ISO 26262 藏經閣（六）：功能安全之確認措施

ISO 26262 藏經閣（六）：功能安全之確認措施

執行確認措施（Confirmation measures）是為了判斷該項目（item）實現的功能安全，或對實現功能安全的貢獻，確保產品達到沒有不合理危害 (unreasonable risk) 的一個符合性安全等級。因此，想要通過 ISO 26262功能安全要求，必須確實執行確認措施所要求的相關活動，華證科技功能安全團隊專家周文玲指出確認措施主要包括以下三個環節：

1.        確認審查（Confirmation review）

審查所有工作產出（Work product）是否符合 ISO 26262 的要求。

2.        功能安全稽查（Functional safety audit）

稽查安全計畫(safety plan) 的功能安全活動 (function safety activities) 執行情況。

3.        功能安全評估（Functional safety assessment）－

評估專案功能安全是否符合原先訂定的安全目標 (safety goal)，功能安全要求 (functional safety requirements) 和技術功能概念 (technical functional concept)。

安全經理負責安排確認措施，並規劃于安全計畫之中，但其細節是由負責該確認措施的人員規劃的。根據相應的 ASIL 等級，執行確認措施須在資源、管理和發佈許可權等方面，具有充分的獨立性（independence）。ISO 26262 依據不同的安全等級定義了獨立性要求包括以下四個等級：

—    I0：宜執行確認措施（不強制）；但如果執行，應由不同的人去做。

—    I1：確認措施應由不同的人員執行。

—    I2：確認措施應由來自不同團隊的人員執行，即不隸屬于同一直屬主管。

—    I3：確認措施應由來自不同部門或不同單位組織的人員執行。

Confirmation measures	ASIL level
	QM	A	B	C	D
Confirmation review of the impact analysis	I3	I3	I3	I3	I3
Confirmation review of the HARA	I3	I3	I3	I3	I3
Confirmation review of Safety Plan	-	I1	I1	I2	I3
Confirmation review of Functional Safety Concept	-	I1	I1	I2	I3
Confirmation review of Technical Safety Concept	-	I1	I1	I2	I3
Confirmation review of the integration and test strategy	-	I0	I1	I2	I2
Confirmation review of the safety validation specification	-	I0	I1	I2	I2
Confirmation review of the safety case	-	I1	I1	I2	I3
Confirmation review of the safety analyses and the dependent failure analyses	-	I1	I1	I2	I3
Functional safety audit	-	-	I0	I2	I3
Functional safety assessment	-	-	I0	I2	I3

每一項確認措施所需的獨立性，取決於相應的 ASIL等級，ASIL 等級越高，獨立性的要求也就越高。獨立性等級要求旨在確保公正、客觀的觀點，避免利益衝突。但在ISO 26262:2018 新版的獨立性開了一扇小門，如下:「可以任命一名或多名助理協助執行確認審查。這些人可能缺乏相應專案、元件或工作成果開發者的獨立性，但他們的獨立性至少應為所定義的 I1，審查人員應當對其參與進行評估，確保提出不偏不倚的觀點。」華證科技功能安全團隊專家周文玲認為是一般的IC design house組織或許無法完全滿足獨立性，所以在新版的 ISO 26262:2018有此方便門，周文玲建議如無特殊狀況，仍應儘量符合獨立性要求，以免日後認證過程有爭議，或者成為安全性的漏洞。此外，周文玲認為有關功能安全的確認審查、稽查或評估的流程要求，在ISO 26262:2011有個整理表格很值得參考，但在ISO 26262:2018被移除了，所以特別在此也整理給讀友們參考，整理如下:

表 1－確認措施的流程要求

	確認審查	功能安全稽查	功能安全評估
評估內容	工作產出	功能安全所需流程的實行情況	專案定義中所述的內容達成狀況
結果	確認審查報告	功能安全稽查報告	功能安全評估報告
執行確認措施的人員的責任	評估工作產出是否符合 ISO 26262 的要求	評估所需流程的執行情況	—    評估功能安全的實現性 —    依照 ISO 26262 的規定，提供接受、有條件接受或拒絕的建議
安全生命週期中的實施時間	—    相關安全活動完成後 —    須於生產發佈前完成	所需流程的執行期間	—    在產品開發過程中逐步進行 —    須於生產發佈前完成
範圍和深度	按照安全計畫	實施根據安全計畫中參考或指定的活動流程	— 安全計畫所要求的工作產出 — 對於專案開發期間可以評估的安全措施的施行狀況

