内容简介
本书的内容是博世集团安全总监汉斯-莱奥·罗斯,在汽车功能安全领域多年专业经验的总结和方法的系统梳理,本书翻译自德文版第2版,本书的论述基于ISO26262:2018,内容包括移动出行的安全基础、安全和功能安全、安全和系统工程、系统工程和安全、系统安全方法、系统层面的产品开发和系统安全工程的应用示例。本书内容贴合汽车产品开发实践,适合汽车行业从事设计、测试、安全等专业的工程师,尤其是汽车电子开发工程师阅读使用,也适合高等院校车辆工程及相关专业师生参考阅读。
目录
中文版前言
前言
作者简介
第1章章移动出行的安全
基础1
1.1 本书中的注释2
1.2 安全作为社会权益3
1.3 汽车相关法律4
1.3.1 德国道路交通法
(StVG)4
1.3.2 《道路交通法》的由来5
1.3.3 道路交通法适应全球化
趋势7
1.3.4 修改《道路交通法》以
适应未来的出行解决
方案8
1.3.5 日内瓦和维也纳道路交通
公约10
1.4 欧盟指令11
1.4.1 欧盟道路交通指令11
1.4.2 欧盟车辆类别12
1.4.3 欧盟新型燃料指令12
1.5 许可标准13
1.6 美国许可法规15
1.7 联合国/欧洲经委会法规与
美国许可法规的协调16
1.8 法律与未来的机动性18
1.9 德国的产品责任18
1.10 中国的法律法规21
第2章 安全和功能
安全24
2.1 为什么道路车辆需要功能
安全?24
2.2 风险、安全和功能安全25
2.2.1 危险的来源26
2.2.2 IEC 61508中的风险和
完整性定义29
2.2.3 ISO 26262中的风险
定义36
2.3 质量管理体系38
2.3.1 从ISO 26262角度观察
质量管理体系43
2.3.2 先期质量计划45
2.3.3 流程模型46
2.3.4 V模型47
2.3.5 瀑布模型51
2.3.6 螺旋模型52
2.4 汽车和安全生命周期54
2.4.1 汽车安全生命周期56
2.4.2 ISO 26262的安全生命
周期57
2.4.3 安全与安全生命周期60
第3章章安全性和系统
工程63
3.1 安全性是新出行概念的基本
要求63
3.1.1 自动驾驶作为未来的出行
方式63
3.1.2 运行安全67
3.1.3 自动驾驶的运行安全
概念68
3.2 汽车未来安全生命周期的
拓展70
3.2.1 处于被定义好的环境中的
车辆70
3.2.2 危害和风险分析71
3.2.3 验证和确认措施72
3.2.4 相关法律领域的审查72
3.2.5 关键数据和参数73
3.2.6 自动驾驶功能的运行
安全74
3.2.7 获得自动驾驶汽车公共道
路上驾驶许可的方法76
3.2.8 涉及自动运输系统的机械
工程标准80
3.2.9 扩展的安全生命周期82
3.3 系统安全86
3.3.1 历史和哲学背景86
3.3.2 可靠性、技术和安全性89
3.3.3 技术可靠性90
3.3.4 可靠性和安全性94
第4章章系统工程和
安全98
4.1 架构开发的视角98
4.1.1 架构的利益相关者100
4.1.2 架构视图104
4.1.3 水平抽象层107
4.1.4 层级和架构115
4.2 需求和架构开发116
4.2.1 需求和设计规范118
4.2.2 功能架构和验证120
4.3 开发需求和架构的系统
工程122
4.3.1 功能分析126
4.3.2 作用链分析127
4.3.3 软件开发和架构131
4.4 车辆安全134
4.4.1 车辆安全的历史概况135
4.4.2 车辆安全基础138
4.4.3 NCAP—“新车评估
计划”139
4.4.4 电池安全139
4.4.5 电动汽车的车辆安全
架构142
第5章章系统安全
方法145
5.1 通过危害和风险分析制定
要求145
5.1.1 安全完整性中的危害和
风险分析149
5.1.2 根据ISO 26262进行危
害分析和风险评估151
5.1.3 安全目标158
5.2 安全概念160
5.2.1 功能安全概念165
5.2.2 技术安全概念174
5.2.3 微控制器安全概念178
5.3 系统分析182
5.3.1 系统分析方法183
5.3.2 ISO 26262的安全
分析189
5.3.3 错误传播196
5.3.4 横向和纵向的错误
传播201
5.3.5 归纳法安全分析205
5.3.6 演绎法安全分析207
5.3.7 定量安全分析211
5.3.8 架构指标214
5.3.9 顶端错误指标218
5.3.10 传感器或其他组件的
错误度量222
5.3.11 晶振的ISO 26262
度量223
5.3.12 相关故障分析227
5.4 安全生命周期中的安全
分析233
5.5 开发过程中的验证239
5.6 验证要求240
5.7 基于ARP 4761的分析
过程242
第6章章系统层面的产品
开发245
6.1 组件级别的产品开发250
6.1.1 机械开发252
6.1.2 电子开发253
6.1.3 软件开发258
