点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

安全系统设计的基本原则是故障安全（fail-safe），就是当系统发生故障时，做出的反应动作是导向安全的。对组成系统的元器件故障模式进行预测，用技术措施来实现故障的单侧导向性。下面举一个例子解释

故障安全的一种实现方式是增加额外的故障检测单元，用于对执行正常功能的处理单元进行监控，以下图为例：

在这个示例中，故障检测单元可以是一个控制安全电源的看门狗电路，能够监测处理单元运行的时间漂移或陷入死循环，当检测到故障时，控制输出的电源失电，使得导向安全；

故障检测单元也可以是一个处理单元的诊断电路，用于对内存、表决器、ALU等硬件进行诊断，在每个运行周期或者特定的时间进行，以检测执行安全功能的硬件好坏；

故障检测单元还可以是检测处理单元执行功能是否按照预期执行，通过分析输入的一致性、输出的一致性、执行动作的一致性和执行路径的更改。

如果这个技术应用于轨道交通信号系统中，用于列车速度的控制，则故障安全设计为电源被切断，即失电让列车制动停车。

在汽车ECU设计中，符合功能安全的芯片协助开发者做了很多工作，以上技术就简化成了下面的电路。

总之，不论是哪种实现方式，故障检测的结果是使得输出失电，达到导向安全的结果。

故障安全原则一直在指导着安全系统的设计开发，作为一个基本原则，但是，在实际的场景中，故障安全原则应用时也会面临一些困惑，在系统设计时对于很多外部环境的干扰和接口系统行为的不确定，假如僵化地应用故障安全原则，可能导致设计的系统过分敏感，频繁地进入安全状态，影响可用性；还会面临设计的系统在场景中无法找到故障后对应的安全侧，因为执行其正常功能就是保证安全，如车辆电制动力控制，失电反而是不安全的。

这里就引出了故障导向可运行（fail-operational），在汽车自动驾驶领域，这也是一个对于高阶自动驾驶普遍推崇的设计理念，其实，在安全系统设计中，这并不是一个新概念，讲的是容错设计。

在轨道交通领域，信号系统常设计为不同的运行等级，外部条件不满足高等级的运行模式，可以降级为低等级的运行模式，把列车速度降低继续跑，等满足条件后再升级；在发生操作或输入错误时，并不是直接进入停机模式，而是对操作进行拒绝并给出报警，在人工确认后再恢复正常。

系统配置上，为了达到更高的可用性，常设计为二乘二取二，三取二或者N备一的方式，当某一个处理单元由于故障退出正常运行模式后，系统整体的功能并不会发生降低。

在航空领域的飞控计算机系统中，故障可运行也是其设计的基本前提，波音777飞控计算机的三重冗余架构，每一个处理单元的电源、处理器、通信总线都是完全独立，整体冗余备份了三套，以此来达到故障可运行的目标。

上图引用自"Triple-Triple redundant 777 primary flight computer"

在电力系统中，也有相似于故障可运行的N-1原则，即正常运行方式下的电力系统中任一元件（如发电机、交流线路、变压器、直流单极线路、直流换流器等）无故障或因故障断开，电力系统应能保持稳定运行和正常供电，其他元件不过负荷，电压和频率均在允许范围内。这又称为“单一故障安全法则”。

在NXP的"Automotive Functional Safety: The Evolution of Fail Safe to Fail Operational Architecture"一文中，对于故障可运行的概念，提到了以下设计架构，这是IEC61508中所描述的1oo2D架构，其实就是单一MCU加监控的双重冗余备份。

在汽车的高阶自动驾驶中，故障安全原则在不同具体的场景中有着不同的设计要求，但肯定不是自动驾驶功能的完全丧失，因此冗余备份实现故障可运行是必要的，尽管这会带来硬件成本的增加，冗余设计的软件复杂度增加。

以上示例可以看出，运用故障可运行的设计理念与故障安全两者不矛盾，单一系统对故障模式进行识别和分级处理，在保证安全的前提下最大程度降低系统功能损失的程度；再通过冗余配置达到系统功能的备份，达到容错设计的目标。

WISS 2023 第四届世界物联网安全及数据安全治理峰会火热报名中 , 欢迎报名↓

更多文章

智能网联汽车信息安全综述

软件如何「吞噬」汽车？

汽车信息安全 TARA 分析方法实例简介

汽车FOTA信息安全规范及方法研究

联合国WP.29车辆网络安全法规正式发布

滴滴下架，我却看到数据安全的曙光

从特斯拉被约谈到车辆远程升级（OTA）技术的合规

如何通过CAN破解汽

会员权益: (点击可进入)谈思实验室VIP会员

END

微信入群

谈思实验室专注智能汽车信息安全、预期功能安全、自动驾驶、以太网等汽车创新技术，为汽车行业提供最优质的学习交流服务，并依托强大的产业及专家资源，致力于打造汽车产业一流高效的商务平台。

每年谈思实验室举办数十场线上线下品牌活动，拥有数十个智能汽车创新技术的精品专题社群，覆盖BMW、Daimler、PSA、Audi、Volvo、Nissan、广汽、一汽、上汽、蔚来等近百家国内国际领先的汽车厂商专家，已经服务上万名智能汽车行业上下游产业链从业者。专属社群有：信息安全、功能安全、自动驾驶、TARA、渗透测试、SOTIF、WP.29、以太网、物联网安全等，现专题社群仍然开放，入满即止。

扫描二维码添加微信，根据提示，可以进入有意向的专题交流群，享受最新资讯及与业内专家互动机会。

谈思实验室，为汽车科技赋能，推动产业创新发展！