摘要

在上一篇文章中，我們解釋了在開(kāi)始開(kāi)展符合 ISO 26262（汽車(chē)功能安全標(biāo)準(zhǔn)）的活動(dòng)之前應(yīng)該了解的“風(fēng)險(xiǎn)”，以及該標(biāo)準(zhǔn)的范圍以及如何確定發(fā)起人。

本期，我想解釋一下在確定了負(fù)責(zé)功能安全的人員之后所進(jìn)行的“準(zhǔn)備”工作。

點(diǎn)擊閱讀：ISO 26262實(shí)際應(yīng)用（一）：遵守ISO26262之前，需了解的事項(xiàng)

成立推廣機(jī)構(gòu)

一旦確定了發(fā)起人，該人將最終在公司內(nèi)部全面開(kāi)展功能安全活動(dòng)。此時(shí)，我們希望管理層注意以下幾點(diǎn)。

首先，有必要明確發(fā)起人的地位和權(quán)限，并在公司內(nèi)部予以公認(rèn)。ISO 26262 第 2 部分（功能安全管理）包含一個(gè)名為“5.4.2 安全文化”的條款，其中規(guī)定：“5.4.2.8 組織應(yīng)確保執(zhí)行或支持安全活動(dòng)的人員被賦予足夠的權(quán)限來(lái)履行其職責(zé)。”

如前所述，ISO 26262 是一項(xiàng)涵蓋產(chǎn)品開(kāi)發(fā)全生命周期的大型標(biāo)準(zhǔn)。因此，功能安全推廣人員必須與眾多組織、部門(mén)和人員進(jìn)行協(xié)商和協(xié)調(diào)。如果推廣人員在公司內(nèi)部的職位和權(quán)限不明確，與各部門(mén)的協(xié)調(diào)就會(huì)變得困難，有效的應(yīng)對(duì)措施也可能無(wú)法實(shí)施。在最糟糕的情況下，這可能導(dǎo)致與研發(fā)現(xiàn)場(chǎng)發(fā)生沖突，并造成認(rèn)知差距，最終導(dǎo)致相關(guān)活動(dòng)流于形式，而未能充分考慮實(shí)際情況。

通常，項(xiàng)目發(fā)起人傾向于認(rèn)為他們的工作主要是技術(shù)性的，例如理解標(biāo)準(zhǔn)并將要求融入內(nèi)部流程。然而，實(shí)際上，他們最終會(huì)花費(fèi)大量時(shí)間和精力與各個(gè)內(nèi)部部門(mén)協(xié)調(diào)，并匯總各部門(mén)之間的需求。

為了減輕這一負(fù)擔(dān)，有必要　明確負(fù)責(zé)人的“權(quán)限”，并明確表示他們背后有管理層的支持。

同時(shí)，也需要明確各相關(guān)部門(mén)的接口，例如聯(lián)系人和決策者是誰(shuí)。這將防止發(fā)起人孤立無(wú)援，并有助于高效、順利地推進(jìn)功能安全活動(dòng)。請(qǐng)理解，這項(xiàng)活動(dòng)的成敗取決于發(fā)起人能否積極投入。

確保晉升所需的資源

下一步是為推廣組織分配必要的資源，特別是人力資源。即使授予了推廣所需的權(quán)限，如果沒(méi)有相應(yīng)的資源來(lái)執(zhí)行，也是毫無(wú)意義的。關(guān)于這一點(diǎn)，ISO 26262 第 2 部分（功能安全管理）“5.4.2 安全文化”要求“5.4.2.6 組織應(yīng)提供實(shí)現(xiàn)功能安全所需的資源”。

