04-汽车功能安全（ISO26262）系列：系统阶段开发-技术安全需求（TSR）及安全机....pdf

04-汽车功能安全（ISO26262）系列：系统阶段开发-技术安

全需求（TSR）及安全机...

本篇属于汽车功能安全专题系列第04篇内容，我们主要聊聊，到

底什么是技术安全需求(TSR)和安全机制(SafetyMechanism)。

在上一篇:

03-汽车功能安全(ISO26262)系列:概念阶段开发-功能安全需

求及方案(FSRFSC)

我们在概念开发阶段，通过组件层别的安全分析(FTA,FMEA)对功

能安全开发最初的安全需求，即安全目标(SG)，进行细化，得到了组

件级别的功能安全需求(FSR)和方案(FSC)。

但FSR本质上还是属于功能层面的逻辑安全需求，属于需要做什

么的层次，无法具体实施，所以需要将FSR进一步细化为技术层面的

安全需求(TSR)，即怎么做，为后续的软件和硬件的安全开发奠定技

术需求基础。

根据ISO26262，功能安全系统阶段开发内容可以分为两大部分:

•技术安全需求及方案开发及验证

•系统集成测试及安全确认(Validation)

它们在开发过程中并不连续，分别隶属于系统开发V模型的左边

和右边，中间穿插了硬件和软件开发。系统阶段技术安全需求(TSR)和

方案(TSC)开发和概念阶段功能安全需求(FSR)和方案(FSC)一脉相承，

和概念开发开发紧密衔接。只有硬件和软件开发完成，才能进行系统

层面集成测试和需求确认。

系统集成这部分我们留在软件和硬件开发之后再聊。针对第一个

大的部分，即技术安全需求(TSR)和方案(TSC)，我们主要聊以下内容:

•什么是技术安全需求TSR

•安全机制的本质

•怎么从FSR到TSR

•什么是技术安全方案TSC

•系统安全架构设计

•安全分析

•技术安全需求分配至系统架构

鉴于内容较多，今天我们先聊前三部分内容。

01

什么是TSR

总体而言，技术安全需求(TSR:TechnicalSafetyRequirement)

是为满足安全目标SG或功能安全需求(FSR)，由功能安全需求(FSR)在

技术层面派生出的可实施的安全需求。

那到底什么是由FSR派生出的技术安全需求呢？

根据ISO26262的定义，技术安全要求(TSR)应该明确功能安全需

求在各自层级的技术实现;考虑相关项定义和系统架构设计，解决潜在

故障的检测、故障避免、安全完整性(即满足ASIL等级)以及产品生产

和服务方面的必要安全问题。

什么意思呢？直接上个我自己总结的公式:

技术安全需求(TSR)=由FSR技术化的安全需求+安全机制+

Stakeholder需求

•由FSR技术化的安全需求

将FSR进一步技术化，得到可以实施的技术安全需求，是TSR的

重要来源，但它只是TSR其中一个组成部分。

所谓FSR技术化的安全需求就是，基于系统架构中组件分配得到

的FSR，根据该组件内部以及对外的依赖关系和限制条件，将FSR定

义的逻辑功能需求进行技术性转化和体现。

这部分技术需求属于相对基础的TSR，不涉及深层次的探测，显

示，控制或减轻系统出现故障的安全措施，所以并不能保证系统功能

安全。它的主要的目的是为后续相关安全机制的开发或者需求的提出

奠定技术基础。

例如，由FSR技术化的安全需求包括，定义逻辑功能需求中所涉

及的软件组件，硬件组件(传感器，控制单元，执行单元)，组件接口技

术信息(如信号名称，来源等)，传输方式(CAN总线等)，计算周期，软

件组件不同平台复用配置需要的标定数据，硬件组件指标要求等。

•安全机制

安全机制(SafetyMechanism)目的在于探测，显示和控制故障，

属于功能安全事后补救措施，是TSR