广告
电动汽车整车控制系统FMEA分析方法
2021-09-06 00:47:17· 来源:1.中国第一汽车股份有限公司新能源开发院2.汽车振动噪声与安 作者:李畅等
1 前言本文参考第1版AIAGVDAFMEA手册,结合整车控制器产品开发流程,阐述了新能源车整车控制系统的FMEA分析方法,使电控系统FMEA分析具有可操作性,分析步骤具有
1 前言
本文参考第1版AIAG&VDAFMEA手册,结合整车控制器产品开发流程,阐述了新能源车整车控制系统的FMEA分析方法,使电控系统FMEA分析具有可操作性,分析步骤具有指导性,效果具有规范性。
2 AIAG&VDAFMEA方法概述
AIAG&VDAFMEA手册最核心的方法是7步法。透过7步法的结构框架,FMEA更系统性的从输入,经过一系列步骤转化输出,以达到产品质量和安全性的要求,不再是一张表格、一个交付物,而是一个具有强逻辑性的系统过程。
对于汽车电控系统来说,在充分了解设计概念后,就应该启动系统FMEA工作,主要包括以下内容。
(1)规划与准备阶段:确定分析的范围;
(2)结构分析阶段:根据相关的电气原理图、网络拓扑以及功能要求确定系统的边界、系统中包括哪些部件、总成,系统中各部件如何交互信息,形成框图,根据关注功能的上一级系统以及实现关注功能需要哪些下一级部件,形成结构树;
(3)功能分析阶段:明确系统需要实现的功能、要求、特性,除主要功能外,辅助功能如诊断、接口功能,也需要明确;
(4)失效分析阶段:对于系统需要实现的全部功能,逐条分析其失效模式,每个失效模式可能会造成哪些后果,每条失效模式可能由哪些原因造成,形成失效链;
(5)风险分析阶段:针对失效原因,确定当前的预防控制方法,针对失效原因/失效模式,确定探测措施,针对每个失效链进行严重度、频度、探测度评级,确定采取措施的优先级(ActionPriority,AP);
(6)优化阶段:确认降低风险的必要措施,并对措施有效性进行评估;
(7)结果文件化阶段:将以上分析的过程和结果填写到FMEA表格中,将分析过程中确定的失效预防措施作为故障诊断和处理方案,探测措施作为测试方案,整理为相应文档,为后续开发和测试提供参考,具体步骤如图1所示。
本文以电动汽车整车控制系统为例,对电控系统FMEA分析方法进行说明。
3 整车控制系统FMEA分析
3.1 规划与准备
规划与准备阶段的目的有以下3点。
(1)确定分析对象。本文的分析对象是整车控制系统,其核心部件是整车控制器,电动汽车的高压上下电、充电、行驶、热管理控制功能都是由整车控制系统来实现的。在功能实现的同时,整车控制器还需要保证整车的高压安全、行驶安全、热管理安全。整车控制系统具备的功能应该由其上级系统分配,一般来说,在整车电子电气架构设计时,应该对整车电气系统功能进行分解,确定整车控制系统应该具备的功能,并形成设计开发任务书,作为开发的输入。
(2)分析对象的边界确定。除了实现设计开发任务书中对整车控制系统要求的功能之外,还需要考虑要实现功能的相关法规要求、具体的技术要求、技术新颖性、创新程度、设计复杂性、质量、可靠性历史等多方面的因素。
(3)FMEA小组成员确定。FMEA团队由涵盖多学科专业知识的跨职能成员组成,对于电控系统来说,FMEA小组成员至少应该包含设计、测试、试验、生产和质量相关专业成员。
在规划与准备时,还需要确定是否有基础FMEA,识别基础FMEA分析的内容与本次FMEA分析的内容有哪些变化点,本次FMEA分析可只针对变化点进行分析。
另外,由于FMEA分析理论上只分析单点失效,为了尽可能的弥补FMEA分析的不足,规划与准备阶段可以对FMEA分析关注要素功能的历史失效进行整理。因为历史失效既包括单点失效,也有多点失效。对历史失效进行分析,既能够提供相应的不可缺失的失效分析案例,又可以弥补FMEA只分析单点失效的局限性。规划与准备是结构分析的基础。
3.2 整车控制系统结构分析
结构分析的目的是将对象分解为系统、子系统、组件或零件,并且将分析范围可视化。系统结构由系统要素组成,系统要素包括系统、子系统、总成、部件/组件和零件。
