上回更新到功能安全的"概念"階段，系統(tǒng)級別的需求被分配到了子系統(tǒng)上并得到了相應(yīng)的ASIL級別，研發(fā)過程中定義子系統(tǒng)的時候通常以功能模塊劃分，還是用安全氣囊系統(tǒng)為例，請注意，當(dāng)說系統(tǒng)的時候，每個廠商的出發(fā)點(diǎn)和理解是不一樣的，比如主機(jī)廠的系統(tǒng)是整車，而供應(yīng)商的系統(tǒng)是零部件。所以單純說系統(tǒng)需求是不負(fù)責(zé)任的表現(xiàn)。確切的應(yīng)該加上前置定語。比如安全氣囊系統(tǒng)需求。好，如果以安全氣囊系統(tǒng)為例，子系統(tǒng)按照功能模塊定義的話，例如：

- 碰撞檢測系統(tǒng) + ASILB

- 仲裁系統(tǒng) + ASIL A

- 通訊系統(tǒng) + ASIL A

- 執(zhí)行機(jī)構(gòu)系統(tǒng) + ASIL B

- 監(jiān)控系統(tǒng)等。+ ASIL B （純屬虛構(gòu)）

好了，當(dāng)?shù)竭_(dá)這一步的時候，可能你已經(jīng)注意到，從上一篇以安全氣囊控制器為系統(tǒng)的系統(tǒng)功能安全需求的某些角度出發(fā)，如下圖：

我們已經(jīng)開始分配并且設(shè)計(jì)這些功能安全需求如何去具體的分配和落實(shí)到子系統(tǒng)，上面的這個過程就是"技術(shù)安全需求"，Technische Sicherheitskonzepte (TSK)的一部分。也就是下圖 3-8 到 4-5 的步驟。

技術(shù)安全需求 TSK 會如上圖所示，細(xì)化功能安全的概念，同時考慮功能性的概念和初步的體系架構(gòu)。技術(shù)安全需求通過對子系統(tǒng)的提具體的功能安全要求，進(jìn)而實(shí)現(xiàn)系統(tǒng)級別的安全技術(shù)要求。

TSK規(guī)定了以下幾個重要的方面：

• 安全機(jī)制

• 包括系統(tǒng)或子系統(tǒng)要達(dá)到安全目標(biāo)的影響因素，工作模式和系統(tǒng)定義的狀態(tài)的失效組合。比如高速120邁掛倒擋的操作會是變速箱進(jìn)入保護(hù)模式（這是機(jī)械結(jié)構(gòu)的保護(hù)）

• 系統(tǒng)本身的檢測，指示和故障控制措施

• 系統(tǒng)達(dá)到或維持安全狀態(tài)的措施，互相沖突的安全機(jī)制下優(yōu)先級和邏輯仲裁

• 細(xì)化和實(shí)現(xiàn)警告和降級概念的措施

• 防止故障被隱藏的措施

• 安全狀態(tài)的切換，容錯的時間間隔，應(yīng)急操作的時間間隔和維持安全狀態(tài)的措施。

• ASIL 的分解

• 潛在故障的避免 （依賴于良好的工程實(shí)踐和經(jīng)驗(yàn)）

• 產(chǎn)品，運(yùn)行，維護(hù)和結(jié)束等

TSK對系統(tǒng)的設(shè)計(jì)，需要考慮軟件硬件的技術(shù)實(shí)現(xiàn)性，和整體可驗(yàn)證性，在這個步驟的時候要做相應(yīng)的系統(tǒng)設(shè)計(jì)分析。

Deductive 是因果分析，inductive 是預(yù)測分析。表格中有具體分析的方法，感興趣的朋友可以去了解，舉個淺顯的例子，就是要分析，假如輪胎破了，汽車會不會拋錨和汽車如果拋錨了，有沒有可能是輪胎被扎了的區(qū)別。

做這些分析的終極目標(biāo)，是為了實(shí)現(xiàn)一個高質(zhì)量的系統(tǒng)設(shè)計(jì)，而模塊化的系統(tǒng)設(shè)計(jì)是業(yè)界最常使用的辦法。這也是本文開頭說，

研發(fā)過程中定義子系統(tǒng)的時候通常以功能模塊劃分

歡樂馬，公眾號：汽車嵌入式到底啥是功能安全 -4

終于我們成功的回到了本文的開頭。首尾呼應(yīng)，終于讓我自圓其說了。

對于模塊化的系統(tǒng)設(shè)計(jì)，請參照下面的要求：

TSK的技術(shù)安全要求在接下來要分配到硬件和軟件部分，如何分配取決于系統(tǒng)架構(gòu)師的工作年限和年薪，不過在這個時候，會有一個細(xì)化工作，就是大名鼎鼎的 HSI （Hardware Software Interface）。

HSI規(guī)定的是軟件和硬件的交互，應(yīng)至少包含以下方面：

• 硬件設(shè)備的工作模式和配置參數(shù)

• 硬件資源的分配，包括IO，中斷，計(jì)時器，RAM，ROM

• 硬件設(shè)備之間的通訊協(xié)議，主從關(guān)系

• 硬件和軟件關(guān)于診斷功能的交互等

有經(jīng)驗(yàn)的系統(tǒng)架構(gòu)師會把功能安全需求合理的分配到硬件和軟件上，兩者相輔相成，共同實(shí)現(xiàn)功能安全目標(biāo)。不僅節(jié)約人力資源，還可以在測試階段如魚得水。沒有經(jīng)驗(yàn)的系統(tǒng)架構(gòu)師，會打電話給半導(dǎo)體供應(yīng)商，問他們要相關(guān)明星產(chǎn)品的application notes，然后選擇覆蓋功能安全需求最多的設(shè)計(jì)方案。不過請注意，一般半導(dǎo)體廠商的芯片都是 ?Safety Elements out of Context“ (SEooC)， 不過很多企業(yè)直接拿來就用了。 總而言之，如果你不會設(shè)計(jì)，就把最難的，最復(fù)雜的功能安全需求用硬件實(shí)現(xiàn)。剩下的交給軟件系統(tǒng)架構(gòu)師吧。

這篇是技術(shù)安全需求 "TSK" 和相應(yīng)的系統(tǒng)設(shè)計(jì)介紹，下一篇會從系統(tǒng)需求分配到軟件領(lǐng)域開始，具體看看要實(shí)現(xiàn)功能安全I(xiàn)SO26262，對軟件研發(fā)工作的要求。