隨著智能網(wǎng)聯(lián)汽車(chē)的普及，和國(guó)內(nèi)自主品牌企業(yè)對(duì)于汽車(chē)電動(dòng)化、網(wǎng)聯(lián)化、智能化的設(shè)計(jì)水平提升，企業(yè)的安全管理能力和產(chǎn)品的安全性也愈發(fā)重要。

近期，城市軌道交通行業(yè)也發(fā)布了一份城市軌道交通行業(yè)管理體系認(rèn)證調(diào)研報(bào)告，筆者也參與了這份調(diào)研報(bào)告的編制過(guò)程，在軌道交通領(lǐng)域，不僅要考慮安全性，還有可靠性（reliability ）、可用性(Availability)、可維護(hù)性(Maintainability)，統(tǒng)稱(chēng)為RAMS，由于軌道交通系統(tǒng)如信號(hào)系統(tǒng)、車(chē)輛系統(tǒng)涉及到公眾的生命安全，對(duì)于生產(chǎn)企業(yè)和產(chǎn)品的RAMS管理和技術(shù)要求已成為硬性要求，但從調(diào)研的情況來(lái)看，仍然有不少企業(yè)的實(shí)施情況不理想，存在體系管理與產(chǎn)品實(shí)際的安全可靠性脫節(jié)的情況。

那么，無(wú)論是機(jī)動(dòng)車(chē)輛領(lǐng)域?qū)⒁蔀樾袠I(yè)準(zhǔn)入要求的安全管理，還是軌道交通行業(yè)已經(jīng)實(shí)施多年的RAMS管理情況，如何能讓產(chǎn)品的安全性、可靠性指標(biāo)達(dá)到設(shè)計(jì)要求，每個(gè)人都有著不同的見(jiàn)解看法，比如建立起全面的安全性、可靠性的管理體系，運(yùn)用各種技術(shù)方法，這是一個(gè)非常復(fù)雜的系統(tǒng)工程課題，很難用一兩句話解釋清楚。

本篇用第一性原理來(lái)談?wù)剛€(gè)人對(duì)這個(gè)問(wèn)題的理解，所謂第一性原理，就是要從事物的基本原理出發(fā)，從物理學(xué)原理進(jìn)行推論，這一過(guò)程會(huì)耗費(fèi)更多精力。與之相對(duì)的采用類(lèi)比的方法。運(yùn)用類(lèi)比的方法相比第一性原理更為省心省力，比如某企業(yè)的安全管理體系是如何建立的，某產(chǎn)品的設(shè)計(jì)就是這么來(lái)做的，就照著別人的管理方式，別人的產(chǎn)品作為參照物，亦步亦趨。

首先來(lái)理解一個(gè)術(shù)語(yǔ)概念，無(wú)論是汽車(chē)行業(yè)現(xiàn)在提的功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全，和汽車(chē)行業(yè)本來(lái)就有可靠性要求，還是軌道交通行業(yè)統(tǒng)稱(chēng)的可靠性、可用性、可維護(hù)性和安全性，歸納起來(lái)在專(zhuān)業(yè)領(lǐng)域有一個(gè)統(tǒng)稱(chēng)術(shù)語(yǔ)，叫可信性，英文是Dependability。它是系統(tǒng)的一種質(zhì)量屬性，需要時(shí)按照要求執(zhí)行的能力。可信性是一系列特性的統(tǒng)稱(chēng)，包括可靠性（reliability ）、可用性(Availability)、可維護(hù)性(Maintainability)、安全性(Safety)，現(xiàn)在還會(huì)有網(wǎng)絡(luò)安全的要求，稱(chēng)為安保性(Security)。

如何來(lái)保證系統(tǒng)能夠按照要求執(zhí)行，通常把系統(tǒng)的狀態(tài)定義三種：

1.正常運(yùn)行狀態(tài)：系統(tǒng)可以正常執(zhí)行預(yù)期功能的狀態(tài)

2.不能正常運(yùn)行后的安全狀態(tài)：系統(tǒng)無(wú)法正常執(zhí)行預(yù)期功能，但保持在了安全的狀態(tài)

3.不能正常運(yùn)行后的危險(xiǎn)狀態(tài)：系統(tǒng)無(wú)法正常執(zhí)行預(yù)期功能，進(jìn)入了危險(xiǎn)狀態(tài)，存在引發(fā)潛在事故的風(fēng)險(xiǎn)

