之前我們介紹了功能安全實施前應該了解的一些事項，包括風險、標準的對象范圍以及推進工作的任務分配。這次我們來介紹一下，推進任務分配好以后的準備工作如何做。

　　建立推進組織

　　推進工作布置好以后，負責人就要開始一步一步推動內部工作的開展。這個階段，有幾件事情希望管理層能夠注意。

　　主持人權利授予

首先，明確主持人的職位、權限，并通知到公司的內部。ISO26262的Part2(功能安全的管理)中提到了“5.4.2安全文化”，其中有一條提到組織應當對開展或支持安全工作的人員給予足夠的權利。

上次我們也提到了，ISO26262是涉及到產品開發全生命周期的龐大的標準體系。因此，負責安全工作開展的人，需要和大多數的組織、部門、人員交流協調。主持人如果內部的職位和權限不明確，各個部門之間的協調會非常困難，恐怕不能產生有效的應對策略。嚴重的情況下，會與開發團隊發生沖突、引起意見分歧，最終結果變成了脫離實際情況的形象化工程。

一般主持人要理解標準，將要求的內容落實到公司內部流程上，是以技術為核心的活動。但是實際上，多數時間和精力都花在部門之間的協調、部門要求的收集這樣的協調工作上。

為了減低少這項工作的負擔，不僅主持人的權限需要明確，而且也有必要明確一位支持他工作的管理層作為后盾。

　　同時，各個關聯部門的接口人、決策人是誰也要明確。這些都能防止主持人被孤立，讓功能安全工作得到有效、順暢的開展。一定要清楚，主持人的積極性能否調動起來，關乎安全工作成敗。

　　推進資源保障

其次，必要的資源，特別是對推進組織的人力資源分配。即使分配了權限，如果不給予推進的資源，那么也是沒有意義的。關于這一點，ISO26262中的Part2也提到了，必須提供完成功能安全工作需要的資源。

這里提到的資源，不僅是人力資源，還包括開發支持工具等。話說回來，實際上最困難的應該就是人力資源的保障。國內的企業通常認為功能安全是迫于外來的壓力才做的額外工作，而不是公司的核心業務。所以，如果不當做核心業務，那么人力資源保障就會變得困難。但是功能安全對于安全相關的產品來講，并不是額外工作，而是產品開發流程。當然，增加了一些“確認措施”等以前沒有聽過的工作，但是這些都是從其他領域獲得先驗知識，應該作為制造安全產品的技巧來掌握。去掉“額外工作”的偏見是基本的前提。

推進組織成立后，在功能安全實施之前，工作量最大的就是流程的搭建了。這個工作借助外部資源的案例比較多。對標準理解比較深的專家來做的話可能效率更高。但是，如果完全交出去做，那么搭建的流程可能會脫離實際，即使有了滿足標準的漂亮的流程，日常開發人員用的也不好。

為了避免這樣的結果發生，在靈活使用外部資源的時候，對目標和現實(公司內部情況)理解深刻的有經驗的人必須要參與進來。

指導方針和計劃

推進組織建立好以后，最開始的工作是制定活動的指導方針，戰略和計劃。不夸張的說，活動的計劃是實現近期目標和戰略的決定因素。下面我們介紹下，制定計劃的時候至少需要明確的幾個問題。

1）確定基礎流程

基礎流程是追加功能安全活的基礎。多數情況下是基于企業已經導入的質量管理流程(ISO9001，TS16949等)。一方面參與過質量和可靠性相關工作的人對流程比較熟悉，另一方面功能安全活動的前提也是“質量管理系統”，所以比較適合作為基礎流程。但是，因為這個標準是面向組織的管理標準，ISO26262的Part2(功能安全管理)，Part8（支持流程）等和質量管理流程相似度較高，而Part4(系統)，Part5(硬件)，Part6(軟件)等工程相關的流程需要有另外的應對方案。

另外，重視軟件開發的企業經常使用CMU/SEI的CMMI(CapabilityMaturity Model Integration)、而歐洲的汽車企業采用Automotive SPICE的也比較多，所以也有很多案例是基于這些流程的。在歐洲，一直以來對軟件比較熱衷的博世以CMMI為基礎流程，比較熱衷與推廣Automotive SPICE的大陸等則以Automotive SPICE為基礎。所以流程搭建的戰略定位也是基于之前的的資源、經驗方面的優勢。

特別是Automotive SPICE在歐洲用的比較廣發，和ISO26262重疊部分較多。可能是最適合功能安全實施的基礎流程。從這一點入手，基于AutomotiveSPICE擴展功能安全(典型案例是瑞典的SS7740)的話，也可以靈活運用，規劃一個綜合版的SPICE活動。

　　表1 ISO 26262和Automotive SPICE的關系

2）功能安全活動的任務分配

ISO26262中有一個負責產品功能安全開發的責任人，叫做安全管理員。工作內容類似項目管理。項目管理也可以擔任安全管理工作。但是，因為項目管理有成本削減和交付期限的壓力，而安全管理是將安全放在最高優先級的，兩者兼任的利弊應該慎重考慮。

