汽车功能安全概念阶段开发【相关项定义HARA】2

1 浅谈概念阶段开发

概念阶段开发是整个研发流程的起点和基石。它发生在任何正式的开发或大规模投入之前，核心目标是探索和确定**“我们究竟要做什么？为什么要做？以及有没有可行的路径去做？”** 这是将最初的灵感、市场需求或技术可能性转化为一个清晰、可行且有价值的产品概念的阶段。

如果说研发项目是一次航行，概念阶段就是：

1. 确定目的地（Define the Destination）： 我们要去哪里？（解决的问题或满足的需求是什么？）
2. 评估风险和可行性（Assess the Voyage）： 海况如何？船够不够结实？（技术、市场、法规风险是否可接受？）
3. 规划初步航线（Chart Preliminary Course）： 大致怎么走？（提出初步的实现路径或方案）。
4. 决定是否启航（Go/No-Go Decision）： 这次航行值得投入吗？（项目是否值得继续推进？）

核心任务和目标：

1. 识别并定义机会/问题：

   • 深入理解市场需求、客户痛点、行业趋势或技术突破带来的机会。
   • 清晰定义项目旨在解决的具体问题或满足的关键需求。
   • 可能进行初步市场调研、用户访谈、竞争对手分析等。

2. 探索和形成概念解决方案：

   • 针对识别的机会/问题，提出多种潜在的产品、服务或技术解决方案的“概念”。
   • 这些概念通常还是高层次的、方向性的描述，可能包括关键功能、性能目标、基本形态等。需要具有创新性和前瞻性。
   • 进行初步的可行性分析，筛选掉明显不可行或不具备竞争力的概念。

3. 初步评估可行性：

   • 技术可行性： 现有技术或需要开发的新技术是否能够实现这个概念？技术风险在哪里？
   • 市场可行性： 是否有足够的市场容量？目标客户是谁？预计的市场接受度和份额？如何竞争？
   • 商业/经济可行性： 预期的研发成本、制造成本、运营成本？潜在的收益模式（定价、销量）？预期的投资回报率？盈亏平衡点？
   • 法规/政策可行性： 是否符合相关法律法规、标准、环保要求？
   • 运营可行性： 现有的制造、供应链、销售渠道等能否支持？是否需要新的能力？
   • 这通常涉及大量的桌面研究、专家咨询、初步建模和预估。重点是判断“能不能做”和“值不值得做”。

4. 定义高层次需求和目标：

   • 基于概念解决方案和可行性分析，提炼出项目的高层次目标（Objectives）和关键要求（Key Requirements）。
   • 这些要求是后续设计开发的基础（如核心功能、关键性能指标 KPI、目标成本、安全要求等），但尚未细化为详细的产品规格。

5. 形成初步项目框架并预估资源：

   • 估算项目所需的关键资源类型（人员、设备、资金、时间）。
   • 对项目整体时间框架（里程碑）进行初步预估。
   • 识别核心项目风险和关键成功因素。

6. 概念验证：

   • 在一些情况下（特别是技术风险高或创新性强时），可能会进行非常初步的概念验证（Proof of Concept, PoC） 或可行性验证原型（Feasibility Prototype）。
   • 目的不是开发出可用的产品，而是通过一个最简单、最廉价的方式，测试某个核心的技术原理、功能或新方法的可行性，以降低主要的不确定性风险。

7. 做出关键决策（Gate Review）：

   • 概念阶段的产出物（机会定义、概念方案、可行性分析报告、初步计划、风险评估）会提交给项目治理委员会或决策层进行评审。
   • 核心决策是**“项目启动决策”：是否正式批准项目进入下一个阶段（通常是大规模投入的规划与设计阶段**）？可能需要根据评审意见调整方向（Pivot）或者终止项目。

概念阶段的特点：

• 投入相对较小： 相比后续阶段，人员、时间、资金的投入通常较小，但决策影响巨大。
• 高度不确定性： 充满了未知和风险，需要大量探索和分析。
• 创造性、发散性思维： 需要脑力激荡、提出多种可能方案。
• 信息不完整： 决策需要基于不完整和初步的信息，需要容忍模糊性并基于判断力。
• 关键决策点： 产出是“是否继续下去”的战略决策依据。这个阶段结束时叫停一个不好的项目，是最节省成本的。