這里提到的資源不僅包括人力資源，還包括開(kāi)發(fā)支持工具。然而，或許最棘手的挑戰(zhàn)在于如何獲取人力資源。在國(guó)內(nèi)企業(yè)中，功能安全活動(dòng)往往被視為外部壓力（來(lái)自歐美）帶來(lái)的“額外工作”，并被認(rèn)為“并非核心業(yè)務(wù)”。自然，當(dāng)功能安全活動(dòng)被視為“非核心業(yè)務(wù)”時(shí)，就很難獲得“必要的資源”。然而，對(duì)于安全相關(guān)產(chǎn)品而言，功能安全活動(dòng)絕非額外工作，而是產(chǎn)品開(kāi)發(fā)過(guò)程中不可或缺的一部分。雖然確實(shí)增加了一些不熟悉的工作要求，例如“確認(rèn)措施”，但這些要求是融合以往領(lǐng)域經(jīng)驗(yàn)的結(jié)果，應(yīng)被視為創(chuàng)造安全產(chǎn)品的訣竅（方法），并積極主動(dòng)地加以運(yùn)用。首要前提是，必須持續(xù)消除功能安全活動(dòng)是“額外工作”的觀念。

然而，即便我們消除了功能安全是“無(wú)關(guān)緊要的工作”這種觀念，要確保功能安全活動(dòng)所需的人力資源仍然極其困難。一種可行的方案是讓員工負(fù)責(zé)協(xié)調(diào)活動(dòng)和做出決策等重要任務(wù)，并在某些情況下利用外部資源來(lái)完成其他任務(wù)。

從推廣機(jī)構(gòu)的成立到應(yīng)用功能安全的產(chǎn)品開(kāi)發(fā)，構(gòu)建一套支持功能安全的流程，無(wú)論在數(shù)量還是質(zhì)量上，都是一項(xiàng)艱巨的任務(wù)。目前，似乎有相當(dāng)多的案例都采用了外部資源來(lái)完成這項(xiàng)任務(wù)。當(dāng)然，由了解標(biāo)準(zhǔn)的專(zhuān)家來(lái)負(fù)責(zé)流程的創(chuàng)建工作效率更高。然而，如果流程完全外包，那么創(chuàng)建的流程將與開(kāi)發(fā)現(xiàn)場(chǎng)的實(shí)際情況相去甚遠(yuǎn)，即便流程設(shè)計(jì)精良且符合標(biāo)準(zhǔn)，現(xiàn)場(chǎng)也很難將其應(yīng)用。這就好比“造佛卻不賦予其靈魂”。

為避免這種情況，需要注意的是，在使用外部資源時(shí)，公司內(nèi)部有經(jīng)驗(yàn)、了解理想和現(xiàn)實(shí)（內(nèi)部情況）的人員的深度參與是先決條件。

制定活動(dòng)政策和計(jì)劃

推廣機(jī)構(gòu)成立后，首要任務(wù)是制定行動(dòng)方針、戰(zhàn)略和行動(dòng)計(jì)劃。行動(dòng)計(jì)劃并非宏大之作，它僅僅是指確定實(shí)現(xiàn)近期目標(biāo)的步驟和戰(zhàn)略的總體框架。以下我們將列出制定此計(jì)劃時(shí)需要確定的基本事項(xiàng)，并將其分為三個(gè)類(lèi)別。

（1）確定基礎(chǔ)流程

“基礎(chǔ)流程”指的是作為進(jìn)一步定義功能安全活動(dòng)基礎(chǔ)的流程，許多公司似乎都以已實(shí)施的質(zhì)量管理流程為基礎(chǔ)來(lái)構(gòu)建其流程。任何從事質(zhì)量和可靠性相關(guān)工作的人員都會(huì)熟悉這一流程，而且由于功能安全標(biāo)準(zhǔn)也假定存在“質(zhì)量管理體系”，因此它適合作為基礎(chǔ)流程。然而，由于這些標(biāo)準(zhǔn)是面向組織的管理標(biāo)準(zhǔn)，它們與ISO 26262第2部分（功能安全管理）和第8部分（支持流程）等管理流程兼容，但與第4部分（系統(tǒng)）、第5部分（硬件）和第6部分（軟件）等工程流程兼容則需要一些創(chuàng)造性。

另一方面，許多重視軟件開(kāi)發(fā)的公司采用符合 CMU/SEI CMMI（能力成熟度模型集成）或歐洲汽車(chē)行業(yè)正在推廣的 ASPICE 標(biāo)準(zhǔn)的流程，并且有很多案例表明這些流程資產(chǎn)已被用作基礎(chǔ)。在歐洲，流程構(gòu)建策略似乎是從如何利用過(guò)去的活動(dòng)資產(chǎn)和經(jīng)驗(yàn)的角度出發(fā)的，例如長(zhǎng)期活躍于軟件領(lǐng)域的羅伯特·博世公司采用基于 CMMI 的流程，以及積極推廣 ASPICE 的大陸集團(tuán)公司采用基于 ASPICE 的流程。

