OEM 和一級供應商等汽車利益相關者必須將功能安全 (FuSa) 視為整個組織的實踐。說起來容易做起來難，實施符合 ISO 26262的 FuSa 會帶來一系列挑戰(zhàn)。如果不解決這些挑戰(zhàn)，則會導致項目管理錯誤，從而給項目帶來延誤和成本上升的負擔。管理不善的情況可能與組織中整體缺乏安全意識或跨職能團隊之間的協(xié)調不佳有關。

在汽車生態(tài)系統(tǒng)中，一個利益相關者的疏忽也會影響到其他利益相關者。如果一級供應商不以廣泛的方式進行危害分析，架構設計可能會充滿未識別的危害和相關風險。同樣，使用未受過 ISO 26262 標準培訓的資源從事安全關鍵項目也有其自身的危險。在本文中，我們整理了一組必須不惜一切代價避免的此類 FuSa 管理錯誤。

1. 組織缺乏安全意識

功能安全不僅限于從事安全關鍵型汽車項目的安全團隊。從開發(fā)人員和測試工程師到項目經(jīng)理，每個團隊成員都必須了解 ISO 26262 標準及其指南。讓我們看看在組織中整體缺乏安全意識時所犯的一些 FuSa 錯誤。

缺失的安全文化：安全文化本質上意味著汽車軟件或硬件開發(fā)中的每個利益相關者都認真對待功能安全。不忽視任何危險，關注安全生命周期的每個階段，資源相互協(xié)調，協(xié)同工作。僅僅擁有一名功能安全經(jīng)理/顧問而不專注于建立安全文化是組織所犯的最常見的錯誤。

關注文檔而不是安全：文檔是 ISO 26262 合規(guī)性的重要組成部分。當 OEM 進行認證時，這些文件可作為證據(jù)。然而，僅僅關注文檔而不是實際的安全要求、目標和機制會適得其反。

基于假設的 ASIL 確定：在不執(zhí)行危害分析和風險評估 (HARA) 的情況下確定汽車模塊的汽車安全完整性等級 (ASIL) 值已被視為必須避免的常見做法。不建議假設基于行業(yè)規(guī)范的 ASIL，因為這可能會導致遺漏危險。例如，信息娛樂系統(tǒng)通常被認為是 ASIL B。因此，許多信息娛樂開發(fā)公司不執(zhí)行 HARA，而是將 ASIL B 視為其解決方案就足夠了。如果信息娛樂系統(tǒng)還包含可用于自動執(zhí)行車輛中某些操作的攝像頭數(shù)據(jù)會怎樣？這是一個嚴重的安全隱患，由于假設而被忽略。

圖 1：HARA 作為一個流程，是 ISO 26262 規(guī)定框架和團隊對功能安全和汽車功能的理解的結晶。資料來源：恩比特爾

2. 破壞功能安全引發(fā)的安全管理不善事例

一些汽車供應商或技術提供商了解 ISO 26262 標準及其細微差別。然而，為了避免成本和縮短上市時間，它們往往會破壞某些安全關鍵組件的功能安全性。似乎對安全要求或危險的偶然無知可能會危及車輛乘員的生命。

低估整個項目的時間線/工作量：一旦將安全關鍵性納入圖片，以及 ISO 26262 標準，工作量會因顯而易見的原因而增加。隨著努力，時間線也延長了。通常，ASIL A 意味著工作量增加 10-15%，對于符合 ASIL D 的項目，這一數(shù)字會上升到 100%。在不考慮安全要求和目標的情況下低估這項工作是另一個需要避免的 ISO 26262 合規(guī)性錯誤。當公司試圖擠入實施部分以遵守預先確定的任意期限時，項目開始受到影響。

考慮產(chǎn)品生命周期結束時的安全性：如前所述，ISO 26262解決方案的架構設計是基于軟件需求和安全需求創(chuàng)建的。當您開發(fā)符合ISO 26262標準的汽車解決方案時，必須從產(chǎn)品生命周期開始就遵循標準指南。由于以下因素，在生命周期結束時或在第二次迭代中合并這些指南被證明是一個巨大的錯誤：

