一本書講透汽車功能安全：標準詳解與應用實踐

目錄Contents
前言
第一部分　功能安全詳解
第1章　功能安全概論　2
1.1　導讀　2
1.2　關於安全文化　5
1.2.1　安全文化的定義及評估準則　5
1.2.2　安全文化的要求與呈現方式　8
1.3　ISO 26262 功能安全概述　 13
1.3.1　ISO 26262的發展歷程　13
1.3.2　重要術語定義　14
1.3.3　為什麼需要功能安全　22
1.3.4　ISO 26262標準總體內容架構概覽　25
1.3.5　ISO 26262標準分解概覽　26
1.4　本章小結　40
第2章　ISO 26262中的功能安全管理　41
2.1　功能安全管理的主要活動　42
2.2　功能安全管理中的角色與職責　42
2.3?安全計畫　44
2.3.1　關於組織架構　45
2.3.2　關於開發介面協定　46
2.3.3　關於安全異常管理　47
2.3.4　關於能力管理　49
2.4　關於安全檔案　49
2.5　關於認可措施　51
2.5.1　認可措施簡介　52
2.5.2　認可評審　55
2.5.3　功能安全審核　55
2.5.4　功能安全評估　56
2.5.5　認可措施的獨立性　57
2.6　關於驗證　58
2.6.1　驗證方式　58
2.6.2　驗證與認可措施的關聯　59
2.7　功能安全管理之生產、營運、服務及報廢環節　60
2.7.1　生產計畫的相關要求　61
2.7.2　樣品製造、預生產及生產的相關要求　62
2.7.3　營運、服務和報廢計畫相關要求　63
2.8　功能安全管理之需求管理　64
2.8.1　需求的顆粒度與完整性　67
2.8.2　需求的來源　70
2.8.3　如何寫出需求　72
2.8.4　如何管理需求　73
2.8.5　安全需求與安全概念的區別與連結　78
2.9　本章小結　83
第3章　功能安全之概念階段　84
3.1　什麼是HARA　84
3.2　實施HARA活動前的準備　85
3.3　如何實施HARA活動　88
3.3.1　步驟一：危害分析　89
3.3.2　步驟二：場景辨識　93
3.3.3　步驟三：風險評估　95
3.3.4　步驟四：分析整理　103
3.4　HARA方法所得到的ASIL等級對應活動的差異　104
3.5　「萬裡長徵」第一步：從SG到FSC　108
3.5.1　什麼是 FSR　108
3.5.2　如何取得FSR　110
3.5.3　什麼是 FSC　112
3.6　本章小結　113
第4章　功能安全之系統開發　114
4.1　系統層面開發模型概覽　114
4.2　系統層面功能安全開發的考量　116
4.3　技術安全概念設計基本要點　117
4.4　系統層面的架構設計　120
4.5　軟硬體介面規格　122
4.6　安全驗證與確認　125
4.6.1　驗證　125
4.6.2　確認　126
4.6.3　系統驗證與確認要求　127
4.7　本章小結　128
第5章　功能安全之硬體開發　129
5.1　功能安全硬體開發模型　129
5.2　功能安全硬體開發中常見的問題　130
5.3　硬體安全要求　132
5.3.1　目的　132
5.3.2　輸入輸出關係　132
5.3.3　如何定義HSR　133
5.3.4　硬體安全需求的匯出範例　134
5.4　硬體設計　137
5.4.1　目的　137
5.4.2　輸入輸出關係　138
5.4.3　硬體設計過程　138
5.4.4?硬體層面的HSI規範　144
5.5　硬體安全分析　145
5.5.1　硬體故障的類型及相關定義　147
5.5.2　硬體安全分析（定性）與設計範例　149
5.5.3　練習時刻　155
5.6　硬體架構度量　156
5.6.1　基礎知識　156
5.6.2　單點故障度量　158
5.6.3　潛在故障度量　158
5.6.4　隨機硬體失效度量　159
5.6.5　硬體架構度量計算範例　160
5.6.6　練習時刻　164
5.7　硬體設計驗證　167
5.7.1　目的　167
5.7.2　要求及建議　167
5.7.3　工作成果　170
5.8　本章小結　170
第6章　功能安全之軟體開發　172
6.1　軟體開發概論　172
6.1.1　軟體開發模型　172
6.1.2　軟體開發的一般要求　173
6.2　軟體安全要求　178
6.2.1　目的　178
6.2.2　要求與建議　178
6.3　軟體架構設計　180
6.3.1　目的　180
6.3.2　什麼是架構　180
6.3.3　什麼是軟體架構　181
6.3.4　軟體架構與系統的交互作用　181
6.3.5　軟體系統簡介　182
