摘要

汽車制造商和主要一級(jí)供應(yīng)商正在加快推進(jìn)符合汽車功能安全標(biāo)準(zhǔn) ISO 26262 的進(jìn)程。然而，中小型供應(yīng)商目前在符合 ISO 26262 方面進(jìn)展緩慢。本系列文章將介紹中小型供應(yīng)商應(yīng)對(duì) ISO 26262 的實(shí)用措施。

汽車功能安全標(biāo)準(zhǔn)ISO 26262于2011年11月正式發(fā)布，汽車制造商如今已全面實(shí)施該標(biāo)準(zhǔn)。與此同時(shí)，一級(jí)供應(yīng)商（主要是大型企業(yè)）也在加快推進(jìn)相關(guān)工作。

回顧汽車行業(yè)的反應(yīng)，自ISO 26262標(biāo)準(zhǔn)正式發(fā)布以來(lái)，主要趨勢(shì)是正確理解該標(biāo)準(zhǔn)的要求，將其作為生產(chǎn)工具，并力求取得切實(shí)成果。其思路是利用符合ISO 26262標(biāo)準(zhǔn)的契機(jī)，解決此前在研發(fā)過(guò)程中出現(xiàn)的問(wèn)題。

過(guò)去曾頒布過(guò)許多國(guó)際標(biāo)準(zhǔn)，但每次都反應(yīng)遲緩，未能產(chǎn)生任何有意義的結(jié)果，這對(duì)于國(guó)內(nèi)產(chǎn)業(yè)來(lái)說(shuō)或許是自然而然的。

另一方面，由于ISO 26262標(biāo)準(zhǔn)側(cè)重于“安全”，不合規(guī)帶來(lái)的商業(yè)風(fēng)險(xiǎn)（例如海外市場(chǎng)業(yè)務(wù)拓展以及出現(xiàn)問(wèn)題時(shí)的賠償規(guī)模）相當(dāng)大。因此，目前似乎存在一種趨勢(shì)，即盡快營(yíng)造符合標(biāo)準(zhǔn)的假象，而推遲根據(jù)開發(fā)現(xiàn)場(chǎng)實(shí)際情況進(jìn)行調(diào)整。在商業(yè)領(lǐng)域，已經(jīng)出現(xiàn)了一些默認(rèn)功能安全合規(guī)的報(bào)價(jià)和訂單。因此，究竟是優(yōu)先解決開發(fā)現(xiàn)場(chǎng)的問(wèn)題，還是優(yōu)先營(yíng)造符合標(biāo)準(zhǔn)的假象更為重要，目前尚難定論。

總之，我們必須避免這樣一種情況：我們花費(fèi)巨資匆忙遵守 ISO 26262 標(biāo)準(zhǔn)，結(jié)果卻留下了一堆未使用的監(jiān)管文件和模板。

本系列的目的

汽車產(chǎn)業(yè)是關(guān)鍵產(chǎn)業(yè)，其供應(yīng)鏈?zhǔn)謴V泛，涵蓋從汽車制造商到分包商以及各種規(guī)模的公司。

此外，ISO 26262 是一項(xiàng)涵蓋制造設(shè)計(jì)和開發(fā)的大型標(biāo)準(zhǔn)，其范圍從管理到系統(tǒng)開發(fā)、硬件開發(fā)、軟件開發(fā)以及制造過(guò)程。這意味著，所有規(guī)模的汽車研發(fā)企業(yè)都必須遵守 ISO 26262 標(biāo)準(zhǔn)。

然而，在遵守 ISO 26262 標(biāo)準(zhǔn)方面，像中小型一級(jí)或二級(jí)供應(yīng)商這樣實(shí)力相對(duì)較弱的公司，能否像大型成熟企業(yè)那樣做到同樣出色呢？至少，上述“先做好前期準(zhǔn)備，再與現(xiàn)場(chǎng)協(xié)調(diào)”的方法在現(xiàn)實(shí)中似乎難以實(shí)現(xiàn)。鑒于其預(yù)算和人力資源有限，他們必須力求高效地實(shí)施、部署和落實(shí)該標(biāo)準(zhǔn)的各項(xiàng)要求。

