1 淺談概念階段開發

概念階段開發是整個研發流程的起點和基石。它發生在任何正式的開發或大規模投入之前，核心目標是探索和確定**“我們究竟要做什么？為什么要做？以及有沒有可行的路徑去做？”** 這是將最初的靈感、市場需求或技術可能性轉化為一個清晰、可行且有價值的產品概念的階段。

如果說研發項目是一次航行，概念階段就是：

1. 確定目的地（Define the Destination）： 我們要去哪里？（解決的問題或滿足的需求是什么？）
2. 評估風險和可行性（Assess the Voyage）： 海況如何？船夠不夠結實？（技術、市場、法規風險是否可接受？）
3. 規劃初步航線（Chart Preliminary Course）： 大致怎么走？（提出初步的實現路徑或方案）。
4. 決定是否啟航（Go/No-Go Decision）： 這次航行值得投入嗎？（項目是否值得繼續推進？）

核心任務和目標：

1. 識別并定義機會/問題：

   • 深入理解市場需求、客戶痛點、行業趨勢或技術突破帶來的機會。
   • 清晰定義項目旨在解決的具體問題或滿足的關鍵需求。
   • 可能進行初步市場調研、用戶訪談、競爭對手分析等。

2. 探索和形成概念解決方案：

   • 針對識別的機會/問題，提出多種潛在的產品、服務或技術解決方案的“概念”。
   • 這些概念通常還是高層次的、方向性的描述，可能包括關鍵功能、性能目標、基本形態等。需要具有創新性和前瞻性。
   • 進行初步的可行性分析，篩選掉明顯不可行或不具備競爭力的概念。

3. 初步評估可行性：

   • 技術可行性： 現有技術或需要開發的新技術是否能夠實現這個概念？技術風險在哪里？
   • 市場可行性： 是否有足夠的市場容量？目標客戶是誰？預計的市場接受度和份額？如何競爭？
   • 商業/經濟可行性： 預期的研發成本、制造成本、運營成本？潛在的收益模式（定價、銷量）？預期的投資回報率？盈虧平衡點？
   • 法規/政策可行性： 是否符合相關法律法規、標準、環保要求？
   • 運營可行性： 現有的制造、供應鏈、銷售渠道等能否支持？是否需要新的能力？
   • 這通常涉及大量的桌面研究、專家咨詢、初步建模和預估。重點是判斷“能不能做”和“值不值得做”。

4. 定義高層次需求和目標：

   • 基于概念解決方案和可行性分析，提煉出項目的高層次目標（Objectives）和關鍵要求（Key Requirements）。
   • 這些要求是后續設計開發的基礎（如核心功能、關鍵性能指標 KPI、目標成本、安全要求等），但尚未細化為詳細的產品規格。

5. 形成初步項目框架并預估資源：

   • 估算項目所需的關鍵資源類型（人員、設備、資金、時間）。
   • 對項目整體時間框架（里程碑）進行初步預估。
   • 識別核心項目風險和關鍵成功因素。

6. 概念驗證：

   • 在一些情況下（特別是技術風險高或創新性強時），可能會進行非常初步的概念驗證（Proof of Concept, PoC） 或可行性驗證原型（Feasibility Prototype）。
   • 目的不是開發出可用的產品，而是通過一個最簡單、最廉價的方式，測試某個核心的技術原理、功能或新方法的可行性，以降低主要的不確定性風險。

7. 做出關鍵決策（Gate Review）：

   • 概念階段的產出物（機會定義、概念方案、可行性分析報告、初步計劃、風險評估）會提交給項目治理委員會或決策層進行評審。
   • 核心決策是**“項目啟動決策”：是否正式批準項目進入下一個階段（通常是大規模投入的規劃與設計階段**）？可能需要根據評審意見調整方向（Pivot）或者終止項目。

概念階段的特點：

• 投入相對較小： 相比后續階段，人員、時間、資金的投入通常較小，但決策影響巨大。
• 高度不確定性： 充滿了未知和風險，需要大量探索和分析。
• 創造性、發散性思維： 需要腦力激蕩、提出多種可能方案。
• 信息不完整： 決策需要基于不完整和初步的信息，需要容忍模糊性并基于判斷力。
• 關鍵決策點： 產出是“是否繼續下去”的戰略決策依據。這個階段結束時叫停一個不好的項目，是最節省成本的。