根據 ISO 26262 的規定，如果項目在確認措施完成後有變更，便須重複或補充相關的確認措施。確認審查和功能安全稽查，可以和功能安全評估合併或結合。確認措施報告應在放行生產之前提供，因為只有在有足夠證據證明對實現功能安全有信心的情況下，才能核准放行該專案或元件的生產，確保實現產品的功能安全。

對於以上所陳述的內容，如欲進一步瞭解或討論，可透過以下的聯絡方式洽詢：

Email：ted_wu@vesp-tech.com, WeChat：TedWu_168

ISO 26262 藏經閣（五）：如何擬訂完善的安全計畫

ISO 26262 藏經閣（五）：如何擬訂完善的安全計畫

在 ISO 26262 中，對「安全計畫」的注解為：「計劃以管理和指導項目安全活動(safety activities) 的執行，包括日期，里程碑，任務，可交付成果，責任和資源。」

安全經理應負責維護安全計畫，並根據安全計畫監控安全活動的進度，安全計畫主要是組織用來協調和追蹤安全活動執行情況的憑據；據此，安全經理方得以監督安全活動的進度是否有按照一定的次序與步驟，逐漸推進安全活動和工作產出（work product），才足以為功能安全的實現程度提供相應產出。

因此，華證科技建議ㄧ個完善的安全計畫應囊括下列幾大範疇：

þ  規劃安全活動及期管制表，確保安全活動在整個安全生命週期內得到正確的推動，其中包含安全活動的目的、對其他活動的相依性、負責人員、所需資源、起訖時間和持續時間、以及確認相應的工作產出，一如熟知的產品開發計畫管制表一般。

þ  定義並分配與安全活動相關的角色和職責；

þ  根據適用的生命週期階段和子階段，對特定項目開發的安全活動進行剪裁（tailoring），並提供相應的理由說明為什麼要這樣剪裁，以供後續審查；

þ  明確界定實現功能安全的流程規劃，包括：

1.     將獨立於計畫的安全活動應用到計畫特定的安全管理之中；

2.     相關支援流程(supporting process)，同時參考開發介面協議（Development Interface Agreements, "DIA"s）定義分散式開發（distributed development）中相應的開發介面協議；

3.     整合和驗證活動的規畫；

4.     安全確認活動的規畫（safety validation planning）；

5.     安排確認審查（confirmation reviews）、功能安全稽查（functional safety audit）和功能安全評估（functional safety assessment），依照 ASIL等級規定執行確認措施（confirmation measure）的人員獨立性；

6.     相依失效分析（the analysis of dependent failures）的規畫，及其可能的安全分析的規畫；

7.     如果有候選項目的使用證明（the proven in use arguments of the candidates）提供證據；

8.     提供軟體工具的可信度評估(Confidence of the software tools)。

安全計畫可以是一個獨立計畫，然後在整體產品開發計畫中被引用；或是直接包含在產品開發計畫之內。另外，在 ISO 26262 中提到，倘若是在分散式開發的情況下，客戶和供應商應就各自的安全活動制定安全計畫，並在DIA文件中界定清楚，該協議定義了與分散式開發中其他安全計畫的接口，以避免銜接上的問題發生。

安全計畫的內容除了應遵循上述所提到的重點目標去擬訂之外，安全計畫也應依照變更管理原則應逐步更新、與時俱進，安全計畫絕非不能更動或者完美無缺，至少應在每個階段開始時，重新檢視與更新安全計畫，以便詳細列出與執行該階段的安全活動。

此外，安全計畫要求的工作成果應在開發階段期間保持最新，以保持項目或元件的充分表述，直到和發布生產；在安全計劃要求的工作產品應分別按照ISO 26262-8：2018，第7、8和10子條款進行配置管理，變更管理和文件編制，最遲應在進入“產品開發之系統層面開展”之前完成。

