(1)作者背景资深:现就职于某知名的以商用汽车安全和信息化为核心业务的上市公司,曾就职于法雷奥。
(2)作者经验丰富: 10 余年汽车电子与功能安全领域的研发和管理经验,主导 BMS/VCU 等核心产品认证,以及功能安全流程体系的搭建。
(3)打通标准与工程实践桥梁:从实践角度对ISO 26262/GB/T 34590标准进行全面解读,使之不再晦涩难懂,并指导读者如何将功能安全落地。
(4)独特写作方式:独创 “问题驱动 + 案例拆解” 模式,包含50 +典型案例、300 +实践问答,直击功能安全落地痛点。
内容简介
这是一本系统、深度解读ISO 26262/GB/T 34590功能安全标准并解决标准落地难题的实战性著作,为读者打通标准与工程实践的桥梁,能有效弥合二者的差距。本书是作者从事汽车电子与功能安全10余年经验的总结,得到了众多行业专家的高度评价。
全书以 V 模型开发流程为主线,分为两大板块:
第一部分 功能安全详解(第1~9章)
从功能安全管理、概念设计到系统、硬件、软件开发,全面论述 V 模型左侧设计要求,还包含测试验证、硬件要素评估等内容。特别设置 “架构设计专题”,深度解析 MooN 架构与 Fail-safe/fail-operational 模式的融合应用,结合 ISO 13849 机械安全架构、E-GAS 三层电子架构等前沿模型,提供芯片级安全设计与智能驾驶架构的落地方案。
第二部分 功能安全分析(第10~16章)
系统讲解 FMEA、FTA、FMEDA、DFA等分析方法及 ASIL 分解等实践要点。读者将通过本书掌握功能安全开发全流程、各类分析方法及架构设计要点,解决标准晦涩难懂、落地困难等痛点,获得可直接应用于项目的实践经验。
书中贯穿三大特色亮点:
(1)“解读 + Q”特别设计:从理论角度深度解析标准条款,从实践角度抛出300余工程实践问题(如 “如何避免 FMEDA 分析偏差?”),激发思辨;
(2)50余真实案例:涵盖电机驱动单元 FMEDA 分析、双核锁步架构设计等场景,附完整失效模式分类表;
(3)增值资源:“功能安全落地漫谈”也为读者提供了额外的学习资源。
无论是汽车电子工程师、安全评估师,还是高校科研人员,都能从书中获得从标准理解到项目落地的全链路解决方案,真正实现 “学完就能用” 的知识转化。
目 录?Contents
前言
第一部分 功能安全详解
第1章 功能安全概述 2
1.1 导读 2
1.2 关于安全文化 5
1.2.1 安全文化的定义及评价
准则 5
1.2.2 安全文化的要求与呈现
方式 8
1.3 ISO 26262 功能安全概述 13
1.3.1 ISO 26262的发展历程 13
1.3.2 重要术语定义 14
1.3.3 为什么需要功能安全 22
1.3.4 ISO 26262标准总体内容
框架概览 25
1.3.5 ISO 26262标准分解概览 26
1.4 本章小结 40
第2章 ISO 26262中的功能安全
管理 41
2.1 功能安全管理的主要活动 42
2.2 功能安全管理中的角色与职责 42
2.3?安全计划 44
2.3.1 关于组织架构 45
2.3.2 关于开发接口协议 46
2.3.3 关于安全异常管理 47
2.3.4 关于能力管理 49
2.4 关于安全档案 49
2.5 关于认可措施 51
2.5.1 认可措施简介 52
2.5.2 认可评审 55
2.5.3 功能安全审核 55
2.5.4 功能安全评估 56
2.5.5 认可措施的独立性 57
2.6 关于验证 58
2.6.1 验证方式 58
2.6.2 验证与认可措施的联系 59
2.7 功能安全管理之生产、运营、
服务和报废环节 60
2.7.1 生产计划的相关要求 61
2.7.2 样件制造、预生产及生产的
相关要求 62
2.7.3 运营、服务和报废计划相关
要求 63
2.8 功能安全管理之需求管理 64
2.8.1 需求的颗粒度与完整性 67
2.8.2 需求的来源 70
2.8.3 如何编写需求 72
2.8.4 如何管理需求 73
2.8.5 安全需求与安全概念的
区别和联系 78
2.9 本章小结 83
第3章 功能安全之概念阶段 84
3.1 什么是HARA 84
3.2 实施HARA活动前的准备 85
3.3 如何实施HARA活动 88
3.3.1 步骤一:危害分析 89
3.3.2 步骤二:场景识别 93
3.3.3 步骤三:风险评估 95
3.3.4 步骤四:分析整理 103
3.4 HARA方法得到的ASIL等级
对应活动的区别 104
3.5 “万里长征”第一步:从SG
到FSC 108
3.5.1 什么是 FSR 108
3.5.2 如何获取FSR 110
3.5.3 什么是 FSC 112
