内容简介

这是一本系统、深度解读ISO 26262/GB/T 34590功能安全标准并解决标准落地难题的实战性著作，为读者打通标准与工程实践的桥梁，能有效弥合二者的差距。本书是作者从事汽车电子与功能安全10余年经验的总结，得到了众多行业专家的高度评价。

全书以 V 模型开发流程为主线，分为两大板块：

第一部分 功能安全详解（第1~9章）

从功能安全管理、概念设计到系统、硬件、软件开发，全面论述 V 模型左侧设计要求，还包含测试验证、硬件要素评估等内容。特别设置 “架构设计专题”，深度解析 MooN 架构与 Fail-safe/fail-operational 模式的融合应用，结合 ISO 13849 机械安全架构、E-GAS 三层电子架构等前沿模型，提供芯片级安全设计与智能驾驶架构的落地方案。

第二部分 功能安全分析（第10~16章）

系统讲解 FMEA、FTA、FMEDA、DFA等分析方法及 ASIL 分解等实践要点。读者将通过本书掌握功能安全开发全流程、各类分析方法及架构设计要点，解决标准晦涩难懂、落地困难等痛点，获得可直接应用于项目的实践经验。

书中贯穿三大特色亮点：

（1）“解读 + Q”特别设计：从理论角度深度解析标准条款，从实践角度抛出300余工程实践问题（如 “如何避免 FMEDA 分析偏差？”），激发思辨；

（2）50余真实案例：涵盖电机驱动单元 FMEDA 分析、双核锁步架构设计等场景，附完整失效模式分类表；

（3）增值资源：微信公众号 “功能安全落地漫谈”也为读者提供了额外的学习资源。

无论是汽车电子工程师、安全评估师，还是高校科研人员，都能从书中获得从标准理解到项目落地的全链路解决方案，真正实现 “学完就能用” 的知识转化。 

目　　录

Contents

前言

第一部分　功能安全详解

第1章　功能安全概述　2

1.1　导读　2

1.2　关于安全文化　5

1.2.1　安全文化的定义及评价

准则　5

1.2.2　安全文化的要求与呈现

方式　8

1.3　ISO 26262 功能安全概述　 13

1.3.1　ISO 26262的发展历程　13

1.3.2　重要术语定义　14

1.3.3　为什么需要功能安全　22

1.3.4　ISO 26262标准总体内容

框架概览　25

1.3.5　ISO 26262标准分解概览　26

1.4　本章小结　40

第2章　ISO 26262中的功能安全

管理　41

2.1　功能安全管理的主要活动　42

2.2　功能安全管理中的角色与职责　42

2.3?安全计划　44

2.3.1　关于组织架构　45

2.3.2　关于开发接口协议　46

2.3.3　关于安全异常管理　47

2.3.4　关于能力管理　49

2.4　关于安全档案　49

2.5　关于认可措施　51

2.5.1　认可措施简介　52

2.5.2　认可评审　55

2.5.3　功能安全审核　55

2.5.4　功能安全评估　56

2.5.5　认可措施的独立性　57

2.6　关于验证　58

2.6.1　验证方式　58

2.6.2　验证与认可措施的联系　59

2.7　功能安全管理之生产、运营、

服务和报废环节　60

2.7.1　生产计划的相关要求　61

2.7.2　样件制造、预生产及生产的

相关要求　62

2.7.3　运营、服务和报废计划相关

要求　63

2.8　功能安全管理之需求管理　64

2.8.1　需求的颗粒度与完整性　67

2.8.2　需求的来源　70

2.8.3　如何编写需求　72

2.8.4　如何管理需求　73

2.8.5　安全需求与安全概念的

区别和联系　78

2.9　本章小结　83

第3章　功能安全之概念阶段　84

3.1　什么是HARA　84

3.2　实施HARA活动前的准备　85

3.3　如何实施HARA活动　88

3.3.1　步骤一：危害分析　89

3.3.2　步骤二：场景识别　93

3.3.3　步骤三：风险评估　95

3.3.4　步骤四：分析整理　103

3.4　HARA方法得到的ASIL等级

对应活动的区别　104

3.5　“万里长征”第一步：从SG

到FSC　108

3.5.1　什么是 FSR　108

3.5.2　如何获取FSR　110

3.5.3　什么是 FSC　112

3.6　本章小结　113

第4章　功能安全之系统开发　114

4.1　系统层面开发模型概览　114

4.2　系统层面功能安全开发的考虑　116

4.3　技术安全概念设计基本要点　117

4.4　系统层面的架构设计　120

4.5　软硬件接口规范　122

4.6　安全验证与确认　125

4.6.1　验证　125

4.6.2　确认　126

4.6.3　系统验证和确认要求　127

4.7　本章小结　128

第5章　功能安全之硬件开发　129

5.1　功能安全硬件开发模型　129

5.2　功能安全硬件开发中的

常见问题　130

5.3　硬件安全要求　132

5.3.1　目的　132

5.3.2　输入输出关系　132

5.3.3　如何定义HSR　133

5.3.4　硬件安全要求的导出示例　134

5.4　硬件设计　137

5.4.1　目的　137

5.4.2　输入输出关系　138

5.4.3　硬件设计过程　138

5.4.4?硬件层面的HSI规范　144

5.5　硬件安全分析　145

5.5.1　硬件故障的类型及相关

