一本书讲透汽车功能安全：标准详解与应用实践

内容简介<br />这是一本系统、深度解读ISO 26262/GB/T 34590功能安全标准并解决标准落地难题的实战性著作，为读者打通标准与工程实践的桥梁，能有效弥合二者的差距。本书是作者从事汽车电子与功能安全10余年经验的总结，得到了众多行业专家的高度评价。<br />全书以 V 模型开发流程为主线，分为两大板块：<br />第一部分 功能安全详解（第1~9章）<br />从功能安全管理、概念设计到系统、硬件、软件开发，全面论述 V 模型左侧设计要求，还包含测试验证、硬件要素评估等内容。特别设置 “架构设计专题”，深度解析 MooN 架构与 Fail-safe/fail-operational 模式的融合应用，结合 ISO 13849 机械安全架构、E-GAS 三层电子架构等前沿模型，提供芯片级安全设计与智能驾驶架构的落地方案。<br />第二部分 功能安全分析（第10~16章）<br />系统讲解 FMEA、FTA、FMEDA、DFA等分析方法及 ASIL 分解等实践要点。读者将通过本书掌握功能安全开发全流程、各类分析方法及架构设计要点，解决标准晦涩难懂、落地困难等痛点，获得可直接应用于项目的实践经验。<br />书中贯穿三大特色亮点：<br />（1）“解读 + Q”特别设计：从理论角度深度解析标准条款，从实践角度抛出300余工程实践问题（如 “如何避免 FMEDA 分析偏差？”），激发思辨；<br />（2）50余真实案例：涵盖电机驱动单元 FMEDA 分析、双核锁步架构设计等场景，附完整失效模式分类表；<br />（3）增值资源：微信公众号 “功能安全落地漫谈”也为读者提供了额外的学习资源。<br />无论是汽车电子工程师、安全评估师，还是高校科研人员，都能从书中获得从标准理解到项目落地的全链路解决方案，真正实现 “学完就能用” 的知识转化。 <br />

王伟峰<br />资深功能安全技术专家，有10余年功能安全开发和管理经验，经历过零部件和主机厂在不同角色视角下对于功能安全实践的挑战。现就职于某知名上市企业（一家以人工智能为核心的商用车安全及信息化解决方案提供商），主导功能安全流程体系的搭建与功能安全产品的开发和管理。<br />对功能安全的开发和落地实践总结了一套自己的方法论和见解，推行功能安全要在项目中落地的理念，并将该理念付诸于项目实践。主导过多个产品（BMS、VCU、FCU、LiDAR、AEBS等）的功能安全流程与产品认证。熟悉ISO 26262、ISO 21448、ISO/SAE 21434、ASPICE等汽车领域安全、质量相关标准；对于工业领域的安全相关标准，如IEC 61508、ISO 13849、IEC 62061、EN1175等，也有丰富的项目(AGV/AMR)实践经验。<br />微信公众号“功能安全落地漫谈”的主理人

目　　录?Contents<br />前言<br />第一部分　功能安全详解<br />第1章　功能安全概述　2<br />1.1　导读　2<br />1.2　关于安全文化　5<br />1.2.1　安全文化的定义及评价<br />准则　5<br />1.2.2　安全文化的要求与呈现<br />方式　8<br />1.3　ISO 26262 功能安全概述　 13<br />1.3.1　ISO 26262的发展历程　13<br />1.3.2　重要术语定义　14<br />1.3.3　为什么需要功能安全　22<br />1.3.4　ISO 26262标准总体内容<br />框架概览　25<br />1.3.5　ISO 26262标准分解概览　26<br />1.4　本章小结　40<br />第2章　ISO 26262中的功能安全<br />管理　41<br />2.1　功能安全管理的主要活动　42<br />2.2　功能安全管理中的角色与职责　42<br />2.3?安全计划　44<br />2.3.1　关于组织架构　45<br />2.3.2　关于开发接口协议　46<br />2.3.3　关于安全异常管理　47<br />2.3.4　关于能力管理　49<br />2.4　关于安全档案　49<br />2.5　关于认可措施　51<br />2.5.1　认可措施简介　52<br />2.5.2　认可评审　55<br />2.5.3　功能安全审核　55<br />2.5.4　功能安全评估　56<br />2.5.5　认可措施的独立性　57<br />2.6　关于验证　58<br />2.6.1　验证方式　58<br />2.6.2　验证与认可措施的联系　59<br />2.7　功能安全管理之生产、运营、<br />服务和报废环节　60<br />2.7.1　生产计划的相关要求　61<br />2.7.2　样件制造、预生产及生产的<br />相关要求　62<br />2.7.3　运营、服务和报废计划相关<br />要求　63<br />2.8　功能安全管理之需求管理　64<br />2.8.1　需求的颗粒度与完整性　67<br />2.8.2　需求的来源　70<br />2.8.3　如何编写需求　72<br />2.8.4　如何管理需求　73<br />2.8.5　