如果這些為汽車產(chǎn)業(yè)提供支持的中小型供應(yīng)商選擇了錯(cuò)誤的ISO 26262標(biāo)準(zhǔn)，最終可能導(dǎo)致成本上升、技術(shù)能力下降和國(guó)際競(jìng)爭(zhēng)力減弱。防止這種情況發(fā)生并非易事，但必須采取措施。

如何進(jìn)行ISO 26262合規(guī)性審查

圖 1展示了企業(yè)內(nèi)部實(shí)施 ISO 26262 的一般流程。此過(guò)程并非一蹴而就，而是需要實(shí)施一個(gè)“持續(xù)改進(jìn)”循環(huán)，在這個(gè)循環(huán)中，既要“部署”已建立的流程，又要將“經(jīng)驗(yàn)教訓(xùn)”反映到流程中。

圖 1、符合 ISO 26262 標(biāo)準(zhǔn)的一般流程

有些公司可能會(huì)在流程實(shí)施和部署之間循環(huán)往復(fù)，同時(shí)開展試點(diǎn)項(xiàng)目，但大多數(shù)公司可能會(huì)遵循這里概述的步驟。

在本系列文章中，我們將根據(jù)我們?cè)谥С?ISO 26262 合規(guī)方面的經(jīng)驗(yàn)，重點(diǎn)關(guān)注即將開始遵守 ISO 26262 的中小型供應(yīng)商，并按照?qǐng)D 1 所示的基本步驟，介紹每個(gè)階段的關(guān)鍵點(diǎn)、挑戰(zhàn)和應(yīng)對(duì)措施。

在符合標(biāo)準(zhǔn)之前

在開始開展符合 ISO 26262 標(biāo)準(zhǔn)的活動(dòng)之前，我們首先必須理解“風(fēng)險(xiǎn)”的概念。“風(fēng)險(xiǎn)”一詞以及風(fēng)險(xiǎn)管理的概念在日本并不普及，我們經(jīng)常聽到這樣的說(shuō)法：這是日本企業(yè)的弱點(diǎn)。這個(gè)問(wèn)題不僅限于企業(yè)層面。福島第一核電站事故就是一個(gè)典型的例子，它體現(xiàn)了對(duì)風(fēng)險(xiǎn)的完全漠視，也就是所謂的“安全神話”。

另一方面，西方人認(rèn)為“人都會(huì)犯錯(cuò)”和“機(jī)器會(huì)發(fā)生故障”，因此不相信零風(fēng)險(xiǎn)或絕對(duì)安全的概念。他們認(rèn)為，產(chǎn)品開發(fā)人員有責(zé)任明確識(shí)別存在的風(fēng)險(xiǎn)（這些風(fēng)險(xiǎn)無(wú)法降至零），并根據(jù)風(fēng)險(xiǎn)程度采取最佳措施。當(dāng)然，這些活動(dòng)的結(jié)果，包括決策過(guò)程，必須對(duì)第三方公開透明。這種思維差異在2009年豐田汽車公司卷入美國(guó)集體訴訟案時(shí)引發(fā)了諸多麻煩。

ISO 26262 基于此前提，要求當(dāng)預(yù)期功能失效時(shí)，評(píng)估安全隱患的可能性和損害程度，并根據(jù)評(píng)估結(jié)果采取措施。這些措施根據(jù)風(fēng)險(xiǎn)程度進(jìn)行組織，并在 ISO 26262 標(biāo)準(zhǔn)中被分類為安全要求等級(jí)，ASIL（汽車安全完整性等級(jí)）A 至 D（表 1）。

