EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析

驾驶哥

2021年4月13日 14:11

浏览：2505 评论：1

本文要点 ：ISO 26262将功能安全开发融入了广为熟知的“V模型”开发流程中。根据系统/软件/硬件三个层级的划分，ISO 26262的功能安全开发活动被融入了三个“V模型”之中，如下图所示。在前面的系列文章中已经对这三个“V模型”中包含的功能安全开发要点进行了说明。

“V模型”中的功能安全开发，截图来自ISO 26262

做工程项目的朋友都知道，对于一款量产产品，除了完成开发工作以外，还需要对开发产物进行审核，审核通过后方能释放产品。功能安全开发也是如此。“ISO 26262，part2，功能安全管理”中详细介绍了功能安全的审核流程和要求，对应的术语为“认可措施，Confirmation measures”。

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图2

安全管理流程图，截图来自ISO 26262-2018, part2

一个现实的情况是，当读者实际上去读ISO 26262中“认可措施，Confirmation measures”相关的解释和要求时，很容易就被其中包含的三个维度的措施给绕晕了，尤其是结合中文国标GB/T 34590对这三个维度的翻译更加混淆，如下所示：

Confirmation review (认可评审)
Functional safety audit (功能安全审核)
Functional safety assessment (功能安全评估)

基于此，本文将试图对“认可措施，Confirmation measures”以及其中包含的三个维度的措施进行辨析，旨在为读者提供有价值的参考。

Note:

1. 考虑到中文翻译的混淆性，除非有必要，本文接下来将使用英文概念进行描述。

2. ISO 26262-2018版对confirmation measures的解释和要求相比2011版做了很多补充，建议读者阅读2018版方便理解。

1. Confirmation measures及其三个维度

如前所述，Confirmation measures的主要目的是对功能安全开发过程及产物进行评估，以确认是否满足ISO 26262的要求。而这一评估需要从三个维度来展开，如下图所示。

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图3

这三个维度的对象及目的如下：

Key points	Confirmation review	Functional safety audit	Functional safety assessment
待确认的对象	功能安全开发过程中的关键输出物(如H&R, safety plan, safety concept, safety case等)	功能安全所需流程的实施情况	相关项（即进行功能安全开发的产品）
确认的目的	审查是否已经充分且可信地实现了按照输出物在ISO 26262中对应章节的目的和要求	审查实施功能安全开发的过程是否满足流程要求（如safety plan是否创建并跟上项目节点）	审查相关项定义的安全措施是否完整地被实现了；审查安全措施是否合理且有效

从上面的对比可以简单总结出，confirmation review和functional safety audit不关注相关项设计的安全措施是否合理，而只关注安全措施在实施的过程中有没有按照ISO 26262要求开发；而functional safety assessment的重点在于评估在安全措施符合开发要求的情况下，是否真的能够实现功能安全。

基于上面的角度，可以看出实际上三个维度并不是孤立的。

一方面既然安全措施按照ISO 26262要求实施是进行functional safety assessment的前提，那么从项目开发灵活性的角度，根据项目复杂程度的不同可以合理变通。对于比较简单的项目，实际上在进行functional safety assessment审核的时候可以一并进行confirmation review和functional safety audit，而不需要强行分成三个活动。ISO 26262中对这一点有所提及：

ISO 26262-2018, part2, 6.4.9.1
NOTE 7 Confirmation measures such as confirmation reviews and functional safety audits can be merged and combined with the functional safety assessment to support the handling of comparable variants of an item.

