自动驾驶合规宝典6～安全管理体系SMS审核

1.安全政策

2.风险管理

3.设计和开发过程

4.生产和部署流程

5.与在役监测/报告支柱的链接

 制造商安全管理体系审核的目的是确认制造商具有健全的流程来管理安全风险，并确保整个ADS生命周期（开发、生产、运营和退役）的安全。它应包括采取适当措施监控在役车辆，并在必要时采取纠正措施。

安全管理体系SMS是一种管理安全的系统方法，它包括并整合了与ADS相关的组织、人力和技术因素：

（a）人力因素：确保ADS生命周期的人的组成部分由具有适当技能、培训和理解的人员监控，以识别风险和适当的缓解措施；

（b）组织（管理）因素：采用系统性的程序和方法，有助于管理已识别的风险，了解它们与其他风险和缓解措施的关系和相互作用，并帮助确保没有不可预见的风险。

（c）技术因素：使用适当的工具和设备。

适当的SMS将结合人力、组织、技术三个因素来监测和提高安全性，并有助于控制已识别的风险。SMS评估应基于汽车（或其他行业）工程标准、指南和与安全相关的最佳实践文件（例如：ISO9001、ISO21434、ISO26262、IATF 16949等）。

1. 安全政策

制造商应记录的过程和活动包括：

（a）安全政策和原则（符合ISO21434第5.4.2和ISO9001汽车5.2段所述的概念）；

（b）组织安全目标和创建安全案例中使用的安全绩效指标的过程；

（c）SMS的适当结构，考虑法规、标准、最佳实践指南和车辆用例，并将其组织结构、流程和工作产品映射到SMS；

（d）安全文化（ISO26262-2，第5.4.2段）；

（e）安全治理要素：

  （ii）角色和责任（ISO26262-2第6.4.2段，这涉及组织和项目相关活动）；

（f）在本组织内部就安全问题进行有效沟通（ISO26262-2，第5.4.2.3段）；

（g）组织外信息共享（符合ISO21434第5.4.5段所述的概念，ISO9001，但从安全角度来看）；

（h）质量管理体系（例如，根据IATF 16949或ISO9001或同等标准），以支持安全工程，包括变更管理、配置管理、需求管理、工具管理等。

2.风险管理

        SMS中应包含安全风险管理流程，以识别和评估与上述三个SMS因素（即人、组织和技术）相关的风险。识别到的任何操作风险都应在设计和开发阶段实施缓解措施。ADS制造商应该能够展示整体风险管理流程、风险缓解措施和由此产生的运营风险之间的联系。

  制造商记录的风险管理流程和活动示例：

（a）风险识别（符合ISO31000第6.4.2段标准或同等标准）；

（b）风险分析（符合ISO31000第6.4.3段标准或同等标准）；

（c）风险评估（符合ISO31000第6.4.4段标准或同等标准）；

（d）风险处理（符合ISO31000第6.4.5段标准或同等标准）；

（e）保持风险评估持续更新的流程；

（f）审查组织的安全绩效和安全风险控制的有效性。

3. 设计和开发过程

（a）设计和开发阶段参与人员的角色和责任；

（b）负责做出影响安全决策的人员的资格和经验；

（c）协调设计和生产活动之间的角色、职责和信息传递（工艺）。

  制造商应建立并维护负责功能/操作安全、网络安全和与实现车辆安全相关的任何其他相关学科的部门之间的有效沟通渠道。

4. 生产和部署流程

（a）质量管理体系认证（例如，根据IATF 16949或ISO9001或同等标准）；

（b）组织执行所有生产职能的方式描述，包括工作条件、工作环境、设备和工具的管理。

为确保开发和分布式生产的稳健性而记录的流程和活动示例：

（a）车辆和/或ADS制造商与所有其他相关组织（合作伙伴或分包商）之间的联络；

（b）其他合作伙伴或分包商制造的“子系统/组件”的可接受性标准（即将生产保证要求部署到供应链）。

 制造商应证明定期进行独立的内部审核和外部审核，以确保为安全管理体系建立的流程得到一致实施。

 SMS应包括一个健壮的流程，以确保部署后的软件更新得到适当的验证和分发，并确认下载。

 制造商应与参与其车辆开发、制造或使用部署的任何组织（例如合同供应商、服务提供商或制造商子组织）建立适当的安排（例如合同安排、清晰的接口、质量管理体系），以确保其与承诺活动相

关的安全管理方法符合本指南的建议。建议记录的流程和活动示例：

（a）供应链组织政策；

（b）供应链风险的纳入；

（c）供应商SMS能力评估及相应审核；

（d）建立合同、协议以确保开发、生产和后期制作阶段的安全的流程。

（e）分布式安全活动的流程。

SMS留档应根据SMS流程的任何相关变化定期更新。建议在审计和更新SMS时使用差距分析，在制定新的更合适的SMS流程之前检查当前的安全文化，以确保问题得到充分解决。SMS应遵循持续改进的过程（例如，ISO9001中描述的“计划、执行、检查、行动”）。对SMS留档的任何更改应按要求通知相关当局。

 SMS应采取措施，确保停止生产、支持或维护后的ADS安全。

    制造商应有以下流程：

（a）确保作为SMS一部分记录的所有做法和活动得到遵守；

（b）确保对适用要求的合规性进行独立检查（即不是来自创建合规性数据的人）；

（c）确保持续评估安全管理体系，使其保持有效。

5. 与在役监测/报告支柱的链接

  制造商应具备向相关机构报告安全相关事件的流程（例如与其他道路使用者的碰撞和潜在的安全相关漏洞，请参阅在役监测和报告支柱）。

制造商应为运营阶段建立流程，以确认符合其定义的安全案例。它应包括早期发现新的未知情况（符合SOTIF安全发展目标，以最小化未知场景区域），事件调查，分享从事件和接近事故分析中得出的经验教训，以使整个生态从运营反馈中学习，并为汽车安全的持续改进做出贡献。

 示例：是否有文件描述向管理层报告事件的适当程序？是否有证据表明公司正在遵守该程序？是否有文件描述调查和留档事件的适当程序？是否有证据表明公司正在遵守该程序？