本文將對系統(tǒng)容錯時間間隔（FTTI）進(jìn)行概述、分析和可能的方法，這是設(shè)計(jì)安全系統(tǒng)時需要解決的重要屬性。

1.術(shù)語

與 FTTI 相關(guān)的術(shù)語和定義。

車輛功能：

由一個或多個車輛項(xiàng)目實(shí)現(xiàn)/實(shí)現(xiàn)的車輛行為 ，可被客戶觀察到。

項(xiàng)目：

在車輛層面實(shí)現(xiàn)一項(xiàng)功能或部分功能的系統(tǒng)或系統(tǒng)組合。

系統(tǒng)：

一組至少將一個傳感器、一個控制器和一個執(zhí)行器相互關(guān)聯(lián)的組件或子系統(tǒng)（相關(guān)的傳感器或執(zhí)行器可以包括在系統(tǒng)中，也可以位于系統(tǒng)外部）。

元素：

系統(tǒng)、組件（硬件或軟件）、硬件部件或軟件單元。

危險：

物品故障行為所造成的潛在傷害源。

危險事件：

危險和操作情況的結(jié)合。

FTTI ：如果安全機(jī)制未啟動（或沒有安全機(jī)制），從產(chǎn)品出現(xiàn)故障到可能發(fā)生危險事件的最短時間。

需要對所有危險事件的最短周期進(jìn)行評估。

源于危險。

在項(xiàng)目級別（SG、FSC）定義為車輛功能的設(shè)計(jì)約束。

FHTI：故障檢測時間間隔與故障反應(yīng)時間間隔之和

從元件出現(xiàn)故障到系統(tǒng)達(dá)到安全狀態(tài)（安全機(jī)制成功執(zhí)行）的時間跨度

小于頂層 FTTI，越小越好（確切的裕度由系統(tǒng)設(shè)計(jì)師和系統(tǒng)性能特性決定）

在元素級別定義（系統(tǒng)、軟件、硬件）

FDTI：從故障發(fā)生到檢測到故障的時間。

FRTI：從檢測到故障到達(dá)到安全狀態(tài)的時間。

FHTI（FDTI + FDTI）：作為系統(tǒng)和低級設(shè)計(jì)/實(shí)現(xiàn)的設(shè)計(jì)約束。

2.概念

2.1 分析FTTI特性

分析操作危險及故障表現(xiàn)過程：

因此我們可以看出，車輛危險事件可能不會在某些部件故障時立即發(fā)生，故障在系統(tǒng)中傳播到對車輛功能造成故障影響之前需要時間（故障表現(xiàn)時間）。并且在某些情況下，當(dāng)車輛功能發(fā)生故障（存在危險）時，危險事件不會立即發(fā)生，可能需要一些特定的操作情況（危險表現(xiàn)時間）。

引起故障的危險事件可分為：

效果立竿見影（故障 = 立即觸發(fā)）。例如：電機(jī)因過熱而燒毀/爆炸，短路導(dǎo)致車輛在行駛過程中立即失去動力推進(jìn)，這是導(dǎo)致事故的危險事件。

只有在特殊情況下才會產(chǎn)生影響（情況觸發(fā)）。例如：車載充電器模塊發(fā)生絕緣故障，導(dǎo)致電流泄漏到車輛底盤和車身，而沒有檢測和警告。當(dāng)用戶進(jìn)行充電并觸摸車輛部件時，會導(dǎo)致觸電事故。

2.2 基于項(xiàng)目定義和 HARA 的概念級（車輛）方法定義 SG、FSC/FSR 的 FTTI 值

通過上面的分析，我們可以定義：

故障行為表現(xiàn)時間 (MBMT)：故障在車輛層面表現(xiàn)出來所需的時間完全取決于故障組件在目標(biāo)功能中的使用方式（即從故障到車輛功能故障）。

例如：顯示車速故障 = 車速傳感器（傳感、信號傳輸）-> IBD（處理、傳輸）-> 網(wǎng)關(guān) ECU（處理、傳輸）-> MHU（處理、渲染）-> MDU（顯示）