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图4

另一方面，confirmation review和functional safety audit的结果可以作为functional safety assessment的输入，这样在进行assessment时就可以默认安全措施已经被实现，只需要重点关注其合理性和有效性。这一点在ISO 26262中也有提及。

ISO 26262-2018, part2, 6.4.12.8
A functional safety assessment shall consider:
a) …
b) the results from the confirmation reviews and functional safety audit;

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图5

上述对比的目的是辨析Confirmation measures的三个维度的区别，接下来将对这三个维度进行进一步说明。于此同时，既然是“审查”，那么就需要确定“审查员”。在工程开发中，对“审查员”是有独立性要求的，接下来也会对这一部分进行说明。

2. Confirmation review (认可评审)

前面提到， Confirmation review的评审对象是功能安全开发过程中的关键输出物(如H&R, safety plan, safety concept, safety case等)，所以按照safety plan的计划，当相应的输出物完成后即可以发起Confirmation review。在产品SOP之前所有的输出物的confirmation review工作都需要完成。

ISO 26262-2018, part2中补充了审核员reviewer的要求：

6.4.10.3: To increase confidence in the achievement of the review objectives, the reviewer checks the correctness, completeness, consistency, adequacy and contents of the work product against the corresponding requirements of the ISO 26262 series of standards.

而reviewer的独立性要求根据功能安全要求的ASIL等级的不同而不同，ASIL等级越高，独立性要求更加严苛。ISO 26262的独立性要求如下图所示。

图中标注部分的释义如下:

I0: 宜执行认可措施; 但如果执行, 应由不同的人员执行;
I1: 认可措施应由不同的人员执行;
I2: 认可措施应由来自不同团队的人员执行, 即不向同一个直接上级报告;
I3: 认可措施应由来自不同的部门或组织的人员执行, 即在管理、资源和发布权限方面与负责相关工作成果的部门是独立的。

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图6

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图7

confirmation review的独立性要求，截图来自ISO 26262-2018, part2

3. Functional safety audit (功能安全审核)

ISO 26262-2018, part2中补充了Functional safety audit的目的：

6.4.11.3: A functional safety audit may be based on a judgement of whether the process related objectives of the ISO 26262 series of standards are achieved. (功能安全审核可以基于ISO 26262标准中定义的和流程相关的目标所对应的流程来判断。)

ISO 26262-2018版中将定义的和流程相关的目标概括为a)~f)，因此audit也基于这些点来展开。

a) an evaluation of the implementation of the processes against the definitions of the activities referenced or specified in the safety plan;

b) an evaluation of the safety plan products against the organization-specific rules and processes;

b) an evaluation of the arguments, if provided, as to why the process related objectives of the ISO 26262 series of standards are achieved;

c) an evaluation of whether the work products required by the safety plan are available;

d) to define the tailored safety activities, to provide the corresponding rationales for tailoring and to review the provided rationales;

e) an evaluation of whether the work products required by the safety plan comply with

ISO 26262-8:2018, 10.4.3 and are consistent between one another;

f) improvement recommendations in accordance with 5.4.2.6, if applicable, e.g. in the case of noncompliances.

对于审核员auditor的独立性要求根据功能安全需求的ASIL等级的不同而不同，ASIL等级越高，独立性要求更加严苛。

EPB系统功能安全笔记 (19)：功能安全的认可措施（Confirmation Measures）理解与辨析的图8

4. Functional safety assessment (功能安全评估)

ISO 26262中要求functional safety assessment的评估范围应至少包括如下三个方面：

安全计划要求的工作成果；
功能安全要求的流程；
对在相关项开发过程中已实施的且可评估的安全措施进行适宜性和有效性评审。

从这里我们可以看出，functional safety assessment相比其他两个而言可以被认为是更为全面的评估，同时也验证了前文提到的的confirmation review和functional safety audit可以作为assessment的输入。

那么既然functional safety assessment的全面性更强，什么时候开展assessment呢？总的来说，对于复杂的项目而言，assessment应该尽早计划而不是压到最后的项目释放节点之前。ISO 26262-2018补充的建议如下：

6.4.12.3 A functional safety assessment:

a) shall be planned in accordance with 6.4.6.5 f);

b) should be planned at the latest at the beginning of the product development at the system level;

c) should be progressively performed during the product development; and

d) shall be finalized before the release for production.

对于评估员assessor的独立性要求根据功能安全需求的ASIL等级的不同而不同，ASIL等级越高，独立性要求更加严苛。