3.6 本章小结 113
第4章 功能安全之系统开发 114
4.1 系统层面开发模型概览 114
4.2 系统层面功能安全开发的考虑 116
4.3 技术安全概念设计基本要点 117
4.4 系统层面的架构设计 120
4.5 软硬件接口规范 122
4.6 安全验证与确认 125
4.6.1 验证 125
4.6.2 确认 126
4.6.3 系统验证和确认要求 127
4.7 本章小结 128
第5章 功能安全之硬件开发 129
5.1 功能安全硬件开发模型 129
5.2 功能安全硬件开发中的
常见问题 130
5.3 硬件安全要求 132
5.3.1 目的 132
5.3.2 输入输出关系 132
5.3.3 如何定义HSR 133
5.3.4 硬件安全要求的导出示例 134
5.4 硬件设计 137
5.4.1 目的 137
5.4.2 输入输出关系 138
5.4.3 硬件设计过程 138
5.4.4?硬件层面的HSI规范 144
5.5 硬件安全分析 145
5.5.1 硬件故障的类型及相关
定义 147
5.5.2 硬件安全分析(定性)与
设计举例 149
5.5.3 练习时刻 155
5.6 硬件架构度量 156
5.6.1 基础知识 156
5.6.2 单点故障度量 158
5.6.3 潜在故障度量 158
5.6.4 随机硬件失效度量 159
5.6.5 硬件架构度量计算示例 160
5.6.6 练习时刻 164
5.7 硬件设计验证 167
5.7.1 目的 167
5.7.2 要求及建议 167
5.7.3 工作成果 170
5.8 本章小结 170
第6章 功能安全之软件开发 172
6.1 软件开发概述 172
6.1.1 软件开发模型 172
6.1.2 软件开发的通用要求 173
6.2 软件安全要求 178
6.2.1 目的 178
6.2.2 要求与建议 178
6.3 软件架构设计 180
6.3.1 目的 180
6.3.2 什么是架构 180
6.3.3 什么是软件架构 181
6.3.4 软件架构与系统的交互 181
6.3.5 软件系统简介 182
6.3.6 软件层面的开发视图 183
6.3.7 软件架构设计要求及方法 185
6.4 软件详细设计 198
6.4.1 目的 199
6.4.2 输入输出关系 199
6.4.3 软件详细设计要求 200
6.5 软件设计验证 202
6.5.1 软件安全分析 202
6.5.2 软件要素间的免于干扰 203
6.5.3 简述软件单元验证 211
6.5.4 简述软件集成和验证 213
6.5.5 简述嵌入式软件测试 215
6.6 本章小结 217
第7章 功能安全之测试与验证 218
7.1 关于验证与确认 218
7.1.1 验证 219
7.1.2 确认 219
7.2 硬件测试与验证 220
7.2.1 目的 220
7.2.2 输入输出关系 221
7.2.3 硬件测试与验证的相关
要求 221
7.3 软件测试与验证 224
7.3.1 详解软件单元验证 224
7.3.2 详解软件集成和验证 231
7.3.3?详解嵌入式软件测试 233
7.3.4 软件测试方法 234
7.4 系统测试与验证 237
7.4.1 目的 238
7.4.2 输入输出关系 238
7.4.3 软硬件集成与验证 238
7.4.4 系统集成与验证 241
7.4.5 整车集成与验证 243
7.5 安全确认 244
7.5.1 目的 244
7.5.2 输入输出关系 245
7.5.3 安全确认的相关要求 245
7.6 本章小结 246
第8章 硬件要素评估与软件组件、
工具鉴定 247
8.1 硬件要素评估 247
8.1.1 硬件要素评估的目的 248
8.1.2 硬件要素的分类 249
8.1.3 硬件要素评估方法 250
8.2 软件组件鉴定 253
8.2.1 软件组件相关概念 253
8.2.2 软件组件鉴定的目的 254
8.2.3 软件组件鉴定的适用范围 255
8.2.4 软件组件鉴定的相关要求 255
8.2.5 如何进行软件组件鉴定 257
8.3 软件工具鉴定 259
8.3.1 软件工具鉴定的概念 259
8.3.2 软件工具置信度评估
相关要求 260
8.3.3 如何进行软件工具鉴定 261
8.4 本章小结 265
第9章 功能安全架构设计 266
9.1 MooN架构模型探讨 266
9.1.1 Fail-safe 架构 267
9.1.2 Fail-operational架构 269
9.1.3 MooN架构及MooN(D)
架构 271
9.2 机械安全系统的指定架构 278
9.2.1 Category B 指定架构 279