它們?nèi)咧g的相互轉(zhuǎn)換關(guān)系如下

從第一性原理出發(fā)，具備高可信性意味著系統(tǒng)在規(guī)定的時(shí)間內(nèi)，盡可能保持在正常狀態(tài)，盡可能少進(jìn)入故障安全態(tài)，不能進(jìn)入危險(xiǎn)狀態(tài)。進(jìn)入危險(xiǎn)狀態(tài)就可能會(huì)發(fā)生事故，絕對(duì)不能接受，但頻繁接入故障安全態(tài)也不好，可靠性太低，用戶也不會(huì)接受。比如AEB輔助駕駛系統(tǒng)，產(chǎn)生非預(yù)期的剎車(chē)，存在后車(chē)追尾的事故風(fēng)險(xiǎn)，但頻繁地不能維持功能，退出輔助駕駛狀態(tài)，給用戶的體驗(yàn)感降低。

如何做到呢，從上圖中可以看出，就是要分析失效，這里引出了下面三個(gè)：

故障（fault）：可能導(dǎo)致系統(tǒng)錯(cuò)誤的異常情況。

錯(cuò)誤（error）：計(jì)算的、觀測(cè)的、測(cè)量的值或條件與真實(shí)的、規(guī)定的、理論上正確的值或條件之間的差異。

失效（failure）：系統(tǒng)按要求執(zhí)行功能的能力的終止。系統(tǒng)偏離了其規(guī)定的功能或性能。

它們之間的傳播鏈為：

從最低層部件發(fā)生故障，故障引起了部件偏離了其正常的性能指標(biāo)范圍，發(fā)生錯(cuò)誤，錯(cuò)誤引起了失效，失效又造成了其上一級(jí)的故障，一級(jí)級(jí)地向上傳遞，最終引起了系統(tǒng)執(zhí)行功能中斷，中斷后存在兩種可能：保持在了不可用但安全的狀態(tài)，不可用并存在危險(xiǎn)的狀態(tài)。

如實(shí)現(xiàn)列車(chē)車(chē)門(mén)控制的功能為例，以下是一個(gè)簡(jiǎn)略的傳播鏈

理解了失效發(fā)生的原因，可以得出如果想要避免失效，那么就要找到引起失效的故障原因，存在兩個(gè)類(lèi)型的故障，即系統(tǒng)性故障和隨機(jī)性故障。隨機(jī)性故障是由生產(chǎn)制造和運(yùn)行過(guò)程造成的，如老化，磨損，退化，外部影響等。系統(tǒng)性故障可以被復(fù)現(xiàn)，因?yàn)樗鼈儊?lái)源于設(shè)計(jì)錯(cuò)誤。隨機(jī)性故障也可能由設(shè)計(jì)錯(cuò)誤引起，如低估了周邊環(huán)境溫度對(duì)處理器的影響，選擇了不合適的處理器或者處理器散熱控制不當(dāng)，引起了處理器死機(jī)屬于設(shè)計(jì)錯(cuò)誤。

如何降低和避免系統(tǒng)性故障和隨機(jī)性故障的發(fā)生，隨機(jī)性故障是客觀存在的，不能完全規(guī)避，但可以通過(guò)一些安全設(shè)計(jì)方法如冗余，多樣性提高安全性，通過(guò)熱設(shè)計(jì)、電磁兼容設(shè)計(jì)、抗振性等設(shè)計(jì)方法提高可靠性，系統(tǒng)性故障是可以規(guī)避的，通過(guò)開(kāi)發(fā)過(guò)程、生產(chǎn)制造過(guò)程、操作維護(hù)過(guò)程的一系列質(zhì)量控制方法進(jìn)行，并通過(guò)驗(yàn)證和確認(rèn)的方法進(jìn)行檢查。

通過(guò)以上部分，理解了可信性、失效、錯(cuò)誤、故障、系統(tǒng)性故障、隨機(jī)性故障這些基本概念，就可以用第一性原理來(lái)說(shuō)，總結(jié)起來(lái)三句話：

提升產(chǎn)品的可信性，就要是盡可能保持在正常狀態(tài)，盡可能少進(jìn)入故障安全態(tài)，不能進(jìn)入危險(xiǎn)狀態(tài)；

達(dá)到第一點(diǎn)的要求，就要分析系統(tǒng)失效和引起失效的故障；

產(chǎn)生故障的成因分為兩方面：系統(tǒng)性和隨機(jī)性，有利于避免系統(tǒng)性故障和降低隨機(jī)性故障的工作就要多做，對(duì)這兩方面沒(méi)有價(jià)值的工作就少做或不做。

因此，在安全性可靠性的管理體系設(shè)計(jì)中，從以上三點(diǎn)出發(fā)，根據(jù)企業(yè)當(dāng)前的實(shí)際情況，采用第一性原理，從系統(tǒng)的故障機(jī)理出發(fā)，來(lái)檢查每一項(xiàng)工作是否有利于提升產(chǎn)品的可信性水平，相信可以找到這項(xiàng)工作的意義和價(jià)值。

審核編輯：劉清