OEM 和一級供應(yīng)商等汽車?yán)嫦嚓P(guān)者必須將功能安全 (FuSa) 視為整個組織的實(shí)踐。說起來容易做起來難，實(shí)施符合 ISO 26262的 FuSa 會帶來一系列挑戰(zhàn)。如果不解決這些挑戰(zhàn)，則會導(dǎo)致項(xiàng)目管理錯誤，從而給項(xiàng)目帶來延誤和成本上升的負(fù)擔(dān)。管理不善的情況可能與組織中整體缺乏安全意識或跨職能團(tuán)隊之間的協(xié)調(diào)不佳有關(guān)。

在汽車生態(tài)系統(tǒng)中，一個利益相關(guān)者的疏忽也會影響到其他利益相關(guān)者。如果一級供應(yīng)商不以廣泛的方式進(jìn)行危害分析，架構(gòu)設(shè)計可能會充滿未識別的危害和相關(guān)風(fēng)險。同樣，使用未受過 ISO 26262 標(biāo)準(zhǔn)培訓(xùn)的資源從事安全關(guān)鍵項(xiàng)目也有其自身的危險。在本文中，我們整理了一組必須不惜一切代價避免的此類 FuSa 管理錯誤。

1. 組織缺乏安全意識

功能安全不僅限于從事安全關(guān)鍵型汽車項(xiàng)目的安全團(tuán)隊。從開發(fā)人員和測試工程師到項(xiàng)目經(jīng)理，每個團(tuán)隊成員都必須了解 ISO 26262 標(biāo)準(zhǔn)及其指南。讓我們看看在組織中整體缺乏安全意識時所犯的一些 FuSa 錯誤。

缺失的安全文化：安全文化本質(zhì)上意味著汽車軟件或硬件開發(fā)中的每個利益相關(guān)者都認(rèn)真對待功能安全。不忽視任何危險，關(guān)注安全生命周期的每個階段，資源相互協(xié)調(diào)，協(xié)同工作。僅僅擁有一名功能安全經(jīng)理/顧問而不專注于建立安全文化是組織所犯的最常見的錯誤。

關(guān)注文檔而不是安全：文檔是 ISO 26262 合規(guī)性的重要組成部分。當(dāng) OEM 進(jìn)行認(rèn)證時，這些文件可作為證據(jù)。然而，僅僅關(guān)注文檔而不是實(shí)際的安全要求、目標(biāo)和機(jī)制會適得其反。

基于假設(shè)的 ASIL 確定：在不執(zhí)行危害分析和風(fēng)險評估 (HARA) 的情況下確定汽車模塊的汽車安全完整性等級 (ASIL) 值已被視為必須避免的常見做法。不建議假設(shè)基于行業(yè)規(guī)范的 ASIL，因?yàn)檫@可能會導(dǎo)致遺漏危險。例如，信息娛樂系統(tǒng)通常被認(rèn)為是 ASIL B。因此，許多信息娛樂開發(fā)公司不執(zhí)行 HARA，而是將 ASIL B 視為其解決方案就足夠了。如果信息娛樂系統(tǒng)還包含可用于自動執(zhí)行車輛中某些操作的攝像頭數(shù)據(jù)會怎樣？這是一個嚴(yán)重的安全隱患，由于假設(shè)而被忽略。

圖 1：HARA 作為一個流程，是 ISO 26262 規(guī)定框架和團(tuán)隊對功能安全和汽車功能的理解的結(jié)晶。資料來源：恩比特爾

2. 破壞功能安全引發(fā)的安全管理不善事例

一些汽車供應(yīng)商或技術(shù)提供商了解 ISO 26262 標(biāo)準(zhǔn)及其細(xì)微差別。然而，為了避免成本和縮短上市時間，它們往往會破壞某些安全關(guān)鍵組件的功能安全性。似乎對安全要求或危險的偶然無知可能會危及車輛乘員的生命。

低估整個項(xiàng)目的時間線/工作量：一旦將安全關(guān)鍵性納入圖片，以及 ISO 26262 標(biāo)準(zhǔn)，工作量會因顯而易見的原因而增加。隨著努力，時間線也延長了。通常，ASIL A 意味著工作量增加 10-15%，對于符合 ASIL D 的項(xiàng)目，這一數(shù)字會上升到 100%。在不考慮安全要求和目標(biāo)的情況下低估這項(xiàng)工作是另一個需要避免的 ISO 26262 合規(guī)性錯誤。當(dāng)公司試圖擠入實(shí)施部分以遵守預(yù)先確定的任意期限時，項(xiàng)目開始受到影響。

考慮產(chǎn)品生命周期結(jié)束時的安全性：如前所述，ISO 26262解決方案的架構(gòu)設(shè)計是基于軟件需求和安全需求創(chuàng)建的。當(dāng)您開發(fā)符合ISO 26262標(biāo)準(zhǔn)的汽車解決方案時，必須從產(chǎn)品生命周期開始就遵循標(biāo)準(zhǔn)指南。由于以下因素，在生命周期結(jié)束時或在第二次迭代中合并這些指南被證明是一個巨大的錯誤：

