基于ISO26262的汽车功能安全——方法与实践

本书以ISO 26262:2018标准为基础，系统地介绍了汽车功能安全开发的重要内容和实践指南，重点阐述了汽车功能安全从概念开发，到系统以及软件、硬件开发各阶段的开发重点、难点，以及解决方案，并对其过程支持内容，包括安全管理、外部措施、ASIL分解、安全分析、SEooC等核心内容，以及与预期功能安全之间的联系，以专题形式进行论述，旨在帮助汽车行业工程技术人员更好、更深入地理解汽车功能安全开发内容，让功能安全开发不再晦涩难懂，从而推动汽车功能安全更好地落地，服务大众，让汽车产品更加安全。
本书适合汽车电子工程师及项目管理人员阅读使用，也适合车辆工程及相关专业师生阅读参考。

适读人群 ：汽车电子工程师及项目管理人员
德国资深功能安全专家理论与实践经验总结
双色印刷，图文并茂
系统讲述枯燥的iso26262标准

近些年，随着汽车产品向电气化、网联化、智能化趋势发展，新的汽车技术，例如，电驱技术、自动驾驶技术、智能座舱技术等快速进入大众视野，汽车早已不再是简单的机械产品，其职能也不断被拓展，汽车正逐渐演变为一个移动的智能设备。与此同时，汽车系统复杂度也随之急剧上升，汽车安全问题，尤其是由汽车E/E系统故障引发的安全事故，更是日益显著。因此，汽车三大安全问题，即功能安全、预期功能安全和信息安全由此诞生，分别从不同的角度，着力解决汽车安全问题，让汽车产品更为安全。
汽车功能安全作为汽车三大安全问题的基础之一，旨在解决汽车E/E系统中由系统性失效和硬件随机失效引发的安全问题，实际上近几年我们常听到的电动汽车电池自燃问题、制动失效问题等，本质上都属于功能安全的问题，其重要性不言而喻。
虽然近些年汽车功能安全越来越受到车企的重视，但现有的功能安全法规并非强制性执行，由于成本、周期、KnowHow等问题，安全相关的开发工作大部分还是依靠企业的自觉性，企业更愿意花时间和成本去改善消费者可以直接感知的性能和功能，例如，汽车的动力性、经济性，以及高级辅助驾驶功能等，汽车功能安全的落地依然困难重重。
鉴于此，我一直想从实践出发，把个人多年博士学习及汽车功能安全相关工作经验进行系统性整理，一方面便于个人对多年工作经验的积累进行系统化梳理和优化；另一方面，也很希望将这些知识和经验分享出去，帮助更多与汽车功能安全相关的从业人员，解决他们在相关内容的学习和工作中所遇到的困难。但说实话，当时我并没有出版一本书籍的想法，只是基于最初的想法，想寻找一个知识分享的平台，所以微信公众号“AUTO世代”就由此诞生了。
我对于这个公众号的名称，给予了很多期望，由于本人博士学习在德国完成，“AUTO”是个德语词汇，是汽车的意思；而“世代”，代表新的篇章、新的力量，和当今汽车行业大变局正好契合，同时也代表了坚持和不懈的努力。就好像我们经常说的，世世代代坚持不懈为一份事业而奋斗，我觉得这个喻义是美好的，可能也是当今世代不可或缺的精神。带着这样的分享初衷，本人在“AUTO世代”这个公众号平台上系统性地推出了一系列的文章，内容涉及功能安全、预期功能安全、系统工程等，其中每篇文章，从构思到创作，再到排版，都是我在工作之余倾力完成的。一个人经营一个原创的公众号平台，定期不间断产出高质量原创内容，比我最初想象的困难得多，但值得高兴的是，经过了一年多的坚持，发表的文章赢得了行业内很多朋友的认同和肯定，这反过来也增加了我继续创作的动力。就这样，系列文章不知不觉就已经基本涵盖了汽车功能安全不同开发阶段大部分的开发内容。虽然文章中有些内容还需要继续细化和深入，但汽车功能安全开发全流程的框架已经成形，这时正好收到出版社朋友的出版邀请，所以这本汽车功能安全书籍的出版计划就这样产生了。但对于出版一本书而言，公众号文章内容显然不够，所以在公众号文章内容的基础上，我进行了很大程度的丰富和深化，还增加了很多关于安全分析、ASIL等级分解、实际操作等相关内容，最终形成了这本书。
回首过去写作的一年多时间，感觉匆匆之间，饱含不易，却也乐在其中，最后还是希望这本书不负初衷，能够对汽车行业内的从业朋友有所帮助和启发，为汽车功能安全的落地贡献个人绵薄之力！

