一、功能安全管理框架

功能安全管理在汽車行業的產品開發過程中占據著至關重要的地位，卻常常被企業忽視。實際上，若功能安全管理未能有效落實，后續技術實施環節將面臨諸多難以解決的實際問題。因此，深入理解并構建完善的功能安全管理框架，是確保汽車產品安全開發的基礎。

ISO 26262標準為功能安全管理提供了全面的框架指導。該標準包含12個部分，其中第二部分專門針對功能安全管理，其余部分則涵蓋工程開發、支持流程及相關指南等內容。從整體架構來看，第二部分如同“屋頂”，統籌所有安全開發活動的部署、計劃與實施；而第八部分及其他指南性內容則像“基石”，為工程開發提供支撐。只有在“屋頂”的統籌和“基石”的支撐下，產品級別的開發工作才能有序開展。

功能安全的安全生命周期是一個動態架構，串聯起管理、概念階段、系統階段、硬件階段、軟件階段及生產制造等各個環節。在這個生命周期中，參與的組織主要包括承擔整體安全管理的安全核心團隊、負責項目層級安全實施活動的項目團隊，以及涉及生產制造相關安全管理的團隊。需要注意的是，安全核心團隊的職能并非局限于整體安全管理，還會穿插到項目安全管理中，例如承擔功能安全評估員、審核員等角色的工作，參與認可措施的實施。

搭建功能安全體系的首要步驟是構建組織架構。這一架構可以是在公司原有組織架構基礎上，賦予部分人員兼職屬性，形成虛擬的安全組織架構。只有明確了組織架構，才能確保各項安全活動有人負責、有人實施、有人評審。

功能安全體系與質量管理體系存在密切聯系。隨著汽車電子電器的日益復雜，為應對隨機硬件失效和系統性失效帶來的不可接受風險，在ISO 9001、IATF 16949等質量管理體系基礎上，逐步衍生出IEC 61508，進而形成ISO 26262。因此，功能安全流程必須融入質量管理體系，兩者既有各自獨有的部分，也有可以融合的共有部分。

在多標準融合方面，所有汽車相關標準均基于模塊化思路和整車V字型開發流程構建。基于這兩個原則，可將功能安全、信息安全等多標準的流程模型進行融合。例如，在功能定義模塊中融入安全定義、信息安全定義等內容；在分析模塊中整合功能安全的HARA分析、信息安全的TARA分析等；在需求模塊中融合功能安全需求、信息安全需求等，并賦予相應屬性，從而構建適合企業的多標準流程模型。

二、整體安全管理實施

整體安全管理的目標是確保參與安全生命周期執行的組織能夠有效實現功能安全，這里的組織涵蓋項目相關、生產相關及公司層級等與安全相關的各類組織。為實現這一目標，需從安全文化、規章及流程、安全異常處理、能力管理和支持功能安全的質量管理體系五個方面入手。

安全文化看似抽象，卻對功能安全的落地至關重要，其建立與公司領導的重視程度密切相關。在當前國內汽車行業，安全生態尚在建設中，由于國際準入標準和國內法規的要求，功能安全才逐漸受到廣泛重視。安全文化的核心在于支持并鼓勵有效實施功能安全，允許員工保持正直、提出質疑、避免自滿、追求卓越、勇于擔當，同時建立合理的制度和流程，打通溝通渠道，組織安全活動并投入足夠資源。例如，明確安全為最高優先級，賦予安全經理否決產品量產的權利；建立正向的獎懲機制；保證安全和質量監控的獨立性；鼓勵早期處理安全和質量問題；投入適當的人力資源；鼓勵個體發揮獨立的智力多樣性；建立持續改進機制以及完整、可控、可追蹤的流程等。

制定公司層級的功能安全相關規章及流程是整體安全管理的重要基礎。這些規章及流程需明確各項安全活動的要求和規范，為安全管理提供制度保障。

安全異常處理是功能安全管理中的關鍵環節。當發生安全異常時，需及時通報責任人，由責任人對異常進行分析、評估和解決，直至風險得到管理。同時，安全異常應被記錄到安全檔案中，形成證據鏈閉環。安全異常的關閉需滿足施加了相應的安全措施，如完善軟件、更換硬件器件等，或經過合理的風險評估，證明風險在可接受范圍內，且相關證據需被記錄存檔。