最後，根據安全計畫制定安全案例，為實現功能安全提供憑證，以判定是否可以將項目或元件投入生產。。

對於以上所陳述的內容，如欲進一步了解或討論，可透過以下的聯絡方式洽詢：

Email：ted_wu@vesp-tech.com, WeChat：TedWu_168

ISO 26262 藏經閣(四) :計畫經理和安全經理職責差異

ISO 26262 藏經閣(四) :計畫經理和安全經理職責差異

安全管理的角色在計畫組織中通常有計畫經理（project manager）和安全經理（safety manager），如何界定二者的職責差異是本文的主題，在說明之前，先來了解「安全經理」ㄧ詞在ISO 26262中的定義。

根據 ISO 26262-1：2011 中對「安全經理」一詞的注解：「在項目開發期間，負責功能安全管理擔當角色的人員」；之後，賡續的 ISO 26262-1：2018 再對「安全經理」重新闡述如下：「負責監督和確保實現凡功能安全所需的安全活動的個人或組織」。前後解釋略有差異，主要是2011版本忽略原先「計畫經理」的功能，和不同開發級別的矩陣式組織功能。

因此，安全經理肩負實現功能安全的重責大任，舉凡從安全計畫、安全功能活動量身定制、安全活動確實執行、要求安全活動所需資源、安全異常處理、安全確認審查計畫，並將任務分派給具有所需技術、能力和資格的人員去執行，同時監督與考核，都是安全經理的職責。

以下是華證科技功能安全團隊藉由表格說明區分計畫經理和安全經理的職掌：

	職分
計畫經理	þ  應在產品開發開始時即被任命，除功能安全外，負責整體計畫成敗、開發所需資源、開發時程和成本掌控……。 þ  確保實現功能安全所需的安全活動都有確實執行，以滿足ISO 26262 的要求。 þ  確認是否提供了符合ISO 26262 要求的安全活動提供所需資源，即在規劃階段對資源進行預估、確定和分配。 þ  對產品開發過程中出現的安全異常作恰當的安排處置。 þ  任命安全經理。
安全經理	þ  在安全生命週期的開發階段，負責規劃和協調功能安全活動，根據相應的計畫追蹤安全活動的進展，監督安全活動的進度是否按照安全計畫進行。 þ  負責制定安全計畫並更新，並根據安全計畫監控安全活動的進度。 þ  負責功能安全的安全異常管理，包括指定負責解決安全異常的人員。 þ  指定具有相關責任和權限的人員詳細規劃或執行安全活動（例如，執行整合和驗證活動）。 þ  負責安排確認措施及其細節。

綜觀上述，計畫經理和安全經理職務與責任確實有ㄧ些重疊性，但也ㄧ些歧異，華證科技功能安全團隊專家周文玲表示，可以這麼說「計畫經理」站在計畫管理者角色的高度，讓每個計畫成員在計畫執行過程，都能成功的完成任務；「安全經理」扮演的是日常管理角色，重點指向PDCA管理循環的原則，使所有安全計畫內的安全活動能切實和掌握實際狀況，發生異常時能迅速採取有效矯正措施，並適當的修正安全計畫。

就為達成功能安全開發而言，組織應賦予計畫經理有足夠的責任和權限，使其能實行自己所應盡的本分（例如：界定和分配與安全活動有關的角色和責任），確保執行實現功能安全所需的安全活動，以符合ISO 26262 的相應目標和要求。

安全經理則是導入ISO 26262 的關鍵人物，一個功能安全計畫開始之初，安全經理須審慎評估安全功能的諮詢輔導單位或公司，正所謂「好的老師帶你上天堂，壞的老師帶你下的地獄」，這也安全經理的重要職責之一。除此之外，安全經理負責督導日常功能安全相關業務及恪守 ISO 26262 相關要求，還須負責建立和維持功能安全和其他與實現功能安全有關的專業領域之間有效的溝通渠道，以實現產品的功能安全。

安全經理的角色可由計畫經理兼任，其指派取決於組織，但因計畫經理著重計劃管理能力，包括對資源進行估計、確定和分配等；而安全經理則需具備功能安全能力與技術方面相關的技能，因此通常不建議由一人同時擔任計畫經理與安全經理。

