從“失效防護”系統過渡到“失效操作”系統

隨著執行器從使用機械能轉向使用電能，安全架構需要不斷發展。如今，安全系統中的大多數電動執行器都會保留其原始機械部件以實現冗余。

以電氣制動系統為例，踏板與制動缸之間的機械連桿機構可以提供冗余，這樣一來，當電氣系統發生故障時，用力重踩制動踏板也可以制動。電氣制動系統采用的是“失效防護”架構，這意味著如果這些系統發生故障，其故障方式不會妨礙任何冗余措施（本例中為重踩踏板）正常工作。

隨著自主架構的發展，我們對機械冗余的依賴逐漸減弱，因為控制環路已經不再需要人為干預，這時一類全新的“失效操作”系統隨之出現。例如，自動駕駛車輛中的制動系統便是一種失效操作系統。在自動駕駛車輛中，當電氣制動系統發生故障后，而駕駛員又一時無法操控車輛時，該系統（請注意，不是集成電路）應能在這種情況下繼續運行并制動車輛。

設計此類系統時，主要安全考慮因素包括：

• 系統的容錯能力和汽車安全完整性等級 (ASIL)。
• 第一個故障發生后系統允許的功能降級。
• 緊急功能、駕駛員警告及其緊急操作持續時間。
• 系統進入和退出安全狀態時所需的 ASIL 級別。

為了分析失效操作系統的安全目標和安全狀態（以圖 2 作為指導），我們可以參考國際標準化組織 (ISO) 第二版 ISO26262-3:2018 第 7 條，其中說明了可以通過轉換到或保持一個或多個“安全狀態”來防止違反安全目標。安全狀態可以解釋為“發生故障后在規定的時間內保持功能”，這與我前面討論的失效操作系統注意事項正好相符。這種狀態（圖 2 中稱為“功能簡化的安全狀態”）需要考慮并分析駕駛員警告和相應狀態的風險暴露時間。此外，在分析緊急操作和從一個安全狀態轉換到下一個安全狀態后的緊急操作持續時長時，可以遵循 ISO26262-5:2018,9.2。

系統設計人員采用了多種技術來改善中間安全狀態、風險暴露時間和緊急操作時間間隔。其中一些技術依賴于雙繞組電機等機電冗余概念。這些新型電機也稱為雙定子或雙反逆變器電機，由兩個獨立驅動的定子線圈和一個轉子構建而成。該設計有助于確保當其中一個定子發生故障時，冗余定子以及轉子將保持活動狀態。在這種情況下，故障路徑的預期安全要求實際上是“設計為失效防護”，以免妨礙正常定子路徑的運動。在圖 2 所示的情況下，這種單定子操作將歸類為“功能簡化的安全狀態”。

還有其他方法可以將違反安全目標的殘余風險降低到 1 FIT（時基故障）級別，其中包括增加這種冗余，以包含單獨的電源（電池）；單獨的通信通道；甚至是將系統與獨立的 12V/48V 或 12V/600V 電源網進行集成。