Confirmation Measures (CM) — I0-I3 + DIA + FSAR
本质与导读
本质 Confirmation Measures 是两条正交轴,不是一条 4 级阶梯:measure 类型(Confirmation Review / FS Audit / FS Assessment)是"审什么",独立性等级 I0-I3 是"审的人多独立"——I0-I3 只是独立性程度,不是三件套代号。关键纠错:I3 = 独立于部门即可,公司内部另一部门也行,第三方(TÜV)是 OEM/商业选择而非 ISO 对 I3 的定义。
1. 两条正交轴:measure 类型 × 独立性等级
ISO 26262 Part 2 §6.4.7 (Table 1) 把"谁来 confirm"拆成两个互相垂直的维度:类型——三种 confirmation measure(Confirmation Review 审 work product 内容、Functional Safety Audit 审 process、Functional Safety Assessment 审整体 SG 实现);独立性——四个等级 I0-I3(I0 无要求 / I1 不同的人 / I2 独立于 team / I3 独立于部门)。常见误区是把 I0-I3 当成 CR / Audit / Assessment 三件套的代号——它们不是同一回事:同一个 CR 在不同 ASIL 下可以分别要求 I1 / I2 / I3 独立性。ASIL 等级直接决定每个 measure 要达到的最低独立性,不是"做完 I0 再做 I1":
2. Confirmation Review (CR) — 三种 measure 之一
作用:第一种 confirmation measure,review work product 内容是否正确、是否满足 ISO 26262 要求。CR 本身只是"评审 work product"这一动作,要求的独立性随 ASIL 升高(I0 无要求 → I1 不同人 → I2 独立于 team → I3 独立于部门),并非"低 ASIL 做 I0、高 ASIL 换一种 measure"。
适用 work product(关键 work product 各有对应独立性要求):
评审形式:
- 看文档逻辑、术语、计算
- 1-2h 会议
- 出 review minutes,记录 issue + 关闭状态
独立性随 ASIL 升级:ASIL A 大致要求 I1(不同的人),ASIL B 升 I2(独立于 team),ASIL C/D 升 I3(独立于部门)——精确取值按 Part 2 Table 1 逐 work product 查。
风险:独立性不够易出现"集体盲区"(大家共享同一个错误前提),所以 ASIL 越高、要求评审者越远离作者所在组织单元。
3. 独立性等级 I0-I3 — 套在任一 measure 上的轴
I0-I3 不是 measure 类型,而是某个 confirmation measure(CR / Audit / Assessment)由"多独立"的人执行。四档定义(ISO 26262 Part 2 §6.4.7):
- I0 — 无独立性要求:可省略,或由作者本人执行(仅 QM 级)。
- I1 — 由不同的人执行(没参与该 work product 创作,但可同 team)。
- I2 — 由独立于创建该 work product 的 team 的人执行。
- I3 — 由独立于创建该 work product 的部门 / 组织单元的人执行。注意:I3 只要求部门级独立,完全可以是公司内部另一部门的人;不等于"必须第三方"。
"独立"实操判据:
- 与作者不汇报同一 manager(I2/I3 还需跨 team / 跨部门)
- 没参与该 work product 创作
- 有相应技术能力(否则审不出问题)
形式:
- 评审委员会 3-5 人,按所需独立性跨 team / 跨部门拼
- 提交 evidence + 答辩 + 改 issue + 重审
ASIL 越高,关键 work product 的 CR 要求的独立性越靠 I3。
4. Functional Safety Audit — 三种 measure 之二
审 process 是否合规,不是审 work product 内容。这是与 CR 并列的第二种 measure 类型(本身也按 ASIL 套独立性要求,通常由独立于项目 team 的人执行)。
FS Audit 检查清单(典型 50-100 项):
- HARA 流程是否走完(headers 完整 / 风险评级有理 / TSC 接 SG)
- DIA 是否签
- Confirmation review 记录是否完整
- FMEDA 用的 FIT 数据是否合规来源
- 测试 / FI 覆盖率是否达标
- Tool qualification 是否做(qualification of software tools)
主审:独立功能安全经理 (FSM) — 公司专职岗,通常有 TÜV 培训 + 多年项目经验。
适用:高 ASIL(尤其 ASIL D)项目需做 FS Audit;审计本身要求执行者独立于被审 team。
5. Functional Safety Assessment — 三种 measure 之三
判整体功能安全是否达成:assessment 评判 SG 实现与流程证据是否足以达到目标安全。这是第三种 measure 类型。ISO 要求 ASIL D 做 assessment 并达到所需独立性(I3,独立于部门),但并未要求"必须第三方"——内部独立部门即可满足标准;实务中 OEM 出于商业 / 准入考虑常指定独立第三方机构(TÜV / SGS / DEKRA)来做,这是合同选择,不是 ISO 对 assessment 的定义。
