基于ISO 26262的功能安全 (德)薇拉·格布哈特 等 著 程威为 等 译 专业科技 文轩网

译者的话
前言
作者团队
译者简介
第１章 引言 １
１.１ 为何选择汽车专用安全标准 ＩＳＯ ２６２６２：２０１１ １
１.１.１ ＩＳＯ ２６２６２：２０１１，２０１１.１１.１５版本 ２
１.１.２ 汽车技术委员会 ２
１.１.３ 近期新技术水平 ２
１.１.４ ＩＳＯ ２６２６２：２０１１——可实际应用的标准 ３
１.１.５ 举证责任反转 ４
１.２ 符合 ＡＳＩＬ的产品等级 ４
１.２.１ 明确的责任分配 ４
１.２.２ 流程模型和流程成熟度 ５
第２章 在这本书将会学到什么 ７
２.１ 一般提示 ７
２.２ 项目 “Ｊｏｙ”及其产品 “操纵杆传感器”的前提和假设 ９
２.３ 本书的阅读指引 １０
２.４ 项目 “Ｊｏｙ”描述文档 １１
２.４.１ 创新性 １２
２.４.２ 产品信息 １２
２.５ 参与的公司 １４
２.６ Ｊｏｙ开发团队 １６
２.７ 法律基础和责任 １８
第３章 阶段模型 ２０
３.１ 组织结构要求 ２０
３.２ 流程模型和功能安全管理 ２１
３.３ ＩＳＯ ２６２６２：２０１１阶段模型 ２１
３.４ 创建安全文化 ２３
３.４.１ 项目举例 ２４
３.４.２ 安全文化问卷调查 ２５
３.４.３ ＷｏｒｌｄＣａｆｅ和开放空间方法 ２７
３.５ 技术安全管理 ２７
３.６ Ｊｏｙ项目的功能安全管理 ２８
３.７ ｓａｆｅｈｉｃｌｅ公司安全政策和安全计划 ２８
３.８ 安全生命周期活动 ３０
３.８.１ 项目实践举例 ３０
３.８.２ 管理活动 ３１
３.８.３ 证实措施 ３３
３.９ 所需的流程支持 ３３
第４章 安全生命周期中的特定角色 ３５
４.１ 高效的团体 ３５
４.１.１ 资源规划项目举例 ３５
４.１.２ 有条理地确定培训需求 ３７
４.２ 资质 ３８
４.３ Ｊｏｙ项目安全经理 ４０
４.４ 功能安全经理职位描述 ４０
４.４.１ 项目举例 ４２
４.４.２ Ｊｏｙ项目的安全协调员 ４２
４.５ 安全协调员职位描述 ４２
４.６ 安全生命周期的其他角色 ４３
４.６.１ 销售代表和产品专家 ４３
４.６.２ 招标部门的职员 ４４
４.６.３ 订单处理负责人 ４４
４.６.４ ＡＳＩＬ产品专家 （产品管理部门员工） ４４
４.６.５ 项目经理 ４４
４.６.６ 研发人员和测试确认人员 ４５
４.６.７ 装配人员 ４５
４.６.８ 检查和调试人员 ４５
４.６.９ 处理订单的服务人员／文员 ４６
４.６.１０ 车间维修技师 ４６
４.６.１１ 独立的第三方 （评估） ４６
４.７ 角色多样性 ４６
第５章 配置和更改管理 ４７
５.１ 配置管理 ４７
５.１.１ 配置管理的任务 ４７
５.１.２ 活动项目举例 ４７
５.１.３ 里程碑 -基线 -接口 -权限 ４８
５.１.４ 工具使用和交付 ＫＭ项目 ４８
５.２ 配置经理 ４９
５.３ 根据 ＩＳＯ ２６２６２：２０１１进行更改管理 ５１
５.４ ｓａｆｅｈｉｃｌｅ公司更改管理计划 ５２
５.５ 流程调整方面 ５３
５.６ 审批过程 ５４
５.７ 接口修改和批准 ５５
５.８ 回顾 ５７
５.８.１ 回顾方法 ５７
５.８.２ 实施回顾 ５７
第６章 安全生命周期和开发接口协议的初始化 ５９
６.１ 初始化 ５９
６.２ 供应商选择 ５９
６.３ 资质查询和选择报告 ６０
