“单一故障原理”（Single Failure Principle，SFP）要求在一个系统中，任何一个（单一的、随机的）独立故障事件的发生，都不应导致整个系统丧失其要求的安全功能或关键功能。简单来说，就是系统设计要足够健壮，一个地方坏了，整个系统还能继续正常工作，或者至少能安全地停下来，而不会造成灾难性后果。

关键要点的理解和解释如下——
关注“单一”故障：

这个原理针对的是单个、独立发生的故障。它假设故障是随机发生的，并且在同一时刻只发生一个故障（或者多个故障发生的概率极低，可以忽略）。

它不要求系统在同时发生多个故障（共因故障或多重故障）的情况下仍然能正常工作。设计抵御多重故障通常需要更复杂的策略（如故障容错）。

防止“级联失效”：

单一故障原理的核心目标就是防止一个局部的、小范围的故障像多米诺骨牌一样引发连锁反应，最终导致整个系统崩溃或丧失关键功能（尤其是安全功能）。

核心是“功能保障”：

最重要的是保证关键功能，尤其是安全功能不丧失。对于安全关键系统（如核电、航空、化工、医疗设备、电梯、刹车系统等），这意味着单一故障不能导致危险状态。

主要实现手段 - 冗余：

实现单一故障原理最常用、最有效的方法就是引入冗余。

硬件冗余： 使用多个相同的部件并行工作。如果一个部件故障，其他部件可以继续承担负载（例如：多台泵、多个电源、多个控制通道、多个发动机）。

功能冗余： 使用不同的方法或技术来实现同一个关键功能。这样，一种方法失效，另一种方法还能顶上（例如：机械备份 vs 电子控制，不同的传感器类型测量同一个参数）。

隔离与多样性： 将系统设计成不同的部分相互隔离，一个部分的故障不会轻易影响到其他部分（例如：轮船的隔离舱）。使用不同设计、不同供应商、不同技术的组件可以减少共因故障的风险。

故障检测与切换：

冗余本身还不够。系统还需要有能力快速检测到发生的故障，并能自动或安全地切换到备用部件或备用路径上。例如，备用发电机需要在主电源失效时自动启动。

应用领域：

核电站： 反应堆保护系统、应急冷却系统等。

航空航天： 飞行控制系统、导航系统、发动机控制系统、液压系统等。

铁路信号系统： 确保列车运行安全。

化工过程安全： 关键联锁保护系统。

医疗器械： 生命支持设备（如呼吸机、透析机、起搏器）。

电梯安全系统： 多重制动装置、超速保护等。

关键基础设施： 电网、数据中心（冗余电源、网络、冷却）。

汽车安全系统： 刹车系统（双回路）、安全气囊控制系统等。

该原理广泛应用于对安全性和可靠性要求极高的领域：

重要性
提高安全性： 是防止小故障演变成大事故的最基本防线，尤其在涉及人身安全或环境安全的领域。

提高可靠性： 使系统在出现不可避免的部件故障时，仍能继续提供服务或功能，减少停机时间。

满足法规要求： 许多安全标准和法规（如IEC 61508 - 功能安全、核电法规、航空适航条例等）都明确要求或强烈推荐遵循单一故障原理进行设计。

【案例】：挑战者号航天飞机灾难
挑战者号航天飞机于美国东部时间1986年1月28日上午11时39分发射。挑战者号航天飞机升空后，因其右侧固体火箭推进器的O型环密封圈失效，毗邻的外部燃料舱在泄漏出的火焰的高温烧灼下结构失效，使高速飞行中的航天飞机在空气阻力的作用下于发射后的第73秒解体，机上7名宇航员全部罹难。