重要性：

• 降低風險： 盡早識別潛在的“致命缺陷”并規避高風險、低回報的項目，避免后續更大的投入損失。
• 聚焦資源： 確保公司寶貴的研發資源投入到最具潛力的機會上。
• 奠定堅實基礎： 為后續的設計、開發、制造和市場推出奠定清晰的目標和方向，減少后期變更成本。
• 激發創新： 鼓勵探索多種可能性，尋找最優解決方案。
• 提升成功率： 一個清晰、可行且有吸引力的概念是項目成功的關鍵前提。

總結：概念階段開發是關于“源頭”和“方向”的工作。 它是一個探索、評估、定義和做出戰略決策的過程，目標是孵化出一個有潛力、經得起初步推敲的產品概念，并為項目的正式啟動和后續成功鋪平道路。這一階段做得越扎實，整個研發項目走向成功的可能性就越大，浪費資源在錯誤方向上的風險就越小。

2 功能安全概念階段開發

對于汽車功能安全概念階段的理解：
汽車產品開發基于需求，需求是產品開發的基礎。好的需求一定程度直接決定產品性能和質量，對汽車功能安全開發也不例外。
我們所熟知的功能實現的需求多源于用戶需求，而功能安全開發的需求源于功能實現部分。
在不同開發階段，需求根據其細化程度可分為:

• 功能層面的需求: 相對抽象的邏輯功能需求(就是誰都能看得懂)，需細化至技術需求。
• 技術層面的需求: 技術可實施的需求，可直接轉化為軟硬件開發

功能安全概念階段開發的本質就是，在相對抽象的邏輯功能層面，通過安全分析提出功能安全開發最初的安全需求。具體而言，就是通過對相關項所實現的功能進行危害分析和風險評估（HARA），導出功能安全開發最初的安全目標（Safety Goal）以及功能安全需求（FSR）。

核心目標： 概念階段是功能安全開發的起點和基礎。它旨在系統性地識別汽車電子電氣系統（稱為“相關項”）可能帶來的潛在危害，評估其風險，并據此定義初步的安全目標和安全要求。

核心工作： 主要包括兩個關鍵活動：

1. 相關項定義(Item Definition)，定義研究對象
2. 危害分析與風險評估（HARA），安全目標以及ASIL等級導出

2.1 相關項定義

• 專業性定義 (ISO 26262-3:2018, 5.4.2):

  • 相關項是指被實施功能安全要求的系統或系統組合。它是一個功能單元（可能包括硬件、軟件、機械部件和操作者），其功能失效可能導致危險事件。（相關項=結構+功能描述+對象屬性特征）概念階段的相關項定義需要：
    • 明確邊界: 劃定相關項的范圍（內部組成）和接口（與外部系統或環境的交互）。
    • 描述功能: 清晰說明相關項預期提供的所有功能（包括正常操作、降級操作模式）。
    • 識別組件: 初步識別構成相關項的要素（硬件模塊、軟件組件、傳感器、執行器等）。
    • 定義操作條件: 描述相關項運行的場景（環境、駕駛工況、駕駛員狀態等）。
    • 描述接口： 明確定義輸入輸出信號、通訊接口、能量源、機械連接等。
    • 描述依賴關系： 與其他系統或基礎設施的依賴關系（如依賴導航地圖、依賴充電樁狀態等）。

• 通俗易懂的解釋：

  • 想象你要為家里的新房間（相關項）設計安全防護。第一步是定義這個**“房間”本身**：
    • 房間邊界在哪？ （四面墻、門窗？）-> 相關項邊界
    • 房間主要用途？ （臥室、廚房？要放哪些東西？開燈關燈？控制空調？） -> 相關項功能描述
    • 房間由哪些部分構成？ （墻壁材料、電線線路、開關、空調、燈具？） -> 相關項要素
    • 什么情況下用這個房間？ （白天/晚上，夏天/冬天，有人/沒人？） -> 操作條件
    • 房間怎么和外面聯系？ （門通向客廳？電線接總閘？空調遙控信號？） -> 接口描述
    • 房間需要外部什么東西？ （依賴客廳的電閘供電？依賴屋外冷氣主機？） -> 依賴關系
  • 目的： 讓所有開發人員對“我們要做安全設計的這個東西到底是什么、能干什么、跟誰有關系”達成清晰、統一的理解。沒有這個基礎，后續的安全分析就無從談起。

