關于對系統、車輛、人員和法規遵從性的技術影響,監視及系統響應的補充FMEA對顧客操作條件下可能出現的潛在失效起因進行了分析。該方法考慮到失效起因或失效模式是否由該系統探測到或失效影響是否由駕駛員探測到。顧客操作將理解為最終用戶操作或運行操作以及維護操作。FMEA-MSR涵蓋了以下風險要素:
a)傷害的嚴重程度、不符合法規、功能喪失或退化,以及不可接受的質量,由(S)表示
b)在運行情況下估計的失效起因頻率,由(F)表示
c)通過診斷探測和自動響應避免或限制失效影響的技術可能性,以及通過感官知覺和物理響應避免或限制失效影響的人為可能性,由(M)表示
F和M的組合系指由于失效(失效起因)和由此產生的故障行為(失效模式)所導致的失效影響發生概率的估計。
注:發生失效影響的總體概率可能更高,原因在于不同的失效起因可能導致相同的失效影響。
FMEA-MSR通過評估因監視和響應所產生的降低風險的方式增值。FMEA-MSR通過與可接受的殘余風險條件進行比較并評估當前的失效風險狀態,得出額外監視的必要性。該分析可以屬于設計FMEA的一部分,設計FMEA中該分析的開發方面從顧客操作方面進行補充分析。但它僅在需要診斷探測維持安全性或合規性時才加以應用。
DFMEA的探測與補充FMEA-MSR的監視不同。在DFMEA中,探測控制記錄了可證明滿足開發和確認要求的試驗能力。對于已成為系統設計一部分的監視功能,確認旨在證明診斷監視和系統響應按預期運作。相反,假設滿足相應的規范的情況下,FMEA-MSR中的監視評估了顧客操作中的故障探測性能的效果。監視評級也可理解為安全性能以及系統對監視到的故障的響應的可靠性。它有利于評估是否實現安全目標,且可用于獲得安全概念。
根據車輛操作系統的診斷功能,通過考慮更多的、可精確地反映所評估到的較低級別風險的因素,補充的FMEA-MSR可以解決DFMEA中被評為高級別的風險。這些附加因素有利于提高對失效風險(包括傷害風險、不合規風險、不遵守規范的風險)的描述。FMEA-MSR有利于提供診斷、邏輯和驅動機制實現和維持安全或合規狀態的能力的證據(特別是在最大故障處理時間間隔內和容錯時段內的適當失效緩解能力)。
FMEA-MSR評估最終用戶條件下的當前失效風險狀態(不僅僅是對人員造成傷害的風險)。顧客操作期間的故障/失效探測可用于通過切換到降級的運行狀態(包括禁用車輛),通知駕駛員和/或將診斷故障代碼(DTC)寫入服務用控制單元來避免初始的失效影響。就FMEA而言,可靠的診斷探測和響應最終消除(預防)初始影響,并將其替換為新的,不太嚴重的影響。
FMEA-MSR可用于確定系統設計是否滿足安全性和合規性方面的性能要求。結果可能如下:
出于監視的目的考慮,可能需要額外的傳感器
可能需要處理冗余
真實性檢查可能顯示傳感器故障
FMEA-MSR步驟一:策劃和準備
目的
FMEA-MSR策劃和準備的主要目標:
項目識別
項目計劃(目的、時間安排、團隊、任務、工具(5T))
分析邊界:分析中包括什么、不包括什么
基準DFMEA的識別
結構分析步驟的基礎
FMEA-MSR項目識別和邊界
項目識別包括明確了解需要評估的內容。這涉及到確定顧客項目所需的FMEA-MSR的決策過程。分析中需要不包括和包括的內容一樣重要。
如適用,以下內容可幫助團隊確定FMEA-MSR項目:
危害分析和風險評估
法律要求
技術要求
顧客需要/需求/期望(外部和內部顧客)
要求規范
圖表(方塊/邊界圖/系統)
原理圖、圖紙和/或3D模型
物料清單(BOM)、風險評估
類似產品以往的FMEA
對這些問題以及公司定義的其它問題的回答,將幫助創建所需的FMEA-MSR項目清單。FMEA-MSR項目清單確保了方向、承諾和工作重點的一致性。
以下基本問題可幫助識別FMEA-MSR邊界:(1)在電氣/電子/可編程電子系統上完成DFMEA后,是否存在可能對人員傷害或涉及法規不符合的影響?(2)DFMEA是否表明可通過直接感知和/或合理算法探測到將引起傷害或不合規行為的所有起因?(3)DFMEA是否表明對任何和所有探測到的起因的預期系統響應是切換到降級的運行狀態(包括禁用車輛),通知駕駛員和/或將診斷故障代碼(DTC)寫入服務用控制單元?
