四个必须避免的汽车功能安全错误

OEM和一级供应商等汽车利益相关者必须将功能安全(FuSa)视为其整个组织的一项实践。说起来容易做起来难，实施符合ISO 26262的 FuSa会带来一系列的挑战。如果不解决这些困难，则会导致项目管理错误，从而导致项目的延误和成本的上升。管理不善的情况可能与机构中整体缺乏安全意识或跨职能团队之间的协调不佳有关。kg5ednc

在汽车生态系统中，一个利益相关者的疏忽也会影响到其他利益相关者。如果一级供应商没有大面积进行危害分析，那么未识别的危害以及相关的风险可能会充斥着整个架构设计。同样，在从事安全关键型项目时使用未受过ISO 26262标准培训的资源也有其自身的风险。本篇，我们整理了一组必须要不惜一切代价来避免的此类FuSa管理错误。kg5ednc

机构缺乏安全意识

功能安全不仅局限于从事安全关键型汽车项目的安全团队。从开发人员到测试工程师及项目经理，每个团队成员都必须了解ISO 26262标准及其指南。让我们看看在机构中整体缺乏安全意识时所犯的一些FuSa错误。kg5ednc

• 缺乏安全文化：安全文化在本质上意味着每个利益相关者在开发汽车软件或硬件中都要认真对待功能安全。不忽视任何风险，关注安全生命周期的每个阶段，资源相互协调并协同工作。仅仅拥有一名功能安全经理(顾问)而不专注于建立安全文化是机构所犯的最常见的错误。
• 关注文档而不是安全：文档是ISO 26262标准中重要的组成部分。这些文档在OEM进行认证时可作为依据。然而，仅仅关注文档而不是实际的安全需求、目标和机制则会适得其反。
• 基于假设的ASIL规定：必须规避在没有进行危害分析和风险评估(HARA)的情况下来确定汽车模块的汽车安全完整性等级(ASIL)值的这种常规做法。不建议基于行业规范ASIL的假设，因为这可能会导致遗漏危险。例如，信息娱乐系统通常被认为是ASIL B。因此，许多信息娱乐开发公司只是将ASIL B视为解决方案而不去执行HARA。如果信息娱乐系统还包含可用于自动执行车辆中某些操作的摄像头数据会怎样呢？这是一个严重的安全隐患，但由于假设而被忽略掉了。

kg5ednc

图1：HARA这个过程是ISO 26262指导框架和团队对功能安全和汽车功能的理解的结晶。(图片来源：Embitel公司)kg5ednc

破坏功能安全引发的安全监管不善事例

一些汽车供应商或技术提供商了解ISO 26262标准及其细微差别。然而，为了节约成本和缩短上市时间，它们往往会削弱某些安全关键型元器件的功能安全。然而，这种忽视安全需求或忽视偶发风险可能会危及车内人员的生命。kg5ednc

• 低估整个项目的周期/工作量：一旦将安全关键性以及ISO 26262标准考虑进去，工作量就会显著增加。因此，周期也会延长。一般来说，ASIL A意味着工作量增加10-15%，而对于符合ASIL D的项目，这一数字会上升到100%。在不考虑安全需求和目标的情况下低估这项工作是另一个需要避免的ISO 26262规范性错误。公司为了遵循预先设定的截止日期来安排实施部分并进行干预时，项目就会受到影响。
• 产品生命周期结束时考虑安全性：如前所述，ISO 26262解决方案的架构设计是基于软件需求和安全需求创建的。在开发符合ISO 26262标准的汽车解决方案时，必须从产品生命周期开始就遵循这个标准。由于以下因素，在生命周期结束时或在第二次迭代中加入这些标准被证明是一个巨大的错误：

1. 由于初始设计未包含安全方面，以至于返工严重。
2. 由于不符合ISO 26262标准，无法重用之前的代码。检查先决条件、在发送/接收信号的模块之间使用包装器(wrapper)，以及引入新模块，意味着可能需要编译大量新代码。
3. 有时，整个设计需要更改，这可能会导致微控制器平台发生变化。这意味着产品要从头设计。

