Confirmation Measures 安全评审 / 审计 / 评估

功能安全L1别名 Confirmation Measures · FSA · Functional Safety Audit · Functional Safety Assessment · Confirmation Review · 安全评审 · 安全审计 · 安全评估

本质与导读

本质 ISO 26262 不允许"自己签自己":Safety Case 必须由独立审查者上戳才可信,且 ASIL 越高要求的独立性等级越高——ASIL D 强制 I3,即完全独立的部门或第三方机构 (TÜV / SGS / DEKRA / Exida),不许项目内同事互审。这正是它区别于 IATF / ASPICE 的核心——强调审查独立性而非流程一致性。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 三类 Confirmation Measures

ISO 26262 Part 2 §6.4.6 强制要求三类独立审查机制——颗粒度从细到粗,Safety Case 必须三层都过。

Confirmation Measures 三类 — Review (文档) / Audit (过程) / Assessment (整体)

措施颗粒度看什么何时做独立性要求
Confirmation Review工作产品文档内容是否完整、正确每个 work product 完成时ASIL B+ I1 / C I2 / D I3
Functional Safety Audit (FSA)过程流程实际跑得是否合规每个 milestone 或阶段ASIL C+ I2 / D I3
Functional Safety Assessment项目整体Safety Case 整体能否签SOP 前最终 gateASIL C+ I3 强制

关键认知:三类不是"选一类做",ASIL D 项目必须三类都做——形成"信心金字塔":

  • 底层:每个文档级别有 Review (信心 1)
  • 中层:每个过程级别有 Audit (信心 2)
  • 顶层:整个项目有 Assessment (信心 3)

任一层缺,Safety Case 不能签字

2. 独立性等级 I0-I3

独立性等级 (Independence Level) 由 ISO 26262 Part 2 Annex C 定义——本质是"审查员与作者的距离":

独立性等级 I0-I3 × ASIL — ASIL D 强制 I3

等级定义典型角色
I0作者自己审自查 (self-check)
I1同一团队不同人审项目组内同事互审
I2跨团队 / 跨项目同部门同公司不同项目的安全工程师
I3跨部门完全独立不同管理线汇报 / 第三方机构

判定 I3 的硬条件:

  • 审查员不向项目经理汇报 (没有利益冲突)
  • 审查员不参与该项目任何前期工作
  • 审查员有 ISO 26262 资质认证 (如 TÜV FSE - Functional Safety Engineer)

关键认知:I3 不一定意味"必须外包"——大型 OEM (BMW / Daimler) 有独立的"功能安全中央部门",可以做项目内 I3 评审但 ASIL D 主驱通常会请第三方 (TÜV / SGS / Exida) 做最终 FSA,因为这样审计的可信度最高。

3. Confirmation Review (文档级)

Confirmation Review 针对单个工作产品——HARA 一份,FSC 一份,TSC 一份,Safety Case 一份等。

典型 review 清单:

Work Product何时 reviewI 等级 (ASIL D)
Safety PlanPhase 1I3
HARAPhase 1 末I3
Item DefinitionPhase 1 末I3
FSCPhase 2I3
TSCPhase 3I3
HSIPhase 3I3
FMEDAPhase 3I3
Software Safety RequirementsPhase 3I3
Safety CaseSOP 前I3
Production ReleaseSOPI3

Review 形式:

  • 评审员独立通读文档
  • 列出 finding 清单 (errors / improvements)
  • 作者答辩 + 改 + 复审
  • 关闭循环 + 签字

典型 finding 类型:

  • 文档结构不符 ISO 26262 模板
  • TSR 不可测试 (例:"系统要稳定")
  • 与上游文档断 link (TSC 没引用 FSC 编号)
  • DC 估值无依据

4. Functional Safety Audit (过程级)

FSA Audit 针对过程——检查"流程是否按 Safety Plan 跑了":

检查维度内容
Safety Plan 执行度计划的 milestone 是否按时完成
Tool Qualification 状态用到的工具是否都有 qualification 记录
变更管控任何 baseline 变更是否走了 PCN 流程
DIA 状态跨组织 DIA 是否签全
培训记录团队成员是否接受 ISO 26262 培训
缺陷管理bug 是否在 issue tracker 里全部追踪
配置管理文档版本控制是否到位

FSA 频次:大型项目典型 每 3-6 个月一次,共 4-6 次 (项目 24-36 个月)。

FSA 输出:Audit Report,列出 NC + corrective action + 签字。

5. Functional Safety Assessment (整体)

FS Assessment 是 SOP 前最终 gate——评估"整个项目的安全证据是否完整、可信、能签字":

Assessment 范围:

  • Safety Case 完整性
  • 所有 Safety Goal 是否有充分证据
  • 所有 ASIL 等级的措施是否到位 (SPFM/LFM/PMHF 达标)
  • 所有 V&V 是否完成
  • 所有 Confirmation Review + FSA 是否关闭

Assessment 流程 (典型 1-3 个月):

