仁的態度，而且這很可能是在使用 符合標準的工具或者提高對應資 源技能的情況下。建議訓練每個 符合ISO 26262專案的相關資源， 而且從開發人員和測試人員到專 案經理，每個利益相關者對於ISO 26262標準的實作都必須抱持正 確的態度。
▪OEM和Tier 1之間的協作 不利:在某些情況下，OEM無法 在安全合規方面提供足夠的支援 和準備。忽略了危害、未能正確執 行安全分析等各種此類管理不善 的情況接踵而至。另外，OEM沒有 對Tier 1供應商的工具是否合規進 行評估，也會對專案產生危害。
會增加專案成本。測試時還存在燒 毀電路板、LED和馬達的風險。當 然，為了安全起見，還是需要檢查 這些故障。
利益相關者之間協調不善導 致FuSa管理不當
技術與管理錯誤的混合
▪低估SOTIF和ASPICE等相關 標準的重要性:除了功能安全之外， 還有如ASPICE和Cybersecurity (ISO/SAE 21434)等針對專案需求 的其他標準。所有這些標準都涉及 編碼與測試的指導原則，因此其間 可能會有很多重疊之處。在制定安 全計畫時未考慮這些標準之間的相 互關係，是最常見的錯誤。有的任 務可以平行處理，甚至可以合併處 理以節省時間。例如，ASPICE所推 薦的軟體鑒定測試與ISO 26262所 推薦的軟體整合測試和能力成熟 度模型整合(CMMI)十分相似。原則 上來說，它們都可用來檢測軟體的 高階架構。因此，以同等標準來合 併此類相似的流程可以節省大量時 間和精力。在使用不同標準時，未考 慮當前標準對另一個標準的影響， 也是另一個常見的錯誤。
符合ISO 26262標準的專案 所涉及資源來自不同團隊及其不 同技能，包括開發人員、測試工程 師、硬體專家、專案經理、功能安 全經理等等。
由於缺乏預算或是缺乏常用的 ISO 26262知識，都會超出專案管理 的管控範疇，導致對技術的干擾:
▪團隊之間缺乏合作:為了 完成各種安全活動需要組織內不 同團隊之間的合作。例如，要執 行硬體失效模式影響和診斷分析 (FMEDA)，軟體團隊必須清楚地 瞭解安全機制。但是有的時候，團 隊並不瞭解這種合作的重要性。
▪安全攸關系統的標準設定 得太低:當我們開始忽略危險並放 寬驗收標準時，專案就會受到威 脅。例如，模組中可能只有一個安 全問題需要ASIL C的認證，但我們 卻忽略它並堅持用ASIL B。這是組 織所犯的嚴重錯誤。造成這種錯 誤的主要原因還是因為增加成本。 測試所有極端用例、執行額外的安 全分析以及對工具授權的投資都
DESIGN FEATURES
過度工程:並非每個汽車模 組都對安全至關重要。只有在執行 HARA時，才會知道其關鍵程度。 當然，組織有時不希望執行所有安 全活動，但為了安全起見，他們假 定模組有更高的ASIL等級。這導致 安全機制的實施甚至是不必要的。 所以，必須避免此類做法以最佳化 成本和上市時間。
 圖2:功能安全不可事後考慮，特別是在汽車設計中是生命攸關的。 (圖片來源:Embitel)
ISO 26262是一個廣泛的標 準，組織無法在短期內達到功能安 全實踐的成熟度。但是，透過避免 上述的錯誤，有助於組織加快這個 過程。
www.edntaiwan.com 37