编辑推荐

适读人群 ：汽车电子开发工程师，高等院校车辆工程专业师生
博世集团功能安全总监汽车功能安全领域20余年专业经验的总结
马瑞利安全工程师深刻理解的翻译
德国畅销图书

内容简介

本书是作者在汽车功能安全领域20余年专业经验的总结。本书第1章是概述，包含ISO 26262中的定义和翻译以及ISO 26262中表示错误的术语，第2章讲述为何在道路车辆上应用功能安全，第3章从系统工程角度讲述汽车功能安全，第4章讲述应对需求与架构开发的系统工程，第5章讲述产品开发中的系统工程，第6章讲述系统集成，第7章讲述功能安全认可。本书适合汽车行业开发工程师尤其是汽车电子开发工程师阅读使用，也适合高等院校车辆工程专业师生参考阅读。

目录

作者序言
前言
致谢
第1章概述1
1.1ISO 26262中的定义和翻译2
1.2ISO 26262中表示错误的术语4
参考文献5
第2章在道路车辆上应用功能安全的
意义6
2.1汽车的风险、安全和功能安全6
2.2质量管理体系11
2.3先进质量计划16
2.4过程模型17
2.4.1V模型18
2.4.2瀑布模型26
2.4.3螺旋模型27
2.5汽车和安全生命周期28
2.5.1汽车产品开发的安全生命
周期30
2.5.2符合ISO 26262的安全生命
周期31
2.5.3安保和安全生命周期33
参考文献33
第3章系统工程35
3.1历史和哲学背景35
3.2可靠性工程37
3.2.1可靠性的基础39
3.2.2可靠性和安全性42
3.3架构开发44
3.3.1架构利益相关者46
3.3.2架构视图49
3.3.3水平抽象层51
3.4需求和架构开发58
3.5需求和设计规范60
参考文献64
第4章应对需求与架构开发的系统
工程65
4.1功能分析68
4.2危害与风险分析69
4.2.1根据ISO 26262进行的危害分析与
风险评估71
4.2.2安全目标79
4.3安全概念82
4.3.1功能安全概念85
4.3.2技术安全概念95
4.3.3微控制器安全概念99
4.4系统分析103
4.4.1系统分析方法103
4.4.2根据ISO 26262进行的安全
分析108
4.4.3安全和安保的错误传播155
4.5开发过程中的验证156
4.6系统级产品开发157
4.7组件层级的产品开发160
4.7.1机械开发163
4.7.2电子开发164
4.7.3软件开发168
参考文献174
第5章产品开发中的系统工程175
5.1产品实现175
5.1.1为开发而进行的产品设计176
5.1.2机械176
5.1.3电子件177
5.1.4软件178
5.2功能安全和时序约束179
5.2.1与错误响应时间间隔相关的安全
领域179
5.2.2安全领域和实时系统180
5.2.3时序与确定性182
5.2.4和控制流与数据流监控有关的
时序领域184
5.2.5安全的处理环境187
第6章系统集成189
6.1验证和测试190
6.1.1验证和测试的基本原则195
6.1.2基于安全分析的验证198
6.1.3对安全和安保等不同目标的
验证202
6.1.4测试方法203
6.1.5技术要素的集成204
6.2安全确认206
6.3基于模型的开发209
6.3.1功能安全模型210
6.3.2模型的基础213
6.3.3基于模型的安全分析214
6.4批准/发布215
6.4.1流程发布216
6.4.2量产发布216
6.4.3生产件批准程序（PPAP）218
参考文献219
第7章功能安全认可221
7.1认可评审225
7.2功能安全审核229
7.3功能安全评估229
7.4安全档案231
参考文献232

