DESIGN FEATURES
組織缺乏安全意識
 功能安全性並不僅限於從事 安全攸關汽車專案的安全團隊。 從開發人員到測試工程師與專案 經理，團隊中的每個成員都必須 瞭解ISO 26262標準及其指南。在 組織中整體缺乏安全意識時可能 犯哪些FuSa錯誤?
▪缺乏安全文化:安全文化在 本質上意味著每個利益相關者在 開發車用軟體或硬體時都要對功 能安全嚴正以待。不忽視任何風 險，關注安全生命週期的每個階 段，資源相互協調並協同工作。僅 僅擁有一名功能安全經理(顧問) 而不專注於建立安全文化是組織 最常犯的錯誤。
圖1:HARA這個過程是ISO 26262指導架構和團隊理解功能安全和汽車功能的結晶。(圖片來源:Embitel)
全需求而創建的。在開發符合ISO 26262標準的汽車解決方案時，必 須從產品生命週期開始即遵循這項 標準。由於以下因素，等到生命週 期結束時或在第二次迭代中加入這 些標準，業經證實是巨大的錯誤:
▪關注文檔而非安全:文檔是 ISO 26262標準中重要的組成部 份。這些文檔在OEM進行認證時 可作為依據。然而，僅關注文檔而 非實際的安全需求、目標和機制則 會適得其反。
一些汽車供應商或技術供應 商瞭解ISO 26262標準及其細節。 然而，為了節約成本和縮短上市時 間，往往會削弱某些安全攸關元 件的功能安全。然而，這種忽視安 全需求或偶發風險可能危及車內 人員的生命。
1. 由於初始設計未包含安全方 面，以至於設計重做的情況
▪基於假設的ASIL規定:必須 規避在沒有進行危害分析和風險 評估(HARA)的情況下來確定汽車 模組的汽車安全完整性等級(ASIL) 值的這種常規做法。不建議基於業 界規範ASIL的假設，因為這可能會 有遺漏的風險。例如，資訊娛樂系 統通常被認為是ASIL B。因此，許 多資訊娛樂開發公司只是將ASIL B 視為解決方案而不去執行HARA。 如果資訊娛樂系統還包含可用於 自動執行車輛中某些操作的攝影 機資料又如何呢?這是一個嚴重 的安全隱患，但由於業界假設而 被 忽 略 了。
▪低估整個專案的週期/工 作量:一旦考慮安全性以及ISO 26262標準，工作量就會顯著增加， 週期也會延長。一般來說，ASIL A 意味著工作量增加10-15%，而對 於符合ASIL D的專案，這一數字會 上升到100%。在不考慮安全需求 和目標的情況下低估這項工作，則 是另一個需要避免的ISO 26262規 範性錯誤。如果公司為了遵循預先 設定的截止日期而壓縮到實施部份 以及干預時，專案就會受到影響。
2.
3.
嚴 重。
由於不符合ISO 26262標準， 無法重用之前的程式碼。檢 查先決條件、在發送/接收 訊號的模組之間使用包裝器 (wrapper)以及引入新模組， 意味著可能需要編譯大量新 的程式碼。 有時候，整個設計需要更改， 而這可能會導致MCU平台發 生變化。這意味著產品要從 頭設計。 ▪工具和工程技能投資不足:
36 www.edntaiwan.com
破壞功能安全引發的安全監 管不善事例
▪產品生命週期結束時考慮安 全性:如前所述，ISO 26262解決 方案的架構設計是基於軟體和安
許多組織都認為擁有功能安全經 理人就足以符合ISO 26262標準。 然而，這是一種對安全持有麻木不