本书的内容是博世集团安全总监汉斯-莱奥·罗斯，在汽车功能安全领域多年专业经验的总结和方法的系统梳理，本书翻译自德文版第2版，本书的论述基于ISO26262:2018，内容包括移动出行的安全基础、安全和功能安全、安全和系统工程、系统工程和安全、系统安全方法、系统层面的产品开发和系统安全工程的应用示例。本书内容贴合汽车产品开发实践，适合汽车行业从事设计、测试、安全等专业的工程师，尤其是汽车电子开发工程师阅读使用，也适合高等院校车辆工程及相关专业师生参考阅读。

中文版前言
前言
作者简介
第1章 移动出行的安全
基础1
1.1　本书中的注释2
1.2　安全作为社会权益3
1.3　汽车相关法律4
1.3.1　德国道路交通法
（StVG）4
1.3.2　《道路交通法》的由来5
1.3.3　道路交通法适应全球化
趋势7
1.3.4　修改《道路交通法》以
适应未来的出行解决
方案8
1.3.5　日内瓦和维也纳道路交通
公约10
1.4　欧盟指令11
1.4.1　欧盟道路交通指令11
1.4.2　欧盟车辆类别12
1.4.3　欧盟新型燃料指令12
1.5　许可标准13
1.6　美国许可法规15
1.7　联合国/欧洲经委会法规与
美国许可法规的协调16
1.8　法律与未来的机动性18
1.9　德国的产品责任18
1.10　中国的法律法规21
第2章　安全和功能
安全24
2.1　为什么道路车辆需要功能
安全？24
2.2　风险、安全和功能安全25
2.2.1　危险的来源26
2.2.2　IEC 61508中的风险和
完整性定义29
2.2.3　ISO 26262中的风险
定义36
2.3　质量管理体系38
2.3.1　从ISO 26262角度观察
质量管理体系43
2.3.2　先期质量计划45
2.3.3　流程模型46
2.3.4　V模型47
2.3.5　瀑布模型51
2.3.6　螺旋模型52
2.4　汽车和安全生命周期54
2.4.1　汽车安全生命周期56
2.4.2　ISO 26262的安全生命
周期57
2.4.3　安全与安全生命周期60
第3章 安全性和系统
工程63
3.1　安全性是新出行概念的基本
要求63
3.1.1　自动驾驶作为未来的出行
方式63
3.1.2　运行安全67
3.1.3　自动驾驶的运行安全
概念68
3.2　汽车未来安全生命周期的
拓展70
3.2.1　处于被定义好的环境中的
车辆70
3.2.2　危害和风险分析71
3.2.3　验证和确认措施72
3.2.4　相关法律领域的审查72
3.2.5　关键数据和参数73
3.2.6　自动驾驶功能的运行
安全74
3.2.7　获得自动驾驶汽车公共道
路上驾驶许可的方法76
3.2.8　涉及自动运输系统的机械
工程标准80
3.2.9　扩展的安全生命周期82
3.3　系统安全86
3.3.1　历史和哲学背景86
3.3.2　可靠性、技术和安全性89
3.3.3　技术可靠性90
3.3.4　可靠性和安全性94
第4章 系统工程和
安全98
4.1　架构开发的视角98
4.1.1　架构的利益相关者100
4.1.2　架构视图104
4.1.3　水平抽象层107
4.1.4　层级和架构115
4.2　需求和架构开发116
4.2.1　需求和设计规范118
4.2.2　功能架构和验证120
4.3　开发需求和架构的系统
工程122
4.3.1　功能分析126
4.3.2　作用链分析127
4.3.3　软件开发和架构131
4.4　车辆安全134
4.4.1　车辆安全的历史概况135
4.4.2　车辆安全基础138
4.4.3　NCAP—“新车评估
计划”139
4.4.4　电池安全139
4.4.5　电动汽车的车辆安全
架构142
第5章 系统安全
方法145