6.3.6　軟體層面的開發視野　183
6.3.7　軟體架構設計要求及方法　185
6.4　軟體詳細設計　198
6.4.1　目的　 199
6.4.2　輸入輸出關係　199
6.4.3　軟體詳細設計要求　200
6.5　軟體設計驗證　202
6.5.1　軟體安全分析　202
6.5.2　軟體要素間的免於幹擾　203
6.5.3　簡述軟體單元驗證　211
6.5.4　簡述軟體整合與驗證　213
6.5.5　簡述嵌入式軟體測試　215
6.6　本章小結　217
第7章　功能安全之測試與驗證　218
7.1　關於驗證與確認　218
7.1.1　驗證　219
7.1.2　確認　219
7.2　硬體測試與驗證　220
7.2.1　目的　220
7.2.2　輸入輸出關係　221
7.2.3　硬體測試與驗證的相關要求　221
7.3　軟體測試與驗證　224
7.3.1　詳解軟體單元驗證　224
7.3.2　詳解軟體整合與驗證　231
7.3.3?詳解嵌入式軟體測試　233
7.3.4　軟體測試方法　234
7.4　系統測試與驗證　237
7.4.1　目的　238
7.4.2　輸入輸出關係　238
7.4.3　軟硬體整合與驗證　238
7.4.4　系統整合與驗證　241
7.4.5　整車整合與驗證　243
7.5　安全確認　244
7.5.1　目的　244
7.5.2　輸入輸出關係　245
7.5.3　安全確認的相關要求　245
7.6　本章小結　246
第8章　硬體要素評估與軟體組件、工具鑑定　247
8.1　硬體要素評估　247
8.1.1　硬體要素評估的目的　248
8.1.2　硬體要素的分類　249
8.1.3　硬體要素評估方法　250
8.2　軟體組件鑑定　253
8.2.1　軟體組件相關概念　253
8.2.2　軟體組件鑑定的目的　254
8.2.3　軟體組件鑑定的適用範圍　255
8.2.4　軟體組件鑑定的相關要求　255
8.2.5　如何進行軟體組件鑑定　257
8.3　軟體工具鑑定　259
8.3.1　軟體工具鑑定的概念　259
8.3.2　軟體工具信賴度評估相關要求　260
8.3.3　如何進行軟體工具鑑定　261
8.4　本章小結　265
第9章　功能安全架構設計　266
9.1　MooN架構模型探討　266
9.1.1　Fail-safe 架構　267
9.1.2　Fail-operational架構　269
9.1.3　MooN架構及MooN(D)架構　271
9.2　機械安全系統的指定架構　278
9.2.1　Category B 指定架構　279
9.2.2　Category 1 指定架構　279
9.2.3　Category 2 指定架構　280
9.2.4　Category 3指定架構　280
9.2.5　Category 4指定架構　281
9.3　關於IEC 62061中的安全控制系統架構　282
9.3.1　A類系統架構　282
9.3.2　B類系統架構　283
9.3.3　C類系統架構　283
9.3.4　D類別系統架構　286
9.4　E-GAS三層電子監控架構　286
9.4.1　設計概念　287
9.4.2　應用範例：整車控制器　287
9.5　硬體層面的晶片功能安全架構設計　294
9.5.1　晶片的硬體安全設計要求參考　295
9.5.2　晶片的供電安全　297
9.5.3　晶片的時脈安全　302
9.5.4　晶片的儲存安全　305
9.5.5　晶片的溫度監控　307
9.6　軟體層面的晶片功能安全架構設計　308
9.6.1　晶片的軟體安全　308
9.6.2　晶片的通訊安全　313
9.6.3　晶片的資訊安全　314
9.7　不可小瞧的「隱匿殺手」—單粒子翻轉　322
9.7.1　無所不在的電離輻射　322
9.7.2　單粒子翻轉　323
9.7.3　單粒子翻轉的緩解措施　324
9.8　自動駕駛系統的Fail-operational架構　328
9.8.1　Fail-operational架構設計考量　328
9.8.2　Fail-operational架構參考模型　332
9.8.3　實現最低風險條件的智慧失效可運作的回退策略　337
9.9　本章小結　340
第二部分　功能安全分析
第10章　FMEA和FMEA-MSR方法及應用　342
10.1　FMEA的定義及發展歷程　342
10.1.1　FMEA簡介　342
10.1.2　FMEA的發展歷程　343
10.2　FMEA的目的與應用時機　344
10.3　FMEA的模式種　345
10.3.1　DFMEA　345
10.3.2　PFMEA　345
