Safety Assessment / Audit / Confirmation — 三层独立检查

功能安全L3别名 Safety Assessment · FSA · Confirmation Review · Functional Safety Audit · TÜV Assessment · 第三方评估

本质与导读

本质:ISO 26262 不只要求"做对",还要求"被独立检查"。三种检查的目的、范围、独立性要求都不同 — Confirmation Review 看每个工作产品;Audit 看流程执行;Assessment 是 SoP 前的最终合规判定。ASIL D 项目里 Confirmation 50+ 次,Audit 5-10 次,Assessment 1 次但 12-16 周(TÜV)。忘记早做 Interim Assessment → SoP 推迟 3-6 月是车规最贵的失误之一。

主线坐标:横轨 · 功能安全(跨站) · ↑ 全景主线

1. 三种检查对比

ISO 26262 Part 2-6.4.7 定义 3 种独立检查,三者并行,不能互替。Confirmation 查"工作产品本身合规否",Audit 查"做事情按 Plan 没",Assessment 查"整体合规否"。

ISO 26262 三种安全检查

检查	看什么	何时	次数	ASIL D 独立性
Confirmation Review	单个 work product	每 product 完成后	~ 50+	I3 (大部分)
FS Audit	流程执行 + Safety Plan	阶段 milestone	~ 5-10	I3 + 第三方
FS Assessment	全 Safety Case	SoP 前 6-3 月	1 (可分阶段)	必须第三方(TÜV/exida)

独立性 I1/I2/I3 三档(Part 2-6.4.7):

I1:不同人,同 team 同上司 — ASIL A 接受
I2:不同 team,不同上司,同部门 — ASIL B/C 接受
I3:不同部门 / 第三方 — ASIL D 必须

2. Confirmation Review Matrix

ISO 26262 Part 2 Table 1 给出 work product × ASIL 等级 → 独立性要求的速查表。下面是常用 11 个 work product 的摘录:

Confirmation Review Matrix

Work Product	ASIL A	B	C	D
HARA	I2	I2	I3	I3
FSC	I2	I2	I3	I3
TSC	I1	I2	I3	I3
HW SR	I1	I1	I2	I3
SPFM/LFM 计算	I1	I1	I2	I3
PMHF 计算	I1	I1	I2	I3
Safety Validation	I2	I2	I3	I3
Safety Case	I2	I2	I3	I3

ASIL D 项目 ~ 50+ Reviews,其中 ~ 30 % 必 I3。典型 Tier-1 配 2-3 个 dedicated Safety Engineer 专做 Confirmation(独立于设计 team)。

3. Audit + Assessment 时间线

ASIL D 项目 18 个月典型,Safety 检查贯穿全周期。

ASIL D 18 月 Safety 检查时间线

按阶段:

阶段	月份	Confirmation	Audit	阶段门
概念	M0-M3	Item Def / HARA / FSC	M3 Audit	SG + ASIL 冻结
系统	M3-M6	TSC / HSI / 系统架构	M6 Audit	TSR 冻结
硬件	M6-M9	HSR / FMEDA / DFA	M9 Audit	HW Safety Case + B 样件
软件	M9-M12	SSR / Unit / Int	M12 Audit	SW Safety Case
集成	M12-M15	SI / IV / Sa.Val	M15 Audit	系统级 SR 全验
量产	M15-M18	PRD / Safety Case	Interim Assess M15	Final Assess + SoP gate

最关键的预算:Final Assessment(TÜV 12-16 周)必须 M14-M15 启动,留 M16-M18 修复 NC 和 Sign-off。绝不能拖到 SoP 前 1 个月——TÜV 一旦标 "Major NC" SoP 必推 3-6 月。

4. Assessment 提问树

第三方 Assessor(TÜV / exida / SGS-TÜV Saar)的提问方式高度结构化——从顶层指标一路追到证据链根部。

Assessor 提问树

典型 5 层追问:

Q1:这个 ASIL D 主驱 SPFM 多少?— 99.2 %
Q2:每个元件 DC 怎么定的?— 套 Annex D + 部分 Fault Injection
Q3:Fault Injection campaign 报告呢?— 打开 Yogitech 报告
Q4:FI 工具 ISO 26262 qualified 吗?— TCL1,有 qualification kit
Q5:DFA 表 sensor 路径独立吗?— Sin/Cos 双路独立 ADC + Plausibility

任何一层答不出来或证据不足 → 一直问到 root cause,常被追到 Tool Qualification 或 DFA 漏共因。Tier-1 准备 12 周前提交 Pre-Assessment 包,assessor 提前看完才进现场。

5. Pre-Assessment 提交清单

SoP 前 12 周向 TÜV 提交的标准包:

Safety Plan v 终(项目章程)
Safety Case 草稿(Argument + Evidence)
HARA + FSC + TSC 全套
FMEDA workbook(电子表格 + 数据来源)
DFA Report(共享资源清单 + 隔离证据)
Confirmation Reports 汇总
Audit Reports 汇总
Fault Injection campaign 报告(每个 ASIL D 元件)
Tool Qualification Records(每个 ISO 26262 工具)
Production Plan + ICT/EOL 覆盖率(Part 7)
Field Monitoring Plan(PRD / 8D 流程)
Cybersec(ISO 21434)证据(L3+ 必须)

6. Assessment 不通过的典型 5 种

历史案例统计,导致 "Conditional Pass" 或 "Fail" 的 Top 5:

原因	后果	修复时间
SPFM 卡线(92 % vs 97 % ASIL C)	升 DC 或换元件	4-8 周
DFA 漏共因(如 shared library)	补 DFA + 重做隔离	4-12 周
工具 TCL 不达标	切换工具 / 补 qualification	8-16 周
Confirmation 独立性不够	重做 reviews 30 %	6-10 周
Field 反馈机制无	写 PRD 流程 + 培训	2-4 周

轻 NC 2-4 周修复后 Sign-off;重 NC 涉及架构改动则 SoP 延 3-6 月——这是车规最贵的失误之一。

7. Audit 重点

Audit 不查"做对了",查"按 Plan 做了"。典型 5 类检查:

Safety Plan 执行 — 计划里写的 Reviews / Audits / Trainings 都做了吗
培训记录 — 工程师有 ISO 26262 培训证书吗
Tool 管理 — 用的 compiler / debugger / static analyzer 都 qualified 吗
Change Management — 设计变更走 Safety Impact Analysis 了吗
配置管理 — Source code / FMEDA / 文档版本受控吗

Audit 通常 1-2 周/次,出 NC 清单 + CAPA(Corrective And Preventive Action)跟踪。

8. Living Safety Case

Assessment 通过不是终点——量产后 Field 反馈持续影响 Safety Case:

客诉 / 8D 报告必须按 Safety Goal 重判 — 涉及 SG 失效 → 触发 Field Action
SOTIF / Cybersec 事件回溯 Safety Case
OTA 升级触发 Re-Assessment(若影响 Safety Function)
召回 / Recall 必须有 Safety Case 支持

Safety Case 是 living document,SoP 后还要持续维护。

9. 常见误区

实战中 Assessment 失败常出于"以为 Confirmation 数量够就够",忽略 Audit 和 Assessment 的不同作用。下面 5 条是 TÜV 最常打回的点。

三种检查混用。把 Confirmation 当 Audit,Audit 当 Assessment——三者目的不同,不能互替。
独立性偷工。ASIL D 必 I3,有的 Tier-1 用"同部门不同 team"(I2)交付,被 TÜV 砍。
Assessment 拖到 SoP 前 4 周。TÜV 走完最少 8 周,极限赶工通常翻车;留 16 周 buffer 是常识。
Field 反馈机制为空。Assessment 一定问"量产后怎么持续监控?"——没机制 = 重 NC。
Cybersec 独立准备。L3+ 项目 TÜV 同时要 ISO 26262 + ISO 21434 证据,两套必须串通。

核心要点

三种检查并行:Confirmation(产品)+ Audit(流程)+ Assessment(整体)。
独立性 I1/I2/I3:ASIL D 大部分 work product 必 I3(组织独立 / 第三方)。
ASIL D 项目典型:50+ Confirmation,5-10 Audit,1 次 Assessment(12-16 周)。
Assessment 不通过 5 种原因:SPFM 卡线 / DFA 漏共因 / Tool TCL / 独立性 / Field 反馈。
第三方机构:TÜV Süd / SGS-TÜV Saar / exida / DEKRA,ASIL D 必请。
Final Assessment 不能拖——M14-M15 启动,留 buffer 修复 NC。
Pre-Assessment 包 12 周前提交,assessor 看完才进现场。
Safety Case 是 living document——SoP 后客诉 / SOTIF / Cybersec 事件持续更新。

Cross-references

← 索引
topic-functional-safety — 功能安全 hub
topic-iso26262-part2-management — Safety Management 母章
topic-safety-case — Argument + Evidence 结构
topic-safety-manual — 交付物
topic-seooc — SEooC 元件的 assessment 复用
topic-iso26262-part8-supporting-processes — Tool Qualification / TCL
topic-diagnostic-coverage-categories — DC 弱/强证据(assessor 重点查)
topic-fault-injection-testing — FI 是 DC 强证据
topic-iso21434-cybersecurity — Cybersec 协同 assessment