5.1　通过危害和风险分析制定
要求145
5.1.1　安全完整性中的危害和
风险分析149
5.1.2　根据ISO 26262进行危
害分析和风险评估151
5.1.3　安全目标158
5.2　安全概念160
5.2.1　功能安全概念165
5.2.2　技术安全概念174
5.2.3　微控制器安全概念178
5.3　系统分析182
5.3.1　系统分析方法183
5.3.2　ISO 26262的安全
分析189
5.3.3　错误传播196
5.3.4　横向和纵向的错误
传播201
5.3.5　归纳法安全分析205
5.3.6　演绎法安全分析207
5.3.7　定量安全分析211
5.3.8　架构指标214
5.3.9　顶端错误指标218
5.3.10　传感器或其他组件的
错误度量222
5.3.11　晶振的ISO 26262
度量223
5.3.12　相关故障分析227
5.4　安全生命周期中的安全
分析233
5.5　开发过程中的验证239
5.6　验证要求240
5.7　基于ARP 4761的分析
过程242
第6章 系统层面的产品
开发245
6.1　组件级别的产品开发250
6.1.1　机械开发252
6.1.2　电子开发253
6.1.3　软件开发258
6.2　功能安全和时间限制264
6.2.1　错误响应时间间隔的安全
视角264
6.2.2　安全视角和实时系统265
6.2.3　时序和确定性267
6.2.4　调度视角268
6.2.5　硬实时系统中的混合
临界性270
6.2.6　程序的顺序控制以及控制
与数据流监控机制272
6.2.7　汽车操作系统274
6.2.8　安全计算环境275
6.2.9　预测性状态监控276
6.3　产品实现中的系统工程277
6.4　系统集成280
6.5　验证和测试281
6.5.1　基于安全分析的验证284
6.5.2　测试方法286
6.5.3　技术要素的集成287
6.6　确认288
6.7　释放291
6.7.1　流程释放291
6.7.2　量产生产的释放292
6.8　功能安全的确认293
6.8.1　评审以确认符合标准293
6.8.2　功能安全过程分析294
6.8.3　安全活动的验证294
6.8.4　功能安全的评估296
6.9　安全证书297
6.10　基于模型的开发298
6.10.1　功能安全模型301
6.10.2　模型基础303
6.10.3　基于模型的安全
分析305
6.10.4　建模以降低复杂性305
第7章 系统安全工程的
应用示例 308
7.1　云中的安全性309
7.1.1　空中固件下载309
7.1.2　来自基础设施的车辆
控制信息311
7.1.3　高度可用的安全架构313
7.1.4　云的安全性术语314
7.2　安全和保护功能317
7.2.1　名义性能317
7.2.2　作为风险根源识别或措施
的冗余机制324
7.2.3　可用性和安全性326
7.2.4　L3自动驾驶334
7.3　保护等级和障碍336
7.3.1　错误和风险金字塔336
7.3.2　降低风险的多​​样性339
7.3.3　人工智能和安全342
7.3.4　多级保护344
7.4　自动驾驶安全功能348
7.4.1　交通区域防护348
7.4.2　交通空间和态势感知351
7.4.3　交通区域信息采集352
7.4.4　自动驾驶的作用链353
7.4.5　在网格上测量周围
环境354
7.5　进一步的出行概念展望356

阅读我书的第1版前言，并将这些思想应用到这本全面修订的第2版中，你会发现很多观点在新的视角下有了全新的内容。
