由电子/电气功能安全，传统安全包括：与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害，除非危害是直接由电子电气安全相关系统的故障行为而引起的。传统安全不在功能安全的考虑范围之内。
根据国际上知名的安全协会的定义，比如英国的MISARA（The Motor Industry Software Reliability Association 汽车工业软件可靠性协会），比如德国的德国VDA协会（VDA（Verband der Automobilindutrie）德国汽车工业协会）他们是从车辆可控性的角度对功能安全提出要求。而IEC-61508强调从人身安全（还可以考虑设备安全）角度提出需求。
所以说从车辆的可控性和人身安全两个层面来考虑功能安全这样就有了着陆点。比如考虑是不是有匪驾驶员期望的加速等，而非驾驶员期望的减速其实是降低了安全边界，但车辆还是被驾驶员控制着。这就是为什么ecu不对相关控制器的减扭做监控的原因。
本文章来自51fusa功能安全社区：http://www.51fusa.com/