能力管理旨在構建具備相應能力的團隊。參與功能安全管理的人員包括功能安全評估員、審核員、系統安全專家、硬件安全專家、軟件安全專家等，項目團隊中也涉及產品開發、系統開發、軟件開發等各類工程師。隨著行業發展，部分角色可能會出現合并或兼職情況。公司層級需在安全管理手冊中明確各角色的履歷要求和職責，人力資源部門則需按照人員能力要求招聘和培養人才。提升人員能力的途徑主要包括培訓和實踐，可將能力劃分為受監督的執行者、執行者和專家三個等級，通過類似項目實踐經歷、參與培訓和討論會、獲得資質認證等方式來證明能力。公司還應建立功能安全工程師、經理、專家等的認證機制，形成能力提升文化。

支持功能安全的質量管理體系是功能安全的基礎，IATF 16949或ISO 9001等質量管理體系是開展功能安全流程體系和產品開發工作的前置條件。

此外，整體安全管理還涉及獨立于項目的安全生命周期剪裁。這一剪裁基于公司所生產產品的屬性，對不需要的部分進行合理裁剪。例如，芯片公司可能不關注整車和系統級的表現，可裁剪掉相關部分；對于簡單的軟件，可合并軟件單元測試和集成測試等。剪裁需基于合理理由，確保不會影響功能安全的實現。

三、項目相關的安全管理實施

項目相關安全管理的目標是保證參與項目安全開發的組織能夠有效實現功能安全，其范圍聚焦于項目安全開發，涉及概念階段、系統階段、硬件階段、軟件階段等的開發人員。

項目功能安全管理流程如同一個閉環，從項目立項開始，首先委派安全經理，然后進行影響分析，明確項目中與安全相關的活動和無需開展的活動。在影響分析基礎上，對項目層級的安全活動進行剪裁，隨后制定安全活動計劃，明確各項活動的執行時間、負責人、協調方式等，并在實施過程中形成安全檔案。同時，在實施過程中嵌入認可措施，最終在評審通過后進行生產發布。

安全經理在項目安全管理中扮演著關鍵角色，其可以由項目經理兼任，也可專門委派。安全經理的核心職責包括推動安全流程，如制定和協調執行安全計劃、監控安全計劃的實施進度和交付情況；控制項目中的安全相關活動，如主持分析會議、組織評審、評估和審核等，其中評審和審核工作需由具備專業知識的專家參與；維護客戶和供應商的安全接口，維護安全檔案，并向公司上級匯報項目安全情況。需要注意的是，安全經理更偏向管理角色，而非具體的技術開發或評審角色。

不同經理的目標和關注范圍存在差異。質量經理關注產品無錯誤，確保符合ISO 9001等標準，檢查人員能力和流程執行情況；項目經理關注項目按計劃利用資源完成；業務經理關注項目利潤和按商務計劃執行；安全經理則關注產品功能安全的實現，確保安全相關交付物和措施按安全計劃實施，人員具備相應能力，并通過評審等方式驗證安全措施的有效性。

在分布式開發中，安全經理需關注供應商能力考察和開發接口協議）的簽訂。供應商能力考察包括評估供應商的質量管理系統、過往表現及質量、功能安全能力開發情況、先前安全評估報告結果等，最終形成供應商選擇報告。DIA是分布式開發中的重要文件，需明確各方在功能安全管理中的職責、生命周期剪裁、活動分配及交付、支持過程及工具等內容，避免因表達方式理解偏差、變更影響未及時溝通、工具不兼容等問題導致項目開發受阻。

影響分析是項目層級安全管理的重要環節，分為item層級和要素層級。item層級的影響分析需從整車角度判斷項目是全新開發還是現有相關項的修改，分析變更對安全的影響，確定需開展的額外安全活動和可復用的安全文檔。要素層級的影響分析則針對軟件組件、硬件組件等，判斷其是否為復用要素，分析環境和安全需求是否變化，確定影響內部變更的安全活動和可復用的安全文檔。

