OEM 和一級(jí)供應(yīng)商等汽車?yán)嫦嚓P(guān)者必須將功能安全 (FuSa) 視為整個(gè)組織的實(shí)踐。說起來容易做起來難，實(shí)施符合 ISO 26262的 FuSa 會(huì)帶來一系列挑戰(zhàn)。如果不解決這些挑戰(zhàn)，則會(huì)導(dǎo)致項(xiàng)目管理錯(cuò)誤，從而給項(xiàng)目帶來延誤和成本上升的負(fù)擔(dān)。管理不善的情況可能與組織中整體缺乏安全意識(shí)或跨職能團(tuán)隊(duì)之間的協(xié)調(diào)不佳有關(guān)。

在汽車生態(tài)系統(tǒng)中，一個(gè)利益相關(guān)者的疏忽也會(huì)影響到其他利益相關(guān)者。如果一級(jí)供應(yīng)商不以廣泛的方式進(jìn)行危害分析，架構(gòu)設(shè)計(jì)可能會(huì)充滿未識(shí)別的危害和相關(guān)風(fēng)險(xiǎn)。同樣，使用未受過 ISO 26262 標(biāo)準(zhǔn)培訓(xùn)的資源從事安全關(guān)鍵項(xiàng)目也有其自身的危險(xiǎn)。在本文中，我們整理了一組必須不惜一切代價(jià)避免的此類 FuSa 管理錯(cuò)誤。

1. 組織缺乏安全意識(shí)

功能安全不僅限于從事安全關(guān)鍵型汽車項(xiàng)目的安全團(tuán)隊(duì)。從開發(fā)人員和測(cè)試工程師到項(xiàng)目經(jīng)理，每個(gè)團(tuán)隊(duì)成員都必須了解 ISO 26262 標(biāo)準(zhǔn)及其指南。讓我們看看在組織中整體缺乏安全意識(shí)時(shí)所犯的一些 FuSa 錯(cuò)誤。

缺失的安全文化：安全文化本質(zhì)上意味著汽車軟件或硬件開發(fā)中的每個(gè)利益相關(guān)者都認(rèn)真對(duì)待功能安全。不忽視任何危險(xiǎn)，關(guān)注安全生命周期的每個(gè)階段，資源相互協(xié)調(diào)，協(xié)同工作。僅僅擁有一名功能安全經(jīng)理/顧問而不專注于建立安全文化是組織所犯的最常見的錯(cuò)誤。

關(guān)注文檔而不是安全：文檔是 ISO 26262 合規(guī)性的重要組成部分。當(dāng) OEM 進(jìn)行認(rèn)證時(shí)，這些文件可作為證據(jù)。然而，僅僅關(guān)注文檔而不是實(shí)際的安全要求、目標(biāo)和機(jī)制會(huì)適得其反。

基于假設(shè)的 ASIL 確定：在不執(zhí)行危害分析和風(fēng)險(xiǎn)評(píng)估 (HARA) 的情況下確定汽車模塊的汽車安全完整性等級(jí) (ASIL) 值已被視為必須避免的常見做法。不建議假設(shè)基于行業(yè)規(guī)范的 ASIL，因?yàn)檫@可能會(huì)導(dǎo)致遺漏危險(xiǎn)。例如，信息娛樂系統(tǒng)通常被認(rèn)為是 ASIL B。因此，許多信息娛樂開發(fā)公司不執(zhí)行 HARA，而是將 ASIL B 視為其解決方案就足夠了。如果信息娛樂系統(tǒng)還包含可用于自動(dòng)執(zhí)行車輛中某些操作的攝像頭數(shù)據(jù)會(huì)怎樣？這是一個(gè)嚴(yán)重的安全隱患，由于假設(shè)而被忽略。

圖 1：HARA 作為一個(gè)流程，是 ISO 26262 規(guī)定框架和團(tuán)隊(duì)對(duì)功能安全和汽車功能的理解的結(jié)晶。資料來源：恩比特爾