對於以上所陳述的內容，如欲進一步了解或討論，可透過以下的聯絡方式洽詢：

Email：ted_wu@vesp-tech.com, WeChat：TedWu_168

ISO 26262 藏經閣(三) :「安全文化」的重要性

ISO 26262 藏經閣(三) :「安全文化」的重要性

ISO 26262 的關鍵要求之一是在整個組織內建立安全文化；因此，在談安全文化的重要性之前，首先，得先了解什麼是「安全文化」？

據 ISO 26262-1：2011 中對「安全文化」一詞的詮釋：「組織內部用於支持安全相關系統的開發、生產和運行的政策和策略」。另，賡續的 ISO 26262-1：2018 則是對「安全文化」這一概念提出不同的見地：「一個組織的持久價值觀、態度、動機和知識，在這個組織中的決策和行為，安全優先於競爭目標」。

綜合ISO 26262：2011和ISO 26262：2018的意旨，安全文化應深植於組織文化之中，絕對不只是一個口號，一個張貼的標語而已，我們定義安全文化如下：

「組織有專屬的一套規則和流程，用來推動與執行所需的功能安全活動，並在不同範疇之間建立起溝通的管道與通報的機制；負責從事活動的人員也有足夠的技能水平、資源和權限來處理事務；所有活動皆有相應的產出（工作成果），且將執行過程中獲得的改進應用於後續項目，以實現和維護功能安全。」

此外，在 ISO 26262-2:2018, Annex B 中特別提出了評估安全文化的例子（如下表所示），來幫助我們了解究竟安全文化之良窳為何，以供作決策者參考。

在此僅臚列大要如下，

缺乏安全文化的例子	良好安全文化的例子
D  責任不具備可追溯性	< 流程確保了與功能安全相關的決策責任是可追溯的
D  「成本」和「進度」總是優先於「安全」和「品質」	< 安全為最高優先
D  與「安全」和「品質」相比，獎酬制度更有利於「成本」和「進度」	< 獎酬制度支持並鼓勵有效地實現功能安全； < 獎酬制度處罰那些走捷徑而危及「安全」或「品質」的人。
D  沒有系統化的持續改進流程、學習週期或其他形式的“經驗傳承”	< 持續改進並整合到所有的流程中
D  評估「安全」、「品質」以及「管理流程」的人員過度的受到負責執行流程人員的不當影響	< 流程提供了充足的檢查和獨立性，例如，在整合過程（安全、品質、驗證、安全確認以及配置管理）中具有適當的獨立性。
D “群體迷思”； D  形成審查小組時“事先安排準備、做牌”； D  持異議者被排斥或被歸類為“不是善於與團隊合作的人”； D  異議對績效考核產生負面影響； D  “少數持異議者”被歸類或視為“麻煩製造者”、“不是通力合作者”； D  有關員工擔心會受到影響。	< 該過程利用多樣性優勢： < 在所有過程中尋求、重視和整合知識的不同意見 ； < 反對不同意見的行為受到勸阻和懲罰 。 < 支持溝通和決策管道的存在，管理層鼓勵使用： < 鼓勵自我揭露安全問題 ； < 鼓勵任何人揭發安全問題 ； < 在該領域持續發現和解決過程。
D  所需資源沒有及時規劃或分配	< 所需的資源均分配就位； < 技術資源具有與所分配活動相稱的能力。
D  沒有系統化的持續改善過程、學習週期或其他形式的“經驗傳承”	< 持續改進是所有流程不可或缺的一部分

從以上所陳述的內容，我們建議建立安全文化的法門如下：

首先，組織應制定、執行和維護組織特定的規則和流程，以實現和維護功能安全，並遵從 ISO 26262 標準的要求，確實執行安全生命週期活動；

再則，組織必須建立、支持和鼓勵以「安全優先」的安全文化，整個組織的安全思維，允許一種質疑的態度，防止自滿，致力於追求卓越；

其三，鼓勵在安全問題上承擔責任；相對的，組織應賦予執行或支援安全活動的人員有足夠的權力履行其職責，確保負責實現或維護功能安全；

最後，鼓勵組織內或跨組織的溝通，促進與功能安全相關的其他專業領域的有效溝通，將其徹底的納入組織日常流程中，並植基內化於公司文化之中。

爰此，安全和品質問題才得以在產品安全生命週期的初始階段發現並得到及時、妥善的處理，同時，不斷地持續進行改進，並將其整合到組織所有的流程中；如此ㄧ來，組織才能有效地實現功能安全，使產品能更好的達到整體上的安全。

對於以上所陳述的內容，如欲進一步了解或討論，可透過以下的聯絡方式洽詢：

Email：ted_wu@vesp-tech.com, WeChat：TedWu_168