摘要

在上一篇文章中，我們解釋了在開始開展符合 ISO 26262（汽車功能安全標準）的活動之前應該了解的“風險”，以及該標準的范圍以及如何確定發(fā)起人。

本期，我想解釋一下在確定了負責功能安全的人員之后所進行的“準備”工作。

點擊閱讀：ISO 26262實際應用（一）：遵守ISO26262之前，需了解的事項

成立推廣機構

一旦確定了發(fā)起人，該人將最終在公司內(nèi)部全面開展功能安全活動。此時，我們希望管理層注意以下幾點。

首先，有必要明確發(fā)起人的地位和權限，并在公司內(nèi)部予以公認。ISO 26262 第 2 部分（功能安全管理）包含一個名為“5.4.2 安全文化”的條款，其中規(guī)定：“5.4.2.8 組織應確保執(zhí)行或支持安全活動的人員被賦予足夠的權限來履行其職責。”

如前所述，ISO 26262 是一項涵蓋產(chǎn)品開發(fā)全生命周期的大型標準。因此，功能安全推廣人員必須與眾多組織、部門和人員進行協(xié)商和協(xié)調(diào)。如果推廣人員在公司內(nèi)部的職位和權限不明確，與各部門的協(xié)調(diào)就會變得困難，有效的應對措施也可能無法實施。在最糟糕的情況下，這可能導致與研發(fā)現(xiàn)場發(fā)生沖突，并造成認知差距，最終導致相關活動流于形式，而未能充分考慮實際情況。

通常，項目發(fā)起人傾向于認為他們的工作主要是技術性的，例如理解標準并將要求融入內(nèi)部流程。然而，實際上，他們最終會花費大量時間和精力與各個內(nèi)部部門協(xié)調(diào)，并匯總各部門之間的需求。

為了減輕這一負擔，有必要　明確負責人的“權限”，并明確表示他們背后有管理層的支持。

同時，也需要明確各相關部門的接口，例如聯(lián)系人和決策者是誰。這將防止發(fā)起人孤立無援，并有助于高效、順利地推進功能安全活動。請理解，這項活動的成敗取決于發(fā)起人能否積極投入。

確保晉升所需的資源

下一步是為推廣組織分配必要的資源，特別是人力資源。即使授予了推廣所需的權限，如果沒有相應的資源來執(zhí)行，也是毫無意義的。關于這一點，ISO 26262 第 2 部分（功能安全管理）“5.4.2 安全文化”要求“5.4.2.6 組織應提供實現(xiàn)功能安全所需的資源”。

這里提到的資源不僅包括人力資源，還包括開發(fā)支持工具。然而，或許最棘手的挑戰(zhàn)在于如何獲取人力資源。在國內(nèi)企業(yè)中，功能安全活動往往被視為外部壓力（來自歐美）帶來的“額外工作”，并被認為“并非核心業(yè)務”。自然，當功能安全活動被視為“非核心業(yè)務”時，就很難獲得“必要的資源”。然而，對于安全相關產(chǎn)品而言，功能安全活動絕非額外工作，而是產(chǎn)品開發(fā)過程中不可或缺的一部分。雖然確實增加了一些不熟悉的工作要求，例如“確認措施”，但這些要求是融合以往領域經(jīng)驗的結果，應被視為創(chuàng)造安全產(chǎn)品的訣竅（方法），并積極主動地加以運用。首要前提是，必須持續(xù)消除功能安全活動是“額外工作”的觀念。

然而，即便我們消除了功能安全是“無關緊要的工作”這種觀念，要確保功能安全活動所需的人力資源仍然極其困難。一種可行的方案是讓員工負責協(xié)調(diào)活動和做出決策等重要任務，并在某些情況下利用外部資源來完成其他任務。

