ISO26262 - 容错时间间隔 (FTTI)

本文将对系统容错时间间隔（FTTI）进行概述、分析和可能的方法，这是设计安全系统时需要解决的重要属性。

1.术语

与 FTTI 相关的术语和定义。

车辆功能：

由一个或多个车辆项目实现/实现的车辆行为 ，可被客户观察到。

项目：

在车辆层面实现一项功能或部分功能的系统或系统组合。

系统：

一组至少将一个传感器、一个控制器和一个执行器相互关联的组件或子系统（相关的传感器或执行器可以包括在系统中，也可以位于系统外部）。

元素：

系统、组件（硬件或软件）、硬件部件或软件单元。

危险：

物品故障行为所造成的潜在伤害源。

危险事件：

危险和操作情况的结合。

FTTI ：如果安全机制未启动（或没有安全机制），从产品出现故障到可能发生危险事件的最短时间。

需要对所有危险事件的最短周期进行评估。

源于危险。

在项目级别（SG、FSC）定义为车辆功能的设计约束。

FHTI：故障检测时间间隔与故障反应时间间隔之和

从元件出现故障到系统达到安全状态（安全机制成功执行）的时间跨度

小于顶层 FTTI，越小越好（确切的裕度由系统设计师和系统性能特性决定）

在元素级别定义（系统、软件、硬件）

FDTI：从故障发生到检测到故障的时间。

FRTI：从检测到故障到达到安全状态的时间。

FHTI（FDTI + FDTI）：作为系统和低级设计/实现的设计约束。

2.概念

2.1 分析FTTI特性

分析操作危险及故障表现过程：

因此我们可以看出，车辆危险事件可能不会在某些部件故障时立即发生，故障在系统中传播到对车辆功能造成故障影响之前需要时间（故障表现时间）。并且在某些情况下，当车辆功能发生故障（存在危险）时，危险事件不会立即发生，可能需要一些特定的操作情况（危险表现时间）。

引起故障的危险事件可分为：

效果立竿见影（故障 = 立即触发）。例如：电机因过热而烧毁/爆炸，短路导致车辆在行驶过程中立即失去动力推进，这是导致事故的危险事件。

只有在特殊情况下才会产生影响（情况触发）。例如：车载充电器模块发生绝缘故障，导致电流泄漏到车辆底盘和车身，而没有检测和警告。当用户进行充电并触摸车辆部件时，会导致触电事故。

2.2 基于项目定义和 HARA 的概念级（车辆）方法定义 SG、FSC/FSR 的 FTTI 值

通过上面的分析，我们可以定义：

故障行为表现时间 (MBMT)：故障在车辆层面表现出来所需的时间完全取决于故障组件在目标功能中的使用方式（即从故障到车辆功能故障）。

例如：显示车速故障 = 车速传感器（传感、信号传输）-> IBD（处理、传输）-> 网关 ECU（处理、传输）-> MHU（处理、渲染）-> MDU（显示）

因此，我们可以得出结论，MBMT 是车辆架构和产品功能设计的结果。

危险表现时间（HMT）：从故障行为存在的时间点到导致危险事件存在的特定操作场景/操作。

例如：车辆转向信号故障可能不会导致危险事件，直到用户改变方向，行驶在没有转向信号灯向其他车辆发出信号的车道时。

另一方面，HMT 完全受操作场景和正在考虑的故障行为（危险）的影响。

FTTI = MBMT + HMT （形成约束，对物品/车辆功能的设计施加影响）

示例：导致 eCockpit 系统故障的单点故障

针对上述无效显示车速危险案例进行分析：

IPC组件、MDU屏幕车速计算发生故障60Hz⟹MBMT~0.02s

从故障的角度来看，当驾驶员决定通过踩下制动踏板与车辆互动时，IPC 就会出现。这取决于驾驶员对仪表板或平视显示器中无效车速的感知。假设正常扫描时间为 0.5 秒，驾驶员决定通过突然踩下制动（操作场景/动作）做出反应，从而导致危险事件 ⟹ HMT ~ 0.5 秒

⟹ FTTI = HMT(0.5s) + MBMT(0.02s) = 520ms

最大制动取决于车辆重量和轮胎牵引力、宽度和直径 ⟹ 车辆特定减速率 ⟹ 追尾碰撞（控制性较差）。最大车辆加速度取决于轮胎和马力 ⟹ 车辆特定加速率 ⟹ 前端碰撞（驾驶员处于更主动的位置）。

这种情况下，追尾事故发生的可能性更大，危险程度也更高。在正常车距-危险事件中，碰撞事故评估应考虑两车距离、时间、车速差、减速度/加速度追尾：距离10m，两车速度相同(current_speed)

车辆（A）减速：v（当前速度）t - 0.5 a*t^2

车辆（B 在车辆 A 后面行驶）以恒定速度行驶：v（当前速度）*t ⟹ 车辆以最大速度减速（由于驾驶员恐慌或驾驶技术低下） ⟹ a = 4.512 m/s^2 ⟹ 距离追尾碰撞 10m = sqrt(10/(0.5 * 4.512)) = 2.1s。事故可能在危险事件发生后 2.1 秒发生，因此考虑到当前评估的危险，FTTI = 520ms 值应该是一个合理的值

4.512 米/秒2（0.47 g）为最大减速度，对于普通驾驶员来说，可以安全保持控制，轮胎良好至优质，路面干燥

FTTI 的分析和定义方法摘要：

MBMT：根据项目定义输入进行粗略计算⟹通过扫描项目功能行为和项目边界，以最短传播时间识别可能的单点故障，从而实现更系统/结构化的方法。

HMT：更多经验基础和统计方法⟹分析操作条件、危险类型、用户可控性和暴露概率。

3.系统

3.1 故障传播

一个架构级别（例如 ECU 级别）的故障可能会变成更高架构级别（例如项目级别）的故障，如下所示：

故障传播：组件故障（单点故障-SPF，多点故障-MPF）导致组件故障，从而导致车辆功能故障（直接或与其他组件故障结合）并导致车辆故障（造成伤害）。

3.2 时间评估：根据设计约束定义 FDTI 和 FRTI

从概念层收到 FTTI 值后，系统设计人员（ECU 层）应负责得出 FHTI（FDTI + FRTI）值，该值必须小于 FTTI。至于小于多少裕度（Δt 或 %）则由设计人员决定。裕度值越大越好。

4.概括

容错时间间隔 (FTTI) 规定了车辆层面上功能故障的最大可接受持续时间。由于内部故障需要时间在系统中传播，因此详细分析传播时间非常重要，因为这对安全机制的设计有重大影响。系统必须比传播时间加上 FTTI 更快地达到安全状态。