表1、根據(jù) ASIL等級(jí)所需措施的示例。軟件架構(gòu)設(shè)計(jì)符號(hào)與 ASIL 等級(jí)相對(duì)應(yīng)

許多人傾向于關(guān)注每個(gè)ASIL等級(jí)列出的要求，并從短期角度考慮如何應(yīng)對(duì)。然而，如果這些措施以抽象的方式表達(dá)，用戶將難以理解，因此應(yīng)該將其理解為基于當(dāng)前技術(shù)水平可考慮的最合適措施列表，并盡可能具體地列出。當(dāng)然，隨著技術(shù)的演進(jìn)，這些措施也需要隨之改變。

要理解 ISO 26262 標(biāo)準(zhǔn)，最重要的不是每個(gè) ASIL 等級(jí)列出的措施和方法，而是上文提到的風(fēng)險(xiǎn)管理方法。換句話說(shuō)，關(guān)鍵在于組織要認(rèn)真識(shí)別風(fēng)險(xiǎn)，并確定其實(shí)施的措施和開發(fā)活動(dòng)是否足以在推進(jìn)開發(fā)的同時(shí)，充分降低（或容忍）已識(shí)別的風(fēng)險(xiǎn)。我認(rèn)為這正是 ISO 26262 標(biāo)準(zhǔn)的核心理念、哲學(xué)和精神。

如果缺乏風(fēng)險(xiǎn)意識(shí)，研發(fā)場(chǎng)所只會(huì)關(guān)注達(dá)到所需的ASIL等級(jí)并實(shí)施該等級(jí)要求的措施，這可能導(dǎo)致研發(fā)場(chǎng)所因不斷面臨工期要求和成本限制而忽視安全活動(dòng)。當(dāng)然，下游流程中也不會(huì)發(fā)現(xiàn)新的危險(xiǎn) ，更遑論培養(yǎng)ISO 262626所追求的健康“安全文化”。

ISO 26262概述

如上所述，ISO 26262 是一項(xiàng)適用于產(chǎn)品設(shè)計(jì)和開發(fā)各個(gè)方面的標(biāo)準(zhǔn)，包括管理、系統(tǒng)開發(fā)、硬件開發(fā)、軟件開發(fā)和制造。本系列文章的主要目的并非解釋標(biāo)準(zhǔn)本身。

圖 2顯示了汽車制造商、一級(jí)供應(yīng)商、二級(jí)供應(yīng)商以及與這些供應(yīng)商簽訂分包合同的硬件和軟件供應(yīng)商在汽車開發(fā)過(guò)程中的總體職責(zé)范圍，以及標(biāo)準(zhǔn)文檔第 2 部分至第 9 部分之間的關(guān)系。然而，這僅僅是標(biāo)準(zhǔn)要求的表象，實(shí)際上，職責(zé)范圍很可能由具體合同決定。

圖2、ISO 26262在汽車開發(fā)過(guò)程中的應(yīng)用范圍以及標(biāo)準(zhǔn)文件各部分之間的關(guān)系

標(biāo)準(zhǔn)范圍

縱觀 ISO 26262 的整體框架，人們?cè)俅我庾R(shí)到這是一項(xiàng)極其龐大的標(biāo)準(zhǔn)，很容易讓人覺得只需理解自己負(fù)責(zé)的部分（例如，第 6 部分中的軟件開發(fā)）就足夠了。然而，這項(xiàng)標(biāo)準(zhǔn)令人沮喪之處在于，僅僅閱讀標(biāo)準(zhǔn)文檔的每個(gè)部分很難理解其基本概念和思想。雖然沒有必要理解和考慮每個(gè)部分的具體要求，但最好至少在開展自己負(fù)責(zé)的實(shí)際工作之前，了解安全活動(dòng)的實(shí)施方式。