定义　147

5.5.2　硬件安全分析（定性）与

设计举例　149

5.5.3　练习时刻　155

5.6　硬件架构度量　156

5.6.1　基础知识　156

5.6.2　单点故障度量　158

5.6.3　潜在故障度量　158

5.6.4　随机硬件失效度量　159

5.6.5　硬件架构度量计算示例　160

5.6.6　练习时刻　164

5.7　硬件设计验证　167

5.7.1　目的　167

5.7.2　要求及建议　167

5.7.3　工作成果　170

5.8　本章小结　170

第6章　功能安全之软件开发　172

6.1　软件开发概述　172

6.1.1　软件开发模型　172

6.1.2　软件开发的通用要求　173

6.2　软件安全要求　178

6.2.1　目的　178

6.2.2　要求与建议　178

6.3　软件架构设计　180

6.3.1　目的　180

6.3.2　什么是架构　180

6.3.3　什么是软件架构　181

6.3.4　软件架构与系统的交互　181

6.3.5　软件系统简介　182

6.3.6　软件层面的开发视图　183

6.3.7　软件架构设计要求及方法　185

6.4　软件详细设计　198

6.4.1　目的　 199

6.4.2　输入输出关系　199

6.4.3　软件详细设计要求　200

6.5　软件设计验证　202

6.5.1　软件安全分析　202

6.5.2　软件要素间的免于干扰　203

6.5.3　简述软件单元验证　211

6.5.4　简述软件集成和验证　213

6.5.5　简述嵌入式软件测试　215

6.6　本章小结　217

第7章　功能安全之测试与验证　218

7.1　关于验证与确认　218

7.1.1　验证　219

7.1.2　确认　219

7.2　硬件测试与验证　220

7.2.1　目的　220

7.2.2　输入输出关系　221

7.2.3　硬件测试与验证的相关

要求　221

7.3　软件测试与验证　224

7.3.1　详解软件单元验证　224

7.3.2　详解软件集成和验证　231

7.3.3?详解嵌入式软件测试　233

7.3.4　软件测试方法　234

7.4　系统测试与验证　237

7.4.1　目的　238

7.4.2　输入输出关系　238

7.4.3　软硬件集成与验证　238

7.4.4　系统集成与验证　241

7.4.5　整车集成与验证　243

7.5　安全确认　244

7.5.1　目的　244

7.5.2　输入输出关系　245

7.5.3　安全确认的相关要求　245

7.6　本章小结　246

第8章　硬件要素评估与软件组件、

工具鉴定　247

8.1　硬件要素评估　247

8.1.1　硬件要素评估的目的　248

8.1.2　硬件要素的分类　249

8.1.3　硬件要素评估方法　250

8.2　软件组件鉴定　253

8.2.1　软件组件相关概念　253

8.2.2　软件组件鉴定的目的　254

8.2.3　软件组件鉴定的适用范围　255

8.2.4　软件组件鉴定的相关要求　255

8.2.5　如何进行软件组件鉴定　257

8.3　软件工具鉴定　259

8.3.1　软件工具鉴定的概念　259

8.3.2　软件工具置信度评估

相关要求　260

8.3.3　如何进行软件工具鉴定　261

8.4　本章小结　265

第9章　功能安全架构设计　266

9.1　MooN架构模型探讨　266

9.1.1　Fail-safe 架构　267

9.1.2　Fail-operational架构　269

9.1.3　MooN架构及MooN(D)

架构　271

9.2　机械安全系统的指定架构　278

9.2.1　Category B 指定架构　279

9.2.2　Category 1 指定架构　279

9.2.3　Category 2 指定架构　280

9.2.4　Category 3指定架构　280

9.2.5　Category 4指定架构　281

9.3　关于IEC 62061中的安全

控制系统架构　282

9.3.1　A类系统架构　282

9.3.2　B类系统架构　283

9.3.3　C类系统架构　283

9.3.4　D类系统架构　286

9.4　E-GAS三层电子监控架构　286

9.4.1　设计概念　287

9.4.2　应用示例：整车控制器　287

9.5　硬件层面的芯片功能安全

架构设计　294

9.5.1　芯片的硬件安全设计要求

参考　295

9.5.2　芯片的供电安全　297

9.5.3　芯片的时钟安全　302

9.5.4　芯片的存储安全　305

9.5.5　芯片的温度监控　307

9.6　软件层面的芯片功能安全

架构设计　308

9.6.1　芯片的软件安全　308

9.6.2　芯片的通信安全　313

9.6.3　芯片的信息安全　314

9.7　不可小瞧的“隐匿杀手”—

单粒子翻转　322

9.7.1　无处不在的电离辐射　322

9.7.2　单粒子翻转　323

9.7.3　单粒子翻转的缓解措施　324

9.8　自动驾驶系统的Fail-operational

架构　328

9.8.1　Fail-operational架构设计

考量　328

9.8.2　Fail-operational架构参考

