經(jīng)緯恒潤三位一體“安全”流程方案，助力智能網(wǎng)聯(lián)汽車產(chǎn)品量產(chǎn)落地

“安全”被普遍認(rèn)為是智能網(wǎng)聯(lián)汽車被用戶接受或者得到商業(yè)應(yīng)用最大的問題。2022年11月2日，工業(yè)和信息化部會(huì)同公安部組織起草了《關(guān)于開展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點(diǎn)工作的通知（征求意見稿）》，明確了相關(guān)企業(yè)及產(chǎn)品準(zhǔn)入條件，重點(diǎn)強(qiáng)調(diào)了在安全保障方面的要求?，F(xiàn)對于企業(yè)在安全領(lǐng)域的過程能力要求摘要如下：

以上要求可解讀為：智能網(wǎng)聯(lián)汽車及產(chǎn)品的生產(chǎn)企業(yè)，應(yīng)建立一套應(yīng)用于全生命周期的流程體系，以約束產(chǎn)品的研發(fā)、生產(chǎn)、售后各項(xiàng)安全活動(dòng)，確保智能網(wǎng)聯(lián)汽車的安全性。

▎流程體系建設(shè)的痛點(diǎn)

為了覆蓋前述三大安全領(lǐng)域（功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全），目前國際領(lǐng)先的做法是以降低產(chǎn)品安全風(fēng)險(xiǎn)為首要目標(biāo)融合ISO-26262、ISO-21448、ISO-21434標(biāo)準(zhǔn)的要求，建立三位一體的流程體系，確保智能網(wǎng)聯(lián)汽車產(chǎn)品在全生命周期內(nèi)的安全。

然而流程的構(gòu)建和應(yīng)用面臨很多實(shí)際落地難題，經(jīng)緯恒潤安全團(tuán)隊(duì)在對外咨詢服務(wù)中就遇到到很多企業(yè)的困惑，比較有代表性的有：

不同安全領(lǐng)域的開發(fā)活動(dòng)，如何融入到一個(gè)產(chǎn)品安全生命周期模型中？

3個(gè)標(biāo)準(zhǔn)中對相似的活動(dòng)各自提出要求，應(yīng)如何體現(xiàn)在一個(gè)流程中？

能否在對公司現(xiàn)有組織架構(gòu)不做大的變更調(diào)整的前提下，完成流程的構(gòu)建和應(yīng)用？

項(xiàng)目角色該如何定義以及它們?nèi)绾闻c公司現(xiàn)有崗位進(jìn)行映射？

如何確保所有相關(guān)人員真實(shí)履行其職責(zé)以保證流程體系在項(xiàng)目中貫徹落實(shí)？

流程在企業(yè)中推行阻力大，如何做好產(chǎn)品安全、交付周期、實(shí)施成本的平衡？

▎面向流程體系建設(shè)痛點(diǎn)的頂層設(shè)計(jì)

經(jīng)緯恒潤安全咨詢團(tuán)隊(duì)基于自身的工程實(shí)踐并結(jié)合對三大安全領(lǐng)域標(biāo)準(zhǔn)深入解讀，總結(jié)提煉了一套可執(zhí)行的融合流程體系構(gòu)建方法。針對每個(gè)客戶量身設(shè)計(jì)流程解決方案并支持客戶在量產(chǎn)項(xiàng)目中工程落地。流程構(gòu)建的頂層設(shè)計(jì)分為4個(gè)步驟：差距分析、體系構(gòu)建、組織適配、持續(xù)改進(jìn)。

STEP1：差距分析。基于ISO-26262/21448/21434標(biāo)準(zhǔn)要求，逐條映射到客戶現(xiàn)有流程體系上，通過量化分析找出其薄弱點(diǎn)以及在安全方面的欠缺點(diǎn)，為體系構(gòu)建提供依據(jù)。

STEP2：體系構(gòu)建。以ISO-26262生命周期為綱、以三大領(lǐng)域安全活動(dòng)為目，以金字塔結(jié)構(gòu)為骨，打造出一套完整的安全生命周期模型。在充分考慮客戶研發(fā)現(xiàn)狀的基礎(chǔ)上，針對客戶流程體系中的薄弱點(diǎn)和欠缺點(diǎn)進(jìn)行改進(jìn)，最終完善成形。