• 在工具和工程技能上投资不足：许多机构都认为拥有功能安全主管就足以符合ISO 26262标准。然而，这是一种对安全持有麻木不仁的态度。而且这很可能是在使用了符合标准的工具或者提高对应资源技能的情况下。每个符合ISO 26262的项目的相关资源都建议培训，从开发人员和测试人员到项目经理，每个利益相关者都必须对ISO 26262标准都心存敬畏。

kg5ednc

图2：功能安全不可事后考虑，汽车设计是有生命的。(图片来源：Embitel公司)kg5ednc

利益相关者之间协调不善导致FuSa管理不当

符合ISO 26262标准的项目涉及到的资源来自不同团队的不同技能。有开发人员、测试工程师、硬件专家、项目经理、功能安全经理等等。kg5ednc

• 团队之间缺乏协作：为完成各种安全活动需要机构内的不同团队进行协作。比如，要执行硬件失效模式影响和诊断分析(FMEDA)，软件团队必须清楚地了解安全机制。但是有的时候，团队不理解这种合作的重要性。
• OEM和Tier 1之间的协作不利：在某些情况下，OEM无法在安全合规方面提供足够的支持和准备。忽视危害，没有正确执行安全分析，各种此类管理不善的情况接踵而至。另外，OEM没有对Tier 1供应商的工具是否合规进行评估，也会对项目产生危害。

技术与管理错误的混合

缺乏预算或者缺乏常用的ISO 26262知识，都会超出项目管理的管控范畴，这会导致对技术的干扰。下面就来看看它们。kg5ednc

• 安全关键型系统的标准设置得太低：当我们开始忽略危险并放宽验收标准时，项目就会受到威胁。例如，模块中可能只有一个安全问题需要ASIL C的认证，但我们却选择忽略它并坚持用ASIL B。这是机构所犯的严重错误。造成这样错误的主要原因还是因为增加成本。测试所有极端测试用例、执行额外的安全分析以及对工具许可证的投资都会增加项目成本。测试时还存在烧毁电路板、LED和电机的风险。当然，为了安全起见，还是需要检查这些故障。
• 低估SOTIF和ASPICE等相关标准的重要性：除了功能安全之外，还有如ASPICE和Cybersecurity(ISO/SAE 21434)等这样针对项目需求的其他标准。所有这些标准都涉及到编码及测试的指导方针，因此它们之间会有很多重叠之处。在制定安全计划时没有考虑这些标准之间的相互关系，是最常见的错误。有的任务可以并行处理，甚至可以合并处理以节省时间。例如，ASPICE所推荐的软件鉴定测试与ISO 26262所推荐的软件集成测试和能力成熟度模型集成(CMMI)十分相似。原则上来说，它们都可用来检测软件的高级架构。因此以同等标准来合并此类相似的流程可以节省大量时间和精力。我们在使用不同标准时，未考虑当前标准对另一个标准的影响，也是另一个常见的错误。
• 过度工程：并非每个汽车模块都对安全至关重要。只有在执行HARA时，才会知道其关键程度。当然，机构有时不希望执行所有安全活动，但为了安全起见，他们假定模块有更高的ASIL等级。这导致安全机制的实施甚至是不必要的。所以，必须避免此类做法以优化成本和上市时间。

ISO 26262是一个广泛的标准，机构无法在短期内达到功能安全实践的成熟度。但是，可以通过避免上述的错误来加快这个过程。kg5ednc

作者简介

Poornima Jha：Embitel公司项目经理，同时也是一名功能安全经理以及FSCP-L2认证ISO 26262专家kg5ednc

Vaibhav Anand：Embitel公司编辑，同时也是一名数字营销专家，痴迷于汽车领域的一切kg5ednc

（原文刊登于EDN美国版，参考链接：Four automotive functional safety mistakes that must be avoided，由Franklin Zhao编译。）kg5ednc

本文为《电子技术设计》2022年2月刊杂志文章，版权所有，禁止转载。免费杂志订阅申请点击这里。kg5ednc