在汽車中采用電子系統已經有幾十年的歷史，它們使汽車安全、節能與環保方面的性能有大幅度的提高。隨著研究的深入，許多系統需要共享和交換信息，為了節省線纜，就形成了依賴于通信的分布式嵌入系統。目前，世界上90%的都采用基于CAN總線的系統。FlexRay是下一代通信協議事實上的標準，它的功能安全性如何是至關重要的。

1 IEC61508功能安全的要求

目前車控系統正在向線控技術(xbywire)過渡，例如線控轉向與線控剎車。線控系統最終目標是取消機械后備，因為取消這些后備可以降低成本，增強設計的靈活性，擴大適用范圍，為以后新添功能創造條件。但是取消機械后備就對電子系統的可信賴性(dependability)要求大為提高。車是一個運動的物體，處于運動的環境之中，它因故障可能傷及自身及別人。取消機械后備，就將電子系統由今天的故障靜默(failsilent)要求提升到故障仍工作(failoperational)的要求。

國際上對工業應用的功能安全要求已制定了標準IEC61508，它主要關心被控設備及其控制系統的安全。雖然它也適用于汽車，但汽車不僅有上述功能安全問題，而且要關心由于功能變化造成的整車系統安全，所以汽車業內正在制定相應的標準ISO26262。汽車的功能安全等級分為4級，要求最高的是 ASILD，相應的失效概率<10-8/h，它相當于IEC61508的SIL3。根據實踐經驗，分配給通信的失效概率<10-10/h。有關這方面的介紹可參見參考文獻。

現在安全攸關的應用系統的范圍有所擴大，以前不算在內的一些系統現在都要算了。例如安全預先動作系統(presafe)中座椅調整子系統、剎車輔助系統中的燈光控制子系統、碰撞后telematic自動呼叫求援的子系統，都將視為安全攸關系統。

1.1 引起系統安全風險的通信故障

通信故障有5種表現形式，第1種是造成值域的錯誤。第2種是造成時域的錯誤，這是工業不同于民用的部分。一條消息不能在預定的時限前送達就失去了實用意義，例如與安全氣囊引爆有關的傳感器消息不能在數ms內送達就引起安全問題。在多播或廣播通信中還有第3種錯誤：數據完整性錯(拜占庭錯)，即各節點收到的結果不一致。它會引起系統性的失效，應對的策略必須將所有有關節點同時考慮。第4種是系統崩潰，除硬件失效外，也有干擾或軟件引起的，例如饒舌錯(babbling idiot)阻止通信。第5種是丟幀，短時間失效，例如可恢復的離線或bug引起的等效離線狀態，又如小集團錯。

1.2 通信的容許失效率

在通信故障對系統安全影響的分析上，參考文獻提供了一種方法，根據瞬態干擾出現的可能長度，計算通信失效的時段長，在假定的通信失效率下，推出系統的失效率。在該實例中，路段上電場超100 V/m的區間有可能引起通信失