模型　332

9.8.3　实现最低风险条件的智能

失效可运行的回退策略　337

9.9　本章小结　340

第二部分　功能安全分析

第10章　FMEA和FMEA-MSR

方法及应用　342

10.1　FMEA的定义及发展历程　342

10.1.1　FMEA简介　342

10.1.2　FMEA的发展历程　343

10.2　FMEA的目的和应用时机　344

10.3　FMEA的类型　345

10.3.1　DFMEA　345

10.3.2　PFMEA　345

10.4　FMEA方法　346

10.4.1　第一步：策划准备　347

10.4.2　第二步：结构分析　347

10.4.3　第三步：功能分析　349

10.4.4　第四步：失效分析　351

10.4.5　第五步：风险分析　355

10.4.6　第六步：优化　365

10.4.7　第七步：结果文件化　367

10.5　FMEA的特殊特性　369

10.5.1　特殊特性的定义及分类　370

10.5.2　特殊特性的传递　373

10.6　FMEA-MSR方法　376

10.6.1　FMEA在ISO 26262中

的局限　376

10.6.2　具体实施　377

10.6.3　如何避免监控设计的缺陷　385

10.7　本章小结　386

第11章　FTA方法　387

11.1　FTA的发展历程　387

11.2　FTA相关内容简介　389

11.2.1　故障树介绍　389

11.2.2　FTA的定义　389

11.2.3　FTA的目的　390

11.3　ISO 26262 中关于 FTA 的

说明及要求　390

11.4　FTA中的事件及其符号　392

11.4.1　底事件　 392

11.4.2　结果事件　392

11.4.3　特殊事件　393

11.4.4　FTA中的逻辑门及其

符号定义　393

11.4.5　FTA中的转移符号　395

11.5　FTA中的术语　397

11.5.1　模块与最大模块　397

11.5.2　割集与最小割集　398

11.5.3　径集与最小径集　399

11.5.4　单调故障树与非单调

故障树　401

11.5.5　重要度　403

11.6　FTA实施原则　404

11.6.1　划定边界和合理简化

架构图　404

11.6.2　故障事件严格定义　404

11.6.3　故障树应逐层推演　405

11.6.4　从上而下逐级建树　405

11.6.5　建树时不允许逻辑门

直接相连　406

11.6.6　妥善处理共因事件　406

11.7　FTA实施步骤　407

11.8　本章小结　408

第12章　故障树构建与分析　409

12.1　确定顶事件　410

12.2　确定子树　410

12.3　子树演绎　410

12.4　子树集成　414

12.5　故障树整理　415

12.5.1　目的　415

12.5.2　故障树规范化的基本

规则　415

12.5.3　故障树的简化与模块

分解　419

12.6　故障树定性分析　426

12.6.1　目的　426

12.6.2　求最小割集　426

12.6.3　故障树定性分析示例　428

12.7　本章小结　433

第13章　FMEA与FTA融合分析　434

13.1　FMEA与FTA的区别与联系　434

13.2　FMEA与FTA的融合　436

13.2.1　前融合　437

13.2.2　后融合　437

13.2.3　双向融合　438

13.3　本章小结　440

第14章　FMEDA方法　441

14.1　FMEDA相关概念　441

14.1.1　FMEDA与FMEA　442

14.1.2　失效率　442

14.1.3　失效模式　443

14.1.4　安全机制　444

14.1.5　诊断覆盖率　444

14.1.6　安全状态　445

14.2　随机硬件故障的特征及

分类流程　445

14.2.1　单点故障特征　445

14.2.2　残余故障特征　446

14.2.3　可探测的双点故障特征　446

14.2.4　可感知的双点故障特征　447

14.2.5　潜在双点故障特征　447

14.2.6　安全故障特征　448

14.2.7　随机硬件故障分类流程　448

14.3　FMEDA输入输出信息　448

14.4　FMEDA 的相关要求　449

14.5　FMEDA方法应用　450

14.5.1　FMEDA五步法　450

14.5.2　FMEDA示例　451

14.6　本章小结　456

第15章　DFA方法　457

15.1　为什么要实施DFA　457

15.2　DFA与其他安全分析方法

之间的关系　459

15.3　DFA实施的相关要求　460

15.4　DFA六步法　461

15.5　本章小结　469

第16章　ASIL等级分解　470

16.1　ASIL 等级分解相关概念

及要求　470

16.1.1　ASIL 等级分解的概念　471

16.1.2　ASIL等级分解要求　472

16.2　ASIL等级分解的目的　473

16.3　ASIL等级分解原理　474

16.3.1　ASIL等级分解的数学

原理　475

16.3.2　ASIL等级分解要点　476

16.4　ASIL 等级分解实践　477

16.5　本章小结　479

后记　480