从“失效防护”系统过渡到“失效操作”系统

随着执行器从使用机械能转向使用电能，安全架构需要不断发展。如今，安全系统中的大多数电动执行器都会保留其原始机械部件以实现冗余。

以电气制动系统为例，踏板与制动缸之间的机械连杆机构可以提供冗余，这样一来，当电气系统发生故障时，用力重踩制动踏板也可以制动。电气制动系统采用的是“失效防护”架构，这意味着如果这些系统发生故障，其故障方式不会妨碍任何冗余措施（本例中为重踩踏板）正常工作。

随着自主架构的发展，我们对机械冗余的依赖逐渐减弱，因为控制环路已经不再需要人为干预，这时一类全新的“失效操作”系统随之出现。例如，自动驾驶车辆中的制动系统便是一种失效操作系统。在自动驾驶车辆中，当电气制动系统发生故障后，而驾驶员又一时无法操控车辆时，该系统（请注意，不是集成电路）应能在这种情况下继续运行并制动车辆。

设计此类系统时，主要安全考虑因素包括：

• 系统的容错能力和汽车安全完整性等级 (ASIL)。
• 第一个故障发生后系统允许的功能降级。
• 紧急功能、驾驶员警告及其紧急操作持续时间。
• 系统进入和退出安全状态时所需的 ASIL 级别。

为了分析失效操作系统的安全目标和安全状态（以图 2 作为指导），我们可以参考国际标准化组织 (ISO) 第二版 ISO26262-3:2018 第 7 条，其中说明了可以通过转换到或保持一个或多个“安全状态”来防止违反安全目标。安全状态可以解释为“发生故障后在规定的时间内保持功能”，这与我前面讨论的失效操作系统注意事项正好相符。这种状态（图 2 中称为“功能简化的安全状态”）需要考虑并分析驾驶员警告和相应状态的风险暴露时间。此外，在分析紧急操作和从一个安全状态转换到下一个安全状态后的紧急操作持续时长时，可以遵循 ISO26262-5:2018,9.2。

系统设计人员采用了多种技术来改善中间安全状态、风险暴露时间和紧急操作时间间隔。其中一些技术依赖于双绕组电机等机电冗余概念。这些新型电机也称为双定子或双反逆变器电机，由两个独立驱动的定子线圈和一个转子构建而成。该设计有助于确保当其中一个定子发生故障时，冗余定子以及转子将保持活动状态。在这种情况下，故障路径的预期安全要求实际上是“设计为失效防护”，以免妨碍正常定子路径的运动。在图 2 所示的情况下，这种单定子操作将归类为“功能简化的安全状态”。

还有其他方法可以将违反安全目标的残余风险降低到 1 FIT（时基故障）级别，其中包括增加这种冗余，以包含单独的电源（电池）；单独的通信通道；甚至是将系统与独立的 12V/48V 或 12V/600V 电源网进行集成。