從推廣機構的成立到應用功能安全的產(chǎn)品開發(fā)，構建一套支持功能安全的流程，無論在數(shù)量還是質(zhì)量上，都是一項艱巨的任務。目前，似乎有相當多的案例都采用了外部資源來完成這項任務。當然，由了解標準的專家來負責流程的創(chuàng)建工作效率更高。然而，如果流程完全外包，那么創(chuàng)建的流程將與開發(fā)現(xiàn)場的實際情況相去甚遠，即便流程設計精良且符合標準，現(xiàn)場也很難將其應用。這就好比“造佛卻不賦予其靈魂”。

為避免這種情況，需要注意的是，在使用外部資源時，公司內(nèi)部有經(jīng)驗、了解理想和現(xiàn)實（內(nèi)部情況）的人員的深度參與是先決條件。

制定活動政策和計劃

推廣機構成立后，首要任務是制定行動方針、戰(zhàn)略和行動計劃。行動計劃并非宏大之作，它僅僅是指確定實現(xiàn)近期目標的步驟和戰(zhàn)略的總體框架。以下我們將列出制定此計劃時需要確定的基本事項，并將其分為三個類別。

（1）確定基礎流程

“基礎流程”指的是作為進一步定義功能安全活動基礎的流程，許多公司似乎都以已實施的質(zhì)量管理流程為基礎來構建其流程。任何從事質(zhì)量和可靠性相關工作的人員都會熟悉這一流程，而且由于功能安全標準也假定存在“質(zhì)量管理體系”，因此它適合作為基礎流程。然而，由于這些標準是面向組織的管理標準，它們與ISO 26262第2部分（功能安全管理）和第8部分（支持流程）等管理流程兼容，但與第4部分（系統(tǒng)）、第5部分（硬件）和第6部分（軟件）等工程流程兼容則需要一些創(chuàng)造性。

另一方面，許多重視軟件開發(fā)的公司采用符合 CMU/SEI CMMI（能力成熟度模型集成）或歐洲汽車行業(yè)正在推廣的 ASPICE 標準的流程，并且有很多案例表明這些流程資產(chǎn)已被用作基礎。在歐洲，流程構建策略似乎是從如何利用過去的活動資產(chǎn)和經(jīng)驗的角度出發(fā)的，例如長期活躍于軟件領域的羅伯特·博世公司采用基于 CMMI 的流程，以及積極推廣 ASPICE 的大陸集團公司采用基于 ASPICE 的流程。

特別是，ASPICE 在歐洲被廣泛應用，其許多要求與 ISO 26262（表 1 ）重疊，使其成為解決功能安全問題的理想基礎流程。鑒于此，目前正興起一股開發(fā)集成 SPICE的潮流，旨在擴展 ASPICE 的功能安全特性。

表1、ISO 26262與ASPICE的關系

（2）功能安全活動的角色分配

ISO 26262 標準規(guī)定了“安全經(jīng)理”這一角色，負責產(chǎn)品開發(fā)中的功能安全活動。由于其工作內(nèi)容與項目管理類似，項目經(jīng)理也可以兼任安全經(jīng)理。然而，項目經(jīng)理面臨著降低成本和按時交付的壓力，同時還要承擔安全經(jīng)理的職責，而安全經(jīng)理必須將安全放在首位，這種做法可能帶來的負面影響需要充分考慮。

除了安全經(jīng)理之外，功能安全活動還需要專家在產(chǎn)品開發(fā)的每個階段承擔重要任務，即確認措施，例如進行確認審查的審查員、進行功能安全審查的審核員以及進行功能安全評估的評估員。

如前所述，安全經(jīng)理的職責與之前的項目管理角色類似，只是他們負責安全。

另一方面，許多組織正努力應對諸如確認審查、功能安全審計和功能安全評估等新職責（表2），例如，哪些經(jīng)驗適合該角色，需要哪些技能，以及未來應該掌握哪些技能。這一點，連同下文討論的組織結構問題，應在充分理解標準要求的目標之后仔細考慮。

