功能安全怎么做？

近年来，功能安全似乎变得热门了，从工控行业到轨道交通再到汽车行业，功能安全逐渐成为安全相关产品的必要需求，在热度不断攀升的同时也带来了更多质疑的声音，功能安全是鸡肋还是珍宝？到底是否值得花费大量的人力、资源、成本去实现产品的功能安全呢？
表面来看，功能安全好像有点纸上谈兵，因为一切要以证据说话，证据又都是体现在白纸黑字的文档上，由此产生的误解便是功能安全主要是文档功夫。所谓外行看热闹，内行看门道，真正的功能安全一定不能从表面来认知，而要深入到技术里，功能安全与技术息息相关。
随机失效和系统失效
了解功能安全，首先要了解失效。以一个控制系统为例，无论它应用在工控领域，轨道交通领域还是汽车领域，控制系统都是由软件和硬件组成。对于硬件，属于实实在在的有形产品，随着时间的推移，它会逐步老化，在这个过程中会产生随机失效，由一个最底层元器件的随机失效，可能引发整个模块、设备、系统层面的失效，最终产生危险输出，发生事故。对于软件，它属于无形产品，软件人员能力，需求和设计过程，测试的情况都会影响最终软件的质量，这些不可量化的失效统称为系统性失效，世界上没有绝对完美的软件代码，优质的软件也不过每千行代码平均20个左右BUG，这些BUG都像一枚枚炸弹隐藏在软件代码之中，当运行环境、外部或内部条件达到触发条件时，便会一触即发，在系统中造成巨大的负面影响，可能最终导致事故的发生。因此功能安全的使命就是尽可能的降低随机性失效和系统性失效，将风险降到可接受的范围内。
安全完整性等级
风险到底在什么范围内是可接受的呢？功能安全专业上通过安全完整性等级SIL或ASIL来区分。在工控领域、轨道交通领域和汽车领域里安全完整性等级分类定义有所差别：

功能安全包括技术和管理两部分，覆盖产品生命周期的每一个环节。功能安全