10.4　FMEA方法　346
10.4.1　第一步：規劃準備　347
10.4.2　第二步：結構分析　347
10.4.3　第三步：功能分析　349
10.4.4　第四步：失效分析　351
10.4.5　第五步：風險分析　355
10.4.6　第六步：最佳化　365
10.4.7　第七步：結果文件化　367
10.5　FMEA的特殊特性　369
10.5.1　特殊特性的定義及分類　370
10.5.2　特殊特性的傳遞　373
10.6　FMEA-MSR方法　376
10.6.1　FMEA在ISO 26262中的限制　376
10.6.2　具體實施　377
10.6.3　如何避免監控設計的缺陷　385
10.7　本章小結　386
第11章　FTA方法　387
11.1　FTA的發展歷程　387
11.2　FTA相關內容簡介　389
11.2.1　故障樹介紹　389
11.2.2　FTA的定義　389
11.2.3　FTA的目的　390
11.3　ISO 26262 中關於 FTA 的說明與要求　390
11.4　FTA中的事件及其符號　392
11.4.1　底事件　 392
11.4.2　結果事件　392
11.4.3　特殊事件　393
11.4.4　FTA中的邏輯閘及其符號定義　393
11.4.5　FTA中的轉移符號　395
11.5　FTA中的術語　397
11.5.1　模組與最大模組　397
11.5.2　割集與最小割集　398
11.5.3　徑集與最小徑集　399
11.5.4　單調故障樹與非單調故障樹　401
11.5.5　重要度　403
11.6　FTA實施原則　404
11.6.1　劃定邊界與合理簡化架構圖　404
11.6.2　故障事件嚴格定義　404
11.6.3　故障樹應逐層推演　405
11.6.4　從上而下逐級建樹　405
11.6.5　建樹時不允許邏輯閘直接相連　406
11.6.6　妥善處理共因事件　406
11.7　FTA實施步驟　407
11.8　本章小結　408
第12章　故障樹建構與分析　409
12.1　確定頂事件　410
12.2　確定子樹　410
12.3　子樹演繹　410
12.4　子樹整合　414
12.5　故障樹整理　415
12.5.1　目的　415
12.5.2　故障樹規範化的基本規則　415
12.5.3　故障樹的簡化與模組分解　419
12.6　故障樹定性分析　426
12.6.1　目的　426
12.6.2　求最小割集　426
12.6.3　故障樹定性分析範例　428
12.7　本章小結　433
第13章　FMEA與FTA融合分析　434
13.1　FMEA與FTA的差異與聯繫　434
13.2　FMEA與FTA的融合　436
13.2.1　前融合　437
13.2.2　後融合　437
13.2.3　雙向融合　438
13.3　本章小結　440
第14章　FMEDA方法　441
14.1　FMEDA相關概念　441
14.1.1　FMEDA與FMEA　442
14.1.2　失效率　442
14.1.3　失效模式　443
14.1.4　安全機制　444
14.1.5　診斷覆蓋率　444
14.1.6　安全狀態　445
14.2　隨機硬體故障的特徵及分類流程　445
14.2.1　單點故障特徵　445
14.2.2　殘餘故障特徵　446
14.2.3　可偵測的雙點故障特徵　446
14.2.4　可感知的雙點故障特徵　447
14.2.5　潛在雙點故障特徵　447
14.2.6　安全故障特徵　448
14.2.7　隨機硬體故障分類流程　448
14.3　FMEDA輸入輸出資訊　448
14.4　FMEDA 的相關要求　449
14.5　FMEDA方法應用　450
14.5.1　FMEDA五步法　450
14.5.2　FMEDA範例　451
14.6　本章小結　456
第15章　DFA方法　457
15.1　為什麼要實施DFA　457
15.2　DFA與其他安全分析方法之間的關係　459
15.3　DFA實施的相關要求　460
15.4　DFA六步法　461
15.5　本章小結　469
第16章　ASIL等級分解　470
16.1　ASIL 等級分解相關概念及要求　470
16.1.1　ASIL 等級分解的概念　471
16.1.2　ASIL等級分解要求　472
16.2　ASIL等級分解的目的　473
16.3　ASIL等級分解原理　474
16.3.1　ASIL等級分解的數學原理　475
16.3.2　ASIL等級分解要點　476
16.4　ASIL 等級分解實務　477
16.5　本章小結　479
後記　480