2. 破壞功能安全引發(fā)的安全管理不善事例

一些汽車供應(yīng)商或技術(shù)提供商了解 ISO 26262 標(biāo)準(zhǔn)及其細(xì)微差別。然而，為了避免成本和縮短上市時(shí)間，它們往往會(huì)破壞某些安全關(guān)鍵組件的功能安全性。似乎對(duì)安全要求或危險(xiǎn)的偶然無知可能會(huì)危及車輛乘員的生命。

低估整個(gè)項(xiàng)目的時(shí)間線/工作量：一旦將安全關(guān)鍵性納入圖片，以及 ISO 26262 標(biāo)準(zhǔn)，工作量會(huì)因顯而易見的原因而增加。隨著努力，時(shí)間線也延長(zhǎng)了。通常，ASIL A 意味著工作量增加 10-15%，對(duì)于符合 ASIL D 的項(xiàng)目，這一數(shù)字會(huì)上升到 100%。在不考慮安全要求和目標(biāo)的情況下低估這項(xiàng)工作是另一個(gè)需要避免的 ISO 26262 合規(guī)性錯(cuò)誤。當(dāng)公司試圖擠入實(shí)施部分以遵守預(yù)先確定的任意期限時(shí)，項(xiàng)目開始受到影響。

考慮產(chǎn)品生命周期結(jié)束時(shí)的安全性：如前所述，ISO 26262解決方案的架構(gòu)設(shè)計(jì)是基于軟件需求和安全需求創(chuàng)建的。當(dāng)您開發(fā)符合ISO 26262標(biāo)準(zhǔn)的汽車解決方案時(shí)，必須從產(chǎn)品生命周期開始就遵循標(biāo)準(zhǔn)指南。由于以下因素，在生命周期結(jié)束時(shí)或在第二次迭代中合并這些指南被證明是一個(gè)巨大的錯(cuò)誤：

由于原始設(shè)計(jì)不包含安全方面，因此設(shè)計(jì)返工很重。

舊代碼不可能重用，因?yàn)樗环螴SO 26262。檢查前置條件、在發(fā)送/接收信號(hào)的模塊之間使用包裝器以及引入新模塊意味著可能需要編寫大量新代碼。

有時(shí)，整個(gè)設(shè)計(jì)需要更改，這可能會(huì)導(dǎo)致微控制器平臺(tái)的更改。這意味著從頭開始設(shè)計(jì)產(chǎn)品。

工具和工程技能投資不足：許多組織認(rèn)為，擁有一名功能安全經(jīng)理足以確保符合ISO 26262。對(duì)安全的態(tài)度往往有一定程度的不敏感。這可能是在使用合格工具或提高資源技能方面。始終建議培訓(xùn)與每個(gè)符合ISO 26262的項(xiàng)目相關(guān)的每個(gè)資源。從開發(fā)人員和測(cè)試人員到項(xiàng)目經(jīng)理，每個(gè)利益相關(guān)者都必須很好地掌握ISO 26262標(biāo)準(zhǔn)中列出的實(shí)踐。

Figure 2: Functional safety, no more an afterthought, has life of its own in an automotive design. Source: Embitel

3. 利益相關(guān)者之間協(xié)調(diào)不善造成的 FuSa 管理不善

符合 ISO 26262 的項(xiàng)目涉及來自不同團(tuán)隊(duì)和不同技能的資源。有開發(fā)人員、測(cè)試工程師、硬件專家、項(xiàng)目經(jīng)理、功能安全經(jīng)理等等。

團(tuán)隊(duì)之間缺乏協(xié)調(diào)：組織內(nèi)的不同團(tuán)隊(duì)需要協(xié)調(diào)以完成各種安全活動(dòng)。例如，要執(zhí)行硬件故障模式影響和診斷分析 (FMEDA)，軟件團(tuán)隊(duì)必須清楚地了解安全機(jī)制。有時(shí)，團(tuán)隊(duì)不了解這種合作的重要性。