特別是，ASPICE 在歐洲被廣泛應(yīng)用，其許多要求與 ISO 26262（表 1 ）重疊，使其成為解決功能安全問(wèn)題的理想基礎(chǔ)流程。鑒于此，目前正興起一股開(kāi)發(fā)集成 SPICE的潮流，旨在擴(kuò)展 ASPICE 的功能安全特性。

表1、ISO 26262與ASPICE的關(guān)系

（2）功能安全活動(dòng)的角色分配

ISO 26262 標(biāo)準(zhǔn)規(guī)定了“安全經(jīng)理”這一角色，負(fù)責(zé)產(chǎn)品開(kāi)發(fā)中的功能安全活動(dòng)。由于其工作內(nèi)容與項(xiàng)目管理類(lèi)似，項(xiàng)目經(jīng)理也可以兼任安全經(jīng)理。然而，項(xiàng)目經(jīng)理面臨著降低成本和按時(shí)交付的壓力，同時(shí)還要承擔(dān)安全經(jīng)理的職責(zé)，而安全經(jīng)理必須將安全放在首位，這種做法可能帶來(lái)的負(fù)面影響需要充分考慮。

除了安全經(jīng)理之外，功能安全活動(dòng)還需要專(zhuān)家在產(chǎn)品開(kāi)發(fā)的每個(gè)階段承擔(dān)重要任務(wù)，即確認(rèn)措施，例如進(jìn)行確認(rèn)審查的審查員、進(jìn)行功能安全審查的審核員以及進(jìn)行功能安全評(píng)估的評(píng)估員。

如前所述，安全經(jīng)理的職責(zé)與之前的項(xiàng)目管理角色類(lèi)似，只是他們負(fù)責(zé)安全。

另一方面，許多組織正努力應(yīng)對(duì)諸如確認(rèn)審查、功能安全審計(jì)和功能安全評(píng)估等新職責(zé)（表2），例如，哪些經(jīng)驗(yàn)適合該角色，需要哪些技能，以及未來(lái)應(yīng)該掌握哪些技能。這一點(diǎn)，連同下文討論的組織結(jié)構(gòu)問(wèn)題，應(yīng)在充分理解標(biāo)準(zhǔn)要求的目標(biāo)之后仔細(xì)考慮。

表2、驗(yàn)證措施概述（部分摘自 ISO 26262 第 2 部分）

（3）功能安全活動(dòng)的組織結(jié)構(gòu)（確保獨(dú)立性）

　這些保障措施所需的獨(dú)立性取決于所開(kāi)發(fā)產(chǎn)品的汽車(chē)安全完整性等級(jí) (ASIL) 以及保障措施的目標(biāo)。對(duì)于 ASIL D 級(jí)產(chǎn)品（需要最嚴(yán)格的安全等級(jí)），許多保障措施必須由獨(dú)立于產(chǎn)品開(kāi)發(fā)組織的機(jī)構(gòu)執(zhí)行。換言之，在承擔(dān)新的功能安全責(zé)任時(shí)，不僅需要考慮執(zhí)行人員的技能，還需要考慮組織結(jié)構(gòu)方面的問(wèn)題，例如需要何種組織結(jié)構(gòu)才能確保這些活動(dòng)的高度獨(dú)立性，以及應(yīng)建立何種指揮鏈。

我認(rèn)為確認(rèn)措施的目的可以概括為以下兩點(diǎn)。

通過(guò)客觀的角度和不同的視角（從交付成果或流程的角度）進(jìn)行檢查，您可以發(fā)現(xiàn)開(kāi)發(fā)人員自己可能忽略的事情。

確保所有發(fā)現(xiàn)的安全疏忽都能得到解決，不受業(yè)務(wù)壓力（成本或期限）的影響。

諸如應(yīng)指派誰(shuí)負(fù)責(zé)功能安全活動(dòng)、應(yīng)建立何種組織以及該組織應(yīng)承擔(dān)哪些職能等問(wèn)題，只能根據(jù)各公司的具體情況來(lái)制定。然而，無(wú)論采取何種措施，都必須理解本標(biāo)準(zhǔn)所要求活動(dòng)的具體目標(biāo)。否則，即便形式上符合標(biāo)準(zhǔn)要求，這些活動(dòng)本身也可能毫無(wú)效果，而僅僅淪為符合標(biāo)準(zhǔn)的幌子。