阶段 (时长)主要活动 / 产出
准备阶段 (2–4 周)提交 Safety Case 给 assessor
现场审核 (1–2 周)文档审 + 团队访谈 + 现场观摩
报告阶段 (2–4 周)列出 finding + corrective action
关闭阶段 (持续)整改 + 复审
最终签字发 Assessment Certificate

Assessment Verdict:

  • Passed:全部 OK,Safety Case 可签
  • Conditional Pass:有 NC 但整改后可签 (典型 30-90 天内)
  • Failed:严重不符,推迟 SOP

关键认知:FS Assessment 不是"流程审计"——它是"实质性审查",审计员要看实际数据 (如随机抽 50 个 FMEDA 行验算 FIT),不仅看签字。

6. 第三方机构在 FSA 中的角色

主流第三方 FSA 机构 (按市场份额):

机构国家强项典型客户
TÜV SÜD / Rheinland / Nord德国欧洲主流,ISO 26262 蓝本大众/Audi/BMW/Daimler
SGS瑞士全球网络,认证速度快多 OEM
DEKRA德国欧洲第二大Mercedes / Porsche
Exida美国北美主流,IEC 61508 起家Tesla / Ford / GM
DNV挪威海事/能源延伸Volvo / Ford 部分
国内:Intertek / 中汽研 / TÜV 上海中国国内 OEM 友好新势力 / 国内 OEM

典型成本 (一个 ASIL D 主驱项目):

  • 第三方 FSA:¥80-200 万
  • 内部 I3 (大公司有独立部门):成本摊薄但人月仍 30-60
  • 时间:1-3 月

关键认知:OEM 在合同里会写明 "FSA by accredited third party" —— 不接受供应商自家做 ASIL D Assessment。

7. Confirmation Measures vs ASPICE Assessment vs IATF Audit

三个体系容易混淆但本质不同:

维度Confirmation MeasuresASPICE AssessmentIATF Audit
标准ISO 26262 Part 2ISO 33020 + ASPICE 4.0IATF 16949
审什么功能安全证据软件流程成熟度质量管理体系
颗粒度Safety Case 完整性PA Capability LevelQMS 条款符合性
资质TÜV FSE / Exida CFSEiNTACS Assessor / VDA AssessorIATF 资质 ISO 9001 审核员
频次项目 SOP 前 + ASIL 决定项目 SOP 前 + OEM 决定年度 + 3 年再认证
典型机构TÜV / SGS / ExidaSGS / TÜV / Kugler MaagTÜV / SGS / BSI

实操:一个 PEU 项目可能 同时进行三套审计:

  • ISO 26262 FSA by TÜV (1 次)
  • ASPICE Assessment by SGS (1 次)
  • IATF Audit by BSI (年度)

三套独立通道,不能用一个替代另一个

8. Confirmation Measures 与 topic-tsc-dia 的关系

DIA (Development Interface Agreement) 必须列明 Confirmation Measures 责任分配——这是 ISO 26262 Part 8 §5 的硬要求:

DIA 条款内容
Review 责任哪些 work product 由哪方 review
独立性约定OEM 是否承认 Tier-1 内部 I3 评审
FSA 频次OEM 派人来 audit 还是接受 Tier-1 audit 报告
Assessment 主体OEM 自己做还是 Tier-1 做
第三方机构选择双方认可的 assessor 名单

典型场景:OEM 与 Tier-1 在 DIA 里约定 "Tier-1 内部完成 Review + FSA,OEM 派人观察;Final Assessment 由 OEM 指定的 TÜV 团队做"——这种分工最常见。

9. 5 个常见陷阱

Confirmation Measures 失败模式集中在 5 个反复出现的坑:

陷阱描述预防
自审 (I0) 当 I3 用项目内同事互审,声称"独立"I3 必须不向同一项目经理汇报
Review 走过场评审员只看签字,不读文档finding 数 < 5 通常意味没认真审
FSA 只看 PPT流程审计停在汇报,不看实际数据每次 audit 抽查实际工件
Assessment 漏 NC整改"承诺"了但没复核NC 必须复审 + 签字关闭
第三方机构换错选了 OEM 不认可的第三方DIA 里明确机构名单

核心要点
  • Confirmation Measures 三类:Review (文档) / Audit (过程) / Assessment (整体)——ASIL D 三类都必做。
  • 独立性等级 I0-I3——ASIL D 强制 I3 (跨部门完全独立或第三方)。
  • 主流第三方:TÜV / SGS / DEKRA / Exida / DNV;国内:Intertek / 中汽研 / TÜV 上海。
  • 一个 ASIL D 主驱项目第三方 FSA 成本典型 ¥80-200 万,周期 1-3 月。
  • Confirmation Measures ≠ ASPICE Assessment ≠ IATF Audit——三套独立通道,不能互替。
  • DIA 必须列明 Confirmation Measures 责任分配。
  • 典型分工:Tier-1 做 Review + FSA,OEM 指定第三方做 Final Assessment
  • Review finding 数 < 5 = 评审员没认真;Assessment 漏 NC 不复核 = 假签。

Engineering Objects
引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

  • standard · standard_iso26262_part2 — ISO 26262 Part 2 Management of FS

Cross-references