ISO 26262-2(2018)管理层细化:Safety Lifecycle / 安全文化 / 确认措施

功能安全L1别名 ISO 26262 Part 2 · 26262-2 · safety management · safety culture · 安全计划 · safety plan · confirmation measures · confirmation review · functional safety audit · functional safety assessment · independence I1 I2 I3 · release for production

本质与导读

本质 Part 2 是 ISO 26262 的组织+流程层,回答"谁在什么时间做什么";其核心抓手是 Confirmation Measures(Review/Audit/Assessment),独立性按 ASIL 递增(I1→I2→I3)。没有 Part 2 的合规,Part 5/6/8/9 做得再好也无法 release。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 三层安全管理体系

1.1 Overall Safety Management(Clause 5)— 组织级

不针对某个项目,而是公司级别要持续维护的能力:

要求含义
Safety culture整体氛围鼓励"openness about safety anomalies",反对"shortcuts"
组织专属 FuSa 规则与流程内部 SOP / 工作产品模板 / 质量记录
异常解决流程safety anomaly(发现的不一致 / bug / 风险)有专门处理通道,不是塞回项目自行消化
能力管理(Competence management)人员资质追踪,FSE / Safety Engineer 培训记录
QMS(Quality Management System)IATF 16949 / ISO 9001 是基础

工程实务:ISO 26262 评审第一关是组织级——TÜV 来评审 ASIL D 项目前先看公司 QMS 证书 / 培训记录。组织级不达标,项目级再优秀也过不了。

1.2 Project-dependent Safety Management(Clause 6)— 项目级

针对每个 item 的 development phases:

  • Safety Plan(6.5.3)必含 7 类:范围 / 角色 / 时间表 / 工作产品 / 资源 / Confirmation 计划 / Tailoring 决定
  • Safety Case(6.5.4)— 用 GSN 或类似方法论证整体安全性
  • Impact Analysis — item 级(新 item / 修改既有)+ element 级(复用元件)
  • Release for Production — 6.4.5,经签字方可量产

衔接到 Part 7,管理量产 / 服务 / 退役阶段的安全。详见 Part 7 量产细化

2. 安全文化(Annex B)— 不只是口号

ISO 26262 列出安全文化 7 条特征,公司要有证据(培训 / 政策 / 案例):

  1. Senior management leadership — 管理层亲自抓安全,不只是 Quality 或 Safety 部门孤军奋战
  2. Effective communication — 跨职能(EE / SW / Mech / Test)信息流通,不能"each ECU 闭门造车"
  3. Openness about safety anomalies — 任何人发现 safety 问题敢报告,不被打压
  4. Non-tolerance for shortcuts — 不为赶 deadline 跳过 verification
  5. Adequate education and competence — 持续培训
  6. Active reward of safety-positive behaviors — 主动奖励严谨工作的人
  7. Recognition of personal responsibility — 每个人都要为自己负责的部分担当

工程实务:TÜV 评审会问员工"如果你在调试时发现一个 SG 违反风险,你的处理流程是什么?"——回答"先告诉 FSE 评估"才合格,回答"先看影响 deadline 不"或"自行 fix 不上报"是直接 fail。

3. Confirmation Measures(Clause 6 + Annex C)

ISO 26262 把"独立审视开发结果"分三类,工程实务里经常被混淆:

ISO 26262-2 功能安全管理 — 安全文化 + Safety Manager + 安全计划 + 三级 confirmation measures(review/audit/assessment)+ Safety Case + DIA

3.1 三种确认措施

这一节先把“三种确认措施”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

措施对象时间输出
Confirmation Review单个工作产品(safety plan / safety case / HARA / FMEDA / 等)每个 work product 完成后review 报告(同意 / 拒绝 / 改)
Functional Safety Audit流程(过程是否合规)项目 milestone 时audit 报告(过程符合性证据)
Functional Safety Assessment整体 item(这个 item 的 safety 整体达标了吗)Release for production 前assessment 报告 + 推荐意见

实务区分:Review 看"work product 内容对不对" / Audit 看"过程做没做" / Assessment 看"整体 item 安全没安全"

3.2 独立性 I1 / I2 / I3

每种措施的 reviewer / auditor / assessor 要求多大独立性?