陈海军
2023.8
于沃芬比特

前言
第1章汽车安全1
1.1从安全角度看目前汽车行业的尴尬1
1.2汽车安全的内涵是什么3
1.3汽车功能安全背景综述5
1.3.1为什么需要功能安全5
1.3.2汽车功能安全研究对象6
1.3.3汽车功能安全标准7
第2章重要术语辨析12
2.1相关项及组成相关12
2.2故障相关14
2.3安全评价相关17
第3章汽车功能安全概念阶段开发19
3.1为什么需要概念阶段开发19
3.2相关项定义20
3.3危害分析及风险评估（HARA）21
3.3.1HARA流程21
3.3.2危害分析22
3.3.3危害事件的风险评估(ASIL等级)24
3.3.4安全目标28
3.3.5HARA分析实例29
3.4功能安全需求（FSR）31
3.5从安全目标（SG）到功能安全需求（FSR）32
3.5.1方法介绍32
3.5.2实例33
3.6功能安全方案（FSC）35
3.7功能安全需求（FSR）分配至系统架构37
第4章汽车功能安全系统阶段开发(I)39
4.1技术安全需求（TSR）40
4.2安全机制的本质42
4.3从功能安全需求（FSR）到技术安全需求（TSR）44
4.4技术安全方案（TSC）45
4.5系统架构47
4.5.1系统安全架构的作用47
4.5.2系统架构相关安全机制48
4.5.3系统安全架构设计49
4.6系统安全分析56
4.7技术安全需求（TSR）分配至系统架构57
第5章汽车功能安全硬件阶段开发59
5.1硬件安全需求（HWSR）60
5.2硬件安全设计61
5.3硬件安全机制62
5.3.1自检64
5.3.2硬件冗余65
5.3.3看门狗68
5.3.4程序流监控69
5.4硬件安全概率化度量71
5.4.1硬件随机故障基本类型72
5.4.2硬件随机失效率73
5.4.3硬件架构的度量74
5.4.4硬件随机失效的评估76
5.4.5FMEDA计算78
第6章汽车功能安全软件阶段开发86
6.1软件开发模型及ASPICE86
6.2软件安全需求（SWSR）89
6.3软件架构安全设计90
6.3.1软件架构安全设计任务91
6.3.2软件架构开发常见视图92
6.3.3功能监控层安全设计98
6.3.4基础软件安全设计100
6.4软件详细设计106
6.5软件安全测试内容及方法108
6.5.1软件安全测试内容108
6.5.2软件安全验证方法110
6.5.3软件安全测试用例导出113
6.5.4如何保证软件安全测试完整性114
第7章汽车功能安全系统阶段开发(Ⅱ)117
7.1系统及相关项集成和测试117
7.1.1集成和测试用例的导出118
7.1.2集成和测试的内容和方法119
7.2安全确认(Validation)125
第8章功能安全管理126
8.1整体安全管理127
8.1.1安全文化127
8.1.2功能安全异常管理128
8.1.3能力管理128
8.2项目相关安全管理129
8.2.1安全活动管理角色和任务分配129
8.2.2安全活动影响分析129
8.2.3安全计划130
8.2.4安全认可措施131
第9章功能安全专题133
9.1外部措施133
9.1.1什么是外部措施133
9.1.2外部措施可以降低ASIL等级吗134
9.1.3外部措施为什么能够降低ASIL等级134
9.1.4实施外部措施在后续功能安全开发中的注意事项135
9.2ASIL等级分解135
9.2.1ASIL等级分解的意义135
9.2.2ASIL等级分解的前提138
9.2.3ASIL等级分解注意事项142
9.3SEooC145
9.3.1SEooC应用场景145
9.3.2SEooC和正常的功能安全开发区别145
9.3.3SEooC应该如何开发146
9.4硬件要素评估150
9.4.1硬件要素评估的背景150
9.4.2硬件要素分类(Ⅰ,Ⅱ,Ⅲ)150
9.5安全分析153
9.5.1安全分析概述153
9.5.2安全分析范围154
9.5.3FMEA156
9.5.4FTA165
9.5.5STPA169
9.5.6FMEA和FTA在安全分析中的应用174
9.6基于模型的系统开发(MBSE)176
9.7功能安全与预期功能安全（SOTIF）179
9.7.1自动驾驶安全困局179
9.7.2解决的问题的差异182
9.7.3SOTIF开发流程概览及与功能安全对比184
参考文献188