隨著智能網(wǎng)聯(lián)汽車的普及，和國內(nèi)自主品牌企業(yè)對于汽車電動化、網(wǎng)聯(lián)化、智能化的設(shè)計水平提升，企業(yè)的安全管理能力和產(chǎn)品的安全性也愈發(fā)重要。

近期，城市軌道交通行業(yè)也發(fā)布了一份城市軌道交通行業(yè)管理體系認證調(diào)研報告，筆者也參與了這份調(diào)研報告的編制過程，在軌道交通領(lǐng)域，不僅要考慮安全性，還有可靠性（reliability ）、可用性(Availability)、可維護性(Maintainability)，統(tǒng)稱為RAMS，由于軌道交通系統(tǒng)如信號系統(tǒng)、車輛系統(tǒng)涉及到公眾的生命安全，對于生產(chǎn)企業(yè)和產(chǎn)品的RAMS管理和技術(shù)要求已成為硬性要求，但從調(diào)研的情況來看，仍然有不少企業(yè)的實施情況不理想，存在體系管理與產(chǎn)品實際的安全可靠性脫節(jié)的情況。

那么，無論是機動車輛領(lǐng)域?qū)⒁蔀樾袠I(yè)準(zhǔn)入要求的安全管理，還是軌道交通行業(yè)已經(jīng)實施多年的RAMS管理情況，如何能讓產(chǎn)品的安全性、可靠性指標(biāo)達到設(shè)計要求，每個人都有著不同的見解看法，比如建立起全面的安全性、可靠性的管理體系，運用各種技術(shù)方法，這是一個非常復(fù)雜的系統(tǒng)工程課題，很難用一兩句話解釋清楚。

本篇用第一性原理來談?wù)剛€人對這個問題的理解，所謂第一性原理，就是要從事物的基本原理出發(fā)，從物理學(xué)原理進行推論，這一過程會耗費更多精力。與之相對的采用類比的方法。運用類比的方法相比第一性原理更為省心省力，比如某企業(yè)的安全管理體系是如何建立的，某產(chǎn)品的設(shè)計就是這么來做的，就照著別人的管理方式，別人的產(chǎn)品作為參照物，亦步亦趨。

首先來理解一個術(shù)語概念，無論是汽車行業(yè)現(xiàn)在提的功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全，和汽車行業(yè)本來就有可靠性要求，還是軌道交通行業(yè)統(tǒng)稱的可靠性、可用性、可維護性和安全性，歸納起來在專業(yè)領(lǐng)域有一個統(tǒng)稱術(shù)語，叫可信性，英文是Dependability。它是系統(tǒng)的一種質(zhì)量屬性，需要時按照要求執(zhí)行的能力。可信性是一系列特性的統(tǒng)稱，包括可靠性（reliability ）、可用性(Availability)、可維護性(Maintainability)、安全性(Safety)，現(xiàn)在還會有網(wǎng)絡(luò)安全的要求，稱為安保性(Security)。

如何來保證系統(tǒng)能夠按照要求執(zhí)行，通常把系統(tǒng)的狀態(tài)定義三種：

1.正常運行狀態(tài)：系統(tǒng)可以正常執(zhí)行預(yù)期功能的狀態(tài)

2.不能正常運行后的安全狀態(tài)：系統(tǒng)無法正常執(zhí)行預(yù)期功能，但保持在了安全的狀態(tài)

3.不能正常運行后的危險狀態(tài)：系統(tǒng)無法正常執(zhí)行預(yù)期功能，進入了危險狀態(tài)，存在引發(fā)潛在事故的風(fēng)險

它們?nèi)咧g的相互轉(zhuǎn)換關(guān)系如下

從第一性原理出發(fā)，具備高可信性意味著系統(tǒng)在規(guī)定的時間內(nèi)，盡可能保持在正常狀態(tài)，盡可能少進入故障安全態(tài)，不能進入危險狀態(tài)。進入危險狀態(tài)就可能會發(fā)生事故，絕對不能接受，但頻繁接入故障安全態(tài)也不好，可靠性太低，用戶也不會接受。比如AEB輔助駕駛系統(tǒng)，產(chǎn)生非預(yù)期的剎車，存在后車追尾的事故風(fēng)險，但頻繁地不能維持功能，退出輔助駕駛狀態(tài)，給用戶的體驗感降低。

如何做到呢，從上圖中可以看出，就是要分析失效，這里引出了下面三個：

故障（fault）：可能導(dǎo)致系統(tǒng)錯誤的異常情況。

錯誤（error）：計算的、觀測的、測量的值或條件與真實的、規(guī)定的、理論上正確的值或條件之間的差異。

失效（failure）：系統(tǒng)按要求執(zhí)行功能的能力的終止。系統(tǒng)偏離了其規(guī)定的功能或性能。

它們之間的傳播鏈為：

從最低層部件發(fā)生故障，故障引起了部件偏離了其正常的性能指標(biāo)范圍，發(fā)生錯誤，錯誤引起了失效，失效又造成了其上一級的故障，一級級地向上傳遞，最終引起了系統(tǒng)執(zhí)行功能中斷，中斷后存在兩種可能：保持在了不可用但安全的狀態(tài)，不可用并存在危險的狀態(tài)。

如實現(xiàn)列車車門控制的功能為例，以下是一個簡略的傳播鏈

理解了失效發(fā)生的原因，可以得出如果想要避免失效，那么就要找到引起失效的故障原因，存在兩個類型的故障，即系統(tǒng)性故障和隨機性故障。隨機性故障是由生產(chǎn)制造和運行過程造成的，如老化，磨損，退化，外部影響等。系統(tǒng)性故障可以被復(fù)現(xiàn)，因為它們來源于設(shè)計錯誤。隨機性故障也可能由設(shè)計錯誤引起，如低估了周邊環(huán)境溫度對處理器的影響，選擇了不合適的處理器或者處理器散熱控制不當(dāng)，引起了處理器死機屬于設(shè)計錯誤。

如何降低和避免系統(tǒng)性故障和隨機性故障的發(fā)生，隨機性故障是客觀存在的，不能完全規(guī)避，但可以通過一些安全設(shè)計方法如冗余，多樣性提高安全性，通過熱設(shè)計、電磁兼容設(shè)計、抗振性等設(shè)計方法提高可靠性，系統(tǒng)性故障是可以規(guī)避的，通過開發(fā)過程、生產(chǎn)制造過程、操作維護過程的一系列質(zhì)量控制方法進行，并通過驗證和確認的方法進行檢查。

通過以上部分，理解了可信性、失效、錯誤、故障、系統(tǒng)性故障、隨機性故障這些基本概念，就可以用第一性原理來說，總結(jié)起來三句話：

提升產(chǎn)品的可信性，就要是盡可能保持在正常狀態(tài)，盡可能少進入故障安全態(tài)，不能進入危險狀態(tài)；

達到第一點的要求，就要分析系統(tǒng)失效和引起失效的故障；

產(chǎn)生故障的成因分為兩方面：系統(tǒng)性和隨機性，有利于避免系統(tǒng)性故障和降低隨機性故障的工作就要多做，對這兩方面沒有價值的工作就少做或不做。

因此，在安全性可靠性的管理體系設(shè)計中，從以上三點出發(fā)，根據(jù)企業(yè)當(dāng)前的實際情況，采用第一性原理，從系統(tǒng)的故障機理出發(fā)，來檢查每一項工作是否有利于提升產(chǎn)品的可信性水平，相信可以找到這項工作的意義和價值。

審核編輯：劉清