６.４ 开发接口协议 ６１
６.５ ＤＩＡ——程序 Ｊｏｙ项目举例 ６３
６.６ 安全生命周期初始化 ６３
６.７ 招标和转包 ６４
第７章 汽车安全完整性等级的概念 ６６
７.１ ＡＳＩＬ的历史和背景 ６６
７.１.１ 降低风险 ６７
７.１.２ 在 Ｊｏｙ项目里从安全目标到安全概念 ６８
７.２ ＡＳＩＬ在标准书中表格的意义 ６８
７.３ 依赖于 ＡＳＩＬ的要求和推荐 ７０
７.４ ＡＳＩＬ分解的基础 ７０
７.４.１ 操纵杆传感器的分解方法 ７１
７.４.２ 安全要求的分解 ７１
７.４.３ 分解的局限和 ７３
７.４.４ 可用性的方面 ７４
７.４.５ 安全状态的简例 ７４
７.５ 使用 ＩＳＯ ２６２６２的优点和启示 ７５
７.５.１ 更优的流程质量 ７５
７.５.２ 更优的商务关系 ７５
７.５.３ 更优的产品质量 ７６
７.５.４ 经济上的益处 ７６
７.６ 定量和定性的方法 ７６
７.６.１ 定性的方法 ７７
７.６.２ 定量的方法 ７７
７.７ 安全性分析 ７７
７.７.１ 在操纵杆项目中的定性和定量方法 ７９
７.７.２ 认识论 ７９
第８章 危害分析与风险评估 ８０
８.１ 危险和分类识别 ８０
８.２ 执行分析——项目实例 ８０
８.３ 在产品生命周期阶段的程序 ８２
８.４ 与其他系统的相互作用 ８２
８.５ 风险分析 ８３
８.６ 风险分析的方法 ８４
８.７ ＡＳＩＬ的确认 ８６
８.８ 来自于 Ｊｏｙ项目的具体案例 ８８
８.８.１ 驱动的案例 ９１
８.８.２ 制动力的案例 ９４
８.８.３ 转向的案例 ９７
８.９ 危害分析与风险评估的总结 ９９
第９章 功能和技术安全要求规范 １００
９.１ 功能安全要求规范 １００
９.２ 操纵杆 Ｊｏｙ和操纵杆传感器规范程序 １０１
９.２.１ 功能安全要求规范 １０１
９.２.２ 子系统的技术安全要求 １０１
９.２.３ 实施技术要求以降低风险 １０２
９.２.４ 项目示例 Ｊｏｙ １０４
９.３ 系统确认 １０４
９.４ 可靠性、功能安全性和可用性 １０５
９.５ 安全性审核 １０６
９.５.１ 独立性 １０７
９.５.２ 规划安全审核 １０８
９.５.３ Ｊｏｙ项目中的安全审核议程 １０８
９.５.４ 推导出措施 １１３
第１０章 验证和确认计划 １１４
１０.１ 关于 Ｖ+Ｖ的一般信息 １１４
１０.２ 验证工作的作用领域 １１７
１０.２.１ 验证规范 １１７
１０.２.２ 测试报告 １１９
１０.３ 确认工作的作用领域 １１９
１０.３.１ 确认计划的范围 １２０
１０.３.２ 联合确认计划和计划内容 １２１
１０.４ 硬件 -软件集成 １２４
１０.５ 系统集成测试 １２４
１０.６ 集成测试方法 １２６
１０.６.１ 故障注入测试 １２７
１０.６.２ 背靠背测试 １２７
１０.６.３ 接口检查 １２８
１０.６.４ 基于经验的测试 １２８
１０.７ 车辆级别的集成和测试 １２９
１０.８ 硬件的确认计划 １３０
１０.８.１ 硬件集成和硬件集成测试 １３０
１０.８.２ Ｊｏｙ项目中的方法 １３１
１０.８.３ 评估随机硬件故障造成的安全目标违规 １３３
１０.８.４ 确认随机硬件错误的度量标准 １３３
１０.８.５ 评估硬件架构的指标 １３３
１０.８.６ 评估硬件设计的输入和输出 １３４
１０.８.７ 项目示例硬件设计评审 １３４
１０.９ 软件模块测试 １３５
１０.９.１ 导出和执行软件模块故障的方法 １３５
