一说到文化，大家都觉得话题太泛或太虚，因为这东西有种“只可意会不可言传”的感觉，安全文化的概念自然也逃脱不了这种“第一印象”。

功能安全是一门 ‘流程和技术的结合体’ 的综合性通用学科，文化其实是流程的一种抽象化，如果一家公司拥有先进、成熟的开发、管理流程，其安全文化自然不会差，因为流程将文化具象化，说直白点就是通过流程将文化落地。

图1 —— 流程与文化

拥有优秀的流程相当于有了个好的开端，这是功能安全要在项目中落地的一大保障，通过 ‘流程为技术赋能’ 才是功能安全真正落地的先进模式。

在谈“安全文化”之前，我们有必要了解下这个词的概念。由于本文是关于ISO26262功能安全的文章，文中提到的安全特指汽车行业的功能安全。但其实安全文化中的“安全”针对的不仅仅是功能安全，还可以是产品开发过程中和安全相关的方方面面，我称之为 ‘大安全’ ，比如既有功能安全、预期功能安全，也有信息安全。这也符合汽车发展对安全方面的需求。

先来看看“文化”一词的概念，从百度百科的解释来看“文化”一词的含义非常广泛，不同行业不同学科之间都有其自己的定义。其中有一种比较符合本文要表达的文化含义，即“文化是人类创新活动永恒拓展的载体、创新水平提升的工具、传播的手段。”

看起来该定义非常宏大，因为都定义到人类活动去了，如果将这个活动主体缩小到公司的范畴，那这种定义就变得具体一些了，即文化是公司发展、创新活动永恒拓展的载体、创新水平提升的工具、传播的手段。

图2 —— 文化的概念

简单讲，文化是一种载体、工具和手段。按此定义延伸到安全相关方面，安全文化则是公司安全相关活动拓展的载体、安全活动创新水平提升的工具、安全活动传播的手段，这不就是流程吗。结合个人理解和日常工作的实践，对此定义深以为然。

言归正传，回到今天的主题“安全文化”。ISO262626标准中给出了安全文化应包括的内容，具体如下：

Safety culture includes:

a) personal dedication and integrity of the persons responsible for achieving or maintaining functional  safety and of the persons performing or supporting safety activities in the organization; and

b) safety thinking throughout the organization that allows for a questioning attitude, that prevents complacency, commits to excellence, fosters the taking of responsibility and corporate self-regulation in safety matters.

该定义强调了参与功能安全活动组织与个人需要有奉献、正直和诚信精神，因为这些品质会影响安全的质量。同时该定义还强调组织要具备安全思维，围绕安全问题具备质疑精神，勇于承担责任和自我监督，使安全相关活动能创新发展，这与上文提到的安全文化内涵相符合。

到目前为止，关于安全文化概括性的定义已经讨论的差不多了，那具体如何用该定义来衡量安全文化是否足够或达标了呢？

ISO26262-2-2018, Annex B，Table B.1中举的例子已经非常具有说明意义。这里挑一部分来看以尝试举一反三，如下图展示的安全文化评估示例。

图3 —— 安全文化评估示例

概括性地来讲，安全文化是否满足标准要求体现在：

1）功能安全相关活动是否可追溯，包括责任；

2）安全这一属性是否得到组织的肯定，即安全是否开发活动中优先级最高的考量；

3）促进或阻碍功能安全实现的行为是否有相关奖惩措施，“good for good, bad for bad”；

4）安全评估人员的权力和独立性是否有保证，即是否能保证安全评估活动的公正力；

5）是否具有积极的安全意识，即安全要做的“防患于未然”而非事后“打补丁”；

6）功能安全活动所需的资源是否匹配，如人员能力；

7）组织和个人是否具有担当意识和自我革新精神，而非打压“少数派报告”的行为，如个人愿意主动披露发现的问题；

8）是否具备持续改进的精神；（这个和质量要求相一致）

9）是否具备一个统一的强有力的功能安全开发流程来指导功能安全开发活动的方方面面；

10）安全开发活动是否充分融入到产品开发活动中，即功能安全活动是否是项目开发的一部分而非一小撮人的单打独斗；

11）组织是否良好的安全文化氛围及维持和更新安全文化活动，如流程持续改进，功能安全定期培训；

12）组织是否给功能安全从业人员或想从事这方面工作的人员提供完善的职业发展路径。

以上评价准则都是些定性的描述，可以作为checklist结合定量形式进行打分评估，形式可参考以表1(只列举部分)。

注：本表格仅供参考，并不代表唯一的详尽列表，组织可跟进自身情况进行扩充。

表1 —— 安全文化评价表

以上准则有些方面要基于一些假设，比如上述第4条“安全评估人员的权力和独立性是否有保证，即是否能保证安全评估活动的公正力”，保证这条完美实现的前提是该评估人员是诚信、正直的，正如上文提到的安全文化应包含的内容a)所定义的那样，不然这将是安全评估中的一个“漏洞”。

图4 —— 公司小团体

另外，需要强调一点，安全文化是公司文化的一部分，要在公司层面进行规划，意味着首先领导层要把安全作为一项重要的工作进行统筹，这是保证安全优先级能排在首要位置的前提。

到此，评价准则已具备，但能不能做到就是另外一回事了，俗话说“说起来容易做起来难”，毕竟真正的实践过程中除了要对项目的成本、进度、资源进行平衡，还涉及到对各干系人利益的平衡，人心惟危啊。

要铸就优秀的安全文化绝不是建一个流程体现功能安全就完事了，这涉及组织做事方式上“理念”的转变，需要时间的打磨与沉淀，对于公司来讲这是项“伟大”的工程，道路往往是漫长且曲折的。

 图5 —— 路漫漫其修远兮

但这也是“文化”一词本身的内涵所在，即为实现目标不断努力并持续改进和创新，最终实现组织内部理念统一并获得外部的认可，此非易事，需坚持长期主义的群策群力，好事多磨。

安全文化的落地更多的是对组织过程能力的考验，虽非易事，但道阻且长，行则将至。最后用中国古人的一句话来总结安全文化的落地：“为之，则难者亦易矣，不为，则易者亦难矣。”

图6 —— just do it

参考：

[1] ISO 26262-2:2018, Management of functional safety

[2] Automotive System Safety Critical Considerations for Engineering and Effective Management

更多精彩内容欢迎关注：功能安全落地漫谈