|
第五版FMEA手冊預計在2018年6月會正式發布,這版FMEA的變化可以說是“革命性的”,要求以“六步法”的思路進行FMEA的分析。除了“六步法”,第五版FMEA中還特別增加了一個新的FMEA類別——FMEA-MSR,英文全稱是Supplemental FMEA for Monitoring and System Response,目前尚無官方的正式中文翻譯,我暫時將它稱為“監視及系統響應的補充FMEA”。 在客戶為了保持系統或車輛處于安全狀態或法規符合性狀態而進行的有關操作(駕駛、保養、維修等)時,FMEA-MSR提供了一種診斷探測和失效緩解的分析方法。 (題外說明:近期有部分文章將FMEA-MSR翻譯為“FMEA監測及系統響應”,理解為這是對已編制的DFMEA或PFMEA再進行FMEA分析的FMEA,筆者認為這是斷章取義的誤解,請廣大讀者仔細甄別,不要被誤導。) FMEA-MSR的研究對象 FMEA-MSR的研究對象是軟件系統、電子系統或機電系統,這些系統中包括至少一個傳感器、一個控制單元和一個執行器,或它們的一個子集。分析有關在客戶操作條件下的潛在失效,及對系統和車輛的影響后果。該方法考慮的是系統或駕駛人員是否探測到失效。客戶操作將被理解為終端用戶操作,或服務操作和維護操作,包括車輛駕駛、維護保養、維修、軟件更新升級等。在客戶操作過程中發現失效,可以通過切換到降級操作,通知駕駛人員,和/或將診斷故障代碼(DTC)寫入控制單元以達到服務目的,從而避免了最初的失效模式。 功能安全與FMEA-MSR之間的聯系 危害分析和風險評估(HARA,詳見ISO26262-3:2018 6.4條款)提供了與安全相關功能的安全目標。它還指定了汽車安全完整性級別(ASILs),這代表了必須應用的緩解措施,以確保出現故障行為的社會可接受的剩余風險。功能安全概念(FSC)進一步定義了需求,以確保設計滿足安全目標。它定義了警告和降級概念,以及必要的測試用例,以證明設計符合安全目標和安全要求。總之,ISO26262依賴于FMEA來識別出故障行為的潛在原因。通過診斷監測及系統響應在維持功能安全方面的有效性分析,FMEA-MSR可作為DFMEA的補充(除了安全考慮之外,該方法還可用于對法規遵從性方面的分析)。 FMEA-MSR與DFMEA的關系 DFMEA的關注重點是產品的功能及失效分析,DFMEA中的“發生度(O)”和“探測度(D)”是與產品開發過程相關聯的,是在開發過程中對功能實現情況的評估。而FMEA-MSR分析的是產品功能在被用戶使用時,相關失效發生的“頻度(F)”,已經發生失效時的可以被察覺發現的“監測度(M)”。因此,FMEA-MSR作為補充分析變得有用。FMEA-MSR評估當前的風險狀態,并通過與可接受的剩余風險的條件進行比較,來分析出額外監測的必要性。 如果將產品的售后要求(異常自動報警、異常自動處理、維護、維修等)也納入DFMEA的功能要求,那么FMEA-MSR分析可以是DFMEA的一部分。在做MSR設計時,各個功能點都是由各個客戶操作來支持實現的。 FMEA-MSR的“嚴重度(S)”打分規則與DFMEA的是一樣的,但與PFMEA的不一樣。DFMEA中的”嚴重度(S)“一般沒有辦法被降低,但在FMEA-MSR中如果采用了合適的監測和系統響應設計,這個“嚴重度(S)是有可能被降低的。 FMEA-MSR中以“頻度(F)”替代了DFMEA中的“發生度(O)”,以“監測度(M)”替代了“探測度(D)”。“頻度”和“監測度”的打分規則也是特別制訂的。 兩者的表格格式有所差別,FMEA-MSR的表格中沒有DFMEA表格中的“現行預防控制”和“現行探測控制”兩列內容,但多了“診斷監測”和“系統響應”兩列內容。 (建議:雖然可以將FMEA-MSR作為DFMEA的一部分內容進行分析,但為了更清晰、準確、具體的分析MSR,還是建議編制一個獨立的FMEA-MSR文檔。) FMEA-MSR的分析方法 FMEA-MSR的分析也是采用“六步法”,與DFMEA的分析過程類似。 