图2为整车结构分解的示意图,整车可以分解为动力系统、底盘系统、车身系统和电气系统4大部分。其中,电气系统结构较复杂,涵盖整车所有的控制器、传感器和执行器,实现整车所有的控制功能,包括动力系统控制、高压/充电系统控制、热管理系统控制、底盘系统控制、信息系统控制,各控制系统之间相互作用,相互协调,共同实现电气系统的功能。本文所说的整车控制系统,主要包括动力系统控制、高压/充电系统控制、热管理系统控制的功能,并且还需要与底盘系统控制、信息系统控制有一定的交互。
可见,整车电子电气系统从结构上来说甚是复杂,更需要进行充分的FMEA分析来保证系统的可靠性。
FMEA手册提供了2种结构分析的工具,边界图和结构树。
结构树按层次排列系统要素,并通过结构化连接展示依赖关系。电动汽车整车控制系统的上级系统主要包括:动力系统、高压系统和热管理系统3部分,本文主要针对动力系统控制部分功能做分析。动力系统控制部分的结构树如图3所示。
关注要素是驱动控制和制动控制,是由上级系统-动力系统控制分配而来。为了实现驱动控制和制动控制功能,需要的下一级零部件包括:整车控制器、加速踏板传感器、制动踏板传感器、电机控制单元、电池管理系统、换挡手柄控制器、网关和底盘域控制系统。
系统的结构树确定后,边界图用于描述系统要素之间的交互作用。接口有5种主要类型:物理连接、材料交换、能量传递、数据交换和人机接口。边界图中显示所有内、外部接口发生关系的性质和类型。如图4为整车控制系统驱动/制动控制的边界图。
图4中框内为整车控制系统FMEA分析时需要考虑的部件,其核心部件是整车控制器,采集换挡手柄控制器信号,解析驾驶员档位意图,采集加速踏板传感器、制动踏板传感器信号,解析驾驶员的加速意图和制动意图,根据驾驶员意图,输出信号,控制动力系统各部件(电机、电池)协调工作实现车辆驱动、制动功能。框外是可能会对系统功能产生影响的相关部件,在后续进行功能分析和失效分析时也需要考虑外围部件是否会因其本身失效或与关注系统交互的失效造成关注要素功能失效。结构分析是功能分析的基础。
3.3 整车控制系统功能分析
功能分析的目的是确保要求/规范中规定的功能被适当地分配给系统要素,将产品功能可视化,将上级系统的功能要求与关注要素的功能要求关联。
前面结构分析时确定本文系统FMEA分析的关注要素是驱动控制和制动控制,其上级系统,动力系统控制,就是驱动控制和制动控制的用户,动力系统控制对驱动和制动的需求为用户需求。关注要素承接用户的需求,并且对需求进行分析、细化,确定要实现的功能,对下一级每个部件的功能要求,形成功能网。整车控制系统-驱动/制动控制功能网如图5所示。
由图5可见,功能结构自上至下逐渐详细,较低级别功能描述了较高级别功能是如何被满足的。其中,上一较高级别功能及要求描述的是从整车分解下来的需要实现的功能;关注要素功能及要求还需要识别在结构分析中识别的相关系统要素的功能;下一较低级别功能及要求或特性中还应包括在结构分析中识别的相关部件的功能。
另外,上级系统对于关注要素的需求为关注要素的主功能,除了分析主功能,系统还具备一些辅助功能,如:接口功能、诊断功能和可维护性功能。
FMEA手册中提供了可用于功能分析时的工具-参数图,参数图是功能所在环境的图表展示,包括了影响输入和输出之间传递功能的因素,专注于优化输出所需的设计决策,通过参数图应完整地展现所分析功能的失效原因。
参数图关注功能的实现,它可以清楚识别功能的所有影响因素,包括可控因素(控制因素)和不能适当控制的因素(噪音因素)。其中噪音因素会对系统从2个方面产生影响:
(1)直接影响系统的输入;
(2)间接影响系统组成部分的功能。
整车控制系统驱动/制动控制的参数图如图6所示,系统的输出受到3方面因素的影响,输入因素、控制因素和噪音因素。在输入信号确定的情况下,系统会产生预期输出或非预期输出,取决于控制因素和噪音因素之间的博弈。理想情况下,控制因素会使系统产生预期输出,噪音因素会使系统产生非预期输出。在制定相应功能需求规范(控制因素)时,如果尽可能全面的考虑了噪音因素对系统产生的影响,并且采取了规避的措施,那么因噪音因素的影响,系统产生非预期输出的概率就会减小。进行FMEA分析的目的就是尽可能全面的考虑噪音因素对系统的影响,在控制因素中采取避免措施,最大程度的避免非预期输出。
