盡管 ISO26262 通過定義 FSC 和 TSC 明確地將功能與系統(tǒng)分開，但日常實踐往往告訴我們一個不同的故事。功能和系統(tǒng)規(guī)范的一致策略很少見，盡管兩者都對安全分析的結構有重大影響，從而對分析結果的質量以及最終對系統(tǒng)的安全性有重大影響。但嚴格將功能與系統(tǒng)規(guī)范分開真的有意義嗎？如果我們不這樣做，風險是什么？如果我們這樣做，優(yōu)勢又是什么？讓我們先對功能和系統(tǒng)的含義進行簡短的思考。

系統(tǒng)將輸入信號轉換為輸出信號，因為其他系統(tǒng)需要輸出信號。轉換的規(guī)范稱為系統(tǒng)的功能，而系統(tǒng)是實現(xiàn)功能的實體，即創(chuàng)建其他系統(tǒng)所需的信號。因此，系統(tǒng)之間的接口是功能規(guī)范的一部分。系統(tǒng)規(guī)范包含所有系統(tǒng)內(nèi)部細節(jié)，解釋如何實現(xiàn)功能。換句話說：功能規(guī)范描述要做什么，系統(tǒng)規(guī)范描述如何提供什么。

然而，系統(tǒng)間接口的規(guī)范在功能規(guī)范和系統(tǒng)規(guī)范之間可能有所不同。通常，當信號僅通過邏輯狀態(tài)來描述時，功能級別不需要接口實現(xiàn)的技術細節(jié)。

示例：雨刮器電機可以處于以下狀態(tài)之一（關于旋轉）：OFF、SLOW、FAST 和 ERROR。電機由兩個信號控制，一個用于激活慢速旋轉，另一個用于激活快速旋轉。因此，接口規(guī)范可以包含兩個信號，如 WM_SLOW 和 WM_FAST，它們都具有三種潛在狀態(tài) OFF、ON 和 ERROR。這是 ECU 電機接口的完整且正確的規(guī)范。

對于模擬信號，這變得更加困難，有時甚至根本不可能。對于通信總線，必須考慮到信號必須與協(xié)議區(qū)分開來，協(xié)議的屬性可以被視為單獨的信號或資源。但只要可能，強烈建議指定一個接口，而不提供任何實現(xiàn)的技術細節(jié)。

為什么這與安全分析相關？

系統(tǒng)由系統(tǒng)元素組成。系統(tǒng)實現(xiàn)一項功能（或多項功能）。系統(tǒng)所有者負責正確實現(xiàn)所需功能，并定義系統(tǒng)架構，即系統(tǒng)元素和內(nèi)部接口。在功能層面，系統(tǒng)所有者將定義和指定系統(tǒng)元素的功能，特別是系統(tǒng)元素的接口作為功能規(guī)范的一部分。在為系統(tǒng)元素指定任何技術細節(jié)之前，可以執(zhí)行功能層面的安全分析。將識別系統(tǒng)元素的功能故障；將通過歸納法（例如 FMEA）評估影響。然后，將根據(jù)系統(tǒng)的安全相關功能故障分析系統(tǒng)架構。幾十年來建立的一種廣泛使用的方法是故障樹分析（定性）。首先，任何功能故障都是由系統(tǒng)元素的輸出信號故障引起的。與系統(tǒng)級分析類似，將開發(fā)系統(tǒng)元素功能故障的完整列表。然后，將通過演繹法（例如 FTA）分析感興趣的系統(tǒng)功能故障，以找到系統(tǒng)內(nèi)部的所有根本原因。換句話說：系統(tǒng)功能故障將與系統(tǒng)元素的相關功能故障相關聯(lián)。定性故障樹將表示所有系統(tǒng)功能故障的根本原因，這些故障樹沿著內(nèi)部信號路徑，結構良好，與系統(tǒng)架構完美匹配。最后但并非最不重要的是，所有不是系統(tǒng)功能故障根本原因的系統(tǒng)元素功能故障都可以通過歸納法進行分析，以進一步了解系統(tǒng)對內(nèi)部功能故障的反應。歸納法和演繹法提供了一套互補的工具，可以對功能故障的架構進行完整的分析。