監視及系統響應的補充FMEA可用于測試系統,這些系統已集成操作期間的故障監視和響應機制。通常這些屬于更加復雜的系統,它們是由傳感器、執行器和邏輯處理單元構成。此類系統中的診斷和監視功能可通過硬件和/或軟件實現。監視及系統響應的補充FMEA中可能考慮的系統通常由至少一個傳感器、一個控制單元和一個執行器或者其一部分組成,并且稱為機械電子系統。系統內也可能由機械硬件要素(例如:氣動和液壓組件)組成。
可在顧客和供應商協商的基礎上確定監視及系統響應的補充FMEA的范圍。適用范圍標準可能包括但不限于:
1.系統安全相關性
2.ISO標準,例如:根據ISO 26262的安全目標
3.立法機構的文件化要求,例如:UN/ECE法規、FMVSS/CMVSS、NHTSA和車載診斷要求(OBD)合規性
FMEA-MSR項目計劃
確定FMEA-MSR項目后,應當立即制定FMEA-MSR的執行計劃。建議使用5T方法(目的、時間安排、團隊、任務、工具)。FMEA-MSR計劃有助于公司提早啟動FMEA-MSR。FMEA-MSR活動(七步法過程)應當納入總體設計項目計劃中。
FMEA-MSR步驟二:結構分析
目的
FMEA-MSR結構分析的主要目標:
分析范圍的可視化
結構樹或其它:方塊圖、邊界圖、數字模型、實體零件
識別設計接口、交互作用
顧客和供應商工程團隊之間的協作(接口職責)
功能分析步驟的基礎
根據分析范圍,結構可能包含硬件要素和軟件要素。復雜結構可分成幾個結構(工作包)或不同的方塊圖層,并出于組織原因的考慮單獨分析或確保足夠的清晰度。FMEA-MSR的范圍僅限于系統的要素,其中根據該系統的基準DFMEA所示,存在可能導致危險或不合規影響的失效起因。為實現系統結構的可視化,通常使用以下兩種方法:
方塊(邊界)圖
結構樹
結構樹
在監視及系統響應的補充FMEA中,結構樹的根要素可能處于整車層面(例如:分析整個系統(見圖4.2-1)或OEM)或處于系統層面(即對子系統或組件進行分析的供應商( 見圖4.2-2) )。
傳感器元件和控制單元可能也是一個組件(智能傳感器)的一部分。此類系統中的診斷和監視功能可通過硬件和/軟件要素實現。
如果分析范圍內未提供傳感器,則使用接口要素來描述ECU接收的數據/電流/電壓。任何ECU的功能之一便是接收信號,即通過連接件接收信號。這些信號可能丟失或錯誤。在沒有監視的情況下,獲得的輸出可能有誤。如果分析范圍內未提供執行器,則使用接口要素來描述ECU發送的數據/電流/電壓。任何ECU的其他功能之一便是發送信號,即通過連接器發送信號。這些信號也可能丟失或錯誤。也可能是“無輸出”或“失效信息”。
錯誤信號可能是由工程師或組織的責任范圍之外的組件所致。這些錯誤信號可能對工程師或組織責任范圍內組件的性能產生影響,因此FMEA-MSR分析中需要涵蓋這些原因。
注:確保該結構與安全概念(如適用)保持致。
fqj
-
傳感器
+關注
關注
2550文章
51042瀏覽量
753105 -
控制單元
+關注
關注
0文章
74瀏覽量
12818
發布評論請先 登錄
相關推薦
評論