重要性：

• 降低风险： 尽早识别潜在的“致命缺陷”并规避高风险、低回报的项目，避免后续更大的投入损失。
• 聚焦资源： 确保公司宝贵的研发资源投入到最具潜力的机会上。
• 奠定坚实基础： 为后续的设计、开发、制造和市场推出奠定清晰的目标和方向，减少后期变更成本。
• 激发创新： 鼓励探索多种可能性，寻找最优解决方案。
• 提升成功率： 一个清晰、可行且有吸引力的概念是项目成功的关键前提。

总结：概念阶段开发是关于“源头”和“方向”的工作。 它是一个探索、评估、定义和做出战略决策的过程，目标是孵化出一个有潜力、经得起初步推敲的产品概念，并为项目的正式启动和后续成功铺平道路。这一阶段做得越扎实，整个研发项目走向成功的可能性就越大，浪费资源在错误方向上的风险就越小。

2 功能安全概念阶段开发

对于汽车功能安全概念阶段的理解：
汽车产品开发基于需求，需求是产品开发的基础。好的需求一定程度直接决定产品性能和质量，对汽车功能安全开发也不例外。
我们所熟知的功能实现的需求多源于用户需求，而功能安全开发的需求源于功能实现部分。
在不同开发阶段，需求根据其细化程度可分为:

• 功能层面的需求: 相对抽象的逻辑功能需求(就是谁都能看得懂)，需细化至技术需求。
• 技术层面的需求: 技术可实施的需求，可直接转化为软硬件开发

功能安全概念阶段开发的本质就是，在相对抽象的逻辑功能层面，通过安全分析提出功能安全开发最初的安全需求。具体而言，就是通过对相关项所实现的功能进行危害分析和风险评估（HARA），导出功能安全开发最初的安全目标（Safety Goal）以及功能安全需求（FSR）。

核心目标： 概念阶段是功能安全开发的起点和基础。它旨在系统性地识别汽车电子电气系统（称为“相关项”）可能带来的潜在危害，评估其风险，并据此定义初步的安全目标和安全要求。

核心工作： 主要包括两个关键活动：

1. 相关项定义(Item Definition)，定义研究对象
2. 危害分析与风险评估（HARA），安全目标以及ASIL等级导出

2.1 相关项定义

• 专业性定义 (ISO 26262-3:2018, 5.4.2):

  • 相关项是指被实施功能安全要求的系统或系统组合。它是一个功能单元（可能包括硬件、软件、机械部件和操作者），其功能失效可能导致危险事件。（相关项=结构+功能描述+对象属性特征）概念阶段的相关项定义需要：
    • 明确边界: 划定相关项的范围（内部组成）和接口（与外部系统或环境的交互）。
    • 描述功能: 清晰说明相关项预期提供的所有功能（包括正常操作、降级操作模式）。
    • 识别组件: 初步识别构成相关项的要素（硬件模块、软件组件、传感器、执行器等）。
    • 定义操作条件: 描述相关项运行的场景（环境、驾驶工况、驾驶员状态等）。
    • 描述接口： 明确定义输入输出信号、通讯接口、能量源、机械连接等。
    • 描述依赖关系： 与其他系统或基础设施的依赖关系（如依赖导航地图、依赖充电桩状态等）。

• 通俗易懂的解释：

  • 想象你要为家里的新房间（相关项）设计安全防护。第一步是定义这个**“房间”本身**：
    • 房间边界在哪？ （四面墙、门窗？）-> 相关项边界
    • 房间主要用途？ （卧室、厨房？要放哪些东西？开灯关灯？控制空调？） -> 相关项功能描述
    • 房间由哪些部分构成？ （墙壁材料、电线线路、开关、空调、灯具？） -> 相关项要素
    • 什么情况下用这个房间？ （白天/晚上，夏天/冬天，有人/没人？） -> 操作条件
    • 房间怎么和外面联系？ （门通向客厅？电线接总闸？空调遥控信号？） -> 接口描述
    • 房间需要外部什么东西？ （依赖客厅的电闸供电？依赖屋外冷气主机？） -> 依赖关系
  • 目的： 让所有开发人员对“我们要做安全设计的这个东西到底是什么、能干什么、跟谁有关系”达成清晰、统一的理解。没有这个基础，后续的安全分析就无从谈起。