由于原始設(shè)計不包含安全方面，因此設(shè)計返工很重。

舊代碼不可能重用，因?yàn)樗环螴SO 26262。檢查前置條件、在發(fā)送/接收信號的模塊之間使用包裝器以及引入新模塊意味著可能需要編寫大量新代碼。

有時，整個設(shè)計需要更改，這可能會導(dǎo)致微控制器平臺的更改。這意味著從頭開始設(shè)計產(chǎn)品。

工具和工程技能投資不足：許多組織認(rèn)為，擁有一名功能安全經(jīng)理足以確保符合ISO 26262。對安全的態(tài)度往往有一定程度的不敏感。這可能是在使用合格工具或提高資源技能方面。始終建議培訓(xùn)與每個符合ISO 26262的項(xiàng)目相關(guān)的每個資源。從開發(fā)人員和測試人員到項(xiàng)目經(jīng)理，每個利益相關(guān)者都必須很好地掌握ISO 26262標(biāo)準(zhǔn)中列出的實(shí)踐。

Figure 2: Functional safety, no more an afterthought, has life of its own in an automotive design. Source: Embitel

3. 利益相關(guān)者之間協(xié)調(diào)不善造成的 FuSa 管理不善

符合 ISO 26262 的項(xiàng)目涉及來自不同團(tuán)隊和不同技能的資源。有開發(fā)人員、測試工程師、硬件專家、項(xiàng)目經(jīng)理、功能安全經(jīng)理等等。

團(tuán)隊之間缺乏協(xié)調(diào)：組織內(nèi)的不同團(tuán)隊需要協(xié)調(diào)以完成各種安全活動。例如，要執(zhí)行硬件故障模式影響和診斷分析 (FMEDA)，軟件團(tuán)隊必須清楚地了解安全機(jī)制。有時，團(tuán)隊不了解這種合作的重要性。

原始設(shè)備制造商和一級供應(yīng)商之間的協(xié)調(diào)不佳：在某些情況下，原始設(shè)備制造商無法在安全合規(guī)方面提供足夠的支持和準(zhǔn)備。跳過了危險，沒有正確執(zhí)行安全分析，各種此類管理不善的情況接踵而至。此外，OEM 未能評估一級供應(yīng)商的工具能力被證明對項(xiàng)目不利。

4.技術(shù)和管理錯誤的混合

由于缺乏預(yù)算或超出項(xiàng)目管理并開始干擾技術(shù)方面的通用 ISO 26262 知識而導(dǎo)致某些限制。讓我們來看看它們。

將安全關(guān)鍵系統(tǒng)的標(biāo)準(zhǔn)設(shè)置得太低：當(dāng)您開始忽略危險并放寬驗(yàn)收標(biāo)準(zhǔn)時，項(xiàng)目就會受到威脅。例如，模塊中可能只有一個安全問題需要 ASIL C。但是，您選擇忽略它并堅持 ASIL B。這是組織所犯的嚴(yán)重錯誤。成本上升是造成此類錯誤的主要原因。測試所有極端測試用例、執(zhí)行額外的安全分析以及對工具許可證的投資都會增加項(xiàng)目成本。測試時還存在燒毀電路板、LED 和電機(jī)的風(fēng)險。盡管如此，為了安全起見，必須檢查這些故障。

低估了 SOTIF 和 ASPICE 等相關(guān)標(biāo)準(zhǔn)的重要性：除了功能安全，還有 ASPICE 和 Cybersecurity 等其他標(biāo)準(zhǔn)（ISO/SAE 21434) 是根據(jù)項(xiàng)目的要求而遵循的。由于所有這些標(biāo)準(zhǔn)都涉及編碼和測試指南，因此它們之間有很多重疊之處。這方面最常見的錯誤是在制定安全計劃時沒有考慮這些標(biāo)準(zhǔn)之間的相互關(guān)系。有許多活動可以并行運(yùn)行，甚至可以合并以節(jié)省時間。例如，ASPICE 推薦的軟件資格測試類似于 ISO 26262 推薦的軟件集成測試和能力成熟度模型集成 (CMMI)。原則上，它們都檢查軟件的高級架構(gòu)?？梢院喜⒋祟愵愃屏鞒痰哪０澹怨?jié)省大量時間和精力。使用不同標(biāo)準(zhǔn)時犯的另一個常見錯誤是忽略一個標(biāo)準(zhǔn)對另一個標(biāo)準(zhǔn)的影響。

過度工程：并非每個汽車模塊都對安全至關(guān)重要。只有在執(zhí)行 HARA 時，您才會知道關(guān)鍵程度。組織有時不希望執(zhí)行所有安全活動并為模塊假設(shè)更高的 ASIL 等級只是為了安全起見。這導(dǎo)致實(shí)施甚至不需要的安全機(jī)制。必須避免此類做法，以優(yōu)化成本和上市時間。

ISO 26262 是一個廣泛的標(biāo)準(zhǔn)，組織無法在短時間內(nèi)達(dá)到功能安全實(shí)踐的成熟度。但是，通過避免上面列出的錯誤，他們可以加快這個過程。

— Poornima Jha，功能安全經(jīng)理和 FSCP-L2 認(rèn)證 ISO 26262 專家，是 Embitel 的項(xiàng)目經(jīng)理。

——Vaibhav Anand 是一位數(shù)字營銷專業(yè)人士，對汽車的一切都有著根深蒂固的興趣 ， 他是 Embitel 的內(nèi)容作家。

審核編輯 黃昊宇