安全关键系统嵌入式软件开发指南（原书第2版）

本书巧妙结合了嵌入式通用开发与安全关键领域。它不仅系统梳理了各大安全标准的合规实践，更难得的是将方法论融入从设计到验证的全流程，并用可实操的开源工具降低学习门槛。无论是寻求标准解读，还是构建可审计的开发体系，这本书都能为开发团队提供扎实、可信的路线图，是转向高可靠性嵌入式系统开发的必备导航。

安全关键设备广泛应用于医疗、铁路、汽车及工业等领域，其正常运行高度依赖于复杂软件的正确性与可靠性。为确保此类系统的安全性，众多国际标准对其设计、构建与验证过程提出了明确要求。过去，开发人员仅需掌握特定行业设备程序的编写方法即可胜任工作；而如今，他们不仅需要理解并实施更为严格的开发实践，还必须能够向外部评估机构提供充分的技术证据以证明其开发过程的合规性。

本书系统阐述了如何构建具有高可靠性的嵌入式软件，旨在服务于在通用嵌入式软件开发方面具备丰富经验，计划转向安全关键应用开发的系统设计者、实现者与验证人员。

（美）克里斯·霍布斯（Chris Hobbs），一位复杂软件系统方面的专家。他曾任职于QNX公司，拥有40年左右的软件开发经验。现为QNX公司顾问，并担任滑铁卢大学客座研究员，继续从事相关领域的研究。他专精于“足够可靠的软件”方向——以最低投入和风险开发出满足可靠性要求的软件，尤其擅长开发必须符合IEC 61508、ISO 26262、EN 50128及IEC 62304等国际安全标准要求的安全关键系统软件。他曾是两个安全工作小组的核心成员，致力于为保证案例及复杂系统的安全分析制定指导性文件，并担任这两份文件的主编。

李晓华，嵌入式系统及功能安全专家，20年来先后任职于SII、马瑞利、ADI等国际知名企业。在系统设计、软硬件接口、集成测试、失效分析、安全分析等方面拥有丰富的知识储备和实践经验。他是国内首批将功能安全标准应用于车载电子产品开发流程的团队核心成员之一。曾翻译出版《汽车功能安全》一书。

潘怡融，资深汽车电子软件专家，长期任职于全球知名汽车零部件厂家。拥有超过15年一线开发及项目管理经验，主导多款车载控制器的软件全流程开发工作，涵盖架构设计、代码实现及集成验证。精通ASPICE流程与ISO 26262功能安全标准在复杂嵌入式软件项目上的实现。

许孟华，嵌入式系统与芯片功能安全专家，拥有超过12年行业经验。曾任职于中国通号卡斯柯、ADI等企业，专注铁路与汽车电子领域的安全关键系统研发。精通ISO 26262、EN 5012X等国际标准，掌握从需求、设计到验证确认的嵌入式安全软件全流程实践。曾作为功能安全负责人成功带领团队完成列车运行控制相关系统及车规级芯片功能安全认证。

译者序

前言

第一部分 背景

第1章 概述

1.1 安全文化

1.2 我们的表达方式

1.2.1 背景材料

1.2.2 为安全关键应用开发产品

1.2.3 标准中推荐的技术

1.2.4 开发工具

1.3 挑选技术的准则

1.4 开发方法

1.5 当今的挑战

1.5.1 信息安全

1.5.2 平衡架构需求的工具

1.5.3 硬件错误检测

1.5.4 时限预测

1.5.5 数据

1.5.6 机器学习

参考文献

第2章 与安全相关的术语

2.1 一般安全术语

2.1.1 危害、风险、缓解和残余风险

2.1.2 可用性、可靠性和可信度

2.1.3 功能安全

2.1.4 故障、错误和失效

2.1.5 形式化语言、半形式化语言和非形式化语言

2.1.6 安全、活性和公平

2.1.7 向后及向前错误恢复

2.1.8 意外系统

2.2 软件专用术语

2.2.1 软件

2.2.2 海森堡bug和玻尔bug

2.2.3 实时

2.2.4 契约式编程

参考文献

第3章 安全标准及认证

3.1 标准机构

3.2 认可和认证

3.3 为什么我们需要这些标准

3.4 基于目标的标准和基于规范的标准

3.5 功能安全标准

3.5.1 IEC 61508

……

第二部分 项目

第三部分 设计模式

第四部分 设计验证

第五部分 编码

第六部分 验证