1. 范圍定義 在FMEA-MSR中可能被考慮的系統包括至少一個傳感器、一個控制單元和一個執行器或它們的一個子集,被稱為機電系統。傳感器元件和控制單元也可以是一個組件(智能傳感器)的一部分。這種系統的診斷和監測可以通過硬件和/或軟件實現。在客戶和供應商之間可以協商確定FMEA-MSR的范圍。 定義FMEA-MSR范圍的標準包括但不限于以下資料: 1)安全相關要求 2)從立法機構獲得的書面資料要求 3)依據ISO26262標準的安全目標 2. 結構分析 根據分析的范圍,結構可能由硬件單元和軟件單元組成。由于工作組織的原因或為了充分的清晰化,復雜的結構可以分為幾個結構(工作包)或不同層次的塊圖,并分別進行分析。 為了直觀的分析系統結構,常用到下面兩個方法:
3. 功能分析 在FMEA-MSR中,對失效探測的監視和失效響應被認為是功能。 失效探測監視的功能可能包括:溢出探測、循環冗余檢查、可信度檢查和序列計數器檢查等。 失效響應的功能可能包括:提供默認值、切換到首頁模式、關閉相應的功能、和/或顯示警告等。 這樣的功能是通過具有這些功能的結構單元而實現的,例如控制單元、和像智能傳感器這種具備計算能力的零部件。 此外,傳感器信號可以被認為是由控制單元接收。因此,信號的功能也可以被描述。 最后,可以添加執行器的功能,描述執行器或車輛對需求的反應方式。 如果傳感器和/或執行器不在分析范圍內,則將功能分配給相應的接口元素。 4. 失效分析 在FMEA-MSR中,硬件和軟件功能可能包括對系統狀態的監視。失效探測是一種有意的行為,這可能導致功能的降低或功能的喪失。為了描述系統的行為,失效原因必須與監控和關聯的失效后果相關。 監測可能通過對駕駛人員的警告降低失效后果,也可能是失效網的一部分。在本手冊中,這些網絡被命名為混合網絡,因為它們至少包含一個失效原因和一個或多個功能。以這種方式,可以呈現出對系統行為的完整理解。 在實踐中,必須區分兩種情況:安全失效探測和部分失效探測(包括無失效探測)。 如果發生安全失效探測,系統在發生失效時總是以一種確定的方式進行反應,探測時間和反應時間足夠短,以保證系統或車輛處于安全狀態。在這種情況下,失效網應該包括對監測和系統反應的描述。因此,它是一個混合網絡。 如果發生部分失效探測或無失效探測,失效網必須描述系統在沒有探測到失效時的反應,因為一般情況下,這是最嚴重的情況,決定了采取措施的必要性(改善探測的必要性)。 如果有興趣,一個混合網包括監測和相應的系統反應措施可以加入失效網。 在這兩種情況下,監測必須以“監測控制”描述在FMEA表中,并按照監測度評分表對M進行評分。 在FMEA-MSR中,失效網的起始點是失效原因(根本原因)。如果是安全失效探測,其根本原因可能是混合網中唯一真正的失效。 5. 風險分析 FMEA-MSR風險分析的目的是通過嚴重度、頻度和監測度來確定監測控制和評估風險,并確定行動優先級。 “嚴重度(S)”是以失效發生時,相關的監測和系統響應也生效了,這時最嚴重的失效后果為判斷依據。如果沒有任何監測和系統響應設計,那么這個失效后果將與DFMEA中的一樣,就不能被降低。 “頻度(F)”是對系統或車輛在工作條件下整個生命周期內失效原因發生的頻度進行統計評估的,注意是相對這個系統的實際工作時間來評估的,不是相對整車的工作時間。如制動系統的實際工作時間比整車的工作時間要少很多,評估制動系統失效的頻度時應與它的實際工作時間作比較。 “監測度(M)'是評估某個功能發生異常/故障/失效時的監測能力,可能對某個功能會設計多個監測手段,這時以最有效的手段為判斷依據。 “行動優先級(AP)”是依據S/F/M的打分來確定,具體參考手冊中的說明。 6. 優化措施 通過AP分析,可以制訂優化改進措施分別降低S/M/F:
- End - |
|
|