• 流程图示意：相关项定义流程

• 具体例子：电子稳定控制系统
  • 相关项: ESC 系统
  • 功能描述:
    • 主功能：通过独立控制单个车轮制动力，帮助驾驶员维持车辆稳定性，防止侧滑或甩尾。
    • 关联功能：集成ABS（防抱死制动）、TCS（牵引力控制）、HBA（液压制动辅助）等功能。
    • 工作模式：正常工作模式、ABS激活模式、ESC激活模式、系统故障降级模式（如仅ABS可用）、诊断模式。
  • 边界:
    • 内部： 轮速传感器、方向盘转角传感器、横摆角速度/加速度传感器、制动压力传感器、ESC控制单元（ECU）、液压调节单元（包含电磁阀、油泵、储能器）。
    • 外部边界: 驾驶员（制动踏板、油门踏板、方向盘输入）、制动主缸、车轮制动器、整车网络（如CAN总线，接收发动机扭矩、变速箱状态等信号）、仪表盘（故障指示灯）。
  • 要素： 传感器单元、ECU（含软件）、执行器单元（液压模块）。
  • 操作条件： 车辆在运动状态（非静止），不同路面（干燥、湿滑、冰雪）、不同车速范围、不同转向角度、不同载荷。
  • 接口：
    • 输入： 轮速信号、方向盘转角信号、横摆角/侧向加速度信号、制动压力信号、制动踏板开关、油门踏板位置、来自总线的车辆速度、发动机扭矩、开关状态。
    • 输出： 到液压单元的阀门控制信号、油泵控制信号、故障指示灯控制信号、发送到总线的状态信息/故障码。
    • 通信接口： CAN总线收发器。
    • 电源接口： 车载12V电源。
  • 依赖关系： 依赖轮速传感器准确工作、依赖总线通信正常、依赖整车供电稳定、依赖驾驶员操作（制动/油门输入是触发的条件之一）。

2.2 危害分析与风险评估（HARA-Hazard Analysis and Risk Assessment）

• 专业性定义 (ISO 26262-3:2018, 6):

  • 危害分析与风险评估是一种系统化的过程，（安全分析方法：FMEA、HAZOP）目的是：
    • 识别危害： 识别相关项的功能异常行为或功能缺失所导致的潜在人员伤害。
    • 识别危险事件： 识别由相关项的功能失效在特定运行场景下发生的，可能导致危害的事件。（危害+运行场景=危害事件）
    • 风险评估： 对每一个识别出的危险事件进行风险等级评估。ISO 26262 使用 ASIL来表征风险等级。
    • 定义安全目标： 根据评估的风险等级（ASIL），为每个危害事件定义高层次的安全要求，即安全目标。安全目标是最高层次的安全需求，是功能性的陈述。
  • 评估维度 (ASIL 确定)：
    • Severity： 危害事件可能导致的潜在人员伤害的严重程度（S0无伤害 到 S3 危及生命/致命）。
    • Exposure： 车辆在相关项暴露于可能发生该危险事件的运行场景中的概率（E0几乎不可能 到 E4 非常高概率）。
    • Controllability： 驾驶员或交通参与者能够避免指定严重程度的伤害的可能性（C0可控 到 C3 难以控制或不可控）。
    • 根据这三个维度的等级组合查表，确定 ASIL 等级（QM, A, B, C, D），其中 D 为最高安全要求等级。

• 通俗易懂的解释：

  • 继续用房间的例子。定义完房间本身后，下一步要思考这个房间可能带来哪些**“安全隐患”**（危害）。
    • 危害： “有人触电”、“空调异常启动造成低温伤害”、“房间门意外锁死，人员被困”。
    • 危险事件： 这些**“隐患”在特定情况**下发生的具体事件。
      • 例子：“在维修人员检查线路时，电路开关意外闭合导致触电”。
      • 例子：“夜间卧室空调在无人操作时启动并设置到0°C，导致人员低温症”。
      • 例子：“电子门锁系统故障，门意外锁死且无法通过正常方式打开，人员在火灾时无法逃生”。
  • 风险评估 (ASIL)：
    • 严重度 S： “触电致死”(S3) vs “被空调吹感冒”(S1)。
    • 暴露概率 E： “维修时触电”的场景可能很少（E1），但“房间门意外锁死”在正常居住中相对更可能（E3）。
    • 可控性 C： “触电”瞬间发生难以避免(C3)，“空调低温”如果人醒着可能发现并调节(C1/C2)，“门锁死”在火灾时几乎无法控制(C3)。
    • ASIL等级： 结合S/E/C打分查表。
      • 触电 (S3, E1, C3) -> 可能为 ASIL B 或 C (E1拉低了)
      • 门锁死火灾 (S3, E3, C3) -> ASIL D (最高风险)
      • 空调低温 (S1, E2, C1) -> QM (质量管理即可)
  • 安全目标：
    • 对应最高风险的门锁事件：“安全目标：防止车辆静止时电子门锁系统在火灾等紧急情况下非预期锁死并阻止内部手动开锁”。目标就是要彻底消除或大幅降低这种危险事件发生的可能性。