• 流程圖示意：相關項定義流程

• 具體例子：電子穩定控制系統
  • 相關項: ESC 系統
  • 功能描述:
    • 主功能：通過獨立控制單個車輪制動力，幫助駕駛員維持車輛穩定性，防止側滑或甩尾。
    • 關聯功能：集成ABS（防抱死制動）、TCS（牽引力控制）、HBA（液壓制動輔助）等功能。
    • 工作模式：正常工作模式、ABS激活模式、ESC激活模式、系統故障降級模式（如僅ABS可用）、診斷模式。
  • 邊界:
    • 內部： 輪速傳感器、方向盤轉角傳感器、橫擺角速度/加速度傳感器、制動壓力傳感器、ESC控制單元（ECU）、液壓調節單元（包含電磁閥、油泵、儲能器）。
    • 外部邊界: 駕駛員（制動踏板、油門踏板、方向盤輸入）、制動主缸、車輪制動器、整車網絡（如CAN總線，接收發動機扭矩、變速箱狀態等信號）、儀表盤（故障指示燈）。
  • 要素： 傳感器單元、ECU（含軟件）、執行器單元（液壓模塊）。
  • 操作條件： 車輛在運動狀態（非靜止），不同路面（干燥、濕滑、冰雪）、不同車速范圍、不同轉向角度、不同載荷。
  • 接口：
    • 輸入： 輪速信號、方向盤轉角信號、橫擺角/側向加速度信號、制動壓力信號、制動踏板開關、油門踏板位置、來自總線的車輛速度、發動機扭矩、開關狀態。
    • 輸出： 到液壓單元的閥門控制信號、油泵控制信號、故障指示燈控制信號、發送到總線的狀態信息/故障碼。
    • 通信接口： CAN總線收發器。
    • 電源接口： 車載12V電源。
  • 依賴關系： 依賴輪速傳感器準確工作、依賴總線通信正常、依賴整車供電穩定、依賴駕駛員操作（制動/油門輸入是觸發的條件之一）。

2.2 危害分析與風險評估（HARA-Hazard Analysis and Risk Assessment）

• 專業性定義 (ISO 26262-3:2018, 6):

  • 危害分析與風險評估是一種系統化的過程，（安全分析方法：FMEA、HAZOP）目的是：
    • 識別危害： 識別相關項的功能異常行為或功能缺失所導致的潛在人員傷害。
    • 識別危險事件： 識別由相關項的功能失效在特定運行場景下發生的，可能導致危害的事件。（危害+運行場景=危害事件）
    • 風險評估： 對每一個識別出的危險事件進行風險等級評估。ISO 26262 使用 ASIL來表征風險等級。
    • 定義安全目標： 根據評估的風險等級（ASIL），為每個危害事件定義高層次的安全要求，即安全目標。安全目標是最高層次的安全需求，是功能性的陳述。
  • 評估維度 (ASIL 確定)：
    • Severity： 危害事件可能導致的潛在人員傷害的嚴重程度（S0無傷害 到 S3 危及生命/致命）。
    • Exposure： 車輛在相關項暴露于可能發生該危險事件的運行場景中的概率（E0幾乎不可能 到 E4 非常高概率）。
    • Controllability： 駕駛員或交通參與者能夠避免指定嚴重程度的傷害的可能性（C0可控 到 C3 難以控制或不可控）。
    • 根據這三個維度的等級組合查表，確定 ASIL 等級（QM, A, B, C, D），其中 D 為最高安全要求等級。

• 通俗易懂的解釋：

  • 繼續用房間的例子。定義完房間本身后，下一步要思考這個房間可能帶來哪些**“安全隱患”**（危害）。
    • 危害： “有人觸電”、“空調異常啟動造成低溫傷害”、“房間門意外鎖死，人員被困”。
    • 危險事件： 這些**“隱患”在特定情況**下發生的具體事件。
      • 例子：“在維修人員檢查線路時，電路開關意外閉合導致觸電”。
      • 例子：“夜間臥室空調在無人操作時啟動并設置到0°C，導致人員低溫癥”。
      • 例子：“電子門鎖系統故障，門意外鎖死且無法通過正常方式打開，人員在火災時無法逃生”。
  • 風險評估 (ASIL)：
    • 嚴重度 S： “觸電致死”(S3) vs “被空調吹感冒”(S1)。
    • 暴露概率 E： “維修時觸電”的場景可能很少（E1），但“房間門意外鎖死”在正常居住中相對更可能（E3）。
    • 可控性 C： “觸電”瞬間發生難以避免(C3)，“空調低溫”如果人醒著可能發現并調節(C1/C2)，“門鎖死”在火災時幾乎無法控制(C3)。
    • ASIL等級： 結合S/E/C打分查表。
      • 觸電 (S3, E1, C3) -> 可能為 ASIL B 或 C (E1拉低了)
      • 門鎖死火災 (S3, E3, C3) -> ASIL D (最高風險)
      • 空調低溫 (S1, E2, C1) -> QM (質量管理即可)
  • 安全目標：
    • 對應最高風險的門鎖事件：“安全目標：防止車輛靜止時電子門鎖系統在火災等緊急情況下非預期鎖死并阻止內部手動開鎖”。目標就是要徹底消除或大幅降低這種危險事件發生的可能性。