功能的完整定义将使失效分析更全面,潜在失效模式即功能的否定描述。
3.4 整车控制系统失效分析
失效分析的目的是识别失效起因、模式和影响,并显示它们之间的关系,以便进行风险评估。
系统的结构和功能都确定后,对系统进行失效分析,确定系统应该具备的功能可能会产生哪些失效模式,失效模式会对上级系统造成哪些影响,什么原因会导致这些失效模式的产生,也就是系统的失效链。
失效模式从功能推断得出,即无法满足或提供预期功能的形式。关注要素的失效模式从6个方面来分析:
a.功能丧失;
b.功能部分失效或降级;c.功能过度;
d.功能间歇性失效;e.功能延时;
f.非期望功能。
图7以驱动控制为例,列举了其可能的6种失效模式。
失效模式确定后,下一步就是分析会导致失效模式产生的原因,即失效起因。失效起因是指失效模式发生的原因,起因造成的后果是失效模式。失效起因可能源自于下一较低级别的功能失效模式、要求和潜在噪音因素(详见图6参数图),应尽可能识别每种失效模式的所有潜在起因。
以驱动控制的非期望功能“驾驶员无加速请求时,车辆加速”为例,其失效原因有2种。
(1)整车控制器失效,未正确解析加速踏板信号;
(2)加速踏板传感器失效,未正确上报驾驶员对加速踏板的请求。
其失效网如图8所示。
由图8可见,关注要素的失效模式,是上一级系统的失效原因,是下一级系统的失效后果。失效分析是风险分析的基础。
3.5 风险分析与优化改进
风险分析的目的是通过评估严重度(S)、频度(O)和探测度(D)来估计风险,并对需要采取的措施进行优先排序。
严重度定义了失效影响/后果的严重程度,失效影响包括了失效对涉及对象/产品本身的影响,对后续产品直到整车的影响,对最终用户的影响,对法律法规符合性的影响。FMEA手册中提供了严重度的评分标准,如表1所示,一般情况下,严重度的评分应该由了解失效后果的研发团队来最终确认。
频度的评级是对当前预防措施有效性的衡量。
当前预防控制描述了如何使用现有的和计划中的行为来减轻导致失效模式的潜在起因。FMEA手册中频度的评分标准如表2所示,从经验、标准和分析工具的有效性3个维度对频度进行评分。
探测度的评级是对探测措施有效性的评估,用于项目交付生产之前。探测度的确定不考虑严重度和频度。当前探测控制在项目交付生产前探测失效模式或失效起因是否存在。探测度评分标准详见表3,在考虑是否会影响生产进度的基础上,从功能、性能和可靠性3个方面对探测度进行考量。
针对电子电气系统的评分,存在一定的主观性,新版FMEA手册中推荐各公司用典型的实例对于分值进行解释,尽可能保证同一公司/相同车型评分标准统一。
以整车控制系统为例,出现意外加速,行驶不受控,可以认为是主要功能丧失,严重度为8分。
对于整车控制器未正确解析加速踏板信号这种失效原因,当前从整车控制器的硬件和软件2个方面都有预防措施:硬件方面,对于加速踏板传感器1和传感器2的信号采集,采用2个不同的A/D采样芯片上的管脚来实现,避免一个采样芯片的失效导致2路加速踏板信号都失效;软件方面,对于加速踏板传感器的2路信号做校验处理,避免加速踏板信号异常突变。基于以上预防措施,整车控制器未正确解析加速踏板的频度为4分。
当前的探测措施,硬件在环(Hardware-in-the-Loop,HIL)测试可以探测到加速踏板信号失效时,整车控制系统当前的处理措施是否能够导致整车出现意外加速;实车测试可以测试到当系统受到各种干扰因素的影响,是否会产生意外加速,探测度取决于测试用例是否能够全面覆盖各种工况,这里基于实际情况,探测度为4分。
FMEA手册中AP表建议将措施分为H(高)、M(中)、L(低)优先级别。综合以上严重度、频度和探测度的得分,整车控制器未正确解析加速踏板造成意外加速的AP优先级为M。
按照FMEA手册的建议:AP优先级为H时,需要确定适当的优化措施;AP优先级为M时,应该采取优化措施;L可以采取措施。故上文中的示例应该采取优化措施减轻风险,并对措施的有效性进行评估。