由于原始設計不包含安全方面，因此設計返工很重。

舊代碼不可能重用，因為它不符合ISO 26262。檢查前置條件、在發(fā)送/接收信號的模塊之間使用包裝器以及引入新模塊意味著可能需要編寫大量新代碼。

有時，整個設計需要更改，這可能會導致微控制器平臺的更改。這意味著從頭開始設計產(chǎn)品。

工具和工程技能投資不足：許多組織認為，擁有一名功能安全經(jīng)理足以確保符合ISO 26262。對安全的態(tài)度往往有一定程度的不敏感。這可能是在使用合格工具或提高資源技能方面。始終建議培訓與每個符合ISO 26262的項目相關的每個資源。從開發(fā)人員和測試人員到項目經(jīng)理，每個利益相關者都必須很好地掌握ISO 26262標準中列出的實踐。

Figure 2: Functional safety, no more an afterthought, has life of its own in an automotive design. Source: Embitel

3. 利益相關者之間協(xié)調不善造成的 FuSa 管理不善

符合 ISO 26262 的項目涉及來自不同團隊和不同技能的資源。有開發(fā)人員、測試工程師、硬件專家、項目經(jīng)理、功能安全經(jīng)理等等。

團隊之間缺乏協(xié)調：組織內的不同團隊需要協(xié)調以完成各種安全活動。例如，要執(zhí)行硬件故障模式影響和診斷分析 (FMEDA)，軟件團隊必須清楚地了解安全機制。有時，團隊不了解這種合作的重要性。

原始設備制造商和一級供應商之間的協(xié)調不佳：在某些情況下，原始設備制造商無法在安全合規(guī)方面提供足夠的支持和準備。跳過了危險，沒有正確執(zhí)行安全分析，各種此類管理不善的情況接踵而至。此外，OEM 未能評估一級供應商的工具能力被證明對項目不利。

4.技術和管理錯誤的混合

由于缺乏預算或超出項目管理并開始干擾技術方面的通用 ISO 26262 知識而導致某些限制。讓我們來看看它們。

將安全關鍵系統(tǒng)的標準設置得太低：當您開始忽略危險并放寬驗收標準時，項目就會受到威脅。例如，模塊中可能只有一個安全問題需要 ASIL C。但是，您選擇忽略它并堅持 ASIL B。這是組織所犯的嚴重錯誤。成本上升是造成此類錯誤的主要原因。測試所有極端測試用例、執(zhí)行額外的安全分析以及對工具許可證的投資都會增加項目成本。測試時還存在燒毀電路板、LED 和電機的風險。盡管如此，為了安全起見，必須檢查這些故障。

低估了 SOTIF 和 ASPICE 等相關標準的重要性：除了功能安全，還有 ASPICE 和 Cybersecurity 等其他標準（ISO/SAE 21434) 是根據(jù)項目的要求而遵循的。由于所有這些標準都涉及編碼和測試指南，因此它們之間有很多重疊之處。這方面最常見的錯誤是在制定安全計劃時沒有考慮這些標準之間的相互關系。有許多活動可以并行運行，甚至可以合并以節(jié)省時間。例如，ASPICE 推薦的軟件資格測試類似于 ISO 26262 推薦的軟件集成測試和能力成熟度模型集成 (CMMI)。原則上，它們都檢查軟件的高級架構?？梢院喜⒋祟愵愃屏鞒痰哪０?，以節(jié)省大量時間和精力。使用不同標準時犯的另一個常見錯誤是忽略一個標準對另一個標準的影響。

過度工程：并非每個汽車模塊都對安全至關重要。只有在執(zhí)行 HARA 時，您才會知道關鍵程度。組織有時不希望執(zhí)行所有安全活動并為模塊假設更高的 ASIL 等級只是為了安全起見。這導致實施甚至不需要的安全機制。必須避免此類做法，以優(yōu)化成本和上市時間。

ISO 26262 是一個廣泛的標準，組織無法在短時間內達到功能安全實踐的成熟度。但是，通過避免上面列出的錯誤，他們可以加快這個過程。

— Poornima Jha，功能安全經(jīng)理和 FSCP-L2 認證 ISO 26262 專家，是 Embitel 的項目經(jīng)理。

——Vaibhav Anand 是一位數(shù)字營銷專業(yè)人士，對汽車的一切都有著根深蒂固的興趣 ， 他是 Embitel 的內容作家。

審核編輯 黃昊宇