独立度含义适用
I1(独立人员)同部门同小组,但不是 work product 作者本人ASIL A 部分 review
I2(独立部门)同公司不同部门(如另一个 BU 的 safety engineer)ASIL B/C review;ASIL A audit
I3(独立组织)不同公司 / TÜV / SGS / 第三方ASIL D audit + assessment;ASIL D Confirmation Review 也 I3

工程实务:ASIL D 的 audit + assessment 几乎都找 TÜV / SGS / DEKRA / Exida——不是"这些公司更专业",是 ISO 26262 强制 I3 必须真正第三方。

3.3 Annex D ASIL D Safety Assessment Agenda 模板

ASIL D safety assessment 典型 5 天议程:

  • Day 1:Item Definition / HARA / FSC review + interview
  • Day 2:TSC / 系统架构 / safety analyses(FTA/FMEA/DFA)review
  • Day 3:HW dev(Part 5 SPFM/LFM/PMHF + FMEDA)review + audit
  • Day 4:SW dev(Part 6 unit testing / coverage / MISRA)review + audit
  • Day 5:Production / Service / Field monitoring review + 总结报告

TÜV 的 assessor 现场提问 + 工作产品深审,assessment 报告 给 OEM 才能做 release for production 决策。

4. Safety Plan(6.5.3)— 7 类必含信息

Part 2 强制要求 Safety Plan 是项目启动 work product:

  1. Project scope — item 边界 / 适用 ASIL / 假设
  2. Roles and responsibilities — Project Manager / Safety Manager / FSE / Verification Engineer / Confirmation Reviewer 各自职责
  3. Schedule — milestone + safety activities 时间表
  4. Work products — Part 3-7 全部 work product 的 ID + due date + owner
  5. Resources — 工具链 / 测试设备 / 人力
  6. Confirmation measures planning — 哪些 review/audit/assessment 在何时做
  7. Tailoring decisions — 哪些标准条款不适用,理由

工程实务:Safety Plan 是开发期间的 living document——每个 milestone 更新一次,不是写完就锁;Safety Manager 是 owner。

5. Impact Analysis(6.4.3 / 6.4.4)

ISO 26262 强制:任何修改 / 复用都要做 impact analysis,看是否触发 safety lifecycle 重做。

5.1 Item 级(6.4.3)

判定问题:

  • 这是新 item 吗?(全 lifecycle)
  • 既有 item 修改吗?(部分 lifecycle 重做,看修改影响范围)
  • 既有 item + 改环境吗?(HARA 重做,因为 exposure / controllability 变了)

5.2 Element 级(6.4.4)

复用既有元件(SEooC IC / 第三方库 / 老 ECU 移植)时:

  • 元件能不能满足新 item 的 safety 要求?
  • 用法是否符合 SEooC 的 AoU?
  • 没满足或没匹配 → 补做 verification + risk analysis

实务:变更管理(Part 8 Clause 8)是 impact analysis 的执行机制——任何 ECR 必须先跑 impact analysis 再决定改不改。

6. Release for Production(6.4.5)

ASIL D 项目 release 必须有以下签字 work product:

Work productOwner签字
Safety CaseSafety Manager
Functional Safety Assessment Report(I3)Independent Assessor(TÜV)
Verification Report 全套Verification Engineer
Confirmation Review 全套Confirmation Reviewer
Production Control PlanProduction Manager
所有 Part 5/6 work products各自 Owner

任何一份没签字 → 不能 release for production。这就是 OEM 项目延期的常见原因——TÜV 评审找出 1-2 个 issue,要返工 + 重测 + 再评审,几个月延期是常事。

7. Cybersecurity 交互(Annex E)

2018 修订版新增内容:FuSa 与 Cybersecurity 的关系:

  • Cybersecurity attack 可能触发 SG 违反(例:攻击者通过 CAN bus 发送恶意扭矩命令)
  • FuSa 范围限于"malfunctioning behavior",cyberattack 是"intentional",ISO/SAE 21434 是 cybersecurity 母标准
  • 实务上两个工作产品要协调——SecOC(Secure Onboard Communication)既是 cybersecurity 控制 又是 FuSa 的 SM(详见 CAN E2E + SecOC)

核心要点
  • Part 2 三层管理:Overall(组织级 Clause 5)/ Project-dependent(项目级 Clause 6)/ Production-related(量产级 Clause 7)
  • 安全文化 7 条:senior leadership / 沟通 / openness / 反 shortcut / 培训 / 奖励 / 个人责任
  • 三种确认措施:Review(work product)/ Audit(过程)/ Assessment(整体 item),ASIL D 几乎都要 I3 第三方
  • Safety Plan 7 类必含信息,Safety Manager owner,milestone 更新
  • Impact analysis 在 item 级 + element 级触发,任何 change 必跑
  • Release for production 需要 6+ 签字 work product,缺一不可
  • Cybersecurity(ISO/SAE 21434)与 FuSa 关系:malfunction vs intentional,两边协调 SecOC 等共享工作产品

Engineering Objects
引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

  • standard · standard_iso26262_part2 — ISO 26262 Part 2 Management of FS

Cross-references