隨著智能網聯汽車的普及，和國內自主品牌企業對于汽車電動化、網聯化、智能化的設計水平提升，企業的安全管理能力和產品的安全性也愈發重要。

近期，城市軌道交通行業也發布了一份城市軌道交通行業管理體系認證調研報告，筆者也參與了這份調研報告的編制過程，在軌道交通領域，不僅要考慮安全性，還有可靠性（reliability ）、可用性(Availability)、可維護性(Maintainability)，統稱為RAMS，由于軌道交通系統如信號系統、車輛系統涉及到公眾的生命安全，對于生產企業和產品的RAMS管理和技術要求已成為硬性要求，但從調研的情況來看，仍然有不少企業的實施情況不理想，存在體系管理與產品實際的安全可靠性脫節的情況。

那么，無論是機動車輛領域將要成為行業準入要求的安全管理，還是軌道交通行業已經實施多年的RAMS管理情況，如何能讓產品的安全性、可靠性指標達到設計要求，每個人都有著不同的見解看法，比如建立起全面的安全性、可靠性的管理體系，運用各種技術方法，這是一個非常復雜的系統工程課題，很難用一兩句話解釋清楚。

本篇用第一性原理來談談個人對這個問題的理解，所謂第一性原理，就是要從事物的基本原理出發，從物理學原理進行推論，這一過程會耗費更多精力。與之相對的采用類比的方法。運用類比的方法相比第一性原理更為省心省力，比如某企業的安全管理體系是如何建立的，某產品的設計就是這么來做的，就照著別人的管理方式，別人的產品作為參照物，亦步亦趨。

首先來理解一個術語概念，無論是汽車行業現在提的功能安全、預期功能安全、網絡安全，和汽車行業本來就有可靠性要求，還是軌道交通行業統稱的可靠性、可用性、可維護性和安全性，歸納起來在專業領域有一個統稱術語，叫可信性，英文是Dependability。它是系統的一種質量屬性，需要時按照要求執行的能力。可信性是一系列特性的統稱，包括可靠性（reliability ）、可用性(Availability)、可維護性(Maintainability)、安全性(Safety)，現在還會有網絡安全的要求，稱為安保性(Security)。

如何來保證系統能夠按照要求執行，通常把系統的狀態定義三種：

1.正常運行狀態：系統可以正常執行預期功能的狀態

2.不能正常運行后的安全狀態：系統無法正常執行預期功能，但保持在了安全的狀態

3.不能正常運行后的危險狀態：系統無法正常執行預期功能，進入了危險狀態，存在引發潛在事故的風險

它們三者之間的相互轉換關系如下

從第一性原理出發，具備高可信性意味著系統在規定的時間內，盡可能保持在正常狀態，盡可能少進入故障安全態，不能進入危險狀態。進入危險狀態就可能會發生事故，絕對不能接受，但頻繁接入故障安全態也不好，可靠性太低，用戶也不會接受。比如AEB輔助駕駛系統，產生非預期的剎車，存在后車追尾的事故風險，但頻繁地不能維持功能，退出輔助駕駛狀態，給用戶的體驗感降低。

如何做到呢，從上圖中可以看出，就是要分析失效，這里引出了下面三個：

故障（fault）：可能導致系統錯誤的異常情況。

錯誤（error）：計算的、觀測的、測量的值或條件與真實的、規定的、理論上正確的值或條件之間的差異。

失效（failure）：系統按要求執行功能的能力的終止。系統偏離了其規定的功能或性能。

它們之間的傳播鏈為：

從最低層部件發生故障，故障引起了部件偏離了其正常的性能指標范圍，發生錯誤，錯誤引起了失效，失效又造成了其上一級的故障，一級級地向上傳遞，最終引起了系統執行功能中斷，中斷后存在兩種可能：保持在了不可用但安全的狀態，不可用并存在危險的狀態。

如實現列車車門控制的功能為例，以下是一個簡略的傳播鏈

理解了失效發生的原因，可以得出如果想要避免失效，那么就要找到引起失效的故障原因，存在兩個類型的故障，即系統性故障和隨機性故障。隨機性故障是由生產制造和運行過程造成的，如老化，磨損，退化，外部影響等。系統性故障可以被復現，因為它們來源于設計錯誤。隨機性故障也可能由設計錯誤引起，如低估了周邊環境溫度對處理器的影響，選擇了不合適的處理器或者處理器散熱控制不當，引起了處理器死機屬于設計錯誤。

如何降低和避免系統性故障和隨機性故障的發生，隨機性故障是客觀存在的，不能完全規避，但可以通過一些安全設計方法如冗余，多樣性提高安全性，通過熱設計、電磁兼容設計、抗振性等設計方法提高可靠性，系統性故障是可以規避的，通過開發過程、生產制造過程、操作維護過程的一系列質量控制方法進行，并通過驗證和確認的方法進行檢查。

通過以上部分，理解了可信性、失效、錯誤、故障、系統性故障、隨機性故障這些基本概念，就可以用第一性原理來說，總結起來三句話：

提升產品的可信性，就要是盡可能保持在正常狀態，盡可能少進入故障安全態，不能進入危險狀態；

達到第一點的要求，就要分析系統失效和引起失效的故障；

產生故障的成因分為兩方面：系統性和隨機性，有利于避免系統性故障和降低隨機性故障的工作就要多做，對這兩方面沒有價值的工作就少做或不做。

因此，在安全性可靠性的管理體系設計中，從以上三點出發，根據企業當前的實際情況，采用第一性原理，從系統的故障機理出發，來檢查每一項工作是否有利于提升產品的可信性水平，相信可以找到這項工作的意義和價值。

審核編輯：劉清