１０.９.２ 软件集成和测试 １３７
１０.９.３ 软件集成测试 １３８
１０.１０ 项目示例软件测试 １３８
１０.１１ 验证软件安全要求 １３９
１０.１２ 机电一体化系统的分析和验证 １４０
第１１章 系统级的产品开发 １４２
１１.１ 在概念阶段的 ２０００个要求 １４２
１１.２ 概述 １４２
１１.３ 初始化系统级的产品研发阶段 １４４
１１.４ 规范技术安全要求 １４５
１１.４.１ 系统机制的规范 １４６
１１.４.２ 硬件故障的分类和指标 １４７
１１.４.３ 随机硬件故障的过程模型 １４８
１１.５ Ｊｏｙ项目的技术安全要求 １４９
１１.５.１ 通往技术安全要求的途径 １５０
１１.５.２ 项目示例 １５１
１１.５.３ 在内部处理时的错误 １５２
１１.５.４ 系统设计中的冗余 １５３
１１.５.５ 对于传输传感器信号的要求 １５４
１１.６ 系统设计 １５４
１１.６.１ 避免系统性的故障 １５５
１１.６.２ 随机故障的识别措施 １５６
１１.６.３ 项目示例 １５６
１１.６.４ 故障树分析 （ＦＴＡ） １５７
１１.６.５ 其他的指标——用于硬件错误的 “ＣｕｔＳｅｔ方法” １５８
１１.６.６ 度量的边界值 １５９
１１.７ 规范软硬件之间的接口 １６０
１１.８ 验证系统设计 １６１
１１.９ 相关项整合和测试 １６１
１１.１０ 总结 １６２
第１２章 文档和工作产品 １６３
１２.１ 文档要求 １６３
１２.２ “谁写下来谁就有理”或 “凡事不宜过分”——项目 示例 １６６
１２.３ 跨越阶段的文档 １６７
１２.４ ＩＳＯ ２６２６２：２０１１的关键性文件——第２部分 “功能 安全管理” １６８
１２.４.１ 总体安全管理计划 １６８
１２.４.２ 资格证明 １６９
１２.４.３ 公认的书面质量管理体系 １６９
１２.４.４ 安全计划 １６９
１２.５ 安全证书 １７１
１２.５.１ 安全证书——安全档案 （功能安全工作产品） １７１
１２.５.２ 参考和相关文件 １７１
１２.５.３ 引用与核心安全相关的文件 １７１
１２.５.４ 定义、术语、缩写 １７１
１２.５.５ 安全计划 １７２
１２.５.６ 相关项定义 １７２
１２.５.７ 遵规矩阵 １７２
１２.５.８ 会议纪要 １７２
１２.５.９ 计划过程中的工作产品 １７２
１２.５.１０ 出自安全生命周期初始化阶段的工作产品 １７２
１２.５.１１ 来自于支持过程的工作产品 １７３
１２.５.１２ 状态报告 １７３
１２.５.１３ 生产安全控制计划 １７３
１２.５.１４ 危害分析与风险评估摘录 １７３
１２.５.１５ 功能安全概念 １７４
１２.５.１６ 安全要求确定 １７４
１２.５.１７ 来自验证和确认的工作产品 １７４
１２.５.１８ 安全分析和安全报告 １７４ 
基于 ＩＳＯ ２６２６２的功能安全ⅩⅦ
１２.５.１９ 安全性参数 １７４
１２.５.２０ 安全证书中的安全事项清单 １７５
１２.５.２１ 评估计划和过程的符合性 １７５
１２.５.２２ 总结 １７６
１２.６ ＩＳＯ ２６２６２：２０１１的关键文件——第３部分 “概念 阶段” １７６
１２.６.１ 相关项定义 １７６
１２.６.２ 工作产品影响性分析 １７７
１２.６.３ 危害与风险分析 １７７
１２.６.４ 功能安全概念 １７８
第１３章 相关文档和工作产品 １８０
