經(jīng)緯恒潤三位一體“安全”流程方案，助力智能網(wǎng)聯(lián)汽車產(chǎn)品量產(chǎn)落地

“安全”被普遍認(rèn)為是智能網(wǎng)聯(lián)汽車被用戶接受或者得到商業(yè)應(yīng)用最大的問題。2022年11月2日，工業(yè)和信息化部會同公安部組織起草了《關(guān)于開展智能網(wǎng)聯(lián)汽車準(zhǔn)入和上路通行試點工作的通知（征求意見稿）》，明確了相關(guān)企業(yè)及產(chǎn)品準(zhǔn)入條件，重點強調(diào)了在安全保障方面的要求?，F(xiàn)對于企業(yè)在安全領(lǐng)域的過程能力要求摘要如下：

以上要求可解讀為：智能網(wǎng)聯(lián)汽車及產(chǎn)品的生產(chǎn)企業(yè)，應(yīng)建立一套應(yīng)用于全生命周期的流程體系，以約束產(chǎn)品的研發(fā)、生產(chǎn)、售后各項安全活動，確保智能網(wǎng)聯(lián)汽車的安全性。

▎流程體系建設(shè)的痛點

為了覆蓋前述三大安全領(lǐng)域（功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全），目前國際領(lǐng)先的做法是以降低產(chǎn)品安全風(fēng)險為首要目標(biāo)融合ISO-26262、ISO-21448、ISO-21434標(biāo)準(zhǔn)的要求，建立三位一體的流程體系，確保智能網(wǎng)聯(lián)汽車產(chǎn)品在全生命周期內(nèi)的安全。

然而流程的構(gòu)建和應(yīng)用面臨很多實際落地難題，經(jīng)緯恒潤安全團隊在對外咨詢服務(wù)中就遇到到很多企業(yè)的困惑，比較有代表性的有：

不同安全領(lǐng)域的開發(fā)活動，如何融入到一個產(chǎn)品安全生命周期模型中？

3個標(biāo)準(zhǔn)中對相似的活動各自提出要求，應(yīng)如何體現(xiàn)在一個流程中？

能否在對公司現(xiàn)有組織架構(gòu)不做大的變更調(diào)整的前提下，完成流程的構(gòu)建和應(yīng)用？

項目角色該如何定義以及它們?nèi)绾闻c公司現(xiàn)有崗位進行映射？

如何確保所有相關(guān)人員真實履行其職責(zé)以保證流程體系在項目中貫徹落實？

流程在企業(yè)中推行阻力大，如何做好產(chǎn)品安全、交付周期、實施成本的平衡？

▎面向流程體系建設(shè)痛點的頂層設(shè)計

經(jīng)緯恒潤安全咨詢團隊基于自身的工程實踐并結(jié)合對三大安全領(lǐng)域標(biāo)準(zhǔn)深入解讀，總結(jié)提煉了一套可執(zhí)行的融合流程體系構(gòu)建方法。針對每個客戶量身設(shè)計流程解決方案并支持客戶在量產(chǎn)項目中工程落地。流程構(gòu)建的頂層設(shè)計分為4個步驟：差距分析、體系構(gòu)建、組織適配、持續(xù)改進。

STEP1：差距分析。基于ISO-26262/21448/21434標(biāo)準(zhǔn)要求，逐條映射到客戶現(xiàn)有流程體系上，通過量化分析找出其薄弱點以及在安全方面的欠缺點，為體系構(gòu)建提供依據(jù)。

STEP2：體系構(gòu)建。以ISO-26262生命周期為綱、以三大領(lǐng)域安全活動為目，以金字塔結(jié)構(gòu)為骨，打造出一套完整的安全生命周期模型。在充分考慮客戶研發(fā)現(xiàn)狀的基礎(chǔ)上，針對客戶流程體系中的薄弱點和欠缺點進行改進，最終完善成形。

STEP3：組織適配。將前述安全生命周期模型代入項目實踐，對模型上每一個活動元素定義最合適的項目角色，覆蓋管理、開發(fā)、測試、評審、批準(zhǔn)和發(fā)布。然后將“項目角色”與客戶現(xiàn)有的組織架構(gòu)進行映射，力求現(xiàn)有崗位最大程度覆蓋項目角色。在此工作基礎(chǔ)上，通過最少的職責(zé)調(diào)整和崗位增加，來刷新組織架構(gòu)，并將安全生命周期的元素分配到更新后的企業(yè)組織架構(gòu)上。

STEP4：持續(xù)改進。以產(chǎn)品的一個功能為導(dǎo)航項目，遍歷安全生命周期模型中的每個活動元素，完整實踐金字塔架構(gòu)的流程體系中的過程定義、規(guī)范指南、模板表單，在此過程中查漏補缺，最終形成最適合企業(yè)落地的流程體系并在實施中持續(xù)改進。

▎三位一體流程構(gòu)建方案

三位一體的流程解決方案中，最困難的一步是流程的構(gòu)建成形，其難點在于如何從“三位”（功能安全、預(yù)期功能安全、網(wǎng)絡(luò)安全）建設(shè)成“一體”，包括：如何成“一”，如何構(gòu)“體”。經(jīng)緯恒潤目前探索出一套工程落地方案已在國內(nèi)十?dāng)?shù)家OEM和Tire1體系建設(shè)中取得良好的效果。

關(guān)于成“一”

以ISO-26262安全生命周期為綱、以三大領(lǐng)域安全活動為目，融為一套開發(fā)體系，覆蓋所有安全需求的定義，完整實現(xiàn)安全設(shè)計、安全分析、安全驗證與測試的目標(biāo)。

