Safety Manager / Anchor / Engineer 深度 — ISO 26262 语境产业惯例三角色 + RACI

Safety Anchor 责任的工程特点 + 应用场景:

• 制定公司 functional safety policy
• 维护 process (HARA template / FMEDA flow / FSAR template)
• 协调跨项目 lessons learned
• 培训 + 资质管理

Safety Anchor 资质:

• TÜV Süd Functional Safety Expert cert
• 10+ 年汽车安全经验
• ISO 26262 multiple cycle 经验
• 跨部门权威

在小公司的特殊性:

• 创业公司 / 小型 Tier 2 可能无独立 Anchor
• Safety Manager 兼 Anchor 角色
• Anchor 与 Manager 职责分离 是 OEM / 产业界组织惯例(同一人可,但流程上分);ISO 26262 本身只强制 确认措施的独立性(confirmation review / audit / assessment 的 I0–I3 等级按 ASIL 升),并不规定 "Anchor vs Manager" 这种分工

Safety Manager 责任的工程特点 + 应用场景:

• 拟订 Project Safety Plan (M0 阶段)
• 协调 V-cycle 各阶段
• 评审 + 批准 HARA / FSC / TSC / V&V
• 评审 + 签字 FSAR(法律责任!)
• Deviation 批准

Safety Manager 资质:

• TÜV Süd Functional Safety Manager cert
• 5+ 年项目经验
• ISO 26262 至少 1 个完整 cycle (M0-M3)
• 沟通能力 (与 OEM / Tier 1 / I3)

法律责任 + 风险:

• FSAR 签字担责
• 量产后事故 → Safety Manager 可能法律责任
• 真签字前必确认 evidence 完整

Safety Engineer 责任的工程特点 + 应用场景:

• HARA 做 (与系统工程师合作)
• FMEDA 算 (与硬件工程师合作)
• V&V 测试 (与测试工程师合作)
• Fault Injection 设计 + 执行
• work product 评审 + 跟踪

Safety Engineer 资质:

• TÜV Süd Functional Safety Engineer cert
• 2+ 年汽车经验
• ISO 26262 基础培训
• 工具熟练 (Polarion / IQ-FMEDA / Polyspace)

Safety Engineer 内部分工 (大项目):

• HW Safety Engineer (FMEDA / FTA)
• SW Safety Engineer (MISRA / V&V)
• System Safety Engineer (HARA / FSC)

R 的工程特点 + 应用场景:

• 做事的人,通常 Engineer
• 一个任务可有多个 R

A 的工程特点 + 应用场景:

• 担责的人,通常 Manager
• 一个任务只能一个 A
• 签字担法律责任

C 的工程特点 + 应用场景:

• 评审 / 咨询
• 通常 Anchor + I3 + Tier 1

I 的工程特点 + 应用场景:

• 知会
• 通常 GM / 同级别 Manager

Manager = Engineer 的工程特点 + 应用场景:

• ❌ 把 Safety Manager 当工程师
• ✅ Manager 主责 = 评审 + 签字 + 协调

Anchor 兼 Manager 不分:

• ❌ 同一人当两个角色 + 流程不分
• ✅ 即使同人,角色流程分开

工程师签字 FSAR:

• ❌ Engineer 签 FSAR
• ✅ FSAR 只 Safety Manager 签

I3 与 Manager 角色混:

• ❌ Manager 当 I3 兼任(违反独立性)
• ✅ I3 必第三方,Manager 是甲方

Anchor 不参与项目:

• ❌ Anchor 只管 policy,不参与项目
• ✅ Anchor 周期评审 + lessons learned 收集