安全需求与安全概念的<br />区别和联系　78<br />2.9　本章小结　83<br />第3章　功能安全之概念阶段　84<br />3.1　什么是HARA　84<br />3.2　实施HARA活动前的准备　85<br />3.3　如何实施HARA活动　88<br />3.3.1　步骤一：危害分析　89<br />3.3.2　步骤二：场景识别　93<br />3.3.3　步骤三：风险评估　95<br />3.3.4　步骤四：分析整理　103<br />3.4　HARA方法得到的ASIL等级<br />对应活动的区别　104<br />3.5　“万里长征”第一步：从SG<br />到FSC　108<br />3.5.1　什么是 FSR　108<br />3.5.2　如何获取FSR　110<br />3.5.3　什么是 FSC　112<br />3.6　本章小结　113<br />第4章　功能安全之系统开发　114<br />4.1　系统层面开发模型概览　114<br />4.2　系统层面功能安全开发的考虑　116<br />4.3　技术安全概念设计基本要点　117<br />4.4　系统层面的架构设计　120<br />4.5　软硬件接口规范　122<br />4.6　安全验证与确认　125<br />4.6.1　验证　125<br />4.6.2　确认　126<br />4.6.3　系统验证和确认要求　127<br />4.7　本章小结　128<br />第5章　功能安全之硬件开发　129<br />5.1　功能安全硬件开发模型　129<br />5.2　功能安全硬件开发中的<br />常见问题　130<br />5.3　硬件安全要求　132<br />5.3.1　目的　132<br />5.3.2　输入输出关系　132<br />5.3.3　如何定义HSR　133<br />5.3.4　硬件安全要求的导出示例　134<br />5.4　硬件设计　137<br />5.4.1　目的　137<br />5.4.2　输入输出关系　138<br />5.4.3　硬件设计过程　138<br />5.4.4?硬件层面的HSI规范　144<br />5.5　硬件安全分析　145<br />5.5.1　硬件故障的类型及相关<br />定义　147<br />5.5.2　硬件安全分析（定性）与<br />设计举例　149<br />5.5.3　练习时刻　155<br />5.6　硬件架构度量　156<br />5.6.1　基础知识　156<br />5.6.2　单点故障度量　158<br />5.6.3　潜在故障度量　158<br />5.6.4　随机硬件失效度量　159<br />5.6.5　硬件架构度量计算示例　160<br />5.6.6　练习时刻　164<br />5.7　硬件设计验证　167<br />5.7.1　目的　167<br />5.7.2　要求及建议　167<br />5.7.3　工作成果　170<br />5.8　本章小结　170<br />第6章　功能安全之软件开发　172<br />6.1　软件开发概述　172<br />6.1.1　软件开发模型　172<br />6.1.2　软件开发的通用要求　173<br />6.2　软件安全要求　178<br />6.2.1　目的　178<br />6.2.2　要求与建议　178<br />6.3　软件架构设计　180<br />6.3.1　目的　180<br />6.3.2　什么是架构　180<br />6.3.3　什么是软件架构　181<br />6.3.4　软件架构与系统的交互　181<br />6.3.5　软件系统简介　182<br />6.3.6　软件层面的开发视图　183<br />6.3.7　软件架构设计要求及方法　185<br />6.4　软件详细设计　198<br />6.4.1　目的　 199<br />6.4.2　输入输出关系　199<br />6.4.3　软件详细设计要求　200<br />6.5　软件设计验证　202<br />6.5.1　软件安全分析　202<br />6.5.2　软件要素间的免于干扰　203<br />6.5.3　简述软件单元验证　211<br />6.5.4　简述软件集成和验证　213<br />6.5.5　简述嵌入式软件测试　215<br />6.6　本章小结　217<br />第7章　功能安全之测试与验证　218<br />7.1　关于验证与确认　218<br />7.1.1　验证　219<br />7.1.2　确认　219<br />7.2　硬件测试与验证　220<br />7.2.1　目的　220<br />7.2.2　输入输出关系　221<br />7.2.3　硬件测试与验证的相关<br />要求　221<br />7.3　软件测试与验证　224<br />7.3.1　详解软件单元验证　224<br />7.3.2　详解软件集成和验证　231<br />7.3.3?