嗨，大家好！本期還是繼續(xù)上一期的話題，接著聊聊功能安全概念階段相關(guān)的話題。本期主要聊一聊功能安全要求，并舉例說明一些功能安全機(jī)制。

01什么是安全機(jī)制？

1． 安全機(jī)制是檢測／避免／控制失效或者減輕其有害影響的技術(shù)解決方案；

2． 安全機(jī)制是由E／E功能、元件或其他技術(shù)實(shí)現(xiàn)的；

3． 安全機(jī)制是能夠?qū)⑾嚓P(guān)項(xiàng)維持在安全狀態(tài)或者提醒駕駛員去控制失效的影響。

下面的例子展示了如何使用E／E功能（Sense， Logic， Actuate）來實(shí)現(xiàn)安全機(jī)制：

Figure1－Safety Mechanism for Vehicle Headlamp

如果車輛的前大燈在夜間失效了，那么駕駛員是可以注意到的。但是，如果前大燈在白天錯(cuò)誤地打開了，駕駛員是不會(huì)注意到的，因此，紅色的警告燈將會(huì)亮起，來警示駕駛員限制在HARA分析中進(jìn)行的危害暴露（E）的暴露時(shí)間。通過在功能級別上實(shí)施的安全機(jī)制，我們可以節(jié)省電池的消耗。

另外，如果前大燈的故障模式錯(cuò)誤地關(guān)閉了而我們又想在夜間警告駕駛員，那我們就把邏輯改成 NAND，因此，紅色警告燈將在任何故障（前大燈、開關(guān)、線束、蓄電池等）時(shí)被激活。也即，邏輯和控制器是根據(jù)駕駛時(shí)間來調(diào)整的�，F(xiàn)在，是時(shí)候來重新審視一下我們的功能安全要求了。

02功能安全要求回顧

在我們評論可能的功能安全策略之前，我們首先要明確下兩個(gè)術(shù)語：

Fail－ Safe －＞故障安全；

Fail－ Operational －＞ 故障可操作性；

第一種方式是說，如果故障發(fā)生了，那我們必須禁用該功能或者對功能進(jìn)行降級（部分功能的連續(xù)操作）以減輕危害。

而故障操作，是通過冗余支持功能來保持功能的可用性。也就是說，故障安全和故障可操作性都是某種安全的狀態(tài)。

Fail－Safe －＞ Degraded Mode －＞ Fail－Operational；

如果適用的話，功能安全要求應(yīng)該規(guī)定9點(diǎn)策略：

1． 故障避免 －＞Fault avoidance

這是一個(gè)面向過程的概念，目的是防止故障被引入系統(tǒng)。通過小心仔細(xì)的設(shè)計(jì)和制造系統(tǒng)，故障可以被避免。

2． 故障檢測 －＞ Fault detection

故障發(fā)生時(shí)檢測故障的機(jī)制。