对于整车控制器未正确解析加速踏板造成意外加速的优化措施,可以从2个方面考虑:从设计的角度,考虑降低频度。对于加速踏板的2路信号,在原有预防措施,2路信号进行校验的基础上,增加可能造成加速踏板异常变化的特殊工况进行识别,识别到异常变化的工况时,对加速踏板的变化进行斜率限制,避免加速踏板在某些工况下,短时间内发生较大的变化,这样可以将频度降为3。
从探测的角度,考虑降低探测度。考虑各种工况,在MIL、HIL和实车测试过程中,增加相应的测试用例,增加意外加速探测的可能性,将探测度降低为3。
从设计和探测2个方面采取措施后,频度从4降低为3,探测度从4降低为3,AP优先级从M降低为L。风险分析结果如图9所示。
风险分析与优化改进是对系统开发和测试工作的梳理过程。首先,确认对于系统的各类失效,系统当前是否有相应的预防和探测措施,措施的有效性如何,是否需要优化措施来进一步保证失效情况下的系统安全。
另外,针对整车电控系统的复杂性,FMEA分析中高级别风险新增的优化措施,会对系统产生哪些影响,是否会造成新的失效,需要根据优化措施的具体情况确定是否需要针对优化措施再进行FMEA分析。
3.6 结果文件化
结果文件化的目的是对结果和分析结论进行沟通、建立文件内容、记录采取的措施,形成FMEA报告。具体目的包括以下6方面:
(1)根据项目计划中的初始目标,说明最终状态;
(2)总结分析范围并确认新的内容;
(3)对功能是如何开发的进行总结;
(4)对团队确定的高风险失效进行总结;
(5)对已采取的和计划中的措施进行总结;
(6)为进行中的改进措施制定计划和时间安排。将前面整车控制系统FMEA分析的内容进行整理,首先是结构分析和功能分析,其次是整车控制系统结构和功能分析,如表4所示。
结构分析和功能分析完成后,对于功能要求做6种类型的否定,表5以非预期功能为例,进行失效分析、风险分析。
对于措施优先级为M的失效,采取优化措施,优化措施如表6。
4 结束语
本文以新能源车整车控制系统为例,介绍了电控系统FMEA分析的过程和方法。FMEA分析不只是开发过程中质量提升的工具,更是一种预防性思维方式。电控系统FMEA分析能够为开发和测试方案制定提供方法,并对完整的问题解决过程进行记录,为后续开发和测试提供参考。
本文参考第1版AIAG&VDAFMEA手册,结合整车控制器产品开发流程,阐述了新能源车整车控制系统的FMEA分析方法,使电控系统FMEA分析具有可操作性,分析步骤具有指导性,效果具有规范性。
2 AIAG&VDAFMEA方法概述
AIAG&VDAFMEA手册最核心的方法是7步法。透过7步法的结构框架,FMEA更系统性的从输入,经过一系列步骤转化输出,以达到产品质量和安全性的要求,不再是一张表格、一个交付物,而是一个具有强逻辑性的系统过程。
对于汽车电控系统来说,在充分了解设计概念后,就应该启动系统FMEA工作,主要包括以下内容。
(1)规划与准备阶段:确定分析的范围;
(2)结构分析阶段:根据相关的电气原理图、网络拓扑以及功能要求确定系统的边界、系统中包括哪些部件、总成,系统中各部件如何交互信息,形成框图,根据关注功能的上一级系统以及实现关注功能需要哪些下一级部件,形成结构树;
(3)功能分析阶段:明确系统需要实现的功能、要求、特性,除主要功能外,辅助功能如诊断、接口功能,也需要明确;
(4)失效分析阶段:对于系统需要实现的全部功能,逐条分析其失效模式,每个失效模式可能会造成哪些后果,每条失效模式可能由哪些原因造成,形成失效链;
(5)风险分析阶段:针对失效原因,确定当前的预防控制方法,针对失效原因/失效模式,确定探测措施,针对每个失效链进行严重度、频度、探测度评级,确定采取措施的优先级(ActionPriority,AP);
(6)优化阶段:确认降低风险的必要措施,并对措施有效性进行评估;
(7)结果文件化阶段:将以上分析的过程和结果填写到FMEA表格中,将分析过程中确定的失效预防措施作为故障诊断和处理方案,探测措施作为测试方案,整理为相应文档,为后续开发和测试提供参考,具体步骤如图1所示。
