在汽車產(chǎn)業(yè)高度發(fā)展的當(dāng)下，功能安全已從抽象概念轉(zhuǎn)化為系統(tǒng)性防控要求。ISO 26262定義的核心術(shù)語正是突破概念模糊性的首道門檻——既是工程師協(xié)同的技術(shù)語言，也是實(shí)現(xiàn)安全出行的底層方法論。今天我們就來聊一下幾個(gè)核心術(shù)語，一起走進(jìn)這片功能安全術(shù)語的“暗黑森林”。

01 安全目標(biāo)：頂層安全需求的基石

【Safety Goal】: top-level Safety requirement as a result of the hazard analysis and risk assessment at the vehicle level.

功能安全目標(biāo)是汽車功能安全領(lǐng)域的核心概念，指通過車輛系統(tǒng)或部件進(jìn)行危害分析與風(fēng)險(xiǎn)評估后，針對已識別的危害事件制定的具體（頂層）安全需求，目的是控制或降低危害可能導(dǎo)致的不合理風(fēng)險(xiǎn)，確保系統(tǒng)在預(yù)期運(yùn)行條件下的安全性。

其核心屬性包括：

①量化可測性：目標(biāo)必須是具體的、可量化、可驗(yàn)證的。

②ASIL等級綁定：每個(gè)目標(biāo)需關(guān)聯(lián)ISO 26262定義的ASIL等級（A至D）。

③系統(tǒng)級分解：安全目標(biāo)的導(dǎo)出是針對每個(gè)危害事件，明確需要避免什么和需要實(shí)現(xiàn)什么，并確保頂層安全目標(biāo)分解到子系統(tǒng)，確保每個(gè)組件的設(shè)計(jì)符合對應(yīng)ASIL等級要求。

02 安全措施VS 安全機(jī)制

【safety measure】activity or technical solution to avoid or control systematic failures and to detect or control random hardware failures, or mitigate their harmful effects.

【safety mechanism】technical solution implemented by E/E fucntions or element, or by other technologies, to detect and mitigate or tolerate faults or control or avoid failures in order to maintain intended functionality or achieve or maintain a safe state.

安全措施屬于系統(tǒng)級安全要求的頂層設(shè)計(jì)，明確所需的安全機(jī)制類型；安全機(jī)制則是安全措施的技術(shù)實(shí)現(xiàn)手段。例如：ASIL D系統(tǒng)需采用冗余設(shè)計(jì)作為安全機(jī)制，通過“雙傳感器+多數(shù)表決機(jī)制”實(shí)現(xiàn)故障容錯(cuò)功能。

03 系統(tǒng)性失效VS 隨機(jī)硬件失效

【systematic failure】failure related in a deterministic way to a certain cause, that can only be eliminated by a change of the design or of the manufacturing process, operational procedures, documentation or other relevant factors.

【random hardware failure】failure that can occur unpredictably during the lifetime of a hardware element and that follows a probability distribution.

系統(tǒng)性失效是“人因與流程錯(cuò)誤”的產(chǎn)物，可通過規(guī)范開發(fā)流程、嚴(yán)格測試驗(yàn)證消除或控制；

硬件隨機(jī)失效是“物理世界的不確定性”的體現(xiàn)，需通過可靠性分析、冗余設(shè)計(jì)降低風(fēng)險(xiǎn)。

04 共因失效VS 級聯(lián)失效

【common cause failure】failure of two or more elements of an item resulting directly from a single specific event or root cause which is either internal or external to all of these elements .

圖1 共因失效

【cascading failure】failure of an element of an item resulting from a root cause [inside or outside of the element ] and then causing a failure of another element or elements of the same or different item.

圖2 級聯(lián)失效

在復(fù)雜系統(tǒng)中（汽車、航空等）兩者都是導(dǎo)致系統(tǒng)性風(fēng)險(xiǎn)的重要因素，兩者的核心差異如下表所示。

在安全分析過程中，需同步考量共因失效與級聯(lián)失效兩類風(fēng)險(xiǎn)：共因失效需通過冗余設(shè)計(jì)的獨(dú)立性驗(yàn)證，級聯(lián)失效分析則需通過傳播路徑建模構(gòu)建失效隔離屏障。

二者均需結(jié)合定性與定量分析方法，并與功能安全開發(fā)流程深度融合，最終實(shí)現(xiàn)復(fù)雜系統(tǒng)失效的全面管控。

05 總結(jié)

定義并非是冰冷的存在，而是前輩們在千萬次事故中凝練的安全智慧，唯有理解其內(nèi)涵，才能在系統(tǒng)開發(fā)中把握汽車安全的本質(zhì)規(guī)律。