ISO-26262中定義了完整的產(chǎn)品安全生命周期，覆蓋產(chǎn)品開發(fā)、安全管理以及支持過程。因此我們將ISO-21448預(yù)期功能安全與ISO-21434網(wǎng)絡(luò)安全的流程，依附于ISO-26262安全生命周期，開展各標(biāo)準(zhǔn)所要求的安全開發(fā)活動。即，以安全目標(biāo)獲取——安全需求開發(fā)——安全設(shè)計與分析——驗證測試的工作流為主線，共享安全管理與支持過程，從而實現(xiàn)將三個領(lǐng)域融合為一套流程。

下圖為三個標(biāo)準(zhǔn)體系間主要開發(fā)與驗證活動的Mapping關(guān)系，首先基于對相關(guān)項和系統(tǒng)的功能規(guī)范定義，實施危害/威脅分析與風(fēng)險評估，識別安全目標(biāo)并導(dǎo)出安全需求；其次展開系統(tǒng)層的安全設(shè)計。隨后對通過軟硬件開發(fā)階段的產(chǎn)品進行系統(tǒng)集成驗證與整車安全確認(rèn)驗證。最后基于各標(biāo)準(zhǔn)的要求對開發(fā)成果進行安全評估并實現(xiàn)產(chǎn)品發(fā)布。

關(guān)于構(gòu)“體”

以安全管理手冊定義產(chǎn)品安全生命周期，通過程序文件分解出安全活動，制定規(guī)范指南以指導(dǎo)實施，最終在模板表單中承載落實，自上而下構(gòu)建出如金字塔般完整、縝密、環(huán)環(huán)相扣的流程體系，它分為4個層級：

一級文件為安全手冊：引用ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)作為依據(jù)，定義開發(fā)體系的生命周期模型；

二級文件為程序文件：包含ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)所要求的全部活動，并且明確每個活動的前后承接關(guān)系、輸入輸出、崗位職責(zé)；

三級文件為規(guī)范指南：基于ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)，規(guī)定所有活動的實施要求并提供方法指導(dǎo)；

四級文件為模板表單：基于ISO-26262/ISO-21434/ISO-21448標(biāo)準(zhǔn)來制定，作為規(guī)范/指南的實現(xiàn)載體，支持規(guī)范/指南在具體項目中的落實。

基于上述4級架構(gòu)，以安全生命周期模型為桿、以過程為枝、以活動為葉，形成完善的流程體系樹。

如下圖所示，以ISO-26262功能安全系統(tǒng)階段為例，展示了流程體系與4個層級體系文件的對應(yīng)關(guān)系。《安全管理手冊》作為一級綱領(lǐng)文件，定義了安全生命周期模型中的所有過程，包括系統(tǒng)開發(fā)與測試的過程、硬件開發(fā)、軟件開發(fā)、項目管理、配置管理等。在二級文件中，對各個過程進行詳細(xì)定義，例如《系統(tǒng)開發(fā)及管理程序》文件中，將系統(tǒng)過程分解為：系統(tǒng)需求、系統(tǒng)方案、技術(shù)安全概念、安全分析、系統(tǒng)集成與測試、安全確認(rèn)等活動，以及針對這些活動的認(rèn)可評審和技術(shù)評審，明確每個活動的實施目標(biāo)、輸入輸出、角色職責(zé)。進一步地，通過各個三級文件，例如《系統(tǒng)方案設(shè)計規(guī)范》、《系統(tǒng)測試規(guī)范》、《FMEA開發(fā)指南》等作業(yè)指導(dǎo)性質(zhì)的文件，規(guī)范和指導(dǎo)各個活動的實施。而在具體項目中，則通過應(yīng)用四級文件，包括技術(shù)模板、評審檢查單等，完成項目的實施。

基于上述方法所搭建的流程體系，可以做到行有所依、事有所歸、人有所屬，清晰地展現(xiàn)：做什么、誰來做、何時做、如何做、以何做。最終保證開發(fā)出的產(chǎn)品在安全性上達到state-of-the-art technology。對企業(yè)而言，該體系一方面能指導(dǎo)內(nèi)部實現(xiàn)產(chǎn)品的安全性，另一方面，可因合規(guī)進而滿足國際通行的責(zé)任豁免原則。

▎關(guān)于我們

經(jīng)緯恒潤安全咨詢團隊成立于2008年，系國內(nèi)較早從事功能安全技術(shù)研究的團隊。作為功能安全、預(yù)期功能安全國家標(biāo)準(zhǔn)委員會成員，參與GB/T 34590第一版、第二版起草及修訂工作。同時，作為芯片創(chuàng)新聯(lián)盟核心成員參與車規(guī)級自主芯片功能安全標(biāo)準(zhǔn)制定。結(jié)合自身20年汽車電子產(chǎn)品研發(fā)實踐，經(jīng)緯恒潤安全咨詢團隊提供面向智能網(wǎng)聯(lián)汽車產(chǎn)品從安全概念開發(fā)、產(chǎn)品設(shè)計、到正式投產(chǎn)的全生命周期安全咨詢服務(wù)。

目前，我們設(shè)計的三位一體流程方案，已應(yīng)用于經(jīng)緯恒潤多款量產(chǎn)產(chǎn)品開發(fā)。此外，作為咨詢商協(xié)助國內(nèi)多家乘用車和商用車的頭部OEM和新勢力車企、以及Tier1系統(tǒng)供應(yīng)商建立了完善的智能網(wǎng)聯(lián)產(chǎn)品安全體系和供應(yīng)商審核流程，相關(guān)流程也都通過德國DAKKS授權(quán)的認(rèn)證機構(gòu)審核并獲取證書，為國內(nèi)頭部企業(yè)“出海”拓展海外市場奠定堅實基礎(chǔ)。