原始設(shè)備制造商和一級(jí)供應(yīng)商之間的協(xié)調(diào)不佳：在某些情況下，原始設(shè)備制造商無法在安全合規(guī)方面提供足夠的支持和準(zhǔn)備。跳過了危險(xiǎn)，沒有正確執(zhí)行安全分析，各種此類管理不善的情況接踵而至。此外，OEM 未能評(píng)估一級(jí)供應(yīng)商的工具能力被證明對(duì)項(xiàng)目不利。

4.技術(shù)和管理錯(cuò)誤的混合

由于缺乏預(yù)算或超出項(xiàng)目管理并開始干擾技術(shù)方面的通用 ISO 26262 知識(shí)而導(dǎo)致某些限制。讓我們來看看它們。

將安全關(guān)鍵系統(tǒng)的標(biāo)準(zhǔn)設(shè)置得太低：當(dāng)您開始忽略危險(xiǎn)并放寬驗(yàn)收標(biāo)準(zhǔn)時(shí)，項(xiàng)目就會(huì)受到威脅。例如，模塊中可能只有一個(gè)安全問題需要 ASIL C。但是，您選擇忽略它并堅(jiān)持 ASIL B。這是組織所犯的嚴(yán)重錯(cuò)誤。成本上升是造成此類錯(cuò)誤的主要原因。測(cè)試所有極端測(cè)試用例、執(zhí)行額外的安全分析以及對(duì)工具許可證的投資都會(huì)增加項(xiàng)目成本。測(cè)試時(shí)還存在燒毀電路板、LED 和電機(jī)的風(fēng)險(xiǎn)。盡管如此，為了安全起見，必須檢查這些故障。

低估了 SOTIF 和 ASPICE 等相關(guān)標(biāo)準(zhǔn)的重要性：除了功能安全，還有 ASPICE 和 Cybersecurity 等其他標(biāo)準(zhǔn)（ISO/SAE 21434) 是根據(jù)項(xiàng)目的要求而遵循的。由于所有這些標(biāo)準(zhǔn)都涉及編碼和測(cè)試指南，因此它們之間有很多重疊之處。這方面最常見的錯(cuò)誤是在制定安全計(jì)劃時(shí)沒有考慮這些標(biāo)準(zhǔn)之間的相互關(guān)系。有許多活動(dòng)可以并行運(yùn)行，甚至可以合并以節(jié)省時(shí)間。例如，ASPICE 推薦的軟件資格測(cè)試類似于 ISO 26262 推薦的軟件集成測(cè)試和能力成熟度模型集成 (CMMI)。原則上，它們都檢查軟件的高級(jí)架構(gòu)?？梢院喜⒋祟愵愃屏鞒痰哪０澹怨?jié)省大量時(shí)間和精力。使用不同標(biāo)準(zhǔn)時(shí)犯的另一個(gè)常見錯(cuò)誤是忽略一個(gè)標(biāo)準(zhǔn)對(duì)另一個(gè)標(biāo)準(zhǔn)的影響。

過度工程：并非每個(gè)汽車模塊都對(duì)安全至關(guān)重要。只有在執(zhí)行 HARA 時(shí)，您才會(huì)知道關(guān)鍵程度。組織有時(shí)不希望執(zhí)行所有安全活動(dòng)并為模塊假設(shè)更高的 ASIL 等級(jí)只是為了安全起見。這導(dǎo)致實(shí)施甚至不需要的安全機(jī)制。必須避免此類做法，以優(yōu)化成本和上市時(shí)間。

ISO 26262 是一個(gè)廣泛的標(biāo)準(zhǔn)，組織無法在短時(shí)間內(nèi)達(dá)到功能安全實(shí)踐的成熟度。但是，通過避免上面列出的錯(cuò)誤，他們可以加快這個(gè)過程。

— Poornima Jha，功能安全經(jīng)理和 FSCP-L2 認(rèn)證 ISO 26262 專家，是 Embitel 的項(xiàng)目經(jīng)理。

——Vaibhav Anand 是一位數(shù)字營(yíng)銷專業(yè)人士，對(duì)汽車的一切都有著根深蒂固的興趣 ， 他是 Embitel 的內(nèi)容作家。

審核編輯 黃昊宇