功能安全 李艳文_如何理解功能安全管理

功能安全标准ISO 26262在Part2部分讲述了功能安全管理的内容。但是大家在进行具体功能安全项目开发过程，往往将功能安全管理归结为流程，在实际开发过程不重视，甚至功能安全管理往往被忽视掉，而是直接从Part3概念阶段或者Part4系统阶段进行开发。那功能安全管理重要么？功能安全管理是项目管理么？要怎么做才算做好了功能安全管理呢？

下面将结合我的工作经历，从如下4个方面谈一谈功能安全管理。功能安全管理是什么？

功能安全管理是项目管理么？

功能安全管理重要么？

如何做好功能安全管理？功能安全管理是什么？

从字面意思理解，功能安全管理就是对功能安全的开发活动进行管理。ISO26262标准针对的是产品的全生命周期，安全活动包括了从产品立项制定计划，到概念-系统-软硬件开发，再到安全确认与评估发布等多项活动，如下图所示。为了更好的进行安全管理，ISO26262标准也新增了一个特别重要的角色——安全经理safety manager来负责整体功能安全管理。

标准中对安全经理safety manager的定义如下图，翻译过来就是：在系统或项目开发过程中负责功能安全管理的一个角色，在实际项目应用过程中通常称为功能安全经理。

功能安全经理的主要职责是管理功能安全开发，具体职责包括：制定与维护安全计划，使其与项目计划进行匹配，包括了安全活动的裁剪，项目的影响分析等

如果项目涉及到分布式开发(涉及到Tier1/Tier2)，需要负责制定DIA，并与供应商或客户协商完成DIA签署

管理项目开发过程发现的安全相关的问题，并进行问题责任分配

监控功能安全开发活动的状态，定期参与项目团队例会，并定期向项目团队汇报开发状态

负责安全档案的管理与维护

负责组织内部或第三方的confirmation review，functional safety audit，functional safety assessment

负责或支持产品的功能安全发布

除了对产品功能安全开发活动的管理之外，功能安全管理还包括如下内容，这些内容需要公司层面或部门层面实施：安全文化，也就是公司或部门要具有相关的机制、资源、环境氛围等来支持功能安全

Safety anomalies的管理，safety anomalies要重视，其关闭要有充足的安全措施，或充足的理由证据表明不会存在安全风险

能力管理，相关的功能安全开发人员要具备一定的能力要求

质量管理，功能安全是在功能完备的基础上实现，常规的产品质量要求要满足，如IATF 16949，ISO 9001等功能安全管理是项目管理么？

功能安全管理并不等同于项目管理，功能安全管理重点关注安全相关活动的开展、安全相关问题的解决等，而项目管理是要对项目中所有开发活动都要进行管理和监控，包括了安全相关活动与安全不相关的活动，从这个角度功能安全管理是项目管理的一部分。但从另一角度，当安全问题与资源、成本都问题冲突时，又需要功能安全经理有足够的权限保证安全问题不被忽视，功能安全管理又有独立于项目管理的部分。

为了实现上述功能安全管理，功能安全经理的角色最好是由项目管理经验丰富的人员承担，同时要具备较强的安全意识，也就是本着安全高于一切的态度。这里值得说明的是，项目经理可兼任功能安全经理，也就是前面说到安全经理所承担的职责均可由项目经理完成，但实际应用过程中，最好是设置单独的功能安全经理来负责安全相关的活动。功能安全管理重要么？

谈到这个话题，要首先介绍功能安全要做哪些事情。笼统的讲功能安全是解决电控系统中会引起不可接受的安全风险的系统功能故障，系统功能故障的失效原因可分为两类：系统性失效原因和随机失效。系统性失效，是指开发流程层面的失效，如需求不完整而导致设计缺陷，需求在上下游理解不一致，错误的需求等

随时失效，是指硬件部件因老化、磨损或强压下产生的失效，如传感器、执行器、接插件、通讯的线束、电阻电容等半导体器件等随时失效。

对于随机失效，功能安全提出了量化的评估指标，通过硬件FMEDA评估过程可识别与降低随时失效的发生概率。

对于系统性失效，则需要严谨、完整的开发流程来避免，而功能安全管理可以认为是对流程要求的具体活动，因此功能安全管理是与功能安全技术开发方法论同样重要的，其作用可以说是根基，先有一个完善合理的开发流程，才能确保分析、设计的安全措施得到完整的实现。如何做好功能安全管理

谈到“做好”其实很难说明，该部分仅是基于个人工作开展的经验，总结下功能安全管理的几项关注点，并不一定准确，仅是个人的浅薄理解，如有错误的请大神帮忙指正公司或部门有清晰、完善的产品开发流程。在已有流程基础上，增加功能安全开发活动，将功能安全开发活动嵌入或融合到已有流程中，即可有效避免系统性失效，也避免了新流程的建立带来的不适应问题。

单独的功能安全经理。功能安全活动既多又杂，需要一个全职的功能安全经理全身心的投入。

定期的功能安全培训机制。虽然ISO26262在2011年就发布了，但在国内实际应用方面仍算是新事物，需要定期的培训机制对项目团队成员包括领导层进行普及功能安全基本知识，这样可形成良好的安全文化环境，毕竟功能安全是“挑刺”的，涉及到各团队的协同配合，当项目成员都了解了“挑刺”的意图时，可更有效的开展功能安全。

定期的功能安全问题沟通机制。功能安全问题会涉及到很多功能块，需要各方协同配合，因此定期的问题沟通机制对安全相关问题的解决起到很大的推动作用。另外为了实现该机制，势必需要一份完整详细可跟踪的问题清单，这样也能避免安全相关被遗漏忽略的问题。

清晰的功能安全状态总结节点。当前国内功能安全作为新事物，其应用会增加很多文档化的工作量，会遇到很大的阻力，还是需要自上而下的推动。清晰固定的功能安全状态总结，可以让项目组或领导层及时准确的掌握功能安全实际进展与问题，进而更有效合理的协调资源进行功能安全开发，做好功能安全任务与项目时间的平衡。

欢迎交流讨论，谢谢。