技术干货 | 功能安全术语的暗黑森林

在汽车产业高度发展的当下，功能安全已从抽象概念转化为系统性防控要求。ISO 26262定义的核心术语正是突破概念模糊性的首道门槛——既是工程师协同的技术语言，也是实现安全出行的底层方法论。今天我们就来聊一下几个核心术语，一起走进这片功能安全术语的“暗黑森林”。

01 安全目标：顶层安全需求的基石

【Safety Goal】: top-level Safety requirement as a result of the hazard analysis and risk assessment at the vehicle level.

功能安全目标是汽车功能安全领域的核心概念，指通过车辆系统或部件进行危害分析与风险评估后，针对已识别的危害事件制定的具体（顶层）安全需求，目的是控制或降低危害可能导致的不合理风险，确保系统在预期运行条件下的安全性。

其核心属性包括：

①量化可测性：目标必须是具体的、可量化、可验证的。

②ASIL等级绑定：每个目标需关联ISO 26262定义的ASIL等级（A至D）。

③系统级分解：安全目标的导出是针对每个危害事件，明确需要避免什么和需要实现什么，并确保顶层安全目标分解到子系统，确保每个组件的设计符合对应ASIL等级要求。

02 安全措施VS 安全机制

【safety measure】activity or technical solution to avoid or control systematic failures and to detect or control random hardware failures, or mitigate their harmful effects.

【safety mechanism】technical solution implemented by E/E fucntions or element, or by other technologies, to detect and mitigate or tolerate faults or control or avoid failures in order to maintain intended functionality or achieve or maintain a safe state.

安全措施属于系统级安全要求的顶层设计，明确所需的安全机制类型；安全机制则是安全措施的技术实现手段。例如：ASIL D系统需采用冗余设计作为安全机制，通过“双传感器+多数表决机制”实现故障容错功能。

03 系统性失效VS 随机硬件失效

【systematic failure】failure related in a deterministic way to a certain cause, that can only be eliminated by a change of the design or of the manufacturing process, operational procedures, documentation or other relevant factors.

【random hardware failure】failure that can occur unpredictably during the lifetime of a hardware element and that follows a probability distribution.

系统性失效是“人因与流程错误”的产物，可通过规范开发流程、严格测试验证消除或控制；

硬件随机失效是“物理世界的不确定性”的体现，需通过可靠性分析、冗余设计降低风险。

04 共因失效VS 级联失效

【common cause failure】failure of two or more elements of an item resulting directly from a single specific event or root cause which is either internal or external to all of these elements .

图1 共因失效

【cascading failure】failure of an element of an item resulting from a root cause [inside or outside of the element ] and then causing a failure of another element or elements of the same or different item.

图2 级联失效

在复杂系统中（汽车、航空等）两者都是导致系统性风险的重要因素，两者的核心差异如下表所示。

在安全分析过程中，需同步考量共因失效与级联失效两类风险：共因失效需通过冗余设计的独立性验证，级联失效分析则需通过传播路径建模构建失效隔离屏障。

二者均需结合定性与定量分析方法，并与功能安全开发流程深度融合，最终实现复杂系统失效的全面管控。

05 总结

定义并非是冰冷的存在，而是前辈们在千万次事故中凝练的安全智慧，唯有理解其内涵，才能在系统开发中把握汽车安全的本质规律。