STEP3：組織適配。將前述安全生命周期模型代入項(xiàng)目實(shí)踐，對模型上每一個(gè)活動(dòng)元素定義最合適的項(xiàng)目角色，覆蓋管理、開發(fā)、測試、評審、批準(zhǔn)和發(fā)布。然后將“項(xiàng)目角色”與客戶現(xiàn)有的組織架構(gòu)進(jìn)行映射，力求現(xiàn)有崗位最大程度覆蓋項(xiàng)目角色。在此工作基礎(chǔ)上，通過最少的職責(zé)調(diào)整和崗位增加，來刷新組織架構(gòu)，并將安全生命周期的元素分配到更新后的企業(yè)組織架構(gòu)上。

STEP4：持續(xù)改進(jìn)。以產(chǎn)品的一個(gè)功能為導(dǎo)航項(xiàng)目，遍歷安全生命周期模型中的每個(gè)活動(dòng)元素，完整實(shí)踐金字塔架構(gòu)的流程體系中的過程定義、規(guī)范指南、模板表單，在此過程中查漏補(bǔ)缺，最終形成最適合企業(yè)落地的流程體系并在實(shí)施中持續(xù)改進(jìn)。

▎三位一體流程構(gòu)建方案

三位一體的流程解決方案中，最困難的一步是流程的構(gòu)建成形，其難點(diǎn)在于如何從“三位”（功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全）建設(shè)成“一體”，包括：如何成“一”，如何構(gòu)“體”。經(jīng)緯恒潤目前探索出一套工程落地方案已在國內(nèi)十?dāng)?shù)家OEM和Tire1體系建設(shè)中取得良好的效果。

關(guān)于成“一”

以ISO-26262安全生命周期為綱、以三大領(lǐng)域安全活動(dòng)為目，融為一套開發(fā)體系，覆蓋所有安全需求的定義，完整實(shí)現(xiàn)安全設(shè)計(jì)、安全分析、安全驗(yàn)證與測試的目標(biāo)。

ISO-26262中定義了完整的產(chǎn)品安全生命周期，覆蓋產(chǎn)品開發(fā)、安全管理以及支持過程。因此我們將ISO-21448預(yù)期功能安全與ISO-21434網(wǎng)絡(luò)安全的流程，依附于ISO-26262安全生命周期，開展各標(biāo)準(zhǔn)所要求的安全開發(fā)活動(dòng)。即，以安全目標(biāo)獲取——安全需求開發(fā)——安全設(shè)計(jì)與分析——驗(yàn)證測試的工作流為主線，共享安全管理與支持過程，從而實(shí)現(xiàn)將三個(gè)領(lǐng)域融合為一套流程。

下圖為三個(gè)標(biāo)準(zhǔn)體系間主要開發(fā)與驗(yàn)證活動(dòng)的Mapping關(guān)系，首先基于對相關(guān)項(xiàng)和系統(tǒng)的功能規(guī)范定義，實(shí)施危害/威脅分析與風(fēng)險(xiǎn)評估，識(shí)別安全目標(biāo)并導(dǎo)出安全需求；其次展開系統(tǒng)層的安全設(shè)計(jì)。隨后對通過軟硬件開發(fā)階段的產(chǎn)品進(jìn)行系統(tǒng)集成驗(yàn)證與整車安全確認(rèn)驗(yàn)證。最后基于各標(biāo)準(zhǔn)的要求對開發(fā)成果進(jìn)行安全評估并實(shí)現(xiàn)產(chǎn)品發(fā)布。

關(guān)于構(gòu)“體”

以安全管理手冊定義產(chǎn)品安全生命周期，通過程序文件分解出安全活動(dòng)，制定規(guī)范指南以指導(dǎo)實(shí)施，最終在模板表單中承載落實(shí)，自上而下構(gòu)建出如金字塔般完整、縝密、環(huán)環(huán)相扣的流程體系，它分為4個(gè)層級：

一級文件為安全手冊：引用ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)作為依據(jù)，定義開發(fā)體系的生命周期模型；

二級文件為程序文件：包含ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)所要求的全部活動(dòng)，并且明確每個(gè)活動(dòng)的前后承接關(guān)系、輸入輸出、崗位職責(zé)；