详解嵌入式软件测试　233<br />7.3.4　软件测试方法　234<br />7.4　系统测试与验证　237<br />7.4.1　目的　238<br />7.4.2　输入输出关系　238<br />7.4.3　软硬件集成与验证　238<br />7.4.4　系统集成与验证　241<br />7.4.5　整车集成与验证　243<br />7.5　安全确认　244<br />7.5.1　目的　244<br />7.5.2　输入输出关系　245<br />7.5.3　安全确认的相关要求　245<br />7.6　本章小结　246<br />第8章　硬件要素评估与软件组件、<br />工具鉴定　247<br />8.1　硬件要素评估　247<br />8.1.1　硬件要素评估的目的　248<br />8.1.2　硬件要素的分类　249<br />8.1.3　硬件要素评估方法　250<br />8.2　软件组件鉴定　253<br />8.2.1　软件组件相关概念　253<br />8.2.2　软件组件鉴定的目的　254<br />8.2.3　软件组件鉴定的适用范围　255<br />8.2.4　软件组件鉴定的相关要求　255<br />8.2.5　如何进行软件组件鉴定　257<br />8.3　软件工具鉴定　259<br />8.3.1　软件工具鉴定的概念　259<br />8.3.2　软件工具置信度评估<br />相关要求　260<br />8.3.3　如何进行软件工具鉴定　261<br />8.4　本章小结　265<br />第9章　功能安全架构设计　266<br />9.1　MooN架构模型探讨　266<br />9.1.1　Fail-safe 架构　267<br />9.1.2　Fail-operational架构　269<br />9.1.3　MooN架构及MooN(D)<br />架构　271<br />9.2　机械安全系统的指定架构　278<br />9.2.1　Category B 指定架构　279<br />9.2.2　Category 1 指定架构　279<br />9.2.3　Category 2 指定架构　280<br />9.2.4　Category 3指定架构　280<br />9.2.5　Category 4指定架构　281<br />9.3　关于IEC 62061中的安全<br />控制系统架构　282<br />9.3.1　A类系统架构　282<br />9.3.2　B类系统架构　283<br />9.3.3　C类系统架构　283<br />9.3.4　D类系统架构　286<br />9.4　E-GAS三层电子监控架构　286<br />9.4.1　设计概念　287<br />9.4.2　应用示例：整车控制器　287<br />9.5　硬件层面的芯片功能安全<br />架构设计　294<br />9.5.1　芯片的硬件安全设计要求<br />参考　295<br />9.5.2　芯片的供电安全　297<br />9.5.3　芯片的时钟安全　302<br />9.5.4　芯片的存储安全　305<br />9.5.5　芯片的温度监控　307<br />9.6　软件层面的芯片功能安全<br />架构设计　308<br />9.6.1　芯片的软件安全　308<br />9.6.2　芯片的通信安全　313<br />9.6.3　芯片的信息安全　314<br />9.7　不可小瞧的“隐匿杀手”—<br />单粒子翻转　322<br />9.7.1　无处不在的电离辐射　322<br />9.7.2　单粒子翻转　323<br />9.7.3　单粒子翻转的缓解措施　324<br />9.8　自动驾驶系统的Fail-operational<br />架构　328<br />9.8.1　Fail-operational架构设计<br />考量　328<br />9.8.2　Fail-operational架构参考<br />模型　332<br />9.8.3　实现最低风险条件的智能<br />失效可运行的回退策略　337<br />9.9　本章小结　340<br />第二部分　功能安全分析<br />第10章　FMEA和FMEA-MSR<br />方法及应用　342<br />10.1　FMEA的定义及发展历程　342<br />10.1.1　FMEA简介　342<br />10.1.2　FMEA的发展历程　343<br />10.2　FMEA的目的和应用时机　344<br />10.3　FMEA的类型　345<br />10.3.1　DFMEA　345<br />10.3.2　PFMEA　345<br />10.4　FMEA方法　346<br />10.4.1　第一步：策划准备　347<br />10.4.2　第二步：结构分析　347<br />10.4.3　第三步：功能分析　349<br />10.4.4　第四步：失效分析　351<br />10.4.5　第五步：风险分析　355<br />10.4.6　第六步：优化　365<br />10.4.7　第七步：结果文件化　367<br />10.5　FMEA的特殊特性　369<br />10.5.1　特殊特性的定义及分类　370<br />10.5.2　特殊特性的传递　373<br />10.6　FMEA-MSR方法　376<br />10.6.1　FMEA在ISO 26262中<br />的局限　376<br />10.6.2　具体实施　377<br />10.6.3　如何避免监控设计的缺陷　385<br />10.7　本章小结　386<br />第11章　FTA方法　387<br />11.1　FTA的发展历程　387<br />11.2　FTA相关内容简介　389<br />11.2.1　故障树介绍　389<br />11.2.2　FTA的定义　389<br />11.2.3　FTA的目的　390<br />11.3　ISO 26262 中关于 FTA 的<br />说明及要求　390<br />11.4　FTA中的事件及其符号　392<br />11.4.1　底事件　 392<br />11.4.2　结果事件　392<br />11.4.3　特殊事件　393<br />11.4.4　FTA中的逻辑门及其<br />符号定义　393<br />11.4.5　FTA中的转移符号　395<br />11.5　FTA中的术语　397<br />11.5.1　模块与最大模块　397<br />11.5.2　割集与最小割集　398<br />11.5.3　径集与最小径集　399<br />11.5.4　单调故障树与非单调<br />故障树　401<br />11.5.5　重要度　403<br />11.6　FTA实施原则　404<br />11.6.1　划定边界和合理简化<br />架构图　404<br />11.6.2　故障事件严格定义　404<br />11.6.3　故障树应逐层推演　405<br />11.6.4　从上而下逐级建树　405<br />11.6.5　建树时不允许逻辑门<br />直接相连　406<br />11.6.6　妥善处理共因事件　406<br />11.7　FTA实施步骤　407<br />11.8　本章小结　408<br />第12章　故障树构建与分析　409<br />12.1　确定顶事件　410<br />12.2　确定子树　410<br />12.3　子树演绎　410<br />12.4　子树集成　414<br />12.5　故障树整理　415<br />12.5.1　目的　415<br />12.5.2　故障树规范化的基本<br />规则　415<br />12.5.3　故障树的简化与模块<br />分解　419<br />12.6　故障树定性分析　426<br />12.6.1　目的　426<br />12.6.2　求最小割集　426<br />12.6.3　故障树定性分析示例　428<br />12.7　本章小结　433<br />第13章　FMEA与FTA融合分析　434<br />13.1　FMEA与FTA的区别与联系　434<br />13.2　FMEA与FTA的融合　436<br />13.2.1　前融合　437<br />13.2.2　后融合　437<br />13.2.3　双向融合　438<br />13.3　本章小结　440<br />第14章　FMEDA方法　441<br />14.1　FMEDA相关概念　441<br />14.1.1　FMEDA与FMEA　442<br />14.1.2　失效率　442<br />14.1.3　失效模式　443<br />14.1.4　安全机制　444<br />14.1.5　诊断覆盖率　444<br />14.1.6　安全状态　445<br />14.2　随机硬件故障的特征及<br />分类流程　445<br />14.2.1　单点故障特征　445<br />14.2.2　残余故障特征　446<br />14.2.3　可探测的双点故障特征　446<br />14.2.4　可感知的双点故障特征　447<br />14.2.5　潜在双点故障特征　447<br />14.2.6　安全故障特征　448<br />14.2.7　随机硬件故障分类流程　448<br />14.3　FMEDA输入输出信息　448<br />14.4　FMEDA 的相关要求　449<br />14.5　FMEDA方法应用　450<br />14.5.1　FMEDA五步法　450<br />14.5.2　FMEDA示例　451<br />14.6　本章小结　456<br />第15章　DFA方法　457<br />15.1　为什么要实施DFA　457<br />15.2　DFA与其他安全分析方法<br />之间的关系　459<br />15.3　DFA实施的相关要求　460<br />15.4　DFA六步法　461<br />15.5　本章小结　469<br />第16章　ASIL等级分解　470<br />16.1　ASIL 等级分解相关概念<br />及要求　470<br />16.1.1　ASIL 等级分解的概念　471<br />16.1.2　ASIL等级分解要求　472<br />16.2　ASIL等级分解的目的　473<br />16.3　ASIL等级分解原理　474<br />16.3.1　ASIL等级分解的数学<br />原理　475<br />16.3.2　ASIL等级分解要点　476<br />16.4　ASIL 等级分解实践　477<br />16.5　本章小结　479<br />后记　480