深入探讨：功能安全要求（FSR）与技术安全要求（TSR）的区别

深入探讨：功能安全要求（FSR）与技术安全要求（TSR）的区别

在汽车电子领域，功能安全要求（FSR）与技术安全要求（TSR）是两个核心概念，它们在安全系统的设计与实施中扮演着重要角色。本文将深入探讨FSR与TSR的区别，帮助安全工程师更清晰地把握其定义和应用。

需求层次

功能安全要求（FSR）源自项目定义、HARA（危害分析与风险评估）和安全目标，并可追溯至安全目标。每个安全目标应至少有一个与之关联的FSR。

技术安全要求（TSR）主要源自FSR。每个FSR应至少有一个与之关联的TSR。

下图提供了从ISO26262第3部分-项目定义到第5部分硬件安全要求（HSR）和第6部分软件安全要求的要求/活动流程的层次视图。

FSR和TSR之间的区别

该表给出了FSR和TSR之间的高级差异。

边界：FSR与TSR

让我们以巡航控制功能为例，以更好地理解FSR和TSR之间的界限。在下图中，巡航控制功能表示为一个项目，并具有多个相互交互的模块，例如巡航控制模块、用户交互、制动模块和发动机模块。项目定义讨论了车辆级别功能的行为期望。当我们定义FSR时，必须将整个项目定义的范围视为边界。这在图中以绿色虚线突出显示。每个FSR都应在车辆级别指定要求，并应分配给实现它的模块。

TSR指定系统级的要求。因此，TSR的边界位于模块或系统级。这在图中以橙色虚线突出显示。

独立于实施与关联于实施

指定功能行为而不涉及“如何”实现功能的需求是与实现无关的需求。指定“如何”实现功能的需求是与实现相关的需求。

让我们回到我们的巡航控制示例，更好地理解这方面的需求。

FSR功能

这些是安全实现安全目标所需的预期功能要求。

FSR故障监控与缓解

应使用以下FSR格式来定义故障监控要求。

FSR 1：“ECU应在YYYY时间范围内检测到XXXX故障”
FSR 2：“确认故障后，ECU应在ZZZZ时间范围内转换到安全状态（项目级安全状态）”

这里的“XXXX”表示影响车辆级功能的任何故障（例如数据或通信故障）。YYYY是故障检测时间，ZZZZ是故障反应时间。YYYY+ZZZZ应小于FTTI（容错时间间隔）。

FSR必须指定通用要求以避免或检测和缓解故障，而不是直接指定解决方案。例如，

如果检测到故障，巡航控制模块应向用户发出指示
巡航控制应采取措施在YYYY时间范围内检测内部故障（而不是提供电源监控、外部看门狗等解决方案）

TSR功能

我们将“巡航控制模块在检测到故障时应向用户指示”作为FSR，并为其推导出TSR框架。

TSR要求应指定准确的CAN接口细节
TSR要求应指定启用/禁用该功能的确切标准
TSR要求应指定监控数据的正确性和活跃性
TSR要求应指定系统级操作模式（例如，操作模式应基于点火状态）
TSR要求应指定硬件相关输入的去抖动时间

TSR故障监控

TSR应指定系统级可用的故障监控方面的解决方案。例如，

巡航控制应实施安全机制，以检测保存巡航控制数据的RAM中的故障
巡航控制应实施安全机制来检测巡航控制算法的时序和执行故障
例如，如果内存保护单元被视为系统级概念的一部分，则TSR应指定相同的内容。否则，TSR应允许自由决定软件设计级别的解决方案。

总结

通过本文的讨论和实例分析，我们详细阐明了功能安全要求（FSR）和技术安全要求（TSR）之间的区别及其各自的细节要求。理解FSR和TSR的边界和差异对于安全工程师在实施和设计安全系统时至关重要。FSR侧重于项目定义和车辆级功能的要求，而TSR则聚焦于系统级的实现细节。希望通过本文的讲解，能够帮助安全工程师更清晰地把握FSR和TSR的定义和应用，从而在实际工作中更加高效准确地制定和实施安全策略。