本文要點 ：ISO 26262將功能安全開發融入了廣為熟知的“V模型”開發流程中。根據系統/軟件/硬件三個層級的劃分，ISO 26262的功能安全開發活動被融入了三個“V模型”之中，如下圖所示。在前面的系列文章中已經對這三個“V模型”中包含的功能安全開發要點進行了說明。

“V模型”中的功能安全開發，截圖來自ISO 26262

做工程項目的朋友都知道，對于一款量產產品，除了完成開發工作以外，還需要對開發產物進行審核，審核通過后方能釋放產品。功能安全開發也是如此。“ISO 26262，part2，功能安全管理”中詳細介紹了功能安全的審核流程和要求，對應的術語為“認可措施，Confirmation measures”。

安全管理流程圖，截圖來自ISO 26262-2018, part2

一個現實的情況是，當讀者實際上去讀ISO 26262中“認可措施，Confirmation measures”相關的解釋和要求時，很容易就被其中包含的三個維度的措施給繞暈了，尤其是結合中文國標GB/T 34590對這三個維度的翻譯更加混淆，如下所示：

• Confirmation review (認可評審)

• Functional safety audit (功能安全審核)

• Functional safety assessment (功能安全評估)

基于此，本文將試圖對“認可措施，Confirmation measures”以及其中包含的三個維度的措施進行辨析，旨在為讀者提供有價值的參考。

Note:

1. 考慮到中文翻譯的混淆性，除非有必要，本文接下來將使用英文概念進行描述。

2. ISO 26262-2018版對confirmation measures的解釋和要求相比2011版做了很多補充，建議讀者閱讀2018版方便理解。

1. Confirmation measures及其三個維度

如前所述，Confirmation measures的主要目的是對功能安全開發過程及產物進行評估，以確認是否滿足ISO 26262的要求。而這一評估需要從三個維度來展開，如下圖所示。

這三個維度的對象及目的如下：

Key points	Confirmation review	Functional safety audit	Functional safety assessment
待確認的對象	功能安全開發過程中的關鍵輸出物(如H&R, safety plan, safety concept, safety case等)	功能安全所需流程的實施情況	相關項（即進行功能安全開發的產品）
確認的目的	審查是否已經充分且可信地實現了按照輸出物在ISO 26262中對應章節的目的和要求	審查實施功能安全開發的過程是否滿足流程要求 （如safety plan是否創建并跟上項目節點）	審查相關項定義的安全措施是否完整地被實現了；審查安全措施是否合理且有效

從上面的對比可以簡單總結出，confirmation review和functional safety audit不關注相關項設計的安全措施是否合理，而只關注安全措施在實施的過程中有沒有按照ISO 26262要求開發；而functional safety assessment的重點在于評估在安全措施符合開發要求的情況下，是否真的能夠實現功能安全。

基于上面的角度，可以看出實際上三個維度并不是孤立的。

一方面既然安全措施按照ISO 26262要求實施是進行functional safety assessment的前提，那么從項目開發靈活性的角度，根據項目復雜程度的不同可以合理變通。對于比較簡單的項目，實際上在進行functional safety assessment審核的時候可以一并進行confirmation review和functional safety audit，而不需要強行分成三個活動。ISO 26262中對這一點有所提及：

ISO 26262-2018, part2, 6.4.9.1
NOTE 7 Confirmation measures such as confirmation reviews and functional safety audits can be merged and combined with the functional safety assessment to support the handling of comparable variants of an item.