9.2.2 Category 1 指定架构 279
9.2.3 Category 2 指定架构 280
9.2.4 Category 3指定架构 280
9.2.5 Category 4指定架构 281
9.3 关于IEC 62061中的安全
控制系统架构 282
9.3.1 A类系统架构 282
9.3.2 B类系统架构 283
9.3.3 C类系统架构 283
9.3.4 D类系统架构 286
9.4 E-GAS三层电子监控架构 286
9.4.1 设计概念 287
9.4.2 应用示例:整车控制器 287
9.5 硬件层面的芯片功能安全
架构设计 294
9.5.1 芯片的硬件安全设计要求
参考 295
9.5.2 芯片的供电安全 297
9.5.3 芯片的时钟安全 302
9.5.4 芯片的存储安全 305
9.5.5 芯片的温度监控 307
9.6 软件层面的芯片功能安全
架构设计 308
9.6.1 芯片的软件安全 308
9.6.2 芯片的通信安全 313
9.6.3 芯片的信息安全 314
9.7 不可小瞧的“隐匿杀手”—
单粒子翻转 322
9.7.1 无处不在的电离辐射 322
9.7.2 单粒子翻转 323
9.7.3 单粒子翻转的缓解措施 324
9.8 自动驾驶系统的Fail-operational
架构 328
9.8.1 Fail-operational架构设计
考量 328
9.8.2 Fail-operational架构参考
模型 332
9.8.3 实现最低风险条件的智能
失效可运行的回退策略 337
9.9 本章小结 340
第二部分 功能安全分析
第10章 FMEA和FMEA-MSR
方法及应用 342
10.1 FMEA的定义及发展历程 342
10.1.1 FMEA简介 342
10.1.2 FMEA的发展历程 343
10.2 FMEA的目的和应用时机 344
10.3 FMEA的类型 345
10.3.1 DFMEA 345
10.3.2 PFMEA 345
10.4 FMEA方法 346
10.4.1 第一步:策划准备 347
10.4.2 第二步:结构分析 347
10.4.3 第三步:功能分析 349
10.4.4 第四步:失效分析 351
10.4.5 第五步:风险分析 355
10.4.6 第六步:优化 365
10.4.7 第七步:结果文件化 367
10.5 FMEA的特殊特性 369
10.5.1 特殊特性的定义及分类 370
10.5.2 特殊特性的传递 373
10.6 FMEA-MSR方法 376
10.6.1 FMEA在ISO 26262中
的局限 376
10.6.2 具体实施 377
10.6.3 如何避免监控设计的缺陷 385
10.7 本章小结 386
第11章 FTA方法 387
11.1 FTA的发展历程 387
11.2 FTA相关内容简介 389
11.2.1 故障树介绍 389
11.2.2 FTA的定义 389
11.2.3 FTA的目的 390
11.3 ISO 26262 中关于 FTA 的
说明及要求 390
11.4 FTA中的事件及其符号 392
11.4.1 底事件 392
11.4.2 结果事件 392
11.4.3 特殊事件 393
11.4.4 FTA中的逻辑门及其
符号定义 393
11.4.5 FTA中的转移符号 395
11.5 FTA中的术语 397
11.5.1 模块与最大模块 397
11.5.2 割集与最小割集 398
11.5.3 径集与最小径集 399
11.5.4 单调故障树与非单调
故障树 401
11.5.5 重要度 403
11.6 FTA实施原则 404
11.6.1 划定边界和合理简化
架构图 404
11.6.2 故障事件严格定义 404
11.6.3 故障树应逐层推演 405
11.6.4 从上而下逐级建树 405
11.6.5 建树时不允许逻辑门
直接相连 406
11.6.6 妥善处理共因事件 406
11.7 FTA实施步骤 407
11.8 本章小结 408
第12章 故障树构建与分析 409
12.1 确定顶事件 410
12.2 确定子树 410
12.3 子树演绎 410
12.4 子树集成 414
12.5 故障树整理 415
12.5.1 目的 415
12.5.2 故障树规范化的基本
规则 415
12.5.3 故障树的简化与模块
分解 419
12.6 故障树定性分析 426
12.6.1 目的 426
12.6.2 求最小割集 426
12.6.3 故障树定性分析示例 428
12.7 本章小结 433
第13章 FMEA与FTA融合分析 434
13.1 FMEA与FTA的区别与联系 434
13.2 FMEA与FTA的融合 436