当写第1版的前言时，我已经有20年功能安全领域的从业经验了；而现在，已经超过了35年。这包括我在德国联邦邮政（那时被称为电信公司）接受的电信技术员培训的经历。在我1992年以电气工程师的身份开始职业生涯时，这个行业已经经历了像博帕尔和塞维索这样的重大事故。如今，在本书的第2版中提到了《塞维索第三号指令》，这说明安全领域在过去几十年间经历了显著的变化。 在本书的第1版中，我提到VDI/VDE 2180《过程工业设施安全规范》是在我的出生之年（1966年）发布的。由于电动交通的兴起，我们现在需要考虑的是VDE 100标准，该标准可追溯到1895年。当时的标准不仅涉及电气设备和消费品，还涵盖变压器、电缆、导轨及测量技术的使用。标准中加入了用测量与控制系统来保障设备安全的理念。传感器在诸如转向、制动和动力系统的车辆控制中扮演什么角色呢？如今，这个问题也适用于自动驾驶车中的雷达、激光雷达及相机系统。我们需要了解哪些新安全特性对于自动驾驶功能来说至关重要，并探讨如何将原本由驾驶人完成的操作自动化。 在过去，我们将设备分为操作与安全保障设备及监测与保护设备两大类。在本书的第2版中，不仅包括了功能安全性设计的概念，还涵盖了运行安全性、车辆安全性和数据安全性等相关内容。这说明过去的理论和实践现在可以应用到最新的技术和设备上。
如今，人们用新的眼光看待DIN VDE 31000《技术产品安全设计通用指南》。该标准中提到的风险、安全与危害间的关系现在需应用至自动驾驶领域中。标准中的边界风险理念也迎来了新的考验。当时的机械标准依然存在，并且不允许利用微处理器执行安全任务，但是市场中已出现了安全控制系统的应用实例。多种规范与标准为此类系统提供了测试、验证及开发的准则。此标准不受特定应用场景或技术限制，而是运用风险图来说明一种定性的风险评估手段。如今的风险管理、测试及验证等议题在汽车行业中也显得非常重要。1990年发布DIN V VDE 0801《用于执行安全任务之系统中的计算机基础》标准在1994年的修订版中则引入了“可靠操作”与考量单元的概念。对于不同风险级别或需求类别而言，冗余机制始终被视为唯一有效的应对策略。即使是人类大脑左右半球的工作也需要依靠冗余来保证对情境的理解准确无误。一个脑半球可能在理解和处理背景信息方面更为出色，而另一侧的脑半球则更加关注细节信息如文字等的具体分析和提取。但在此领域中，人们早已采用多样化的检测原理以提早识别潜在的风险情况。现今大家意识到，并不存在一种能够全面覆盖所有交通状况的理想传感器或监测系统。可能需借助智能传感器融合技术及多种传感装置与逻辑算法组合的方式加以解决。针对蒸汽与压力容器的规定早已要求采用额外的压力和温度检测手段来保障安全性。即使在水资源管理法规中，也有明确规定对容器容量及独立溢流保护机制加以控制以确保安全。这些安全准则大多源自设施运营方制定的标准，并且经常作为监管机构审批过程中的参考依据。面对氢能汽车和燃料电池相关技术的发展，我们有必要重新审视上述的安全理念与实践。在我于1998年投身于安全控制系统的市场推广工作之际，英国、荷兰及挪威则在热议IEC 61508标准的草案。当时人们对可扩展冗余的概念已有一定认识，并能够将其区分为保障安全性和保证系统可用性的不同层次。与此同时，微处理器也被配置为采用锁步技术协同工作，甚至能够在运行期间调整其程序执行流程或控制系统逻辑。此外，在那个时期也出现了能够针对特定运行环境设定安全逻辑的一些编程工具。然而如今我们意识到，仅靠锁步机制并不能有效应对系统的结构性问题。
