汽车功能安全基础（三）——基于ISO26262的功能安全Part2功能安全管理部分

现在很多工程师看到“管理”两个字，一般觉得和自己没什么关系，这是管理层才需要做的事情，这样想就有些狭隘了哦。

功能安全管理这一部分是作为功能安全开发团队最需要关注，占比最大的一个部分，是贯穿整个功能安全项目开发的框架，是公司产品可复制开发的必要素，决定是否有功能安全开发的能力。看完这篇文章，你也许会对安全管理的看法有所改变。

目录

1、 整体安全管理定义

2、 公司体系文件结构

3、 与安全生命周期相关的管理活动

3.1 产品开发阶段

3.2 生产、运行、服务和报废

4、影响分析

5、 项目计划

6、功能安全文件

7、文档管理

8、文档的验证

9、配置管理

10、变更管理

总结：

---

1、 整体安全管理定义

确保参与安全生命周期执行的组织，即负责安全生命周期或在安全生命周期内执行安全活动的组织，实现以下目标：

• 建立并维护能够用于支持和鼓励功能安全有效实现，并能够促进与功能安全相关的其他领域有效沟通的安全文化；
• 建立并维护充分的组织的专门的功能安全规章流程；
• 建立并维护可确保能充分解决识别出的安全异常的流程；
• 建立并维护可确保参与人员的能力与其职责相匹配的能力管理体系，及建立并维护用以支持功能安全的质量管理体系。

2、 公司体系文件结构

绝大多数成熟的研发型公司都会具有完整的体系文件，可以体现其公司的技术软实力，一般来说可分为四个等级。

• 一级：纲领性文件。在组织中具有最高的效力，比如在第一篇文章提到的ISO 26262就是建立在IATF 16949体系上，所以只需要把ISO 26262中的纲领性内容，添加到质量管理手册中，这样就可以将IATF 16949体系和功能安全体系的章程融合在一起了。
• 二级：管理程序文件。重点是确定谁去做，做什么，依据什么来做，输出什么，什么时候做。
• 三级：规范性文件。重点放在如何做，活动要求，原则。简单来说就是在做某活动时，要怎么做以及做到什么程度就可以达到要求。例如：编码规范、模型规范。
• 四级：记录表单，检查单，报告等。就是在项目活动中需要输出的文件，做活动留下的证据，及工作成果。

3、 与安全生命周期相关的管理活动

安全生命周期包含了在概念阶段、产品开发、生产、运行、服务和报废期间的主要安全活动。

计划、协调和监控安全活动的进度，以及确保认可措施得到执行，是关键的管理任务，并且贯穿整个生命周期（安全生命周期可以被剪裁），重点是定义安全生命周期。

3.1 产品开发阶段

系统层面：在定义了功能安全概念后，需要从系统层面进行相关项的开发。系统开发流程基于V模型概念，V模型左侧包含技术安全要求的定义、系统架构、系统设计和实现，V模型右侧包含集成、验证、安全确认。在本阶段定义了软硬件接口。硬件和软件之间的接口在硬件和软件开发期间进行更新。

硬件层面：基于系统设计规范，开发硬件。硬件开发流程基于V模型概念，V模型左侧包含硬件要求的定义、硬件设计和实现，V模型右侧包含硬件集成和验证。

软件层面：基于系统设计规范，开发软件。软件开发流程基于V模型概念，V模型左侧包含软件要求的定义、软件架构设计和实现，V模型右侧包含软件集成和验证。

3.2 生产、运行、服务和报废

生产：在生产过程中，由负责生产过程的相关制造商、或个人或机构（车辆制造商、供应商等）实现功能安全；通过生产计划和控制中涵盖安全相关的特殊特性，规定了确保在生产过程中实现功能安全的要求。

运行、服务和报废：制定了开发维修说明和用户信息要求，包括用户手册与计划，维修工作的执行和监控，同时也考虑到了项目的安全相关的特殊特性。

4、影响分析

在现有要素复用的情况下，在要素层面执行影响分析，评估复用的要素是否可以满足分配给它的安全要求，并考虑该要素复用的运行环境。

5、 项目计划

依据项目的开发顺序，以及做每个活动的时间排序得到的项目活动时间计划。我们做功能安全，所以也有安全计划，安全计划是依托于项目计划，在项目计划制定好后，再把标准中的安全活动抽出来形成安全计划。当然在项目中还有一些计划如配置管理计划、测试计划等，都是像安全计划一样根据项目计划时间制定出来。这就是上面提到的二级文件当中的内容。

例如：项目组识别需要执行的项目活动或任务，对每项活动或任务明确负责人，估计所需周期，明确出计划的日程。

6、功能安全文件

FSM流程体系清单，包括功能安全手册、流程文件、记录模板、检查表、操作指南等。

• 功能安全手册：定义组织层面的安全管理方针、流程体系。

流程文件：制定流程文件，规定每一阶段应执行的操作，执行的情况应留下证据，包括每一流程步骤的输入输出（模板文件）和参考文件（操作指南），依据流程审核实际是否符合要求。

记录模板：包括各种规范、分析报告、管理表等，均为流程中每一流程步骤的输入或输出。

检查表：对模板填充后的报告等进行评审工作并且需要留下是否合格的证据。

操作指南：用于指导操作人员如何完成某项任务，如运行特定设备或应用特定技术，为操作人员提供有关知识，特别是操作方法的具体细节。

7、文档管理

在公司编写项目文件时，都会看到模板里面有统一的页眉、文件编号、变更履历、作者、审批等内容，这些都属于文件标准化管理的内容，这也是文件评审内容之一。

8、文档的验证

目的：确保工作成果符合它们相应的要求

制定验证计划、验证方法，依据ISO26262标准中的检查清单验证我们项目过程的输出文件，例如测试用例，架构设计，测试报告等。

关于验证后续我会整理出一篇文章，这里不再详细阐述。

9、配置管理

目的：

（1）确保工作成果、相关项、要素及其生产的原理和一般条件，在任何时间以可控的方式可被唯一识别和重生成；
（2）确保当前版本和较早版本的关系及区别是可追溯的。

当我们对工作成果评审没问题后就需要存档，需要存放在一个指定的服务器当中，将所有工作成果进行管理的叫配置管理。一般放入配置管理的文件属于初步定版的文件。保证可以追溯到开发过程中任何一个历史版本。配置项包括所有工作成果，文档、图纸、原理图、和源代码等。

10、变更管理

目的：在整个安全生命周期中，分析和控制安全相关工作成果、相关项和要素的变更。

变更管理的整个过程需要有记录，若是不重视变更，导致在开发过程中的变更没有追溯、未受到管控，在后续阶段特别是量产阶段很容易出现错误。

总结：

上述活动互相联系，形成整个产品开发主流程。依据开发主流程并针对影响分析的结果进行项目层面的裁剪形成项目计划（含安全活动计划）。活动实施过程中依据规范文件的要求输出对应工作成果及时更新计划、做好记录和问题跟踪。对工作成果进行验证抱着尽可能多的尽可能早的验证，发现设计过程中的缺陷。在整个项目生命周期过程中对所有工作成果进行配置管理和变更管理。