基于影響分析，可對項目層級的安全活動進行剪裁。剪裁掉的安全活動需寫入安全計劃并說明理由，影響剪裁的因素包括影響分析結果、有足夠數據證明長期使用且無安全問題、硬件要素評估結果、軟件組件認證情況、軟件工具使用信心、假設條件等。

安全計劃是項目計劃的一部分，可融入項目計劃或單獨制定。安全計劃需隨著項目計劃的變化持續迭代更新，其內容包括基于理由裁剪的安全活動、產品開發各層級的安全活動、認可措施人員獨立性水平、認可措施活動安排、支持過程的活動安排，以及各活動的目標、依賴項、負責人、時間和工作產物等。安全經理負責制定安全計劃，協調組織人員參與功能安全活動，監控安全活動按計劃進行，并維護更新安全計劃。

安全檔案是項目層級安全管理的重要產出物，依據安全計劃導出，用于記錄安全活動實施過程，為功能安全的實現提供論據。在分布式開發中，各參與方的安全檔案需整合，形成完整的產品安全檔案，主機廠作為最終責任人，需審核各供應商的安全檔案，并將其嵌套在自身安全檔案中。

認可措施包括認可評審、功能安全審核和功能安全評估三個部分，且均需保證一定的獨立性。獨立性分為不同等級，I0表示可選可不選；I1要求由與創建工作成果人員不同的人員執行；I2要求由不向同一個直接上級報告的人員執行；I3要求在管理、資源和發布權限方面與創建工作產品的部門獨立。

認可評審需針對特定文檔進行，如影響分析、HARA、安全計劃等，其流程是將項目工作產品映射到ISO 26262的工作產品中，依據標準要求進行評審，記錄結果和未解決問題，并管理未解決問題直至解決，最終形成確認審核報告。認可評審與驗證評審在滿足足夠獨立性的前提下可合并進行，認可評審以檢查清單為主，驗證評審以評審問題記錄為主，兩者均需出具相應報告，且報告可合并。

功能安全審核由審核員及助手開展，依據全部安全需求中的最高ASIL等級執行，審核員需獨立于相關項開發人員和項目管理。審核的目標是評估流程目標是否實現，包括評估流程實施是否符合安全活動定義、安全計劃產物是否符合企業安全流程等，并形成包含改進意見的審核報告。

功能安全評估同樣由評估員及助手進行，依據最高ASIL等級執行，評估員獨立于相關項開發人員和項目管理。評估范圍涵蓋安全計劃及相關成果、功能安全要求的流程、其他認可措施的計劃、安全措施的恰當性和有效性等，評估結果分為接受、條件接受和拒絕，為產品驗收提供建議。

客戶對供應商的審核評估源于功能安全審核和評估，以DIA為藍本，確認供應商功能安全實現情況，通常會要求供應商提供第三方審核報告以保護知識產權和確保審核有效性。

生產發布是項目相關安全管理的最后環節，需在安全檔案和認可措施報告齊全，且有足夠證據證明功能安全實現的情況下進行。生產發布報告需包含負責發布人員的名字和簽名、發布相關項或要素的版本、配置及日期等信息，同時需提供嵌入式軟件和硬件的基線。

四、生產、運行、服務、報廢的安全管理思路

在功能安全管理中，對于生產、運行、服務、報廢的安全管理，通常不會專門搭建獨立流程，而是融入現有的質量管理體系（如IATF 16949）中。這是因為IATF 16949等質量管理體系已對生產環節的質量管理進行了規范，功能安全只需在其中添加相關屬性即可。

生產、運行、服務、報廢階段的安全管理需求來源于系統階段的產品開發，需安排專人負責管理，并建立專有流程，以確保安全需求在這些階段得到有效傳遞和實現。若在這些階段發生相關項的變更，需按照標準對生產發布進行相應變更。

ISO 26262的第七章對生產、運行、服務和報廢的安全管理規定較為簡潔，企業按照上述思路，結合自身實際情況開展相關工作即可。

總體而言，汽車功能安全管理涵蓋管理框架、整體管理實施、項目相關管理實施及生產運行等環節的管理，各環節相互關聯、相互支撐，共同保障汽車產品的功能安全。企業需根據自身情況，構建完善的組織架構和流程體系，注重安全文化建設和人員能力提升，確保功能安全在產品全生命周期中得到有效落實。