汽车安全设计的一个原则是，只出现一个故障点的时候，不会造成整车安全问题。因此设计的时候，针对每一个可能的故障，都会设计相应的安全机制或者降级模式来保证人身安全。
在ISO26262中，很少考虑两个或两个以上故障点同时发生的情况，因为一个安全相关的故障点发生的概率是不大于10-7/h，两个独立的故障点同时发生的概率不大于10-14/h，默认为没可能发生。这个案例中，即使巡航控制出现故障（原始故障，以及相应的安全机制也失效，如果有的话），仍然有办法的解决的（换档，踩刹车）。悲催的是这个案例中不能确认到底发生了多少个故障点。这种情况下，很可能是发生了common cause failure，比如：电磁干扰，12V供电失效，接地失效，但是都无法很好的解释这个案例。看官方调查报告再说吧。
--
FROM 194.250.98.*