实务常用第三方 (2026,OEM 商业选择而非标准强制):
- TÜV Süd — 德国,EV 主驱主流(比亚迪 / 蔚来 / 小鹏都跑)
- TÜV Rheinland — 德国,商用车 + 经济款 EV
- SGS — 瑞士,全球化
- DEKRA — 德国
- 中汽研 / 中国软件评测中心 — 中国本土,部分 OEM 接受
典型 assessment 周期:
- pre-assessment 1-2 个月(看 OEM/Tier-1 准备情况)
- main assessment 3-6 个月(读评 work products + 现场审 + 答辩)
- 整改 + re-assessment 1-3 个月
- 出 FSAR (Functional Safety Assessment Report) — 100-300 页
成本:100-300 万(EV 主驱 ASIL D 项目典型,第三方 assessment 报价)。
ASIL D 必做 assessment(独立性达 I3),ASIL C 高风险也可做(OEM 选);是否请第三方由 OEM 商业决定。
6. ASIL ↔ CM 对照
ISO 26262 Part 2 Table 1 (简化):行 = ASIL,列 = 三种 measure,格子 = 该 measure 所需的最低独立性等级 I0-I3(不是"做几件套")。各 work product 精确取值仍以原表为准。
| ASIL | Confirmation Review (CR) | FS Audit | FS Assessment |
|---|---|---|---|
| A | I0–I1 | — | — |
| B | I1–I2 | — | — |
| C | I2–I3 | 需做 | (可选) |
| D | I3 | 需做 | 需做 |
ASIL D:关键 work product 的 CR 达 I3 独立性,并加做 FS Audit + FS Assessment。
7. DIA — Development Interface Agreement
DIA 是 Tier-1 与 OEM 之间的功能安全责任分工书 — 没 DIA = 评审拒。
DIA 内容:
- 每个 work product 谁出(OEM / Tier-1 / 哪个团队)
- 每个 work product 谁 review(I0-I3)
- 接口数据格式 / 时间表 / 验收标准
- Tool qualification 责任分工
- DTC / FI / FSAR 各自负责范围
EV 主驱典型 DIA 约 50-150 页,签字时间 2-4 个月。没签 DIA 直接进开发 = 后期评审推倒重来。
链接:ASIL 分解深度 — DIA 也定义分解 channel 边界
8. FSAR 报告
FSAR (Functional Safety Assessment Report) 是 Functional Safety Assessment 的最终输出,OEM 凭 FSAR 决定整车量产准入。
FSAR 内容 (典型 100-300 页):
- 执行摘要 — 评估结论 (Conformance / Conditional / Non-Conformance)
- HARA + FSC + TSC review — 完整性 + 合规性
- FMEDA 复核 — SPFM/LFM/PMHF 数值合理
- FI test review — 100+ scenario 覆盖审查
- DIA 审查 — 责任分工是否清晰
- Open issues — 必须整改的清单
- 附录: 工具资质 / Confirmation reviews / 流程文档
Open issue 等级:
- Major (整改前不允许量产)
- Minor (整改方案确认即可)
- Observation (建议改进)
EV 主驱 ASIL D 项目典型出 5-15 Major + 30-60 Minor + 100+ Observation,整改后 re-assessment 通过 → "Conformance" 结论 → 量产 PPAP 通过。
9. CM 失败的 5 个常见原因
CM 在 OEM 评审会拒最常见的不是技术错,而是 process / 独立性 / 证据 三类问题。下表 5 个反复出现的坑:
| 拒因 | 描述 | 预防 |
|---|---|---|
| CR reviewer 独立性不够 | 跟作者同 manager / 同 team / 同部门,达不到该 ASIL 要求的 I 等级 | 按 ASIL 配够独立性(跨 team / 跨部门)+ 文档化 |
| FS Audit checklist 不全 | 漏 tool qualification / DIA / FI | 用 TÜV 模板 checklist |
| FSAR 整改不彻底 | Major issue 留尾巴 | re-assessment 必通 |
| 缺 DIA 签字 | OEM 与 Tier-1 责任不清 | DIA 项目启动 1 月内签 |
| Confirmation 记录缺 | 评审 minutes 没存 | 文档化每次 review |
10. EV 主驱 ASIL D 项目典型 CM 时间表
把三种 measure(CR / FS Audit / FS Assessment)+ DIA + FSAR 拼成一个 18-24 个月的真实项目时间表,可以看到 FS Assessment + 整改占了整个 SOP 后 6-9 个月。新主管 onboard 时必须按这条 timeline 倒推什么时候必须出 DIA / 什么时候启动 TÜV pre-assessment:
