經緯恆潤三位一體“安全”流程方案，助力智慧網聯汽車產品量產落地

       “安全”被普遍認為是智慧網聯汽車被使用者接受或者得到商業應用最大的問題。2022年11月2日，工業和資訊化部會同公安部組織起草了《關於開展智慧網聯汽車准入和上路通行試點工作的通知（徵求意見稿）》，明確了相關企業及產品准入條件，重點強調了在安全保障方面的要求。現對於企業在安全領域的過程能力要求摘要如下：

 

 

 

       以上要求可解讀為：智慧網聯汽車及產品的生產企業，應建立一套應用於全生命週期的流程體系，以約束產品的研發、生產、售後各項安全活動，確保智慧網聯汽車的安全性。

▎流程體系建設的痛點

 

       為了覆蓋前述三大安全領域（功能安全、預期功能安全、網路安全），目前國際領先的做法是以降低產品安全風險為首要目標融合ISO-26262、ISO-21448、ISO-21434標準的要求，建立三位一體的流程體系，確保智慧網聯汽車產品在全生命週期內的安全。

 

      

       然而流程的構建和應用面臨很多實際落地難題，經緯恆潤安全團隊在對外諮詢服務中就遇到到很多企業的困惑，比較有代表性的有：

 

      · 不同安全領域的開發活動，如何融入到一個產品安全生命週期模型中？

 

       · 3個標準中對相似的活動各自提出要求，應如何體現在一個流程中？

 

       · 能否在對公司現有組織架構不做大的變更調整的前提下，完成流程的構建和應用？

 

       · 專案角色該如何定義以及它們如何與公司現有崗位進行對映？

 

       · 如何確保所有相關人員真實履行其職責以保證流程體系在專案中貫徹落實？

 

       · 流程在企業中推行阻力大，如何做好產品安全、交付週期、實施成本的平衡？

 

▎面向流程體系建設痛點的頂層設計

 

       經緯恆潤安全諮詢團隊基於自身的工程實踐並結合對三大安全領域標準深入解讀，總結提煉了一套可執行的融合流程體系構建方法。針對每個客戶量身設計流程解決方案並支援客戶在量產專案中工程落地。流程構建的頂層設計分為4個步驟：差距分析、體系構建、組織適配、持續改進。

 

        STEP1：差距分析。基於ISO-26262/21448/21434標準要求，逐條對映到客戶現有流程體系上，透過量化分析找出其薄弱點以及在安全方面的欠缺點，為體系構建提供依據。

 

        STEP2：體系構建。以ISO-26262生命週期為綱、以三大領域安全活動為目，以金字塔結構為骨，打造出一套完整的安全生命週期模型。在充分考慮客戶研發現狀的基礎上，針對客戶流程體系中的薄弱點和欠缺點進行改進，最終完善成形。

 

       STEP3：組織適配。將前述安全生命週期模型代入專案實踐，對模型上每一個活動元素定義最合適的專案角色，覆蓋管理、開發、測試、評審、批准和釋出。然後將“專案角色”與客戶現有的組織架構進行對映，力求現有崗位最大程度覆蓋專案角色。在此工作基礎上，透過最少的職責調整和崗位增加，來重新整理組織架構，並將安全生命週期的元素分配到更新後的企業組織架構上。

        STEP4：持續改進。以產品的一個功能為導航專案，遍歷安全生命週期模型中的每個活動元素，完整實踐金字塔架構的流程體系中的過程定義、規範指南、模板表單，在此過程中查漏補缺，最終形成最適合企業落地的流程體系並在實施中持續改進。

 

▎三位一體流程構建方案

 

       三位一體的流程解決方案中，最困難的一步是流程的構建成形，其難點在於如何從“三位”（功能安全、預期功能安全、網路安全）建設成“一體”，包括：如何成“一”，如何構“體”。經緯恆潤目前探索出一套工程落地方案已在國內十數家OEM和Tire1體系建設中取得良好的效果。

 

關於成“一”

 

       以ISO-26262安全生命週期為綱、以三大領域安全活動為目，融為一套開發體系，覆蓋所有安全需求的定義，完整實現安全設計、安全分析、安全驗證與測試的目標。

 

