本质安全与功能安全

为了了解功能安全的概念，先得熟悉下 和“本质安全”和“功能安全”的概念。假如以铁道的路口为例，比较一下基于两种安全概念的避免路口事故的方法。这里避免路口事故就是安全目标，为了实现这个目标，可进行如下操作：

首先，如果把铁道路口撤掉，直接改造成立交桥的形式，让火车和汽车都走各自的路，这样就不会发生人或者车辆横穿铁道口的事故了。像这样，根据系统的特性把危险源直接除掉的方法是「本质安全」。

其次，假如我们在铁道路口设置信号灯和道口自动栏杆，当火车来临时前闪红灯，同时将栏杆放下，避免行人或者车辆通过。像这样通过栏杆的拦截功能及预警灯来抑制事故风险的技术叫做「功能安全」。在这里信号灯和自动栏杆一种安全机制（Safety Mechanism）。理想的情况是不管什么场合都采用「本质安全」，但事实上，在很多场合里，由于系统自身的原因，不可能把危险源除掉。特别是像车载电控系统这样非常复杂的电子化系统，以上所述的本质安全很难被实现和应用。因此我们只能采用功能安全，它的目的就是在本质安全无法达到时，尽可能的通过增加安全机制去提高安全等级，实现安全目标。

电子控制器的功能安全

对于汽车而言，可将汽车看成一个“机器人”，驾驶员给这个“机器人”发送信号，比如踩踏板加油，汽车收到命令然后执行：电喷系统增加喷油，发动机输出扭矩增加，实现车辆加速。

对于传统汽车而言，它的结构简单，且大多数命令都是通过机械方式来实现的，如老式汽车的机械式节气门等，其失效的可预见性大；而现在汽车，其电子电气化增强，驾驶员的指令会先转换成相关信号，然后这些信号传递给控制器的处理芯片，然后最终驱动相关的执行器来执行，其失效的可预见性大大降低。 

正因为现代汽车随着电子电气化的程度越来越高，其整车的安全性很大程度就取决于电子控制器的安全性，比如发动机控制器ECU，变速箱控制器TCU，车辆稳定性控制器ESP等等。而且电子控制器失效的可预见性非常低，比如芯片／电路受外界干扰等，这很难预料什么情况会出问题，因此必须考虑电子控制器失效了会怎么办的问题。

功能安全考虑的角度

针对电子控制器失效了怎么办这个问题，首先得确定一个角度。比如极端高温情况下的ECU自燃，爆炸等这种系统本身带来的风险，这种风险不在功能安全的考虑范围内。

从产品安全的角度来说，可将其安全分为传统安全以及由电子/电气功能安全，传统安全包括：与触电、火灾、烟雾、热、辐射、毒性、易燃性、反应性、腐蚀性、能量释放等相关的危害和类似的危害，除非危害是直接由电子电气安全相关系统的故障行为而引起的。传统安全不在功能安全的考虑范围之内

根据国际上知名的安全协会的定义，比如英国汽车工业软件可靠性协会MISARA（The Motor Industry Software Reliability Association），比如德国的德国VDA协会（Verband der Automobilindutrie）德国汽车工业协会）他们是从车辆可控性的角度对功能安全提出要求。而IEC-61508强调从人身安全（还可以考虑设备安全）角度提出需求。因此从车辆可控性和人身安全两个层面上考虑功能安全就有了着陆点。

ISO26262中对功能安全定义：

ISO26262是专门用作提升汽车电子电气产品功能安全的国际标准，它派生于电子、电气及可编程器件功能安全基本标准IEC61508。

26262中是这样定义功能安全的：

Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems；即没有由电子、电气系统故障行为导致的危险所引起的不合理风险我们来分解下这段话： 

A.没有风险：absence of risk

B.没有不合理风险 unreasonable

C.没有由电子、电气系统故障行为导致的危险所引起的不合理风险

其中的关键词是不合理风险，什么是不合理风险呢，比如车辆行驶时安全气囊蹦出来了，这是不合理风险，这是功能安全需避免的问题。