| 时段 | 活动 |
|---|---|
| Month 0 | 项目启动 + DIA 草签 + CR reviewer(按独立性)分配 |
| Month 1–3 | HARA / FSC / TSC + CR(I1–I2 独立性) |
| Month 4–6 | HW/SW 设计 + FMEDA + CR |
| Month 7–9 | 集成 + FI test + FS Audit |
| Month 10–12 | FS Assessment pre-assessment (TÜV) |
| Month 13–15 | FS Assessment main assessment |
| Month 16–18 | 整改 + re-assessment |
| Month 19 | FSAR final + 量产 PPAP 通过 |
典型 18-24 个月,FS Assessment 占 6-9 个月。
核心要点
- CM = 两条正交轴:三种 measure 类型(CR 审内容 / FS Audit 审 process / FS Assessment 审整体)× 四个独立性等级 I0/I1/I2/I3;I0-I3 是独立性程度,不是 measure 代号。
- I0 无独立要求 / I1 不同的人 / I2 独立于 team / I3 独立于部门——I3 ≠ 必须第三方,公司内部另一部门即可满足。
- ASIL D:关键 work product 的 CR 达 I3 独立性 + 加做 FS Audit + FS Assessment;请第三方(TÜV/SGS)是 OEM 商业选择,周期 6-12 个月 + 100-300 万。
- DIA 是 Tier-1 ↔ OEM 责任分工书,没签 DIA = 评审拒。
- FSAR 是 FS Assessment 输出 100-300 页,出 Major / Minor / Observation。
- 实务常用第三方:TÜV Süd / Rheinland / SGS / DEKRA / 中汽研(非标准强制)。
- CM 失败常见 5 因:reviewer 独立性不够 / Audit checklist 不全 / FSAR 整改不彻底 / 缺 DIA / Review 记录缺。
- EV 主驱 ASIL D 项目典型 18-24 个月,FS Assessment 占 6-9 个月。
缩写表
只列本页用到的工业标准缩写;通用英语…
只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的
层/Lxtag 不列。覆盖不到的术语见正文 inline 注释。
| 缩写 | 全称 | 中文 / 备注 |
|---|---|---|
| CM | Confirmation Measures | 确认措施(ISO 26262-2) |
| DIA | Development Interface Agreement | 开发接口协议(ISO 26262-8) |
| ISO | International Organization for Standardization | 国际标准化组织 |
| HARA | Hazard Analysis and Risk Assessment | 危害分析与风险评估,part 3 |
| FSC | Functional Safety Concept | 功能安全概念(part 3) |
| TSC | Technical Safety Concept | 技术安全概念(part 4) |
| FMEDA | Failure Modes, Effects and Diagnostic Analysis | 含诊断覆盖的 FMEA |
| SAE | Society of Automotive Engineers | 美国汽车工程师学会 |
| ASIL | Automotive Safety Integrity Level | ISO 26262 安全完整性等级 QM→A→B→C→D |
| SG | Safety Goal | 安全目标(ISO 26262-3) |
| OEM | Original Equipment Manufacturer | 整车厂 / 主机厂 |
| EV | Electric Vehicle | 电动车 |
| SM | Safety Mechanism | 安全机制 |
| FIT | Failures In Time | 1e9 小时失效率单位 (1 FIT = 1 failure / 1e9 h) |
| DTC | Diagnostic Trouble Code | 诊断故障码 |
| SPFM | Single-Point Fault Metric | 单点失效度量 |
| LFM | Latent Fault Metric | 潜伏故障度量 |
| PMHF | Probabilistic Metric for Hardware Failures | 硬件随机失效概率指标 |
| PPAP | Production Part Approval Process | 生产件批准程序(汽车业) |
Cross-references
- ← 索引
- 功能安全工程师指南 hub — V-cycle + 8 大主题
- FMEDA 深度 — FMEDA 是 CM 审查对象
- ASIL 分解深度 — DIA 也定义 channel 边界
- Fault Injection Test 深度
- ISO 26262 Part 3 HARA
- Tool Qualification