       ISO-26262中定義了完整的產品安全生命週期，覆蓋產品開發、安全管理以及支援過程。因此我們將ISO-21448預期功能安全與ISO-21434網路安全的流程，依附於ISO-26262安全生命週期，開展各標準所要求的安全開發活動。即，以安全目標獲取——安全需求開發——安全設計與分析——驗證測試的工作流為主線，共享安全管理與支援過程，從而實現將三個領域融合為一套流程。

 

       下圖為三個標準體系間主要開發與驗證活動的Mapping關係，首先基於對相關項和系統的功能規範定義，實施危害/威脅分析與風險評估，識別安全目標並匯出安全需求；其次展開系統層的安全設計。隨後對透過軟硬體開發階段的產品進行系統整合驗證與整車安全確認驗證。最後基於各標準的要求對開發成果進行安全評估並實現產品釋出。

 

 

 

關於構“體”

 

       以安全管理手冊定義產品安全生命週期，透過程式檔案分解出安全活動，制定規範指南以指導實施，最終在模板表單中承載落實，自上而下構建出如金字塔般完整、縝密、環環相扣的流程體系，它分為4個層級：

 

       · 一級檔案為安全手冊：引用ISO-26262/ISO-21434/ISO-21448標準作為依據，定義開發體系的生命週期模型；

 

       · 二級檔案為程式檔案：包含ISO-26262/ISO-21434/ISO-21448標準所要求的全部活動，並且明確每個活動的前後承接關係、輸入輸出、崗位職責；

 

       · 三級檔案為規範指南：基於ISO-26262/ISO-21434/ISO-21448標準，規定所有活動的實施要求並提供方法指導；

 

       · 四級檔案為模板表單：基於ISO-26262/ISO-21434/ISO-21448標準來制定，作為規範/指南的實現載體，支援規範/指南在具體專案中的落實。

 

       基於上述4級架構，以安全生命週期模型為杆、以過程為枝、以活動為葉，形成完善的流程體系樹。

 

       如下圖所示，以ISO-26262功能安全系統階段為例，展示了流程體系與4個層級體系檔案的對應關係。《安全管理手冊》作為一級綱領檔案，定義了安全生命週期模型中的所有過程，包括系統開發與測試的過程、硬體開發、軟體開發、專案管理、配置管理等。在二級檔案中，對各個過程進行詳細定義，例如《系統開發及管理程式》檔案中，將系統過程分解為：系統需求、系統方案、技術安全概念、安全分析、系統整合與測試、安全確認等活動，以及針對這些活動的認可評審和技術評審，明確每個活動的實施目標、輸入輸出、角色職責。進一步地，透過各個三級檔案，例如《系統方案設計規範》、《系統測試規範》、《FMEA開發指南》等作業指導性質的檔案，規範和指導各個活動的實施。而在具體專案中，則透過應用四級檔案，包括技術模板、評審檢查單等，完成專案的實施。

 

 

       基於上述方法所搭建的流程體系，可以做到行有所依、事有所歸、人有所屬，清晰地展現：做什麼、誰來做、何時做、如何做、以何做。最終保證開發出的產品在安全性上達到state-of-the-art technology。對企業而言，該體系一方面能指導內部實現產品的安全性，另一方面，可因合規進而滿足國際通行的責任豁免原則。

 

▎關於我們

 

經緯恆潤安全諮詢團隊成立於2008年，系國內較早從事功能安全技術研究的團隊。作為功能安全、預期功能安全國家標準委員會成員，參與GB/T 34590第一版、第二版起草及修訂工作。同時，作為晶片創新聯盟核心成員參與車規級自主晶片功能安全標準制定。結合自身20年汽車電子產品研發實踐，經緯恆潤安全諮詢團隊提供面向智慧網聯汽車產品從安全概念開發、產品設計、到正式投產的全生命週期安全諮詢服務。

 

 

       目前，我們設計的三位一體流程方案，已應用於經緯恆潤多款量產產品開發。此外，作為諮詢商協助國內多家乘用車和商用車的頭部OEM和新勢力車企、以及Tier1系統供應商建立了完善的智慧網聯產品安全體系和供應商稽核流程，相關流程也都透過德國DAKKS授權的認證機構稽核並獲取證書，為國內頭部企業“出海”擴充海外市場奠定堅實基礎。