13.2.1 前融合 437
13.2.2 后融合 437
13.2.3 双向融合 438
13.3 本章小结 440
第14章 FMEDA方法 441
14.1 FMEDA相关概念 441
14.1.1 FMEDA与FMEA 442
14.1.2 失效率 442
14.1.3 失效模式 443
14.1.4 安全机制 444
14.1.5 诊断覆盖率 444
14.1.6 安全状态 445
14.2 随机硬件故障的特征及
分类流程 445
14.2.1 单点故障特征 445
14.2.2 残余故障特征 446
14.2.3 可探测的双点故障特征 446
14.2.4 可感知的双点故障特征 447
14.2.5 潜在双点故障特征 447
14.2.6 安全故障特征 448
14.2.7 随机硬件故障分类流程 448
14.3 FMEDA输入输出信息 448
14.4 FMEDA 的相关要求 449
14.5 FMEDA方法应用 450
14.5.1 FMEDA五步法 450
14.5.2 FMEDA示例 451
14.6 本章小结 456
第15章 DFA方法 457
15.1 为什么要实施DFA 457
15.2 DFA与其他安全分析方法
之间的关系 459
15.3 DFA实施的相关要求 460
15.4 DFA六步法 461
15.5 本章小结 469
第16章 ASIL等级分解 470
16.1 ASIL 等级分解相关概念
及要求 470
16.1.1 ASIL 等级分解的概念 471
16.1.2 ASIL等级分解要求 472
16.2 ASIL等级分解的目的 473
16.3 ASIL等级分解原理 474
16.3.1 ASIL等级分解的数学
原理 475
16.3.2 ASIL等级分解要点 476
16.4 ASIL 等级分解实践 477
16.5 本章小结 479
后记 480
朱玉龙 汽车电子工程师、资深汽车专业博主、行业专家,著有《汽车电子硬件设计》
这本书给我的第一印象——“接地气,讲得明白”。功能安全知易行难,光懂标准没用,关键是能落地。这本书没有堆砌概念,也没有生搬硬套,而是通过有温度的方式解读了标准,讲清楚了功能安全如何落地。如果你想快速理解功能安全并且在实际工作中应用它,这本书是不错的选择。
王晓钟 主题专家,功能安全、系统安全、软件安全、硬件安全、认证可靠性工程师
本书全面介绍了ISO 26262标准,首先解释了标准的各个部分,然后在事实说明书中描述了标准最重要的结果。为了帮助读者更好地理解,还用大量示例说明了标准的各项要求。读者可以凭借对该标准的了解去应聘功能安全经理或系统工程师等职位。当你的经理不愿意聘请另一位安全经理或接受适当的安全相关开发流程时,你可以用本书与他交谈。
吴伊律 先起电子功能安全专家
ISO 26262或GB/T 34590 都是针对车辆功能安全的标准,首次接触这些标准的人普遍认为它们的各项条款的语义晦涩难懂。作者基于对ISO 26262的充分理解,从一个全新的角度对它进行了解读,语言直白易懂。书中包含了从业者常见的问题、常用安全架构的分析、吸引硬件开发人员的FMEDA的深入说明等大量精彩内容。读完此书后再重读ISO 26262,你会发现原先晦涩难懂的标准条款变得更加清晰易懂了,这正是此书的主要功效。
Sony Andrews Jobu-Dass Xenban公司质量、网络安全和功能安全顾问专家
本书对功能安全的概念和实践进行了全面而详细的探索,特别关注ISO 26262标准,融入了作者对该标准的深刻理解,以清晰易懂的方式对复杂的概念进行了解释,并为该领域的从业者提供了宝贵的见解。本书有效地弥合了理论和实践之间的差距,为功能安全项目的实施提供了大量的方法和案例,既适合该领域的新手,也适合经验丰富的专业人士。
秦伶巧 美国Rivian电车公司高级技术安全工程师
本书的一大亮点在于其本土化视角。作者参与了中国汽车零部件供应商采纳ISO 26262标准的过程,基于这些经验分析了中国市场功能安全落地的挑战与机遇。以问题清单的方式引导读者思考,围绕风险控制、FMEA等展开。“解读”章节融合标准应用实践经验,“Q”章节基于不同产品项目实践设问促思辨,直接弥合标准与工程实践差距,为中国工程师提供了可借鉴的实践路径。
章翔 英国某工程服务公司安全(FuSa&CS)负责人
标准往往晦涩且不接地气,很难与实际工作相联系。本书旨在将ISO 26262标准与更多的工程实践相结合,使其变得更加易懂、易操作。这对功能安全的推广大有裨益,不让安全设计流于形式。本书让读者带着问题去阅读,包括如何切入问题,如何代入工作环境和流程去思考问题,进而用工程思维来解决实际问题。每位读者在读完本书后都会有所收益,做真正意义上的安全设计工作,为整个行业注入正向的活力。