另一方面，confirmation review和functional safety audit的結果可以作為functional safety assessment的輸入，這樣在進行assessment時就可以默認安全措施已經被實現，只需要重點關注其合理性和有效性。這一點在ISO 26262中也有提及。

ISO 26262-2018, part2, 6.4.12.8
A functional safety assessment shall consider:
a) …
b) the results from the confirmation reviews and functional safety audit;

上述對比的目的是辨析Confirmation measures的三個維度的區別，接下來將對這三個維度進行進一步說明。 于此同時，既然是“審查”，那么就需要確定“審查員”。在工程開發中，對“審查員”是有獨立性要求的，接下來也會對這一部分進行說明。

2. Confirmation review (認可評審)

前面提到， Confirmation review的評審對象是功能安全開發過程中的關鍵輸出物(如H&R, safety plan, safety concept, safety case等)，所以按照safety plan的計劃，當相應的輸出物完成后即可以發起Confirmation review。在產品SOP之前所有的輸出物的confirmation review工作都需要完成。

ISO 26262-2018, part2中補充了審核員reviewer的要求：

6.4.10.3: To increase confidence in the achievement of the review objectives, the reviewer checks the correctness, completeness, consistency, adequacy and contents of the work product against the corresponding requirements of the ISO 26262 series of standards.

而reviewer的獨立性要求根據功能安全要求的ASIL等級的不同而不同，ASIL等級越高，獨立性要求更加嚴苛。ISO 26262的獨立性要求如下圖所示。

圖中標注部分的釋義如下:

• I0: 宜執行認可措施; 但如果執行, 應由不同的人員執行;
• I1: 認可措施應由不同的人員執行;
• I2: 認可措施應由來自不同團隊的人員執行, 即不向同一個直接上級報告;
• I3: 認可措施應由來自不同的部門或組織的人員執行, 即在管理、資源和發布權限方面與負責相關工作成果的部門是獨立的。

 

confirmation review的獨立性要求，截圖來自ISO 26262-2018, part2  

3. Functional safety audit (功能安全審核)

ISO 26262-2018, part2中補充了Functional safety audit的目的：

6.4.11.3: A functional safety audit may be based on a judgement of whether the process related objectives of the ISO 26262 series of standards are achieved. (功能安全審核可以基于ISO 26262標準中定義的和流程相關的目標所對應的流程來判斷。)

ISO 26262-2018版中將定義的和流程相關的目標概括為a)~f)，因此audit也基于這些點來展開。

a) an evaluation of the implementation of the processes against the definitions of the activities referenced or specified in the safety plan;

b) an evaluation of the safety plan products against the organization-specific rules and processes;

b) an evaluation of the arguments, if provided, as to why the process related objectives of the ISO 26262 series of standards are achieved;

c) an evaluation of whether the work products required by the safety plan are available;

d) to define the tailored safety activities, to provide the corresponding rationales for tailoring and to review the provided rationales; 

e) an evaluation of whether the work products required by the safety plan comply with

ISO 26262-8:2018, 10.4.3 and are consistent between one another;

f) improvement recommendations in accordance with 5.4.2.6, if applicable, e.g. in the case of noncompliances.

對于審核員auditor的獨立性要求根據功能安全需求的ASIL等級的不同而不同，ASIL等級越高，獨立性要求更加嚴苛。

4. Functional safety assessment (功能安全評估)

ISO 26262中要求functional safety assessment的評估范圍應至少包括如下三個方面：

• 安全計劃要求的工作成果；
• 功能安全要求的流程；
• 對在相關項開發過程中已實施的且可評估的安全措施進行適宜性和有效性評審。

從這里我們可以看出，functional safety assessment相比其他兩個而言可以被認為是更為全面的評估，同時也驗證了前文提到的的confirmation review和functional safety audit可以作為assessment的輸入。

那么既然functional safety assessment的全面性更強，什么時候開展assessment呢？總的來說，對于復雜的項目而言，assessment應該盡早計劃而不是壓到最后的項目釋放節點之前。ISO 26262-2018補充的建議如下：

6.4.12.3 A functional safety assessment:

a) shall be planned in accordance with 6.4.6.5 f);

b) should be planned at the latest at the beginning of the product development at the system level;

c) should be progressively performed during the product development; and

d) shall be finalized before the release for production.

對于評估員assessor的獨立性要求根據功能安全需求的ASIL等級的不同而不同，ASIL等級越高，獨立性要求更加嚴苛。

- End -