“安全”被普遍認為是智能網聯汽車被用戶接受或者得到商業應用最大的問題。2022年11月2日，工業和信息化部會同公安部組織起草了《關于開展智能網聯汽車準入和上路通行試點工作的通知（征求意見稿）》，明確了相關企業及產品準入條件，重點強調了在安全保障方面的要求。現對于企業在安全領域的過程能力要求摘要如下：

       以上要求可解讀為：智能網聯汽車及產品的生產企業，應建立一套應用于全生命周期的流程體系，以約束產品的研發、生產、售后各項安全活動，確保智能網聯汽車的安全性。

▎流程體系建設的痛點

       為了覆蓋前述三大安全領域（功能安全、預期功能安全、網絡安全），目前國際領先的做法是以降低產品安全風險為首要目標融合ISO-26262、ISO-21448、ISO-21434標準的要求，建立三位一體的流程體系，確保智能網聯汽車產品在全生命周期內的安全。

       然而流程的構建和應用面臨很多實際落地難題，經緯恒潤安全團隊在對外咨詢服務中就遇到到很多企業的困惑，比較有代表性的有：

       · 不同安全領域的開發活動，如何融入到一個產品安全生命周期模型中？

       · 3個標準中對相似的活動各自提出要求，應如何體現在一個流程中？

       · 能否在對公司現有組織架構不做大的變更調整的前提下，完成流程的構建和應用？

       · 項目角色該如何定義以及它們如何與公司現有崗位進行映射？

       · 如何確保所有相關人員真實履行其職責以保證流程體系在項目中貫徹落實？

       · 流程在企業中推行阻力大，如何做好產品安全、交付周期、實施成本的平衡？

▎面向流程體系建設痛點的頂層設計

       經緯恒潤安全咨詢團隊基于自身的工程實踐并結合對三大安全領域標準深入解讀，總結提煉了一套可執行的融合流程體系構建方法。針對每個客戶量身設計流程解決方案并支持客戶在量產項目中工程落地。流程構建的頂層設計分為4個步驟：差距分析、體系構建、組織適配、持續改進。

       STEP1：差距分析。基于ISO-26262/21448/21434標準要求，逐條映射到客戶現有流程體系上，通過量化分析找出其薄弱點以及在安全方面的欠缺點，為體系構建提供依據。

       STEP2：體系構建。以ISO-26262生命周期為綱、以三大領域安全活動為目，以金字塔結構為骨，打造出一套完整的安全生命周期模型。在充分考慮客戶研發現狀的基礎上，針對客戶流程體系中的薄弱點和欠缺點進行改進，最終完善成形。

       STEP3：組織適配。將前述安全生命周期模型代入項目實踐，對模型上每一個活動元素定義最合適的項目角色，覆蓋管理、開發、測試、評審、批準和發布。然后將“項目角色”與客戶現有的組織架構進行映射，力求現有崗位最大程度覆蓋項目角色。在此工作基礎上，通過最少的職責調整和崗位增加，來刷新組織架構，并將安全生命周期的元素分配到更新后的企業組織架構上。

       STEP4：持續改進。以產品的一個功能為導航項目，遍歷安全生命周期模型中的每個活動元素，完整實踐金字塔架構的流程體系中的過程定義、規范指南、模板表單，在此過程中查漏補缺，最終形成最適合企業落地的流程體系并在實施中持續改進。

▎三位一體流程構建方案

       三位一體的流程解決方案中，最困難的一步是流程的構建成形，其難點在于如何從“三位”（功能安全、預期功能安全、網絡安全）建設成“一體”，包括：如何成“一”，如何構“體”。經緯恒潤目前探索出一套工程落地方案已在國內十數家OEM和Tire1體系建設中取得良好的效果。

關于成“一”