三級文件為規(guī)范指南：基于ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)，規(guī)定所有活動(dòng)的實(shí)施要求并提供方法指導(dǎo)；

四級文件為模板表單：基于ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)來制定，作為規(guī)范/指南的實(shí)現(xiàn)載體，支持規(guī)范/指南在具體項(xiàng)目中的落實(shí)。

基于上述4級架構(gòu)，以安全生命周期模型為桿、以過程為枝、以活動(dòng)為葉，形成完善的流程體系樹。

如下圖所示，以ISO-26262功能安全系統(tǒng)階段為例，展示了流程體系與4個(gè)層級體系文件的對應(yīng)關(guān)系。《安全管理手冊》作為一級綱領(lǐng)文件，定義了安全生命周期模型中的所有過程，包括系統(tǒng)開發(fā)與測試的過程、硬件開發(fā)、軟件開發(fā)、項(xiàng)目管理、配置管理等。在二級文件中，對各個(gè)過程進(jìn)行詳細(xì)定義，例如《系統(tǒng)開發(fā)及管理程序》文件中，將系統(tǒng)過程分解為：系統(tǒng)需求、系統(tǒng)方案、技術(shù)安全概念、安全分析、系統(tǒng)集成與測試、安全確認(rèn)等活動(dòng)，以及針對這些活動(dòng)的認(rèn)可評審和技術(shù)評審，明確每個(gè)活動(dòng)的實(shí)施目標(biāo)、輸入輸出、角色職責(zé)。進(jìn)一步地，通過各個(gè)三級文件，例如《系統(tǒng)方案設(shè)計(jì)規(guī)范》、《系統(tǒng)測試規(guī)范》、《FMEA開發(fā)指南》等作業(yè)指導(dǎo)性質(zhì)的文件，規(guī)范和指導(dǎo)各個(gè)活動(dòng)的實(shí)施。而在具體項(xiàng)目中，則通過應(yīng)用四級文件，包括技術(shù)模板、評審檢查單等，完成項(xiàng)目的實(shí)施。

基于上述方法所搭建的流程體系，可以做到行有所依、事有所歸、人有所屬，清晰地展現(xiàn)：做什么、誰來做、何時(shí)做、如何做、以何做。最終保證開發(fā)出的產(chǎn)品在安全性上達(dá)到state-of-the-art technology。對企業(yè)而言，該體系一方面能指導(dǎo)內(nèi)部實(shí)現(xiàn)產(chǎn)品的安全性，另一方面，可因合規(guī)進(jìn)而滿足國際通行的責(zé)任豁免原則。

▎關(guān)于我們

經(jīng)緯恒潤安全咨詢團(tuán)隊(duì)成立于2008年，系國內(nèi)較早從事功能安全技術(shù)研究的團(tuán)隊(duì)。作為功能安全、預(yù)期功能安全國家標(biāo)準(zhǔn)委員會(huì)成員，參與GB/T 34590第一版、第二版起草及修訂工作。同時(shí)，作為芯片創(chuàng)新聯(lián)盟核心成員參與車規(guī)級自主芯片功能安全標(biāo)準(zhǔn)制定。結(jié)合自身20年汽車電子產(chǎn)品研發(fā)實(shí)踐，經(jīng)緯恒潤安全咨詢團(tuán)隊(duì)提供面向智能網(wǎng)聯(lián)汽車產(chǎn)品從安全概念開發(fā)、產(chǎn)品設(shè)計(jì)、到正式投產(chǎn)的全生命周期安全咨詢服務(wù)。

目前，我們設(shè)計(jì)的三位一體流程方案，已應(yīng)用于經(jīng)緯恒潤多款量產(chǎn)產(chǎn)品開發(fā)。此外，作為咨詢商協(xié)助國內(nèi)多家乘用車和商用車的頭部OEM和新勢力車企、以及Tier1系統(tǒng)供應(yīng)商建立了完善的智能網(wǎng)聯(lián)產(chǎn)品安全體系和供應(yīng)商審核流程，相關(guān)流程也都通過德國DAKKS授權(quán)的認(rèn)證機(jī)構(gòu)審核并獲取證書，為國內(nèi)頭部企業(yè)“出?！蓖卣购Ｍ馐袌龅於▓?jiān)實(shí)基礎(chǔ)。