一、功能安全管理框架
功能安全管理在汽车行业的产品开发过程中占据着至关重要的地位,却常常被企业忽视。实际上,若功能安全管理未能有效落实,后续技术实施环节将面临诸多难以解决的实际问题。因此,深入理解并构建完善的功能安全管理框架,是确保汽车产品安全开发的基础。
ISO 26262标准为功能安全管理提供了全面的框架指导。该标准包含12个部分,其中第二部分专门针对功能安全管理,其余部分则涵盖工程开发、支持流程及相关指南等内容。从整体架构来看,第二部分如同“屋顶”,统筹所有安全开发活动的部署、计划与实施;而第八部分及其他指南性内容则像“基石”,为工程开发提供支撑。只有在“屋顶”的统筹和“基石”的支撑下,产品级别的开发工作才能有序开展。
功能安全的安全生命周期是一个动态架构,串联起管理、概念阶段、系统阶段、硬件阶段、软件阶段及生产制造等各个环节。在这个生命周期中,参与的组织主要包括承担整体安全管理的安全核心团队、负责项目层级安全实施活动的项目团队,以及涉及生产制造相关安全管理的团队。需要注意的是,安全核心团队的职能并非局限于整体安全管理,还会穿插到项目安全管理中,例如承担功能安全评估员、审核员等角色的工作,参与认可措施的实施。
搭建功能安全体系的首要步骤是构建组织架构。这一架构可以是在公司原有组织架构基础上,赋予部分人员兼职属性,形成虚拟的安全组织架构。只有明确了组织架构,才能确保各项安全活动有人负责、有人实施、有人评审。
功能安全体系与质量管理体系存在密切联系。随着汽车电子电器的日益复杂,为应对随机硬件失效和系统性失效带来的不可接受风险,在ISO 9001、IATF 16949等质量管理体系基础上,逐步衍生出IEC 61508,进而形成ISO 26262。因此,功能安全流程必须融入质量管理体系,两者既有各自独有的部分,也有可以融合的共有部分。
在多标准融合方面,所有汽车相关标准均基于模块化思路和整车V字型开发流程构建。基于这两个原则,可将功能安全、信息安全等多标准的流程模型进行融合。例如,在功能定义模块中融入安全定义、信息安全定义等内容;在分析模块中整合功能安全的HARA分析、信息安全的TARA分析等;在需求模块中融合功能安全需求、信息安全需求等,并赋予相应属性,从而构建适合企业的多标准流程模型。
二、整体安全管理实施
整体安全管理的目标是确保参与安全生命周期执行的组织能够有效实现功能安全,这里的组织涵盖项目相关、生产相关及公司层级等与安全相关的各类组织。为实现这一目标,需从安全文化、规章及流程、安全异常处理、能力管理和支持功能安全的质量管理体系五个方面入手。
安全文化看似抽象,却对功能安全的落地至关重要,其建立与公司领导的重视程度密切相关。在当前国内汽车行业,安全生态尚在建设中,由于国际准入标准和国内智能网联法规的要求,功能安全才逐渐受到广泛重视。安全文化的核心在于支持并鼓励有效实施功能安全,允许员工保持正直、提出质疑、避免自满、追求卓越、勇于担当,同时建立合理的制度和流程,打通沟通渠道,组织安全活动并投入足够资源。例如,明确安全为最高优先级,赋予安全经理否决产品量产的权利;建立正向的奖惩机制;保证安全和质量监控的独立性;鼓励早期处理安全和质量问题;投入适当的人力资源;鼓励个体发挥独立的智力多样性;建立持续改进机制以及完整、可控、可追踪的流程等。
制定公司层级的功能安全相关规章及流程是整体安全管理的重要基础。这些规章及流程需明确各项安全活动的要求和规范,为安全管理提供制度保障。
安全异常处理是功能安全管理中的关键环节。当发生安全异常时,需及时通报责任人,由责任人对异常进行分析、评估和解决,直至风险得到管理。同时,安全异常应被记录到安全档案中,形成证据链闭环。安全异常的关闭需满足施加了相应的安全措施,如完善软件、更换硬件器件等,或经过合理的风险评估,证明风险在可接受范围内,且相关证据需被记录存档。
