FS-A1 — 功能安全的分解-聚合双向链:为什么 V-cycle 是一条断不得的逻辑链

本质与导读

专家养成 · 模块一(功能安全)· A 阶第 1 讲。这是整个课程的第一块地基。在碰任何具体方法(HARA / FMEDA / Lockstep)之前,先想清楚一件事:功能安全这套庞大的体系,到底在回答什么问题,以及它为什么必须长成 V-cycle 这个形状。把这一讲的逻辑链立住,后面每一篇 deep 你都能立刻知道它挂在链上的哪一环、在防什么。

开篇:硬约束——"安全"无量纲,而系统复杂到无法直接回答"够不够安全"

功能安全要回答的,本质上只有一个问题:这个电子系统失效的时候,会不会害死人,而且概率够不够低。

难点在于这个问题没法直接回答。一个 EV 主驱逆变器上千个元件、几十万行代码,你无法对它整体下一个"它够安全"的结论——安全没有量纲(见 FS-A2 会展开),系统又复杂到任何整体断言都不可信、不可论证。

能做的只有一件事:分解,再聚合。把"整车够安全"这个回答不了的大命题,逐级拆成"每颗器件的失效率要求"这种能算的小命题(下行);再把每颗器件的实测数据逐级累加、论证回"整车安全目标满足"(上行)。这就是 V-cycle 的全部本质——左边下行分解、底部实现、右边上行聚合。ISO 26262 那 12 个 Part、wiki 上 40+ 篇功能安全 deep,全是在给这条下行链或上行链的某一环提供方法。

而这条链有一个不讲情面的性质:它是逻辑链,不是清单。链断任何一环,整个 Safety Case 就不是"扣分",是不成立。ASIL D 项目翻车,几乎都死在这。

中段:第一性原理——双向链,下行细化、上行聚合

把 V-cycle 摊开看,是两条方向相反、必须闭合的链。

下行链是逐级回答"上一级怎么实现"的过程,每一环防一种特定的逻辑断裂。安全目标(SG,最抽象的安全意图,如"防止非预期扭矩 $> \pm 10%$ ")先被功能安全概念 FSC 拆成功能层需求 FSR(系统该有什么安全行为),再被技术安全概念 TSC 拆成 TSR(绑定到具体架构与安全机制 SM),TSR 再经 HSI 文档切成硬件安全需求与软件安全需求,最后落到每颗器件的诊断与失效率要求。

贯穿下行链有一条数学约束:下一级需求集合必须"完整覆盖且不超出"上一级。缺了,SG 没被完整实现;多了,引入了没人授权的复杂度。形式化地说,若上一级需求集为 $R_{n}$ 、下一级为 $R_{n + 1}$ ,则要求 $R_{n + 1}$ 对 $R_{n}$ 既无遗漏也无冗余——这正是双向可追溯(traceability)的下行半边。

上行链是逐级聚合证据、回答"做了的东西真的够吗"的过程。它需要三类性质完全不同、互补的证据:

概率证据(FMEDA):每颗器件失效率 $\times$ 诊断覆盖率,自底向上累加出 SPFM / LFM / PMHF。ASIL D 的硬约束是 $SPFM \geq 99%$ 、 $LFM \geq 90%$ 、 $PMHF \leq 10 FIT$ ( $1 FIT = 1 0^{- 9} / h$ )。
逻辑证据(FTA):从顶事件向下回溯最小割集,回答"有没有单点能一步捅穿到危害"。
实测证据(V&V / Fault Injection):真往系统注入故障,确认安全机制真的在故障容错时间内切到了安全状态——它验证的恰恰是 FMEDA 那个"假设 SM 有效"的前提。

为什么三类缺一不可,从第一性原理就清楚:概率证明"够罕见",逻辑证明"无致命单点",实测证明"机制真有效"。只算 FMEDA 不做 FI,99% 建在沙子上;只做 FI 不算 FMEDA,证了机制有效却不知总体概率够不够。最后 Safety Case 用 GSN 论证树把三类证据组装成"SG 已满足"的完整 argument,FSAR 签字闭合。

功能安全分解-聚合双向链 — 左下行 SG→FSR/TSR→HSI→器件要求(覆盖且不超出),底实现,右上行概率/逻辑/实测三类证据→Safety Case→SG满足;断一环即不成立、翻车在接口

落地:为什么"链断一环就不成立",以及翻车永远在接口

把这条链想清楚,就能预测 ASIL D 项目最常见的失败模式——几乎全在环与环的交接处,不在单环内部。最危险的一类:FMEDA 为凑够 99% 假设了某个 SM 并给了诊断覆盖率,但那个 SM 在软件里从未实现——这个断裂直到 V&V 的 Fault Injection 才暴露,此时返工要退回设计阶段,代价最高。其余如 TSR 没绑定 SM(导致 FMEDA 无法算诊断覆盖率)、HSI 漏了 timing 约束(软件按自己理解实现、集成时才发现不满足时序),共性都是双向 traceability 没被工具强制约束。根治不是靠人更细心,而是用需求管理工具做 traceability 矩阵的自动完整性检查。

这也解释了为什么"链断一环 = Safety Case 不成立":Safety Case 是一棵论证树,每个结论节点都靠下层证据支撑;任何一处证据悬空(引用了不存在或未实现的东西),整棵树的根结论"SG 满足"就失去支撑——不是弱一点,是逻辑上不再成立。

承下:从"逻辑链"到"链的起点"

这一讲立住了功能安全的骨架:它是一条**"hazard 倒推到器件、再聚合论证回 SG"的双向单一逻辑链**,下行逐级细化(覆盖且不超出)、上行靠概率+逻辑+实测三类证据闭环,断一环即不成立。脑子里有这条链,再看任何一篇 deep,你都知道它挂在哪一环、在防什么。

但这条链的起点是 SG,以及钉在 SG 头上的那个 ASIL 字母——它决定了整条链要花多大力气。SG 从哪来?ASIL 凭什么是 D 而不是 A?下一讲 FS-A2 拆这一环:风险是怎么从一团连续、主观的"危险感",被压成 S/E/C 三维、ASIL 五档的可复现量。

FS-A1 — 功能安全的分解-聚合双向链:为什么 V-cycle 是一条断不得的逻辑链

本质与导读

1. 开篇:硬约束——"安全"无量纲,而系统复杂到无法直接回答"够不够安全"

2. 中段:第一性原理——双向链,下行细化、上行聚合

3. 落地:为什么"链断一环就不成立",以及翻车永远在接口

4. 承下:从"逻辑链"到"链的起点"

4.1. 延伸阅读

开篇:硬约束——"安全"无量纲,而系统复杂到无法直接回答"够不够安全"

中段:第一性原理——双向链,下行细化、上行聚合

落地:为什么"链断一环就不成立",以及翻车永远在接口

承下:从"逻辑链"到"链的起点"

延伸阅读