根据ISO26262，有两种故障，一种是硬件随机故障，一种是系统故障（软硬件都有可能），只有系统故障才能够重现。对于硬件随机故障，针对安全相关系统，有几个主要的规则：
1，不能因为一个简单的硬件故障而导致风险事件发生，即单点故障要避免
2，针对某个风险事件，系统整体的失效率要小于相应的安全级别对应的失效率要求（10-7/h对应ASIL B和C，10-8/h对应ASIL D）。
对软件而言，只能说经验表明，按照ISO26262相应的软件设计和测试要求，软件的“出错概率”可以达到按照相同安全级别设计出来的硬件失效率。
我上次说过，相对欧美主流的OEM，丰田在功能安全领域还是个新手，所以出现这么多问题不奇怪，根据我的观察，丰田本田等日本OEM很快能赶上来，中国本土的OEM呢？要是我没说错的话，中国本土OEM的ECU里面的软件应该基本上都是博世，德尔福，瓦雷奥等帮他们写的吧，所以虽然安全性好于丰田，但是本土OEM对里面一无所知，供应商修改了什么程序，为什么修改等等问题估计永远不会知道。
【 在 lef 的大作中提到: 】
: 我不是写代码的
: 但感觉开始就把人引入误区了
: 不遵循规范的程序就有缺陷？全局变量多的程序就应该有缺陷？
: ...................
--
FROM 222.66.72.*