想象一下,你正开着车在高速上飞驰。突然,方向盘失控了!刹车失灵了!这绝对是世界上最恐怖的噩梦。
功能安全(Functional Safety)的核心目标,就是通过一系列设计,竭尽全力避免这种噩梦的发生。而SPFM和LFM,就是衡量你的车到底有多“靠谱”、多“安全”的两把核心标尺。
第一章:敌人是谁?—— 硬件“抽风”
车里的芯片、传感器、线束就像人的器官,它们偶尔会莫名其妙地“抽风”(专业术语叫随机硬件故障)。比如:
- 一个电容突然烧了(短路)。
- 一根线莫名断了(开路)。
- 一个传感器传的数据忽然飘了(数值漂移)。
功能安全不管软件bug或设计缺陷,它就专门对付这种“莫名其妙”的硬件抽风。它的策略不是阻止抽风(因为无法绝对阻止),而是在抽风发生时,系统能“扛住”或者“优雅地失败”,而不是造成灾难。
第二章:第一道防线 —— SPFM(单点故障度量)
SPFM衡量的是“一招毙命”的漏洞有多少被堵上了。
-
什么是“一招毙命”(单点故障)?
某个零件一抽风,没有任何补救措施,车立马就失控。比如:控制刹车的芯片核心坏了,而系统没有任何备份或检测机制,结果就是刹车直接失灵。 -
如何防御?—— 穿上“防弹衣”
工程师们会给这些要害部位穿上“防弹衣”,也就是安全机制。比如:- 给核心芯片配一个看门狗。芯片一旦“发呆”,看门狗就立马重启它。
- 给内存加上校验码,数据一出错就能发现并纠正。
- 为电源设计监控电路,电压一异常就报警。
-
SPFM是干嘛的?
它就是一个百分比数字,告诉你:所有可能“一招毙命”的漏洞中,有多大比例已经被我们的“防弹衣”成功挡住了?
要求很严格:对于最顶级的ASIL D安全等级(比如涉及转向和刹车的系统),要求SPFM ≥ 99%。意思是,10000次可能的“一招毙命”攻击,至少有9900次能被你的防弹衣成功防住。
第三章:第二道防线 —— LFM(潜伏故障度量)
LFM衡量的是“隐藏内伤”能被多快检查出来。
-
什么是“隐藏内伤”(潜伏故障)?
有时候,第一个故障发生时,系统不会立马崩溃,但它悄悄地埋下了一个“内伤”。
经典例子:你的车有两个刹车传感器(一主一备)。负责检测备用传感器是否正常的那套诊断电路自己先坏了。这时,备用传感器本身还是好的,但你根本不知道它的“体检医生”已经挂了!这个“坏掉的诊断电路”就是一个潜伏故障,一个“内伤”。此时如果主传感器再突然坏掉,系统想切换备用时,才发现“体检医生”是坏的,根本无法判断备用传感器是否健康,最终可能导致刹车系统彻底混乱。
-
如何防御?—— 装上“健康监测仪”
为了发现“内伤”,系统需要定期“体检”。这就是周期性自检机制。比如:- 每次启动车辆时,系统会全面自检一遍(上电自检)。
- 开车过程中,系统也会每隔几秒就悄悄检查一下那些备份的、诊断的模块是否还健康。
-
LFM是干嘛的?
它也是一个百分比数字,告诉你:所有可能存在的“内伤”中,有多大比例能被我这套“健康监测仪”及时地发现?
要求同样很高:对于ASIL D等级,要求LFM ≥ 90%。意思是,100个“内伤”,至少有90个能被你及时检查出来并亮起故障灯,提醒司机“车辆需要检修”,从而避免内伤和后续故障组合成致命打击。
终章:总结一下,它俩是绝配
你可以把它们想象成保护你爱车的黄金搭档:
-
SPFM (防弹衣):
- 关心问题:“一个零件坏了,会立刻完蛋吗?”
- 核心任务:预防单点溃败。
- 目标:极高覆盖率(>99%),让系统“坚不可摧”。
-
LFM (健康监测仪):
- 关心问题:“一个零件坏了,我们会知道吗?”
- 核心任务:检测隐藏故障。
- 目标:高检测率(>90%),让系统“心中有数”。
所以,一辆真正安全的车,不仅要穿着一身坚固的“防弹衣”(高SPFM),避免被一击致命;还要内置一个灵敏的“健康监测仪”(高LFM),确保没有隐藏的内伤等着爆发。
SPFM和LFM这两个指标,就是工程师们用来设计和验证,最终让你的车既能“抗揍”又能“自检”的科学工具。它们共同工作,确保即使硬件偶尔“抽风”,你的旅程也依然安全。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