能力管理旨在构建具备相应能力的团队。参与功能安全管理的人员包括功能安全评估员、审核员、系统安全专家、硬件安全专家、软件安全专家等,项目团队中也涉及产品开发、系统开发、软件开发等各类工程师。随着行业发展,部分角色可能会出现合并或兼职情况。公司层级需在安全管理手册中明确各角色的履历要求和职责,人力资源部门则需按照人员能力要求招聘和培养人才。提升人员能力的途径主要包括培训和实践,可将能力划分为受监督的执行者、执行者和专家三个等级,通过类似项目实践经历、参与培训和讨论会、获得资质认证等方式来证明能力。公司还应建立功能安全工程师、经理、专家等的认证机制,形成能力提升文化。
支持功能安全的质量管理体系是功能安全的基础,IATF 16949或ISO 9001等质量管理体系是开展功能安全流程体系和产品开发工作的前置条件。
此外,整体安全管理还涉及独立于项目的安全生命周期剪裁。这一剪裁基于公司所生产产品的属性,对不需要的部分进行合理裁剪。例如,芯片公司可能不关注整车和系统级的表现,可裁剪掉相关部分;对于简单的软件,可合并软件单元测试和集成测试等。剪裁需基于合理理由,确保不会影响功能安全的实现。
三、项目相关的安全管理实施
项目相关安全管理的目标是保证参与项目安全开发的组织能够有效实现功能安全,其范围聚焦于项目安全开发,涉及概念阶段、系统阶段、硬件阶段、软件阶段等的开发人员。
项目功能安全管理流程如同一个闭环,从项目立项开始,首先委派安全经理,然后进行影响分析,明确项目中与安全相关的活动和无需开展的活动。在影响分析基础上,对项目层级的安全活动进行剪裁,随后制定安全活动计划,明确各项活动的执行时间、负责人、协调方式等,并在实施过程中形成安全档案。同时,在实施过程中嵌入认可措施,最终在评审通过后进行生产发布。
安全经理在项目安全管理中扮演着关键角色,其可以由项目经理兼任,也可专门委派。安全经理的核心职责包括推动安全流程,如制定和协调执行安全计划、监控安全计划的实施进度和交付情况;控制项目中的安全相关活动,如主持分析会议、组织评审、评估和审核等,其中评审和审核工作需由具备专业知识的专家参与;维护客户和供应商的安全接口,维护安全档案,并向公司上级汇报项目安全情况。需要注意的是,安全经理更偏向管理角色,而非具体的技术开发或评审角色。
不同经理的目标和关注范围存在差异。质量经理关注产品无错误,确保符合ISO 9001等标准,检查人员能力和流程执行情况;项目经理关注项目按计划利用资源完成;业务经理关注项目利润和按商务计划执行;安全经理则关注产品功能安全的实现,确保安全相关交付物和措施按安全计划实施,人员具备相应能力,并通过评审等方式验证安全措施的有效性。
在分布式开发中,安全经理需关注供应商能力考察和开发接口协议)的签订。供应商能力考察包括评估供应商的质量管理系统、过往表现及质量、功能安全能力开发情况、先前安全评估报告结果等,最终形成供应商选择报告。DIA是分布式开发中的重要文件,需明确各方在功能安全管理中的职责、生命周期剪裁、活动分配及交付、支持过程及工具等内容,避免因表达方式理解偏差、变更影响未及时沟通、工具不兼容等问题导致项目开发受阻。
影响分析是项目层级安全管理的重要环节,分为item层级和要素层级。item层级的影响分析需从整车角度判断项目是全新开发还是现有相关项的修改,分析变更对安全的影响,确定需开展的额外安全活动和可复用的安全文档。要素层级的影响分析则针对软件组件、硬件组件等,判断其是否为复用要素,分析环境和安全需求是否变化,确定影响内部变更的安全活动和可复用的安全文档。
基于影响分析,可对项目层级的安全活动进行剪裁。剪裁掉的安全活动需写入安全计划并说明理由,影响剪裁的因素包括影响分析结果、有足够数据证明长期使用且无安全问题、硬件要素评估结果、软件组件认证情况、软件工具使用信心、假设条件等。