１３.１ 概述 １８０
１３.２ ＩＳＯ ２６２６２：２０１１的关键文件——第４部分 “系统级 产品开发” １８１
１３.２.１ 确认计划和确认报告 １８２
１３.２.２ 系统级安全评估 １８３
１３.２.３ 生产释放的文档 １８３
１３.２.４ 技术安全要求 １８３
１３.２.５ 技术安全概念 １８３
１３.３ ＩＳＯ ２６２６２：２０１１的主要文件——第５部分 “硬件级 产品开发” １８４
１３.３.１ 硬件级别的安全计划 １８５
１３.３.２ 硬件级别的规格 １８５
１３.３.３ 硬件设计文档 １８５
１３.３.４ 安全性分析 １８６
１３.３.５ 硬件架构指标的文档 １８７
１３.３.６ 硬件集成和硬件测试 １８７
１３.４ ＩＳＯ ２６２６２：２０１１的主要文件——第６部分 “软件 实施” １８８
１３.４.１ 计划和启动 １８９
１３.４.２ 软件安全要求和验证计划 １８９
１３.４.３ 软件设计 １８９
１３.４.４ 软件模块设计和软件实现 １９０
１３.４.５ 软件模块测试 １９０
１３.４.６ 软件集成和测试 １９１
１３.４.７ 配置数据和标定数据 １９２
１３.５ ＩＳＯ ２６２６２：２０１１的主要文件——第７部分 “生产和 操作” １９３
１３.５.１ 生产计划和生产控制计划 １９４
１３.５.２ 运行、维护和报废 １９４
１３.６ ＩＳＯ ２６２６２：２０１１的关键文件——第８部分 “支持 流程” １９５
１３.７ ＩＳＯ ２６２６２：２０１１的关键文件——第９部分 “ＡＳＩＬ和 安全导向性分析” １９５
１３.７.１ ＡＳＩＬ分解 １９５
１３.７.２ 要素共存的标准 １９６
１３.７.３ 依赖性错误和失败的分析 １９６
１３.７.４ 安全分析 １９６
１３.８ 总结 １９６
第１４章 评审 １９８
１４.１ 通常意义 １９８
１４.１.１ 评审程序 １９９
１４.１.２ 评审技术 １９９
１４.１.３ ＡＳＩＬ和评审技术之间的依赖性 ２０１
１４.２ 阅读技术 ２０２
１４.２.１ 简介 ２０２
１４.２.２ 即席阅读 ２０４
１４.２.３ 基于清单的阅读技术 ２０５
１４.２.４ 逐步抽象阅读 ２０６
１４.２.５ 基于错误类别的阅读 ２０７
１４.２.６ 基于视角的阅读 ２０７
１４.２.７ 总结 ２０８
第１５章 对软件工具的信任性 ２１０
１５.１ 软件工具的信任性和资格 ２１０
１５.２ 为什么谨慎选择工具很重要 ２１１
１５.３ 工具置信度 ２１４
１５.３.１ 工具鉴定计划 ２１６
１５.３.２ 工具文档 ２１６
１５.３.３ 工具错误报告 ２１７
１５.３.４ 评估工具开发过程 ２１７
１５.３.５ 检查工具的性能 ２１７
１５.３.６ Ｊｏｙ项目中的资格报告 ２１８
１５.４ 题外话：操作可靠性的重复使用 ２１９
１５.５ 总结 ２２１
第１６章 回顾 ２２２
１６.１ 安全相关项目的规划 ２２２
１６.２ ｓａｆｅｈｉｃｌｅ公司——来自规划活动的流程更改 ２２３
１６.３ 总结 ２２７
第１７章 展望 ２２８
附录 ２２９
附录Ａ ２２９
Ａ.１ 计划的工作辅助清单 ２２９
Ａ.２ 安全文化的例子 ２３５
Ａ.３ 基本测试过程 ２３６
Ａ.４ 错误的心理原因 ２３７
Ａ.４.１ 思维陷阱作为错误原因 ２３８
Ａ.４.２ 总结 ２３９
附录Ｂ 词汇表 ２３９
附录Ｃ 缩写索引 ２４７
附录Ｄ 规范和标准 ２５０
附录Ｅ 参考文献 ２５１