经纬恒润三位一体“安全”流程方案，助力智能网联汽车产品量产落地

“安全”被普遍认为是智能网联汽车被用户接受或者得到商业应用最大的问题。2022年11月2日，工业和信息化部会同公安部组织起草了《关于开展智能网联汽车准入和上路通行试点工作的通知（征求意见稿）》，明确了相关企业及产品准入条件，重点强调了在安全保障方面的要求。现对于企业在安全领域的过程能力要求摘要如下：

以上要求可解读为：智能网联汽车及产品的生产企业，应建立一套应用于全生命周期的流程体系，以约束产品的研发、生产、售后各项安全活动，确保智能网联汽车的安全性。

▎流程体系建设的痛点

为了覆盖前述三大安全领域（功能安全、预期功能安全、网络安全），目前国际领先的做法是以降低产品安全风险为首要目标融合ISO-26262、ISO-21448、ISO-21434标准的要求，建立三位一体的流程体系，确保智能网联汽车产品在全生命周期内的安全。

然而流程的构建和应用面临很多实际落地难题，经纬恒润安全团队在对外咨询服务中就遇到到很多企业的困惑，比较有代表性的有：

不同安全领域的开发活动，如何融入到一个产品安全生命周期模型中？

3个标准中对相似的活动各自提出要求，应如何体现在一个流程中？

能否在对公司现有组织架构不做大的变更调整的前提下，完成流程的构建和应用？

项目角色该如何定义以及它们如何与公司现有岗位进行映射？

如何确保所有相关人员真实履行其职责以保证流程体系在项目中贯彻落实？

流程在企业中推行阻力大，如何做好产品安全、交付周期、实施成本的平衡？

▎面向流程体系建设痛点的顶层设计

经纬恒润安全咨询团队基于自身的工程实践并结合对三大安全领域标准深入解读，总结提炼了一套可执行的融合流程体系构建方法。针对每个客户量身设计流程解决方案并支持客户在量产项目中工程落地。流程构建的顶层设计分为4个步骤：差距分析、体系构建、组织适配、持续改进。

STEP1：差距分析。基于ISO-26262/21448/21434标准要求，逐条映射到客户现有流程体系上，通过量化分析找出其薄弱点以及在安全方面的欠缺点，为体系构建提供依据。

STEP2：体系构建。以ISO-26262生命周期为纲、以三大领域安全活动为目，以金字塔结构为骨，打造出一套完整的安全生命周期模型。在充分考虑客户研发现状的基础上，针对客户流程体系中的薄弱点和欠缺点进行改进，最终完善成形。

STEP3：组织适配。将前述安全生命周期模型代入项目实践，对模型上每一个活动元素定义最合适的项目角色，覆盖管理、开发、测试、评审、批准和发布。然后将“项目角色”与客户现有的组织架构进行映射，力求现有岗位最大程度覆盖项目角色。在此工作基础上，通过最少的职责调整和岗位增加，来刷新组织架构，并将安全生命周期的元素分配到更新后的企业组织架构上。

STEP4：持续改进。以产品的一个功能为导航项目，遍历安全生命周期模型中的每个活动元素，完整实践金字塔架构的流程体系中的过程定义、规范指南、模板表单，在此过程中查漏补缺，最终形成最适合企业落地的流程体系并在实施中持续改进。

▎三位一体流程构建方案

三位一体的流程解决方案中，最困难的一步是流程的构建成形，其难点在于如何从“三位”（功能安全、预期功能安全、网络安全）建设成“一体”，包括：如何成“一”，如何构“体”。经纬恒润目前探索出一套工程落地方案已在国内十数家OEM和Tire1体系建设中取得良好的效果。

关于成“一”

