自动驾驶合规宝典6～安全管理体系SMS审核

自动驾驶合规宝典6～安全管理体系SMS审核

随着自动驾驶技术的快速发展，确保其安全性已成为行业和监管机构关注的焦点。制造商需要建立完善的安全管理体系（SMS），以管理安全风险并确保整个ADS生命周期的安全。本文将详细介绍SMS审核的五个主要支柱：安全政策、风险管理、设计和开发过程、生产和部署流程，以及在役监测/报告支柱。

1. 安全政策

SMS中应纳入安全政策，概述组织将用于实现预期安全结果的目的和目标。安全政策应声明为组织安全文化奠定基础的原则和理念，并传达给整个组织的所有员工。积极的安全文化建设始于清晰、明确的安全管理。

制造商应记录的过程和活动包括：

• 安全政策和原则（符合ISO21434第5.4.2和ISO9001汽车5.2段所述的概念）
• 组织安全目标和创建安全案例中使用的安全绩效指标的过程
• SMS的适当结构，考虑法规、标准、最佳实践指南和车辆用例，并将其组织结构、流程和工作产品映射到SMS
• 安全文化（ISO26262-2，第5.4.2段）
• 安全治理要素：
• 管理层承诺（符合ISO21434第5.4.1段和ISO9001汽车第5.1段所述的概念）
• 角色和责任（ISO26262-2第6.4.2段，这涉及组织和项目相关活动）
• 在本组织内部就安全问题进行有效沟通（ISO26262-2，第5.4.2.3段）
• 组织外信息共享（符合ISO21434第5.4.5段所述的概念，ISO9001，但从安全角度来看）
• 质量管理体系（例如，根据IATF 16949或ISO9001或同等标准），以支持安全工程，包括变更管理、配置管理、需求管理、工具管理等

2. 风险管理

SMS中应包含安全风险管理流程，以识别和评估与上述三个SMS因素（即人、组织和技术）相关的风险。识别到的任何操作风险都应在设计和开发阶段实施缓解措施。ADS制造商应该能够展示整体风险管理流程、风险缓解措施和由此产生的运营风险之间的联系。

制造商记录的风险管理流程和活动示例：

• 风险识别（符合ISO31000第6.4.2段标准或同等标准）
• 风险分析（符合ISO31000第6.4.3段标准或同等标准）
• 风险评估（符合ISO31000第6.4.4段标准或同等标准）
• 风险处理（符合ISO31000第6.4.5段标准或同等标准）
• 保持风险评估持续更新的流程
• 审查组织的安全绩效和安全风险控制的有效性

3. 设计和开发过程

设计和开发过程应在SMS中得到充分建立和记录。它应包括风险管理、需求管理、需求实施、测试、故障跟踪、补救措施和发布管理。为确保职责得到适当履行，应考虑的流程和活动示例：

• 设计和开发阶段参与人员的角色和责任
• 负责做出影响安全决策的人员的资格和经验
• 协调设计和生产活动之间的角色、职责和信息传递（工艺）

应记录确保设计和开发阶段稳健性的流程和活动示例：

• 组织如何执行所有设计和开发活动的一般描述
• 车辆/系统开发、集成和实施：
• 需求管理（例如需求捕获和验证）
• 验证策略，包括但不限于：
• 物理测试环境评估
• 仿真工具链的可信度评估
• 系统集成
• 软件
• 硬件
• 管理功能安全和操作安全，包括持续评估、更新风险评估和互动
• 人为因素管理（例如以人为本的设计流程）
• 设计和变更管理，包括但不限于：
• 主要设计决策
• ADS的相关设计修改
• 参与设计的人员
• ADS安全验证所采用的工具和阈值

制造商应建立并维护负责功能/操作安全、网络安全和与实现车辆安全相关的任何其他相关学科的部门之间的有效沟通渠道。

4. 生产和部署流程

生产流程应完善并记录在SMS中。为确保开发和生产阶段的稳健性，建议记录的流程和活动示例包括：

• 质量管理体系认证（例如，根据IATF 16949或ISO9001或同等标准）
• 组织执行所有生产职能的方式描述，包括工作条件、工作环境、设备和工具的管理

为确保开发和分布式生产的稳健性而记录的流程和活动示例：

• 车辆和/或ADS制造商与所有其他相关组织（合作伙伴或分包商）之间的联络
• 其他合作伙伴或分包商制造的“子系统/组件”的可接受性标准（即将生产保证要求部署到供应链）

制造商应证明定期进行独立的内部审核和外部审核，以确保为安全管理体系建立的流程得到一致实施。

SMS应包括一个健壮的流程，以确保部署后的软件更新得到适当的验证和分发，并确认下载。

制造商应与参与其车辆开发、制造或使用部署的任何组织（例如合同供应商、服务提供商或制造商子组织）建立适当的安排（例如合同安排、清晰的接口、质量管理体系），以确保其与承诺活动相关
的安全管理方法符合本指南的建议。建议记录的流程和活动示例：

• 供应链组织政策
• 供应链风险的纳入
• 供应商SMS能力评估及相应审核
• 建立合同、协议以确保开发、生产和后期制作阶段的安全的流程
• 分布式安全活动的流程

SMS留档应根据SMS流程的任何相关变化定期更新。建议在审计和更新SMS时使用差距分析，在制定新的更合适的SMS流程之前检查当前的安全文化，以确保问题得到充分解决。SMS应遵循持续改进的过程（例如，ISO9001中描述的“计划、执行、检查、行动”）。对SMS留档的任何更改应按要求通知相关当局。

SMS应采取措施，确保停止生产、支持或维护后的ADS安全。

制造商应有以下流程：

• 确保作为SMS一部分记录的所有做法和活动得到遵守
• 确保对适用要求的合规性进行独立检查（即不是来自创建合规性数据的人）
• 确保持续评估安全管理体系，使其保持有效

5. 与在役监测/报告支柱的链接

制造商应在SMS中包括：监控由ADS引起的与安全相关的事故/剐蹭/碰撞的流程，制造商还应该有一个流程来管理在服务运行阶段潜在的安全相关差距（可能通过服务监控来识别），并有一个更新这些车辆的流程。

制造商应具备向相关机构报告安全相关事件的流程（例如与其他道路使用者的碰撞和潜在的安全相关漏洞，请参阅在役监测和报告支柱）。

制造商应为运营阶段建立流程，以确认符合其定义的安全案例。它应包括早期发现新的未知情况（符合SOTIF安全发展目标，以最小化未知场景区域），事件调查，分享从事件和接近事故分析中得出的经验教训，以使整个生态从运营反馈中学习，并为汽车安全的持续改进做出贡献。

示例：是否有文件描述向管理层报告事件的适当程序？是否有证据表明公司正在遵守该程序？是否有文件描述调查和留档事件的适当程序？是否有证据表明公司正在遵守该程序？