你真的了解安全确认(Safety Validation)吗?

安全确认(Safety Validation)是功能安全开发必不可缺的环节，位于系统开发V模型右侧最上方，是对相关项功能安全开发结果的确认，为安全目标的实现提供保证。

本文围绕以下问题展开，旨在帮助朋友们进一步了解安全确认相关内容:

• 什么是安全确认？

• 什么是安全接受准则？

• 接受准则 vs. 安全确认目标
• 安全确认的方法有哪些？

一、什么是安全确认?

相信朋友们对验证 (Verification) 和确认(Validation)这两个概念都不陌生，它们之间的区别也比较容易理解，在此不再赘述:

• 验证(Verification): 关注过程，提供客观证据，证明过程满足相关规定的要求。

• 确认(Validation): 关注结果，提供客观证据，证明产品最终满足客户预期的功能或要求。

但什么是功能安全确认？根据ISO 26262定义，所谓的安全确认是指:

a) 提供证据，证明集成到目标车辆的相关项实现了其安全目标，并满足安全接受准则。

b) 提供证据，证明功能安全概念和技术安全概念对于实现相关项的功能安全是合适的。

这个定义相对比较抽象，且不利于具体实施，根据确定(Validation)最基本的定义， 安全确认无非就是证明最初的安全需求，即安全目标以及对应的安全属性，是否得到最终的满足，并通过一定的定量化的指标，即接受准则，进行量化评 判。

当然，在概念开发阶段，安全目标导出过程中，可能存在一些针对外部措施的假设，这些假设会直接影响安全目标的ASIL等级，所以也必须对其有效性进行最终确认。

所以，总结来看，安全确认主要包括以下内容:

二、什么是安全接 受 准则?

在安全确认内容中，我们提到了接受准则，它是安全确认的量化指标，那到底什么是接受准则，它包含了哪些内容？

所谓的接受准则，是不存在不合理风险水平的准则，主要包括两个层面:

总体安全风险的接受准则和预期功能安全SOTIF第二层接受准则，即残余风险的接受准则，内容一致，都需要通过大量覆盖不同运行场景的车辆长期测试数据，从概率或统计学角度去定义并衡量危害或事故发生的频率，例如，规定公里或运行时间范围内，事故发生的概率等，例如，事故发生率小于10^-8/h。

但对于功能安全而言，由于不存在未知-不安全的运行区域，只要保证相关项违反安全目标的危害足够低，则可以认为整体安全也同样得到保证，整体残余风险达到要求，所以只需要定义并实施安全接受准则第一个层面，即针对安全目标对应危害行为的风险接受准则，即可。

而对于预期功能安全SOTIF而言，由于还存在未知-不安全运行区域，安全目标对应危害不一定能够涵盖所有危害场景，还必须定义接受准则第二层面的内容，即整体安全风险接受准则，这个也是预期功能安全确认工作的困难所在！

三、接受准则 vs. 安全确认目标

聊完了接受准则，那它和安全确认目标有什么区别？

实际上，在汽车功能安全ISO 26262中，并没有专门提出安全确认目标这一概念，在安全确认中，只要满足接受准则关于安全目标的要求即可。

安全确认目标源于预期功能安全SOTIF，和接受准则第二层面的整体安全风险相关，它是基于整体安全残余风险接受准则导出的，属于便于实践操作的指标。

这部分内容我在前面文章有过论述，二者主要区别在于:

理论上安全确认目标可以和残余风险接受准则保持一致，但实际操作中 安全确认目标不一定直接等于残余风险接受准则，主要原因在于 :

四、怎么定义 安全接受准则?

根据上面的论述，对于功能安全而言，由于不存在未知-不安全的运行区域，安全接受准则只需要针对安全目标对应的危害相关内容即可。

Q: 安全确认的方法有哪些？

一般来讲，安全确认的方法包括:

对于功能安全而言，实际操作中，大多只需要进行基于特定安全目标 /危害事件的安全确认即可，基于整体安全的确认可根据实际需要，适当进行。

写在最后: