通过自动紧急制动系统（AEB）来分析功能安全的TSC&TSR

在现代汽车产业中，功能安全是确保汽车电子系统及其相关功能在可能的故障条件下不会对驾驶员、乘客或其他道路使用者造成不可接受的风险的关键。ISO 26262标准是针对道路车辆功能安全的国际标准。本文将深入解析ISO 26262标准概念阶段中的技术安全概念（Technical Safety Concept，TSC）和技术安全要求（Technical Safety Requirements，TSR），并详细探讨其在汽车功能安全开发中的重要性和实施方法。

一、ISO 26262标准概述

ISO 26262标准全称为《道路车辆-功能安全》，涵盖了整个汽车电气和电子（E/E）系统生命周期，包括从概念阶段到退役阶段的所有活动。标准分为多个部分，定义了从功能安全管理、系统设计、硬件和软件开发到生产和运行的安全要求。其中，概念阶段是功能安全生命周期中的关键部分，它涉及到功能安全概念的制定和技术安全概念的开发。

二、概念阶段中的TSC与TSR

技术安全概念（TSC）

1、定义与重要性

技术安全概念（Technical Safety Concept，TSC）是ISO 26262标准中的一个核心部分，它定义了为了实现安全目标所需的技术措施。TSC通过详细描述系统在各种故障情况下的安全机制，确保在潜在的故障模式下系统仍能安全运行。TSC的重要性在于它将安全目标转化为具体的技术实现，指导系统架构设计和实现，从而保障汽车电子系统的功能安全。

2、TSC的开发流程

开发TSC是一个系统化的过程，涉及以下关键步骤：

①安全目标识别

通过危险分析与风险评估（Hazard Analysis and Risk Assessment，HARA）确定安全目标，每个安全目标与一个特定的汽车安全完整性等级（Automotive Safety Integrity Level，ASIL）相关联。

②系统架构设计

设计系统架构以满足安全目标，确保在出现故障时系统仍能保持安全。架构设计包括冗余设计、故障检测与恢复机制。

③技术安全需求分解

从系统级别的安全目标分解出具体的技术安全需求（Technical Safety Requirements，TSR），这些需求用于指导系统各部分的详细设计。

④确认和验证

通过仿真、测试和审查等方法确认TSC的有效性，确保其能够实现预期的安全目标。

3、TSC的关键内容

1. 安全机制

• 冗余设计：增加系统的容错能力，如双通道控制器。

• 故障检测：及时检测并响应故障，如传感器故障检测。

• 故障恢复：在故障发生后系统能够迅速恢复或进入安全状态，如自动切换到安全模式。

• TSC描述了系统如何通过具体的安全机制来实现安全目标，这些机制包括：

• 通过硬件和软件的冗余设计提高系统可靠性和安全性，如并行处理架构和双备份系统。

• TSC还包括系统的容错设计，确保系统在遇到单点故障时仍能正常运行，或至少安全地降级。

技术安全需求（TSR）

1、定义与重要性

技术安全需求（Technical Safety Requirements，TSR）是ISO 26262标准中的关键元素，它从技术安全概念（TSC）中分解出来，具体化了系统必须达到的技术要求，以确保安全目标的实现。TSR详细规定了系统、子系统和组件在设计和操作过程中必须遵循的技术规范，从而确保系统在发生故障时仍能保持功能安全。TSR的重要性在于它将高层次的安全目标转化为具体的技术需求，指导系统设计、开发、验证和确认过程。

2、TSR的开发流程

开发TSR需要一个系统化和迭代的过程，涉及以下关键步骤：

1. 需求捕获

• 从TSC中提取高层次的安全需求，并进一步细化为具体的技术安全需求。

• 将TSR分配到系统的各个子系统和组件，确保每个部分都能满足分配给它的安全需求。

• 通过单元测试、集成测试和系统测试等多层次的验证活动，确保各个组件和系统整体满足TSR。

3、TSR的关键内容

1. 功能性需求

• 描述系统在正常和故障条件下应具备的功能特性，如故障检测、故障隔离和故障恢复能力。

• 描述系统在性能、响应时间、资源利用等方面的要求，以确保系统在各种操作条件下的可靠性和效率。

• 规定各组件之间的通信和数据交换机制，确保系统内各部分能够有效协同工作。

• 规定系统在不同环境条件下的操作规范，如温度范围、电磁兼容性等。

三、实例分析：自动紧急制动系统（AEB）

1、系统描述

自动紧急制动系统（AEB）是一种高级驾驶辅助系统，能够在检测到潜在碰撞风险时自动施加制动，以减少或避免碰撞事故。

2、安全目标识别

• 安全目标：在车辆即将发生碰撞时，系统能够自动施加紧急制动，对应的ASIL等级为D（最高等级）。

3、技术安全概念（TSC）

• 系统采用双控制器架构，以确保在一个控制器失效时，另一个控制器能够接管并继续运行。

• 系统结合前置雷达、摄像头和激光雷达的数据，提高对潜在碰撞风险的检测精度。

• 采用冗余通信链路确保控制器之间的数据传输可靠，即使一条链路失效，系统仍能正常运行。

4、技术安全需求（TSR）

功能性需求

• 系统必须在检测到潜在碰撞风险后的50毫秒内做出反应。

• 在故障情况下，系统必须能够在500毫秒内切换到安全模式，并施加最大制动力以减少碰撞风险。

非功能性需求

• 系统整体响应时间必须在100毫秒以内，以确保在高速行驶时及时反应。

• 系统必须能够实时处理来自雷达、摄像头和激光雷达的数据，确保碰撞检测的准确性和及时性。

接口要求

• 系统内部控制器之间使用冗余的CAN总线协议进行通信，确保数据传输的可靠性。

• 控制器之间的数据同步延迟不得超过10毫秒，以确保多传感器融合的有效性。

环境要求

• 系统必须在-40°C至+85°C的温度范围内正常工作。

• 系统必须符合ISO 11452标准，确保在强电磁干扰环境下仍能正常工作。

技术安全需求（TSR）是ISO 26262标准中的关键要素，通过将高层次的安全目标细化为具体的技术需求，TSR为系统设计、开发和验证提供了详细的技术指南。特别是在复杂的主动安全系统如自动紧急制动系统（AEB）中，TSR的有效实施能够显著提高系统的可靠性和安全性，确保车辆在各种操作条件下都能保持高安全性。