表2、驗證措施概述（部分摘自 ISO 26262 第 2 部分）

（3）功能安全活動的組織結構（確保獨立性）

　這些保障措施所需的獨立性取決于所開發(fā)產(chǎn)品的汽車安全完整性等級 (ASIL) 以及保障措施的目標。對于 ASIL D 級產(chǎn)品（需要最嚴格的安全等級），許多保障措施必須由獨立于產(chǎn)品開發(fā)組織的機構執(zhí)行。換言之，在承擔新的功能安全責任時，不僅需要考慮執(zhí)行人員的技能，還需要考慮組織結構方面的問題，例如需要何種組織結構才能確保這些活動的高度獨立性，以及應建立何種指揮鏈。

我認為確認措施的目的可以概括為以下兩點。

通過客觀的角度和不同的視角（從交付成果或流程的角度）進行檢查，您可以發(fā)現(xiàn)開發(fā)人員自己可能忽略的事情。

確保所有發(fā)現(xiàn)的安全疏忽都能得到解決，不受業(yè)務壓力（成本或期限）的影響。

諸如應指派誰負責功能安全活動、應建立何種組織以及該組織應承擔哪些職能等問題，只能根據(jù)各公司的具體情況來制定。然而，無論采取何種措施，都必須理解本標準所要求活動的具體目標。否則，即便形式上符合標準要求，這些活動本身也可能毫無效果，而僅僅淪為符合標準的幌子。

例如，如果核查措施只是敷衍了事地檢查，很少發(fā)現(xiàn)安全疏漏，那么對于實施者和被實施者來說都將是不幸的。

關鍵在于識別產(chǎn)品開發(fā)過程中眾多驗證活動中遺漏的安全隱患。實施能夠充分利用組織特點和優(yōu)勢的應對措施，是取得切實成效的捷徑。

差距分析

差距分析是識別流程之間差距的過程，例如當前流程在多大程度上符合 ISO 26262 的要求，以及哪些方面不符合。本文中，差距分析被描述為在規(guī)劃之后進行，但在許多情況下，差距分析并未進行，因為事先已知滿足功能安全要求的流程很少。相反，一種“邊做邊回顧”的方法正變得越來越普遍，在這種方法中，流程定義在確定是否符合標準和確認方向的同時進行。

此外，最近已經(jīng)開始進行需要符合功能安全要求的產(chǎn)品開發(fā)，并且出現(xiàn)了類似于“確認審查”的工作請求，以檢查在那里開發(fā)的工作成果（如技術安全要求和系統(tǒng)設計文件）是否符合標準。

如何將實際產(chǎn)品開發(fā)項目融入流程構建工作取決于各公司的戰(zhàn)略和計劃，因此最好據(jù)此規(guī)劃差距分析和符合性評估。我們將在“流程實施”部分討論符合性評估。

訓練

功能安全培訓有時是為了使參與功能安全活動的人員掌握相應的知識，有時是為了滿足 ISO 26262 第 2 部分（功能安全管理）“5.4.3 能力管理”的要求，該標準規(guī)定：“5.4.3.1 組織應確保參與安全生命周期的人員具備與其職責相符的足夠技能、能力和資質(zhì)。” 表 3 展示了一個旨在提供資質(zhì)的培訓課程示例（以 DNV Business Assurance Japan 為例）。

表3、培訓課程示例

安全經(jīng)理和功能安全評估員的培訓通常持續(xù)五天左右。由于許多學員的主要工作是產(chǎn)品開發(fā)，占用他們五天時間可能會對開發(fā)流程產(chǎn)生重大影響。因此，必須盡早做好充分的準備工作。

這種通過“能力管理”和“教育項目”來授予資質(zhì)的做法，是基于西方社會環(huán)境的。在西方社會，工程師的流動性很高，很多人對日本強調(diào)日常工作中“人本發(fā)展”的思維方式感到不適應。我個人也懷疑這種思維方式是否真的能給日本企業(yè)帶來多少好處。然而，現(xiàn)實情況是，為了國際化，我們別無選擇，只能接受這種做法。

下一期我們將講解“流程實施”。

（添加微信號NewCarRen咨詢）