• 具體例子（繼續ESC系統）：
  • 功能失效示例： “ESC系統在需要時無法提供穩定控制扭矩”。
  • 潛在危害： “車輛失控導致碰撞”。
  • 危險事件示例： “車輛在高速公路高速行駛進行緊急避讓時，ESC系統失效導致嚴重側滑”。
    • 場景: 高速公路 (車速>80km/h), 晴天干燥路面, 前方突然障礙物, 駕駛員進行緊急轉向避讓。
  • 風險評估 (ASIL確定):
    • 嚴重度 S: 高速側滑很可能導致嚴重碰撞、翻滾。 -> S3 (危及生命或致命傷害)。
    • 暴露率 E: 車輛高速行駛是常見工況 (E4)；緊急避讓雖然不是每天發生，但概率不可忽略，尤其是在高速上 -> E4。
    • 可控性 C: 高速下突然發生的嚴重側滑通常超出了普通駕駛員的控制和修正能力 -> C3 (難以控制)。
    • ASIL等級: S3 + E4 + C3 -> 查ISO 26262-3表 -> ASIL D (最高等級)。
  • 安全目標:
    • SG1: “防止ESC系統在駕駛員需要穩定控制時(如緊急轉向避讓)無法提供必要的穩定控制扭矩”。
    • 關聯ASIL: ASIL D。
  • 另一個例子：ABS 功能輕微延遲激活
    • 危險事件: “車輛在濕滑路面中等速度制動時，ABS激活輕微延遲導致制動距離略有增加”。
    • 風險評估:
      • S: 可能導致追尾，但嚴重度通常較低 (S1/S2)。
      • E: 濕滑路面制動比較常見 (E3)。
      • C: 駕駛員通常能夠感知制動距離變長并提前采取措施 (C1/C2)。
    • ASIL等級: S2 + E3 + C2 -> 查表 -> ASIL B。
    • 安全目標: “確保ABS系統在檢測到車輪抱死趨勢時能夠及時介入（延遲在可接受范圍內）”。

3 關鍵輸出與對后續階段的影響

1. 關鍵輸出物 (概念階段)：

   • Item Definition: 精確定義的相關項文檔。
   • HARA Report: 包含所有識別出的危害、危險事件、場景、ASIL評估結果。
   • Functional Safety Requirements (FSRs - Part1: 安全目標): 頂層、功能性定義的安全目標及其ASIL等級。

2. 對后續階段的影響:

   • 基礎性: 概念階段的輸出是后續所有功能安全活動的基礎和依據。
   • ASIL驅動: 確定的ASIL等級決定了后續開發和驗證需要滿足的嚴格程度、方法和措施。ASIL D的要求遠比ASIL B嚴格。
   • 指導設計: 安全目標將逐步向下分解，在功能安全階段被拆解為功能安全要求，指導具體的技術安全措施和架構設計。
   • 影響驗證: 定義的場景和ASIL等級指導了后續驗證策略（如測試用例的覆蓋度、故障注入測試的范圍等）。

4 總結

概念階段開發是 ISO 26262 功能安全之旅的第一步，也是至關重要的一步。它通過嚴格定義分析對象并系統性地評估其潛在風險（HARA），最終定義出功能開發的最高安全指南（安全目標）和安全要求等級（ASIL）。這一步做不好、做不全，后續的設計、開發和驗證就很難保證最終產品的功能安全。相關項定義提供了“戰場地圖”，而HARA則精準地識別出哪里是“戰略要地”（高風險區域）并下達了最高層的“戰略目標”（安全目標）。