到目前為止描述的分析完全獨立于系統(tǒng)設計的技術細節(jié)，從而為所有后續(xù)安全分析活動提供了基本結構。功能故障被分配給每個相關系統(tǒng)元素，只要接口規(guī)范不變，就可以獨立于任何其他系統(tǒng)元素的安全分析進行分析。即使沒有詳細定義，也可以啟動安全措施的設計。

結論：系統(tǒng)所有者可以執(zhí)行功能級故障樹分析。故障樹分析的范圍是系統(tǒng)的安全相關功能故障。故障樹分析的目標是找到可能導致系統(tǒng)功能故障的所有系統(tǒng)元素功能故障。所有系統(tǒng)元素都被視為黑匣子，實現(xiàn)系統(tǒng)所有者定義的功能。故障樹獨立于系統(tǒng)架構和設計，因此只要系統(tǒng)元素的功能和接口規(guī)范（在功能級別）不變，就可以重復使用。

一旦完成功能級安全分析，系統(tǒng)元素的所有者就可以啟動系統(tǒng)安全分析，其范圍是分配給系統(tǒng)元素的安全相關功能故障集。這里的“功能”=系統(tǒng)元素實現(xiàn)的功能。程序相同也就不足為奇了：

識別所有輸出信號故障模式。

將輸出信號故障模式（或組合）與系統(tǒng)元件的功能故障聯(lián)系起來。

將所有其他輸出信號故障模式報告給系統(tǒng)所有者，然后系統(tǒng)所有者將在功能或系統(tǒng)級別（歸納性）對其進行分析。

沿信號路徑通過系統(tǒng)元件架構向后分析輸出信號故障模式（演繹法）。

指定與系統(tǒng)元素內(nèi)部故障相關的安全要求。

指定系統(tǒng)元素輸入信號的安全要求并報告給系統(tǒng)所有者。

只要通過架構框圖指定下一個細節(jié)級別，就可以重復此策略。最終，分析將達到組件級別（硬件或軟件）。但是，在組件級別應用什么方法又是另一回事。

圖 1 顯示了一些泳道，對上述過程進行了高層次描述。從一個架構級別到下一個架構級別的遞歸結構很容易識別。從系統(tǒng)級別的功能故障分析開始，在系統(tǒng)級別架構上細化結果，在子系統(tǒng)級別上細化每個系統(tǒng)元素等。

圖 1：多個架構層面的安全分析的高級描述。

作為功能級 FTA 的結果，將為系統(tǒng)元素分配基本事件（見圖 2）。對于每個系統(tǒng)元素，將分析所有輸出信號故障模式 (OSF) 對系統(tǒng)級的影響（“FMEA（OSF）”）。將在功能級分析新識別的 OSF 以閉合回路。將沿著信號路徑進一步分析安全相關的 OSF，從而得到子系統(tǒng)級的 OSF（“FTA（安全相關 OSF）”）。

圖 2：功能級 FTA 的基本事件將用于初始化系統(tǒng) FMEA。將分析新發(fā)現(xiàn)的系統(tǒng)故障對功能級的影響。

系統(tǒng)級 FTA 的基本事件將用于初始化子系統(tǒng)級安全分析（圖 3）。適用相同的程序。首先，將對分配了系統(tǒng)級 FTA 基本事件的子系統(tǒng)元素的所有 OSF 進行分析（“FMEA（OSF）”）。將在系統(tǒng)級分析新識別的 OSF。將在子系統(tǒng)架構級沿信號路徑分析與安全相關的 OSF。此程序將應用于所有架構級別。

圖 3：系統(tǒng)級 FTA 的基本事件將用于初始化下一級別的 FMEA。將分析新識別的 OSF 對上級的影響。

在一個層次上對 OSF 的評估可能會導致必須在下一個更高層次上進行分析的影響（見圖 4）。這就是演繹方法深入研究架構設計細節(jié)的方式，而歸納方法則再次將循環(huán)閉合到更高層次（直至系統(tǒng)的功能層）。

圖 4：對新發(fā)現(xiàn)的 OSF 的歸納分析可以跨越多個架構層面。

摘要：在系統(tǒng)架構或設計細節(jié)可用之前，明確區(qū)分功能和系統(tǒng)級別的安全分析可以支持安全概念的早期開發(fā)。結構良好的分析流程不僅可以明確界定責任，還可以確保安全分析活動在受影響方之間更好地協(xié)調(diào)，從而顯著提高安全分析計劃和安全分析結果的質量。