       以ISO-26262安全生命周期為綱、以三大領域安全活動為目，融為一套開發體系，覆蓋所有安全需求的定義，完整實現安全設計、安全分析、安全驗證與測試的目標。

       ISO-26262中定義了完整的產品安全生命周期，覆蓋產品開發、安全管理以及支持過程。因此我們將ISO-21448預期功能安全與ISO-21434網絡安全的流程，依附于ISO-26262安全生命周期，開展各標準所要求的安全開發活動。即，以安全目標獲取——安全需求開發——安全設計與分析——驗證測試的工作流為主線，共享安全管理與支持過程，從而實現將三個領域融合為一套流程。

       下圖為三個標準體系間主要開發與驗證活動的Mapping關系，首先基于對相關項和系統的功能規范定義，實施危害/威脅分析與風險評估，識別安全目標并導出安全需求；其次展開系統層的安全設計。隨后對通過軟硬件開發階段的產品進行系統集成驗證與整車安全確認驗證。最后基于各標準的要求對開發成果進行安全評估并實現產品發布。

關于構“體”

       以安全管理手冊定義產品安全生命周期，通過程序文件分解出安全活動，制定規范指南以指導實施，最終在模板表單中承載落實，自上而下構建出如金字塔般完整、縝密、環環相扣的流程體系，它分為4個層級：

       · 一級文件為安全手冊：引用ISO-26262/ISO-21434/ISO-21448標準作為依據，定義開發體系的生命周期模型；

       · 二級文件為程序文件：包含ISO-26262/ISO-21434/ISO-21448標準所要求的全部活動，并且明確每個活動的前后承接關系、輸入輸出、崗位職責；

       · 三級文件為規范指南：基于ISO-26262/ISO-21434/ISO-21448標準，規定所有活動的實施要求并提供方法指導；

       · 四級文件為模板表單：基于ISO-26262/ISO-21434/ISO-21448標準來制定，作為規范/指南的實現載體，支持規范/指南在具體項目中的落實。

       基于上述4級架構，以安全生命周期模型為桿、以過程為枝、以活動為葉，形成完善的流程體系樹。

       如下圖所示，以ISO-26262功能安全系統階段為例，展示了流程體系與4個層級體系文件的對應關系。《安全管理手冊》作為一級綱領文件，定義了安全生命周期模型中的所有過程，包括系統開發與測試的過程、硬件開發、軟件開發、項目管理、配置管理等。在二級文件中，對各個過程進行詳細定義，例如《系統開發及管理程序》文件中，將系統過程分解為：系統需求、系統方案、技術安全概念、安全分析、系統集成與測試、安全確認等活動，以及針對這些活動的認可評審和技術評審，明確每個活動的實施目標、輸入輸出、角色職責。進一步地，通過各個三級文件，例如《系統方案設計規范》、《系統測試規范》、《FMEA開發指南》等作業指導性質的文件，規范和指導各個活動的實施。而在具體項目中，則通過應用四級文件，包括技術模板、評審檢查單等，完成項目的實施。

       基于上述方法所搭建的流程體系，可以做到行有所依、事有所歸、人有所屬，清晰地展現：做什么、誰來做、何時做、如何做、以何做。最終保證開發出的產品在安全性上達到state-of-the-art technology。對企業而言，該體系一方面能指導內部實現產品的安全性，另一方面，可因合規進而滿足國際通行的責任豁免原則。

▎關于我們

       經緯恒潤安全咨詢團隊成立于2008年，系國內較早從事功能安全技術研究的團隊。作為功能安全、預期功能安全國家標準委員會成員，參與GB/T 34590第一版、第二版起草及修訂工作。同時，作為芯片創新聯盟核心成員參與車規級自主芯片功能安全標準制定。結合自身20年汽車電子產品研發實踐，經緯恒潤安全咨詢團隊提供面向智能網聯汽車產品從安全概念開發、產品設計、到正式投產的全生命周期安全咨詢服務。

       目前，我們設計的三位一體流程方案，已應用于經緯恒潤多款量產產品開發。此外，作為咨詢商協助國內多家乘用車和商用車的頭部OEM和新勢力車企、以及Tier1系統供應商建立了完善的智能網聯產品安全體系和供應商審核流程，相關流程也都通過德國DAKKS授權的認證機構審核并獲取證書，為國內頭部企業“出海”拓展海外市場奠定堅實基礎。