例如，如果核查措施只是敷衍了事地檢查，很少發(fā)現(xiàn)安全疏漏，那么對(duì)于實(shí)施者和被實(shí)施者來(lái)說(shuō)都將是不幸的。

關(guān)鍵在于識(shí)別產(chǎn)品開(kāi)發(fā)過(guò)程中眾多驗(yàn)證活動(dòng)中遺漏的安全隱患。實(shí)施能夠充分利用組織特點(diǎn)和優(yōu)勢(shì)的應(yīng)對(duì)措施，是取得切實(shí)成效的捷徑。

差距分析

差距分析是識(shí)別流程之間差距的過(guò)程，例如當(dāng)前流程在多大程度上符合 ISO 26262 的要求，以及哪些方面不符合。本文中，差距分析被描述為在規(guī)劃之后進(jìn)行，但在許多情況下，差距分析并未進(jìn)行，因?yàn)槭孪纫阎獫M足功能安全要求的流程很少。相反，一種“邊做邊回顧”的方法正變得越來(lái)越普遍，在這種方法中，流程定義在確定是否符合標(biāo)準(zhǔn)和確認(rèn)方向的同時(shí)進(jìn)行。

此外，最近已經(jīng)開(kāi)始進(jìn)行需要符合功能安全要求的產(chǎn)品開(kāi)發(fā)，并且出現(xiàn)了類(lèi)似于“確認(rèn)審查”的工作請(qǐng)求，以檢查在那里開(kāi)發(fā)的工作成果（如技術(shù)安全要求和系統(tǒng)設(shè)計(jì)文件）是否符合標(biāo)準(zhǔn)。

如何將實(shí)際產(chǎn)品開(kāi)發(fā)項(xiàng)目融入流程構(gòu)建工作取決于各公司的戰(zhàn)略和計(jì)劃，因此最好據(jù)此規(guī)劃差距分析和符合性評(píng)估。我們將在“流程實(shí)施”部分討論符合性評(píng)估。

訓(xùn)練

功能安全培訓(xùn)有時(shí)是為了使參與功能安全活動(dòng)的人員掌握相應(yīng)的知識(shí)，有時(shí)是為了滿足 ISO 26262 第 2 部分（功能安全管理）“5.4.3 能力管理”的要求，該標(biāo)準(zhǔn)規(guī)定：“5.4.3.1 組織應(yīng)確保參與安全生命周期的人員具備與其職責(zé)相符的足夠技能、能力和資質(zhì)。” 表 3 展示了一個(gè)旨在提供資質(zhì)的培訓(xùn)課程示例（以 DNV Business Assurance Japan 為例）。

表3、培訓(xùn)課程示例

安全經(jīng)理和功能安全評(píng)估員的培訓(xùn)通常持續(xù)五天左右。由于許多學(xué)員的主要工作是產(chǎn)品開(kāi)發(fā)，占用他們五天時(shí)間可能會(huì)對(duì)開(kāi)發(fā)流程產(chǎn)生重大影響。因此，必須盡早做好充分的準(zhǔn)備工作。

這種通過(guò)“能力管理”和“教育項(xiàng)目”來(lái)授予資質(zhì)的做法，是基于西方社會(huì)環(huán)境的。在西方社會(huì)，工程師的流動(dòng)性很高，很多人對(duì)日本強(qiáng)調(diào)日常工作中“人本發(fā)展”的思維方式感到不適應(yīng)。我個(gè)人也懷疑這種思維方式是否真的能給日本企業(yè)帶來(lái)多少好處。然而，現(xiàn)實(shí)情況是，為了國(guó)際化，我們別無(wú)選擇，只能接受這種做法。

下一期我們將講解“流程實(shí)施”。

（添加微信號(hào)NewCarRen咨詢）