例如，二級(jí)供應(yīng)商確實(shí)無(wú)需實(shí)際執(zhí)行“第三部分：概念階段”，因?yàn)檫@是汽車制造商或主要一級(jí)供應(yīng)商的責(zé)任。然而，如果他們?cè)陂_展開發(fā)工作時(shí)能夠理解上游流程中安全要求的考慮方式以及這些要求是如何分配給他們的，那么安全活動(dòng)很可能會(huì)發(fā)生顯著變化。只有理解整體流程和理念，才能發(fā)現(xiàn)安全疏漏（例如，下游流程中新發(fā)現(xiàn)的危險(xiǎn)）、制定并最終選擇合適的解決方案。

在實(shí)際工作中，可能很難獲得作為上游流程信息來(lái)源的功能安全相關(guān)文件（例如，危害分析和風(fēng)險(xiǎn)評(píng)估結(jié)果和功能安全概念），但至少應(yīng)該了解 ISO 26262 的要求。

這種方法也被應(yīng)用于航天領(lǐng)域。為了減少作為下游流程的軟件設(shè)計(jì)過(guò)程中的錯(cuò)誤，人們嘗試讓軟件工程師能夠獲取衛(wèi)星運(yùn)行和使用（最上游流程）相關(guān)的需求，并將其作為軟件設(shè)計(jì)的輸入。實(shí)際上，軟件工程師并不具備衛(wèi)星運(yùn)行方面的專業(yè)知識(shí)，因此他們無(wú)法理解所有需求，但似乎通過(guò)部分了解這些需求，已經(jīng)避免了一些設(shè)計(jì)錯(cuò)誤。

決定啟動(dòng)

一旦確定了公司為符合 ISO 26262 標(biāo)準(zhǔn)所做的努力范圍，就必須決定由誰(shuí)牽頭推進(jìn)這些活動(dòng)，以及這些活動(dòng)將涉及哪些內(nèi)部活動(dòng)。舉個(gè)容易理解的例子，主導(dǎo)力量是技術(shù)部門還是管理部門（例如，質(zhì)量控制部門）？

此外，ISO 26262 的大部分要求都是流程要求。因此，必須定義與安全相關(guān)的設(shè)計(jì)和開發(fā)流程，并且產(chǎn)品開發(fā)必須在遵循這些流程的前提下進(jìn)行。在這種情況下，決定由誰(shuí)來(lái)負(fù)責(zé) ISO 26262 合規(guī)性的一個(gè)重要因素是，是定義一個(gè)全新的流程，還是對(duì)現(xiàn)有流程（例如，質(zhì)量控制系統(tǒng)）進(jìn)行修改。

根據(jù)我的經(jīng)驗(yàn)，最常見的模式有兩種：一種是質(zhì)量控制部門主導(dǎo)，另一種是設(shè)計(jì)開發(fā)部門主導(dǎo)，質(zhì)量控制部門提供支持。表2大致比較了質(zhì)量控制部門和設(shè)計(jì)開發(fā)部門各自的優(yōu)勢(shì)和劣勢(shì)。但實(shí)際情況可能并非如此，因?yàn)槊考夜径加衅洫?dú)特的特點(diǎn)。

表2、質(zhì)量控制部門和設(shè)計(jì)開發(fā)部門的優(yōu)勢(shì)和劣勢(shì)

符合 ISO 26262 標(biāo)準(zhǔn)涵蓋從環(huán)境準(zhǔn)備階段到持續(xù)運(yùn)行（例如在實(shí)際開發(fā)工作中建立和運(yùn)行符合標(biāo)準(zhǔn)的內(nèi)部流程）等一系列活動(dòng)。因此，有必要考慮各部門的角色和職能分配，并著眼于運(yùn)營(yíng)開始后的中長(zhǎng)期發(fā)展。

本期，我們列出了一些進(jìn)入第一階段“準(zhǔn)備”的前提條件，如圖 1 所示。在下一篇文章中，我們將詳細(xì)解釋ISO 26262合規(guī)性的“準(zhǔn)備”步驟。

（添加微信號(hào)NewCarRen咨詢）