随着IEC 61508的发布，安全系统生命周期方法被提出。此外，该标准还制定了产品开发过程中的流程考虑以及与质量管理体系的关系。我们在哪里找到标准化的流程来指导自动驾驶功能呢？IEC 61508区分了预期功能和必要的安全措施，以确保设备或机器的安全。受控设备（即需要被控制的装置或机械）是关注的重点。难道自动驾驶汽车在交通环境中的安全性不是要保障的移动机器吗？诊断技术的引入扩展了安全架构的概念，用于确保功能或电气驱动系统的运作。1998年，我在伯明翰展示了第一个达到SIL 4级别的被动电子安全系统。当时，没有人相信它会如此迅速地改变这一行业。如今，汽车中80%的通信都通过CAN总线进行。当我于2001年接管产品管理工作时，需要寻找新的应用领域来开发新的安全系统。另一个重点是联网安全技术，它以前依赖于串行数据总线。现在，我们需要实现分布式、去中心化的安全性以及动态、状态相关的安全系统。在这种情况下，以太网成了唯一的选择。重要的是要使现有的数据技术能够被安全技术所使用。一些毕业论文研究了整个挪威安全控制系统的部署情况，它们通过挪威石油公司Statoil的数据网络交换安全相关信息，通过卫星传输数据，例如从海上平台到陆地设施或挪威与德国之间的通信，以及用于管道监控的无线通信解决方案，证明了基于以太网的安全技术系统也是可行的。
IEC 61508在2001年以DIN EN 61508（VDE 0803）的形式发布，标志着德国汽车行业开始重视功能安全概念的引入。 通过VDA与VDTV之间关于IEC 61508的应用讨论，促成了专门负责汽车功能安全标准制定的工作组AK16（FAKRA）。我在2004年加入大陆泰维斯公司后，成为这个工作组的一员。同一年，ISO 26262的第一个版本框架开始着手制定，并且与其他国家的相关汽车标准组织进行了沟通合作。尤其是与法国的合作，双方共同为该标准的制定奠定了基础。 ISO/TC22/SC03/WG16首次会议于2005年10月31日至11月2日在柏林召开，其中法国与德国代表组成最大团队，其他参与国包括日本、美国、瑞典和英国等。在此之前，ISO 26262被称作FAKRA标准。 在2005年举行的safetro-nic会议，首次讨论了对未来的汽车安全标准构想，并分享了一些最佳实践案例与技术方案。我和我的同事们在会议上展示了许多新的安全技术概念，比如利用后轮转向来增强车辆稳定性，以及使用电子控制转向系统改善驾驶体验。虽然目前市场上还未见到大规模应用的完全电子化转向系统，但为了实现未来的自动驾驶功能，这类技术是必不可少的。如何获取有关此类系统在实际道路状况下及驾驶者体验中的相关数据与反馈，是我们需要解决的问题。
很明显，因为环境不断变化，就像人们常说的“时代变迁”，许多工程学的成就往往需要在不同的时代重新加以利用。也许我们应该参考古希腊哲学家的思想，他们通过观察自然来发现事物间的联系。那时的推理方式是通过从个别现象推导到普遍规律，也就是所谓的归纳法。如今看来，我们需要更多地观察周围的事物，并在特定语境下进行描述。这些观察引发了形而上的理论构想。
许多这些方面都表明ISO 26262是一个非常全面的框架，但对于新兴的移动出行系统，我们必须考虑所有风险。同时，我们也需要考虑公众的安全需求，并且需要多方面审视这些新的技术。法律法规必须在其预定的应用场景中进行考量与评价，所以我们需要了解这些背景对系统的具体作用。若缺乏足够的背景分析，安全评估将永远不全面，并可能带来更多的生命和财产风险。
这本书的完成得益于我在所有项目中积累的经验，与专家、同事们在工作组、大学以及演讲中的讨论，此外，来自毕业论文和资助项目的见解也为此书的完成做出了贡献。我要感谢所有参与的人们，他们热情地与我一起探讨了移动性和安全性的主题。除了这些专家之外，我还特别要感谢我的家人。感谢我的妻子，她一直耐心地支持我的工作，也感谢我的孩子们，尽管他们在很多时候更希望我陪他们玩耍，但他们依然理解和包容我。我也非常享受和女儿一起翻看这本书中有趣图片的时光。我的家人给了我很多理解和自由，让我能够完成这本书。

汉斯-莱奥·罗斯