以ISO-26262安全生命周期为纲、以三大领域安全活动为目，融为一套开发体系，覆盖所有安全需求的定义，完整实现安全设计、安全分析、安全验证与测试的目标。

ISO-26262中定义了完整的产品安全生命周期，覆盖产品开发、安全管理以及支持过程。因此我们将ISO-21448预期功能安全与ISO-21434网络安全的流程，依附于ISO-26262安全生命周期，开展各标准所要求的安全开发活动。即，以安全目标获取——安全需求开发——安全设计与分析——验证测试的工作流为主线，共享安全管理与支持过程，从而实现将三个领域融合为一套流程。

下图为三个标准体系间主要开发与验证活动的Mapping关系，首先基于对相关项和系统的功能规范定义，实施危害/威胁分析与风险评估，识别安全目标并导出安全需求；其次展开系统层的安全设计。随后对通过软硬件开发阶段的产品进行系统集成验证与整车安全确认验证。最后基于各标准的要求对开发成果进行安全评估并实现产品发布。

关于构“体”

以安全管理手册定义产品安全生命周期，通过程序文件分解出安全活动，制定规范指南以指导实施，最终在模板表单中承载落实，自上而下构建出如金字塔般完整、缜密、环环相扣的流程体系，它分为4个层级：

一级文件为安全手册：引用ISO-26262/ISO-21434/ISO-21448标准作为依据，定义开发体系的生命周期模型；

二级文件为程序文件：包含ISO-26262/ISO-21434/ISO-21448标准所要求的全部活动，并且明确每个活动的前后承接关系、输入输出、岗位职责；

三级文件为规范指南：基于ISO-26262/ISO-21434/ISO-21448标准，规定所有活动的实施要求并提供方法指导；

四级文件为模板表单：基于ISO-26262/ISO-21434/ISO-21448标准来制定，作为规范/指南的实现载体，支持规范/指南在具体项目中的落实。

基于上述4级架构，以安全生命周期模型为杆、以过程为枝、以活动为叶，形成完善的流程体系树。

如下图所示，以ISO-26262功能安全系统阶段为例，展示了流程体系与4个层级体系文件的对应关系。《安全管理手册》作为一级纲领文件，定义了安全生命周期模型中的所有过程，包括系统开发与测试的过程、硬件开发、软件开发、项目管理、配置管理等。在二级文件中，对各个过程进行详细定义，例如《系统开发及管理程序》文件中，将系统过程分解为：系统需求、系统方案、技术安全概念、安全分析、系统集成与测试、安全确认等活动，以及针对这些活动的认可评审和技术评审，明确每个活动的实施目标、输入输出、角色职责。进一步地，通过各个三级文件，例如《系统方案设计规范》、《系统测试规范》、《FMEA开发指南》等作业指导性质的文件，规范和指导各个活动的实施。而在具体项目中，则通过应用四级文件，包括技术模板、评审检查单等，完成项目的实施。

基于上述方法所搭建的流程体系，可以做到行有所依、事有所归、人有所属，清晰地展现：做什么、谁来做、何时做、如何做、以何做。最终保证开发出的产品在安全性上达到state-of-the-art technology。对企业而言，该体系一方面能指导内部实现产品的安全性，另一方面，可因合规进而满足国际通行的责任豁免原则。

▎关于我们

经纬恒润安全咨询团队成立于2008年，系国内较早从事功能安全技术研究的团队。作为功能安全、预期功能安全国家标准委员会成员，参与GB/T 34590第一版、第二版起草及修订工作。同时，作为芯片创新联盟核心成员参与车规级自主芯片功能安全标准制定。结合自身20年汽车电子产品研发实践，经纬恒润安全咨询团队提供面向智能网联汽车产品从安全概念开发、产品设计、到正式投产的全生命周期安全咨询服务。

目前，我们设计的三位一体流程方案，已应用于经纬恒润多款量产产品开发。此外，作为咨询商协助国内多家乘用车和商用车的头部OEM和新势力车企、以及Tier1系统供应商建立了完善的智能网联产品安全体系和供应商审核流程，相关流程也都通过德国DAKKS授权的认证机构审核并获取证书，为国内头部企业“出海”拓展海外市场奠定坚实基础。