因此，我們可以得出結(jié)論，MBMT 是車輛架構(gòu)和產(chǎn)品功能設(shè)計(jì)的結(jié)果。

危險表現(xiàn)時間（HMT）：從故障行為存在的時間點(diǎn)到導(dǎo)致危險事件存在的特定操作場景/操作。

例如：車輛轉(zhuǎn)向信號故障可能不會導(dǎo)致危險事件，直到用戶改變方向，行駛在沒有轉(zhuǎn)向信號燈向其他車輛發(fā)出信號的車道時。

另一方面，HMT 完全受操作場景和正在考慮的故障行為（危險）的影響。

FTTI = MBMT + HMT （形成約束，對物品/車輛功能的設(shè)計(jì)施加影響）

示例：導(dǎo)致 eCockpit 系統(tǒng)故障的單點(diǎn)故障

針對上述無效顯示車速危險案例進(jìn)行分析：

IPC組件、MDU屏幕車速計(jì)算發(fā)生故障60Hz?MBMT~0.02s

從故障的角度來看，當(dāng)駕駛員決定通過踩下制動踏板與車輛互動時，IPC 就會出現(xiàn)。這取決于駕駛員對儀表板或平視顯示器中無效車速的感知。假設(shè)正常掃描時間為 0.5 秒，駕駛員決定通過突然踩下制動（操作場景/動作）做出反應(yīng)，從而導(dǎo)致危險事件 ? HMT ~ 0.5 秒

? FTTI = HMT(0.5s) + MBMT(0.02s) = 520ms

最大制動取決于車輛重量和輪胎牽引力、寬度和直徑 ? 車輛特定減速率 ? 追尾碰撞（控制性較差）。最大車輛加速度取決于輪胎和馬力 ? 車輛特定加速率 ? 前端碰撞（駕駛員處于更主動的位置）。

這種情況下，追尾事故發(fā)生的可能性更大，危險程度也更高。在正常車距-危險事件中，碰撞事故評估應(yīng)考慮兩車距離、時間、車速差、減速度/加速度追尾：距離10m，兩車速度相同(current_speed)

車輛（A）減速：v（當(dāng)前速度）t - 0.5 a*t^2

車輛（B 在車輛 A 后面行駛）以恒定速度行駛：v（當(dāng)前速度）*t ? 車輛以最大速度減速（由于駕駛員恐慌或駕駛技術(shù)低下） ? a = 4.512 m/s^2 ? 距離追尾碰撞 10m = sqrt(10/(0.5 * 4.512)) = 2.1s。事故可能在危險事件發(fā)生后 2.1 秒發(fā)生，因此考慮到當(dāng)前評估的危險，F(xiàn)TTI = 520ms 值應(yīng)該是一個合理的值

4.512 米/秒2（0.47 g）為最大減速度，對于普通駕駛員來說，可以安全保持控制，輪胎良好至優(yōu)質(zhì)，路面干燥

FTTI 的分析和定義方法摘要：

MBMT：根據(jù)項(xiàng)目定義輸入進(jìn)行粗略計(jì)算?通過掃描項(xiàng)目功能行為和項(xiàng)目邊界，以最短傳播時間識別可能的單點(diǎn)故障，從而實(shí)現(xiàn)更系統(tǒng)/結(jié)構(gòu)化的方法。

HMT：更多經(jīng)驗(yàn)基礎(chǔ)和統(tǒng)計(jì)方法?分析操作條件、危險類型、用戶可控性和暴露概率。

3.系統(tǒng)

3.1 故障傳播

一個架構(gòu)級別（例如 ECU 級別）的故障可能會變成更高架構(gòu)級別（例如項(xiàng)目級別）的故障，如下所示：

故障傳播：組件故障（單點(diǎn)故障-SPF，多點(diǎn)故障-MPF）導(dǎo)致組件故障，從而導(dǎo)致車輛功能故障（直接或與其他組件故障結(jié)合）并導(dǎo)致車輛故障（造成傷害）。

3.2 時間評估：根據(jù)設(shè)計(jì)約束定義 FDTI 和 FRTI

從概念層收到 FTTI 值后，系統(tǒng)設(shè)計(jì)人員（ECU 層）應(yīng)負(fù)責(zé)得出 FHTI（FDTI + FRTI）值，該值必須小于 FTTI。至于小于多少裕度（Δt 或 %）則由設(shè)計(jì)人員決定。裕度值越大越好。

4.概括

容錯時間間隔 (FTTI) 規(guī)定了車輛層面上功能故障的最大可接受持續(xù)時間。由于內(nèi)部故障需要時間在系統(tǒng)中傳播，因此詳細(xì)分析傳播時間非常重要，因?yàn)檫@對安全機(jī)制的設(shè)計(jì)有重大影響。系統(tǒng)必須比傳播時間加上 FTTI 更快地達(dá)到安全狀態(tài)。