前言/序言

这本书中的内容，源于我在功能安全领域超过20年的专业经验。1992年，当我毕业并开始自己作为一名工程师的职业生涯时，工厂的工程和建设正因为博帕尔（Bhopal）事件和塞韦索（Seveso）事件而受到了深远的影响。第 一套用于阐明功能安全相关问题的规则与规章，源自于1966年面世的VDI/VDE 2180法规“通过流程控制工程保护工业制炼厂”，由此才衍生出了后来的IEC 61508 和ISO 26262标准。不过，当时的VDI/VDE法规仅仅涉及如何在所述设施的流程中建立起一个安全环境的问题。1984年，出现了更多的细化划分，安全操作、安全设备与检视、保护设备的相关内容都被添加到了指导准则之中。在此之后，DIN VDE 31000，即“设计满足安全要求的技术设备的通用指导”得到了发布，这份指导书中，详尽地阐明了风险、安全和危险的关系，并且引入了“可容许风险”的概念。直到此时，在机械标准中，为了实现安全应用而禁止使用微控制器依然是常规的做法。尽管如此，在现实中，早就已经存在一个使用安全相关的控制系统的市场。对于这样的系统而言，存在各式各样的规则和标准，它们定义了检查、认证和设计的对应要求。根据DIN V 19250的规定，上述要求被划分为不同的要求等级（AK 1~8等级），并独立于应用场景和技术手段而存在；与此同时，标准中还解释了如何通过一个风险表来量化风险评估的流程。
到了1990年，DIN V VDE 0801“安全相关系统中计算机的原则”得到了发布；而在该标准的1994版中，诸如“得到良好证明的设计原则”这样的表述，以及对于“得到考虑的相关项”之类的用法，都被添加到了标准之中。在那个时候，“冗余”是应对格式风险和需求分类时，人们所知的唯 一答案。不过，此时在测量控制系统工程中，为了尽早探测到危害场景，已经有大量的测量原则得到了应用。
考虑到安全问题，对于蒸汽的技术规则、在针对压力容器的法规中，人们早就要求对蒸汽压力和温度应用冗余化的检测手段。甚至在德国的水生态法案中，也提到了容器需要根据法规要求具备储量上限，而独立的泄出式安全装置也被定义为一种安全手段。大量类似上述的安全准则出现在指导工厂运营者的安全标准中，甚至成为工厂获得官方许可或豁免的一个基础条件。早在20世纪60年代初之前，在法国的DGAC（民用航空指导总则）、英国的CAA（民航局）、美国的FAA（联邦航空管理局），以及在军用和航天工业中，“功能安全”（Functional Safety）相关的规则都得到了定义；不过，这类规则所关注的内容，和IEC 61508或是 ISO 26262这样注重开发的标准也不尽相同。只有在未来的ISO 26262版本中，像在用安全（safety in use）、失效安全（fail operational）、安保（security）、运行安全（operational safety）等话题才变得重要起来。
1998年，我开始作为一名销售经理，负责安全相关的控制系统，此时，人们正对IEC 61508初期草稿进行讨论，尤其是英国、荷兰和挪威等国家参与较多。此时，可扩展的冗余性概念已经为人所知，所以讨论主要集中于安全冗余和可用性冗余的差异。微控制器可以根据锁步原则进行耦合，并能够在工厂运行环境下改变程序的顺序或是控制逻辑。编程软件的应用使我们得以在定义的运行环境下配置安全相关的逻辑。

IEC 61508的发布，为安全相关系统引入了生命周期的理念。除此之外，该标准还论证了产品开发的流程化手段，并阐述了其与质量管理体系之间的关系。
当我在巴塞尔大学商业与经济学系进行硕士课程学习时，我参加了一次由沃尔特·梅辛教授（博士）主讲的讲座；梅辛博士在德国的质量管理体系方面拥有巨大的影响力。此时出现了为功能安全性而应用的诊断，以及对应于上述功能的电气载波系统，以上内容的引入，拓宽了人们在实现安全架构时的视野。1998年，我在伯明翰引入了第 一个基于IEC 61508，且被认证为SIL 4等级的被动式电气系统。而在1999年，我也见证了SafeTronic实现的第 一个单通道控制系统获得由TV南德（TV-Süd）所颁发的证书。上述系统是完全遵循IEC61508进行开发的。
在VDMA（德国机械和工厂工程协会）的活动中，我汇报了自己关于IEC 61508应用于工厂工程，以及其对安全相关控制系统开发的经验。在当时，机械工程行业依旧非常依赖于继电器行业。没人会相信，基于软件的安全技术会如此彻底地改变整个行业，并在如此短的时间内带来新的解决方案，进而彻底改变既有的系统。在2001年，我成为产品管理总经理，我的主要任务，则是为新的安全系统找到新的应用场景。除此之外，当时的另一个主要话题则是关于“网络安全技术”，直到那时为止，这一技术仍然是基于串行链路数据总线构建的。挑战在于，如何基于动态的、场景化、条件化的安全算法，来实现分布式、去中心式的安全系统。看起来，唯 一可能的解决方案来自以太网（Ethernet）。非常重要的一点是，我们要改造既有的、针对安全技术的信息和数据技术，使之变得易于管理。在挪威，在一些学位论文中，研究了安全控制系统的分布式管理；在挪威石油矿业组织Statoil（挪威国家石油公司）的数据网络中，传输安全相关的信息。在石油钻井平台和岸上的工厂之间，在挪威和德国之间，经由卫星的数