• 具体例子（继续ESC系统）：
  • 功能失效示例： “ESC系统在需要时无法提供稳定控制扭矩”。
  • 潜在危害： “车辆失控导致碰撞”。
  • 危险事件示例： “车辆在高速公路高速行驶进行紧急避让时，ESC系统失效导致严重侧滑”。
    • 场景: 高速公路 (车速>80km/h), 晴天干燥路面, 前方突然障碍物, 驾驶员进行紧急转向避让。
  • 风险评估 (ASIL确定):
    • 严重度 S: 高速侧滑很可能导致严重碰撞、翻滚。 -> S3 (危及生命或致命伤害)。
    • 暴露率 E: 车辆高速行驶是常见工况 (E4)；紧急避让虽然不是每天发生，但概率不可忽略，尤其是在高速上 -> E4。
    • 可控性 C: 高速下突然发生的严重侧滑通常超出了普通驾驶员的控制和修正能力 -> C3 (难以控制)。
    • ASIL等级: S3 + E4 + C3 -> 查ISO 26262-3表 -> ASIL D (最高等级)。
  • 安全目标:
    • SG1: “防止ESC系统在驾驶员需要稳定控制时(如紧急转向避让)无法提供必要的稳定控制扭矩”。
    • 关联ASIL: ASIL D。
  • 另一个例子：ABS 功能轻微延迟激活
    • 危险事件: “车辆在湿滑路面中等速度制动时，ABS激活轻微延迟导致制动距离略有增加”。
    • 风险评估:
      • S: 可能导致追尾，但严重度通常较低 (S1/S2)。
      • E: 湿滑路面制动比较常见 (E3)。
      • C: 驾驶员通常能够感知制动距离变长并提前采取措施 (C1/C2)。
    • ASIL等级: S2 + E3 + C2 -> 查表 -> ASIL B。
    • 安全目标: “确保ABS系统在检测到车轮抱死趋势时能够及时介入（延迟在可接受范围内）”。

3 关键输出与对后续阶段的影响

1. 关键输出物 (概念阶段)：

   • Item Definition: 精确定义的相关项文档。
   • HARA Report: 包含所有识别出的危害、危险事件、场景、ASIL评估结果。
   • Functional Safety Requirements (FSRs - Part1: 安全目标): 顶层、功能性定义的安全目标及其ASIL等级。

2. 对后续阶段的影响:

   • 基础性: 概念阶段的输出是后续所有功能安全活动的基础和依据。
   • ASIL驱动: 确定的ASIL等级决定了后续开发和验证需要满足的严格程度、方法和措施。ASIL D的要求远比ASIL B严格。
   • 指导设计: 安全目标将逐步向下分解，在功能安全阶段被拆解为功能安全要求，指导具体的技术安全措施和架构设计。
   • 影响验证: 定义的场景和ASIL等级指导了后续验证策略（如测试用例的覆盖度、故障注入测试的范围等）。

4 总结

概念阶段开发是 ISO 26262 功能安全之旅的第一步，也是至关重要的一步。它通过严格定义分析对象并系统性地评估其潜在风险（HARA），最终定义出功能开发的最高安全指南（安全目标）和安全要求等级（ASIL）。这一步做不好、做不全，后续的设计、开发和验证就很难保证最终产品的功能安全。相关项定义提供了“战场地图”，而HARA则精准地识别出哪里是“战略要地”（高风险区域）并下达了最高层的“战略目标”（安全目标）。