基於ISO26262的汽車電子功能安全：方法與應用（簡體書）

功能安全國際標準提出了一種全新的從研發過程管理、安全保障技術等多個方面來保障系統安全的先進原理和流程方法，並得到了國際上知名檢測認證機構和企業的廣泛支持。目前這種原理和方法，已形成了適用於航天、核電、軌道交通、汽車電子、醫療設備、智能家電、電驅設備、流程工業等安全攸關領域的產品安全技術標準，涉及國計民生各個重點行業。

在汽車電子領域，隨著傳感技術、計算機技術、網絡技術的發展，汽車電子日益智能化、網絡化、集成化。汽車的電子系統功能越來越強大，汽車上有幾十到上百個電子控制單元（ECU），譬如汽車安全駕駛輔助系統、防抱死制動系統（ABS）、制動輔助系統（BAS）、驅動防滑裝置（ASR）、電子制動輔助系統（EBA）、電子穩定程序（ESP）、車輛偏離警告系統、碰撞規避系統、胎壓監測系統（TPMS）、自動駕駛系統等，這些與安全系統相關的電子系統一旦出現功能性故障，將會極大地影響汽車的安全問題，並導致汽車召回。

ISO 26262 標準的誕生，為解決軟件引發的功能安全問題提供了一個過程框架和程序模型，具體包括：汽車生命周期和生命周期中必要的活動、決定風險等級的具體風險評估方法（汽車安全綜合等級，ASIL），以及使用ASIL方法來確定獲得可接受的殘餘風險的必要安全要求和確保獲得足夠和可接受的安全等級的有效性和確定性措施。

隨著系統復雜性的提高，以及軟件和機電設備的應用，來自系統失效和隨機硬件失效的風險日益增加。制定ISO 26262 標準的目的是使得研發設計人員對安全相關功能有一個更好的理解，並盡可能明確地對它們進行解釋，同時為避免這些風險提供了可行性的要求和流程。 ISO26262 為汽車安全提供了一個生命周期（管理、開發、生產、經營、服務、報廢）理念，並在這些生命周期階段中提

供必要的支持。該標準涵蓋功能性安全方面的整體開發過程（包括需求規劃、設計、實施、集成、驗證、確認和配置）。

《基於ISO26262的汽車電子功能安全：方法與應用》作者在對汽車電子功能安全進行研究的過程中，基於對ISO 26262 標準的理解，結合系統工程的方法論和開發應用的案例，對標準進行了解讀，以求讀者在對標準的應用過程中能夠獲得更明確的解釋和指導。

《基於ISO26262的汽車電子功能安全：方法與應用》從開發方法和應用指南兩個部分對汽車電子的功能安全進行介紹，提供了從系統工程的角度整體地對汽車電子功能安全進行開發的方法，方便讀者理解功能安全開發過程中所遇到的問題。本書還介紹了軟件開發的形式化方法，介紹了一種高可靠性的軟件開發功能安全驗證方法。本書第二部分的應用指南，結合實現開發應用中的案例，對標準的理解和應用進行了具體的分析。

《基於ISO26262的汽車電子功能安全：方法與應用》共14章，包括緒論、整體安全管理方法、概念階段、系統級開發、硬件級開發、軟件級開發、系統集成、形式化方法、故障容錯系統開發、 ASIL等級分解、汽車油量估測與顯示系統（FLEDS）功能安全的開發與分析、 ISO26262 功能安全認證案例、形式化方法在發動機管理系統建模中的應用、基於ASIL等級的電子節氣門控制系統（ETC）軟件開發。

《基於ISO26262的汽車電子功能安全：方法與應用》可作為汽車電子功能安全的學習參考資料。由於編者水平有限，書中不妥之處在所難免，敬請廣大讀者批評指正。

前言

第 I 部分　開發方法

第1章 緒論 // 3

1.1　功能安全概念 // 3

1.2　功能安全標準 // 5

1.3　汽車電子產業現狀與前景 // 7

1.4　ISO 26262 發展 // 21

1.5　小結 // 24

第2章 整體安全管理方法 // 25

2.1　安全生命周期 // 25

2.2　功能安全認可方法 // 30

2.3　安全檔案 // 32

2.4　小結 // 33

第3章 概念階段 // 34

3.1　相關項定義 // 34

3.2　危害分析和風險評估 // 35

3.3　安全目標與 ASIL 等級概念 // 37

3.4　功能安全概念 // 39

3.5　小結 // 41

第4章 系統級開發 // 42

4.1　可靠性工程 // 43

4.2　架構開發 // 47

4.3　技術安全概念 // 51

4.4　系統級產品開發 // 52

4.5　組件級產品開發 // 53

4.6　ISO 26262 的驗證 // 55

4.7　小結 // 57

第5章 硬件級開發 // 58

5.1　系統分析 // 58

5.2　故障分類示例 // 62

5.3　架構度量 // 64

5.4　相關失效分析 // 68

5.5　小結 // 70

第6章 軟件級開發 // 71

6.1　軟件安全需求規範 // 74

6.2　軟件架構設計 // 75

6.3　軟件單元設計與實現 // 77

6.4　軟件單元驗證 // 78

6.5　軟件集成與驗證 // 80

6.6　小結 // 81

第7章 系統集成 // 82

7.1　概述 // 82

7.2　系統集成中的安全分析和測試 // 83

7.3　系統集成中的驗證要求 // 84

7.4　系統集成中的安全確認 // 85

7.5　其他技術要素集成 // 86

7.6　在用證明示例 // 89

7.7　小結 // 91

第8章 形式化方法 // 92

8.1　形式化語言 // 92

8.2　形式化規範 // 105

8.3　形式化驗證 // 112

8.4　形式化驗證的常見工具 // 116

8.5　小結 // 120

第Ⅱ部分　應用指南

第9章 故障容錯系統開發 // 123

9.1　概念階段 // 123

9.2　故障容錯相關項的 ASIL 等級分解 // 126

9.3　轉換要求時間 // 127

9.4　小結 // 130

第10章 ASIL 等級分解 // 131

10.1　ASIL 等級分解概述 // 131

10.2　ASIL 等級分解示例 // 132

10.3　小結 // 134

第11章

汽車油量估測與顯示系統（FLEDS）功能安全的 開發與分析 // 135

11.1　FLEDS 的需求分析 // 135

11.2　ISO 26262 概念階段的整體架構 // 137

11.3　FLEDS 中相關項的確定與定義 // 138

11.4　FLEDS 的安全目標 // 146

11.5　FLEDS 的功能安全概念 // 148

11.6　小結 // 151

第12章 ISO 26262 功能安全認證案例 // 152

12.1　SmartRocket Unit 相關標準要求 // 152

12.2　SmartRocket Unit 規範文檔示例 // 155

12.3　小結 // 159

第13章 形式化方法在發動機管理系統建模中的應用 // 160

13.1　AUTOSAR OS 和汽車發動機管理系統簡介 // 161

13.2　形式化建模的整體框架 // 163

13.3　AUTOSAR OS 建模 // 164

13.4　EMS 建模 // 171

13.5　EMS 的驗證 // 175

13.6　實現 // 179

13.7　小結 // 180

第14章 基於 ASIL 等級的電子節氣門控制系統（ETC）軟件開發 // 182

14.1　整體設計指導 // 182

14.2　電子節氣門控制系統整體架構 // 184

14.3　軟件架構設計 // 185

14.4　軟件單元設計與實現 // 187

14.5　軟件單元驗證 // 187

14.6　軟件集成和驗證 // 189

14.7　嵌入式軟件測試 // 189

14.8　小結 // 190

參考文獻 // 191