6.2 功能安全和时间限制264
6.2.1 错误响应时间间隔的安全
视角264
6.2.2 安全视角和实时系统265
前言/序言
阅读我书的第1版前言,并将这些思想应用到这本全面修订的第2版中,你会发现很多观点在新的视角下有了全新的内容。
当写第1版的前言时,我已经有20年功能安全领域的从业经验了;而现在,已经超过了35年。这包括我在德国联邦邮政(那时被称为电信公司)接受的电信技术员培训的经历。在我1992年以电气工程师的身份开始职业生涯时,这个行业已经经历了像博帕尔和塞维索这样的重大事故。如今,在本书的第2版中提到了《塞维索第三号指令》,这说明安全领域在过去几十年间经历了显著的变化。 在本书的第1版中,我提到VDI/VDE 2180《过程工业设施安全规范》是在我的出生之年(1966年)发布的。由于电动交通的兴起,我们现在需要考虑的是VDE 100标准,该标准可追溯到1895年。当时的标准不仅涉及电气设备和消费品,还涵盖变压器、电缆、导轨及测量技术的使用。标准中加入了用测量与控制系统来保障设备安全的理念。传感器在诸如转向、制动和动力系统的车辆控制中扮演什么角色呢?如今,这个问题也适用于自动驾驶车中的雷达、激光雷达及相机系统。我们需要了解哪些新安全特性对于自动驾驶功能来说至关重要,并探讨如何将原本由驾驶人完成的操作自动化。 在过去,我们将设备分为操作与安全保障设备及监测与保护设备两大类。在本书的第2版中,不仅包括了功能安全性设计的概念,还涵盖了运行安全性、车辆安全性和数据安全性等相关内容。这说明过去的理论和实践现在可以应用到最新的技术和设备上。
如今,人们用新的眼光看待DIN VDE 31000《技术产品安全设计通用指南》。该标准中提到的风险、安全与危害间的关系现在需应用至自动驾驶领域中。标准中的边界风险理念也迎来了新的考验。当时的机械标准依然存在,并且不允许利用微处理器执行安全任务,但是市场中已出现了安全控制系统的应用实例。多种规范与标准为此类系统提供了测试、验证及开发的准则。此标准不受特定应用场景或技术限制,而是运用风险图来说明一种定性的风险评估手段。如今的风险管理、测试及验证等议题在汽车行业中也显得非常重要。1990年发布DIN V VDE 0801《用于执行安全任务之系统中的计算机基础》标准在1994年的修订版中则引入了“可靠操作”与考量单元的概念。对于不同风险级别或需求类别而言,冗余机制始终被视为唯一有效的应对策略。即使是人类大脑左右半球的工作也需要依靠冗余来保证对情境的理解准确无误。一个脑半球可能在理解和处理背景信息方面更为出色,而另一侧的脑半球则更加关注细节信息如文字等的具体分析和提取。但在此领域中,人们早已采用多样化的检测原理以提早识别潜在的风险情况。现今大家意识到,并不存在一种能够全面覆盖所有交通状况的理想传感器或监测系统。可能需借助智能传感器融合技术及多种传感装置与逻辑算法组合的方式加以解决。针对蒸汽与压力容器的规定早已要求采用额外的压力和温度检测手段来保障安全性。即使在水资源管理法规中,也有明确规定对容器容量及独立溢流保护机制加以控制以确保安全。这些安全准则大多源自设施运营方制定的标准,并且经常作为监管机构审批过程中的参考依据。面对氢能汽车和燃料电池相关技术的发展,我们有必要重新审视上述的安全理念与实践。在我于1998年投身于安全控制系统的市场推广工作之际,英国、荷兰及挪威则在热议IEC 61508标准的草案。当时人们对可扩展冗余的概念已有一定认识,并能够将其区分为保障安全性和保证系统可用性的不同层次。与此同时,微处理器也被配置为采用锁步技术协同工作,甚至能够在运行期间调整其程序执行流程或控制系统逻辑。此外,在那个时期也出现了能够针对特定运行环境设定安全逻辑的一些编程工具。然而如今我们意识到,仅靠锁步机制并不能有效应对系统的结构性问题。
随着IEC 61508的发布,安全系统生命周期方法被提出。此外,该标准还制定了产品开发过程中的流程考虑以及与质量管理体系的关系。我们在哪里找到标准化的流程来指导自动驾驶功能呢?IEC 61508区分了预期功能和必要的安全措施,以确保设备或机器的安全。受控设备(即需要被控制的装置或机械)是关注的重点。难道自动驾驶汽车在交通环境中的安全性不是要保障的移动机器吗?诊断技术的引入扩展了安全架构的概念,用于确保功能或电气驱动系统的运作。1998年,我在伯明翰展示了第一个达到SIL 4级别的被动电子安全系统。当时,没有人相信它会如此迅速地改变这一行业。如今,汽车中80%的通信都通过CAN总线进行。当我于2001年接管产品管理工作时,需要寻找新的应用领域来开发新的安全系统。另一个重点是联网安全技术,它以前依赖于串行数据总线。现在,我们需要实现分布式、去中心化的安全性以及动态、状态相关的安全系统。在这种情况下,以太网成了唯一的选择。重要的是要使现有的数据技术能够被安全技术所使用。一些毕业论文研究了整个挪威安全控制系统的部署情况,它们通过挪威石油公司Statoil的数据网络交换安全相关信息,通过卫星传输数据,例如从海上平台到陆地设施
