Confirmation Measures (CM) — I0-I3 + DIA + FSAR

ISO 26262 Part 2 §6.4.7 (Table 1) 把"谁来 confirm"拆成两个互相垂直的维度:类型——三种 confirmation measure(Confirmation Review 审 work product 内容、Functional Safety Audit 审 process、Functional Safety Assessment 审整体 SG 实现);独立性——四个等级 I0-I3(I0 无要求 / I1 不同的人 / I2 独立于 team / I3 独立于部门)。常见误区是把 I0-I3 当成 CR / Audit / Assessment 三件套的代号——它们不是同一回事:同一个 CR 在不同 ASIL 下可以分别要求 I1 / I2 / I3 独立性。ASIL 等级直接决定每个 measure 要达到的最低独立性,不是"做完 I0 再做 I1":

作用:第一种 confirmation measure,review work product 内容是否正确、是否满足 ISO 26262 要求。CR 本身只是"评审 work product"这一动作,要求的独立性随 ASIL 升高(I0 无要求 → I1 不同人 → I2 独立于 team → I3 独立于部门),并非"低 ASIL 做 I0、高 ASIL 换一种 measure"。

适用 work product(关键 work product 各有对应独立性要求):

• HARA 报告
• FSC (Functional Safety Concept)
• TSC (Technical Safety Concept) 接口规范
• FMEDA 计算表
• 测试报告

评审形式:

• 看文档逻辑、术语、计算
• 1-2h 会议
• 出 review minutes,记录 issue + 关闭状态

独立性随 ASIL 升级:ASIL A 大致要求 I1(不同的人),ASIL B 升 I2(独立于 team),ASIL C/D 升 I3(独立于部门)——精确取值按 Part 2 Table 1 逐 work product 查。

风险:独立性不够易出现"集体盲区"(大家共享同一个错误前提),所以 ASIL 越高、要求评审者越远离作者所在组织单元。

I0-I3 不是 measure 类型,而是某个 confirmation measure(CR / Audit / Assessment)由"多独立"的人执行。四档定义(ISO 26262 Part 2 §6.4.7):

• I0 — 无独立性要求:可省略,或由作者本人执行(仅 QM 级)。
• I1 — 由不同的人执行(没参与该 work product 创作,但可同 team)。
• I2 — 由独立于创建该 work product 的 team 的人执行。
• I3 — 由独立于创建该 work product 的部门 / 组织单元的人执行。注意:I3 只要求部门级独立,完全可以是公司内部另一部门的人;不等于"必须第三方"。

"独立"实操判据:

• 与作者不汇报同一 manager(I2/I3 还需跨 team / 跨部门)
• 没参与该 work product 创作
• 有相应技术能力(否则审不出问题)

形式:

• 评审委员会 3-5 人,按所需独立性跨 team / 跨部门拼
• 提交 evidence + 答辩 + 改 issue + 重审

ASIL 越高,关键 work product 的 CR 要求的独立性越靠 I3。

审 process 是否合规,不是审 work product 内容。这是与 CR 并列的第二种 measure 类型(本身也按 ASIL 套独立性要求,通常由独立于项目 team 的人执行)。

FS Audit 检查清单(典型 50-100 项):

• HARA 流程是否走完(headers 完整 / 风险评级有理 / TSC 接 SG)
• DIA 是否签
• Confirmation review 记录是否完整
• FMEDA 用的 FIT 数据是否合规来源
• 测试 / FI 覆盖率是否达标
• Tool qualification 是否做(qualification of software tools)

主审:独立功能安全经理 (FSM) — 公司专职岗,通常有 TÜV 培训 + 多年项目经验。

适用:高 ASIL(尤其 ASIL D)项目需做 FS Audit;审计本身要求执行者独立于被审 team。

判整体功能安全是否达成:assessment 评判 SG 实现与流程证据是否足以达到目标安全。这是第三种 measure 类型。ISO 要求 ASIL D 做 assessment 并达到所需独立性(I3,独立于部门),但并未要求"必须第三方"——内部独立部门即可满足标准;实务中 OEM 出于商业 / 准入考虑常指定独立第三方机构(TÜV / SGS / DEKRA)来做,这是合同选择,不是 ISO 对 assessment 的定义。

实务常用第三方 (2026,OEM 商业选择而非标准强制):

• TÜV Süd — 德国,EV 主驱主流(比亚迪 / 蔚来 / 小鹏都跑)
• TÜV Rheinland — 德国,商用车 + 经济款 EV
• SGS — 瑞士,全球化
• DEKRA — 德国
• 中汽研 / 中国软件评测中心 — 中国本土,部分 OEM 接受

典型 assessment 周期:

• pre-assessment 1-2 个月(看 OEM/Tier-1 准备情况)
• main assessment 3-6 个月(读评 work products + 现场审 + 答辩)
• 整改 + re-assessment 1-3 个月
• 出 FSAR (Functional Safety Assessment Report) — 100-300 页

成本:100-300 万(EV 主驱 ASIL D 项目典型,第三方 assessment 报价)。

ASIL D 必做 assessment(独立性达 I3),ASIL C 高风险也可做(OEM 选);是否请第三方由 OEM 商业决定。

ISO 26262 Part 2 Table 1 (简化):行 = ASIL,列 = 三种 measure,格子 = 该 measure 所需的最低独立性等级 I0-I3(不是"做几件套")。各 work product 精确取值仍以原表为准。

ASIL D:关键 work product 的 CR 达 I3 独立性,并加做 FS Audit + FS Assessment。

DIA 是 Tier-1 与 OEM 之间的功能安全责任分工书 — 没 DIA = 评审拒。

DIA 内容:

• 每个 work product 谁出(OEM / Tier-1 / 哪个团队)
• 每个 work product 谁 review(I0-I3)
• 接口数据格式 / 时间表 / 验收标准
• Tool qualification 责任分工
• DTC / FI / FSAR 各自负责范围

EV 主驱典型 DIA 约 50-150 页,签字时间 2-4 个月。没签 DIA 直接进开发 = 后期评审推倒重来。

链接:ASIL 分解深度 — DIA 也定义分解 channel 边界

FSAR (Functional Safety Assessment Report) 是 Functional Safety Assessment 的最终输出,OEM 凭 FSAR 决定整车量产准入。

FSAR 内容 (典型 100-300 页):

1. 执行摘要 — 评估结论 (Conformance / Conditional / Non-Conformance)
2. HARA + FSC + TSC review — 完整性 + 合规性
3. FMEDA 复核 — SPFM/LFM/PMHF 数值合理
4. FI test review — 100+ scenario 覆盖审查
5. DIA 审查 — 责任分工是否清晰
6. Open issues — 必须整改的清单
7. 附录: 工具资质 / Confirmation reviews / 流程文档

Open issue 等级:

• Major (整改前不允许量产)
• Minor (整改方案确认即可)
• Observation (建议改进)

EV 主驱 ASIL D 项目典型出 5-15 Major + 30-60 Minor + 100+ Observation,整改后 re-assessment 通过 → "Conformance" 结论 → 量产 PPAP 通过。

CM 在 OEM 评审会拒最常见的不是技术错,而是 process / 独立性 / 证据 三类问题。下表 5 个反复出现的坑:

把三种 measure(CR / FS Audit / FS Assessment）+ DIA + FSAR 拼成一个 18-24 个月的真实项目时间表,可以看到 FS Assessment + 整改占了整个 SOP 后 6-9 个月。新主管 onboard 时必须按这条 timeline 倒推什么时候必须出 DIA / 什么时候启动 TÜV pre-assessment:

典型 18-24 个月,FS Assessment 占 6-9 个月。