　　安全管理員的法律責任

每年歐洲VDA QMC會組織召開VDAAutomotive SYS Conference。會議中也會請律師過來舉行workshop，從法律角度去探討安全管理員的責任。因為是根據過去的一些判定去做判斷，很難界定安全管理員的責任界限，但是無論怎想，一旦產品發生安全問題，提交到法院去處理的話，安全管理員是一定要被卷入其中的。

　　功能安全活動除了安全管理員之外，還設置實施評審的評審員，以及執行檢查的檢查員，實施功能安全評估的評估員等。另外還需要有在產品各個開發階段負責驗證措施的專家。

安全管理員工作的角色除了安全方面的責任之外，還有項目管理類似的責任。

另外，確認檢查、功能安全監督、功能安全評審等新的角色，需要具備什么樣的經驗，什么樣的能力，以及今后應該具備什么樣的技術，也是困擾很多公司的課題。這一點，應該結合后面講述的組織建設課題，在充分的理解標準要求的基礎上慎重的考慮。

　　表2 驗證措施概述

3）功能安全的組織架構(確保獨立性)

這里的驗證措施根據開發產品的安全等級(ASIL: Automotive SafetyIntegrity Level)以及針對的對象不同，可以獨立變化。對于要求安全等級最高的ASIL D的產品，通常要求由開發驗證措施的團隊之外的組織執行�？傊�，對于功能安全的權責，不僅要考慮執行的人需要具備什么樣的能力，還有必要考慮要如何保證這些活動的獨立性，需要什么樣的組織，以及什么樣的指揮系統等組織論層面的切入點。

驗證措施的目標可以總結為以下兩點：

• 通過客觀的視角以及不同切入點(結果方面的切入點或流程方面的切入點)的檢查，發現開發者遺漏的點。

• 即使發現安全上的問題，在業務上(成本和交付日期)也不會受到很大的壓力，能夠得到有效的解決。

什么樣的人負責功能安全活動工作、組建什么樣的組織、該組織應該承擔什么樣的責任，這些課題要根據各個公司的具體情況來制定。但是，無論什么樣的應對措施，都必須符合此標準活動的目標。否則，只在形式上滿足標準要求的話，活動本身沒有任何效果，只是在為了滿足標準而制作標準。

例如，如果驗證措施僅僅是形式上的檢查，那么安全上的疏漏大部分是找不到的。無論對于實施的一方還是被實施的一方都是不好的。

　　重要的是，在產品開發過程中，通過核查監督捕捉安全上的漏網之魚。通過將這些應對措施以具有組織特征或優勢的形式開展，最終成為獲得實質性成果的捷徑。

　　關于驗證措施的補充

在航天領域，有獨立于資本方組織實施的IV&V（IndependentVerification＆Validation）活動。是在國際空間站開發的時候，NASA提出的方案，JAXA吸收并采用。這項活動，就是由獨立的組織從客觀的角度對產品進行評價，并根據需要充分的利用先進技術�，F在IV&V活動，已經在載人航天領域多個航天器開發中得到應用。在考慮驗證措施方面，有重視產品偏差知識和經驗的公司。也有像航天領域的例子一樣，重視客觀的評價知識的。當然，沒有對和錯之分，根據公司的情況和指導方針來考慮就好了。

　　GAP分析

　　GAP分析，是分析已有的流程在多大程度上滿足ISO26262的要求，還有哪些沒有滿足，找出流程之間的差距的工作。本文中，都是在計劃制定后直接實施功能安全流程，多數情況下事前就知道公司并沒有功能安全相關的流程，所以很多案例中沒有做GAP分析。后面，一邊定義流程，一邊逐步的確認方向性以及和每個標準的相容性。采用一邊向前跑一邊回頭看的方式的越來越多。

　　另外，最近已經有開始帶著功能安全任務進行產品開發的案例，檢驗開發的成果(技術安全要求以及系統設計文檔等)是否滿足標準的“確認審查”工作越來越多。

　　流程搭建工作和實際的產品開發項目如何融合起來，依賴于公司的戰略和計劃，有計劃的做一些GAP分析和兼容性評估是個好辦法。關于兼容性評估在后面“流程實現”的地方會再闡述一下。

　　培訓

功能安全的培訓需求來自兩個方面，一個是希望讓安全活動相關的人員能夠獲得相應的知識和技能而開展培訓。另外在ISO 26262的Part 2(功能安全的管理)、“5.4.3 能力管理”中也有相關要求：“5.4.3.1 組織必須確保安全生命周期內相關的人有足夠的技能、能力和資格”，就是說有為了獲得功能安全資格進行的培訓。

　　面向安全管理員，功能安全評審員的培訓一般要5天左右的時間。參加的人多數是“產品開發”相關的人。連續五天的培訓可能會給正常工作帶來很大的影響，所以要盡早做好充分的安排。

　　專場培訓：系統和軟件功能安全最佳實踐

　　培訓安排：5月6日全天 上海市徐匯區

公眾號中回復關鍵字，可下載對應的原文PDF文檔

更多文檔獲取：關注公眾號點擊牛喀在線�？�共享

　　大咖在這里

　　本公眾號設有清潔能源群/智能駕駛群/車載互聯群/動力系統群/底盤電子群等姓名-公司-職務”經審核通過后加入專業版。

汽車從業者都在看的深度資訊

每日12:00前推送