安全计划是项目计划的一部分,可融入项目计划或单独制定。安全计划需随着项目计划的变化持续迭代更新,其内容包括基于理由裁剪的安全活动、产品开发各层级的安全活动、认可措施人员独立性水平、认可措施活动安排、支持过程的活动安排,以及各活动的目标、依赖项、负责人、时间和工作产物等。安全经理负责制定安全计划,协调组织人员参与功能安全活动,监控安全活动按计划进行,并维护更新安全计划。
安全档案是项目层级安全管理的重要产出物,依据安全计划导出,用于记录安全活动实施过程,为功能安全的实现提供论据。在分布式开发中,各参与方的安全档案需整合,形成完整的产品安全档案,主机厂作为最终责任人,需审核各供应商的安全档案,并将其嵌套在自身安全档案中。
认可措施包括认可评审、功能安全审核和功能安全评估三个部分,且均需保证一定的独立性。独立性分为不同等级,I0表示可选可不选;I1要求由与创建工作成果人员不同的人员执行;I2要求由不向同一个直接上级报告的人员执行;I3要求在管理、资源和发布权限方面与创建工作产品的部门独立。
认可评审需针对特定文档进行,如影响分析、HARA、安全计划等,其流程是将项目工作产品映射到ISO 26262的工作产品中,依据标准要求进行评审,记录结果和未解决问题,并管理未解决问题直至解决,最终形成确认审核报告。认可评审与验证评审在满足足够独立性的前提下可合并进行,认可评审以检查清单为主,验证评审以评审问题记录为主,两者均需出具相应报告,且报告可合并。
功能安全审核由审核员及助手开展,依据全部安全需求中的最高ASIL等级执行,审核员需独立于相关项开发人员和项目管理。审核的目标是评估流程目标是否实现,包括评估流程实施是否符合安全活动定义、安全计划产物是否符合企业安全流程等,并形成包含改进意见的审核报告。
功能安全评估同样由评估员及助手进行,依据最高ASIL等级执行,评估员独立于相关项开发人员和项目管理。评估范围涵盖安全计划及相关成果、功能安全要求的流程、其他认可措施的计划、安全措施的恰当性和有效性等,评估结果分为接受、条件接受和拒绝,为产品验收提供建议。
客户对供应商的审核评估源于功能安全审核和评估,以DIA为蓝本,确认供应商功能安全实现情况,通常会要求供应商提供第三方审核报告以保护知识产权和确保审核有效性。
生产发布是项目相关安全管理的最后环节,需在安全档案和认可措施报告齐全,且有足够证据证明功能安全实现的情况下进行。生产发布报告需包含负责发布人员的名字和签名、发布相关项或要素的版本、配置及日期等信息,同时需提供嵌入式软件和硬件的基线。
四、生产、运行、服务、报废的安全管理思路
在功能安全管理中,对于生产、运行、服务、报废的安全管理,通常不会专门搭建独立流程,而是融入现有的质量管理体系(如IATF 16949)中。这是因为IATF 16949等质量管理体系已对生产环节的质量管理进行了规范,功能安全只需在其中添加相关属性即可。
生产、运行、服务、报废阶段的安全管理需求来源于系统阶段的产品开发,需安排专人负责管理,并建立专有流程,以确保安全需求在这些阶段得到有效传递和实现。若在这些阶段发生相关项的变更,需按照标准对生产发布进行相应变更。
ISO 26262的第七章对生产、运行、服务和报废的安全管理规定较为简洁,企业按照上述思路,结合自身实际情况开展相关工作即可。
总体而言,汽车功能安全管理涵盖管理框架、整体管理实施、项目相关管理实施及生产运行等环节的管理,各环节相互关联、相互支撑,共同保障汽车产品的功能安全。企业需根据自身情况,构建完善的组织架构和流程体系,注重安全文化建设和人员能力提升,确保功能安全在产品全生命周期中得到有效落实。
文章来源于网络。发布者:武汉汽车网,转转请注明出处:https://www.tfuv.com/news/16926.html