本文以电动汽车整车控制系统为例,对电控系统FMEA分析方法进行说明。
3 整车控制系统FMEA分析
3.1 规划与准备
规划与准备阶段的目的有以下3点。
(1)确定分析对象。本文的分析对象是整车控制系统,其核心部件是整车控制器,电动汽车的高压上下电、充电、行驶、热管理控制功能都是由整车控制系统来实现的。在功能实现的同时,整车控制器还需要保证整车的高压安全、行驶安全、热管理安全。整车控制系统具备的功能应该由其上级系统分配,一般来说,在整车电子电气架构设计时,应该对整车电气系统功能进行分解,确定整车控制系统应该具备的功能,并形成设计开发任务书,作为开发的输入。
(2)分析对象的边界确定。除了实现设计开发任务书中对整车控制系统要求的功能之外,还需要考虑要实现功能的相关法规要求、具体的技术要求、技术新颖性、创新程度、设计复杂性、质量、可靠性历史等多方面的因素。
(3)FMEA小组成员确定。FMEA团队由涵盖多学科专业知识的跨职能成员组成,对于电控系统来说,FMEA小组成员至少应该包含设计、测试、试验、生产和质量相关专业成员。
在规划与准备时,还需要确定是否有基础FMEA,识别基础FMEA分析的内容与本次FMEA分析的内容有哪些变化点,本次FMEA分析可只针对变化点进行分析。
另外,由于FMEA分析理论上只分析单点失效,为了尽可能的弥补FMEA分析的不足,规划与准备阶段可以对FMEA分析关注要素功能的历史失效进行整理。因为历史失效既包括单点失效,也有多点失效。对历史失效进行分析,既能够提供相应的不可缺失的失效分析案例,又可以弥补FMEA只分析单点失效的局限性。规划与准备是结构分析的基础。
3.2 整车控制系统结构分析
结构分析的目的是将对象分解为系统、子系统、组件或零件,并且将分析范围可视化。系统结构由系统要素组成,系统要素包括系统、子系统、总成、部件/组件和零件。
图2为整车结构分解的示意图,整车可以分解为动力系统、底盘系统、车身系统和电气系统4大部分。其中,电气系统结构较复杂,涵盖整车所有的控制器、传感器和执行器,实现整车所有的控制功能,包括动力系统控制、高压/充电系统控制、热管理系统控制、底盘系统控制、信息系统控制,各控制系统之间相互作用,相互协调,共同实现电气系统的功能。本文所说的整车控制系统,主要包括动力系统控制、高压/充电系统控制、热管理系统控制的功能,并且还需要与底盘系统控制、信息系统控制有一定的交互。
可见,整车电子电气系统从结构上来说甚是复杂,更需要进行充分的FMEA分析来保证系统的可靠性。
FMEA手册提供了2种结构分析的工具,边界图和结构树。
结构树按层次排列系统要素,并通过结构化连接展示依赖关系。电动汽车整车控制系统的上级系统主要包括:动力系统、高压系统和热管理系统3部分,本文主要针对动力系统控制部分功能做分析。动力系统控制部分的结构树如图3所示。
关注要素是驱动控制和制动控制,是由上级系统-动力系统控制分配而来。为了实现驱动控制和制动控制功能,需要的下一级零部件包括:整车控制器、加速踏板传感器、制动踏板传感器、电机控制单元、电池管理系统、换挡手柄控制器、网关和底盘域控制系统。
系统的结构树确定后,边界图用于描述系统要素之间的交互作用。接口有5种主要类型:物理连接、材料交换、能量传递、数据交换和人机接口。边界图中显示所有内、外部接口发生关系的性质和类型。如图4为整车控制系统驱动/制动控制的边界图。
图4中框内为整车控制系统FMEA分析时需要考虑的部件,其核心部件是整车控制器,采集换挡手柄控制器信号,解析驾驶员档位意图,采集加速踏板传感器、制动踏板传感器信号,解析驾驶员的加速意图和制动意图,根据驾驶员意图,输出信号,控制动力系统各部件(电机、电池)协调工作实现车辆驱动、制动功能。框外是可能会对系统功能产生影响的相关部件,在后续进行功能分析和失效分析时也需要考虑外围部件是否会因其本身失效或与关注系统交互的失效造成关注要素功能失效。结构分析是功能分析的基础。
3.3 整车控制系统功能分析
功能分析的目的是确保要求/规范中规定的功能被适当地分配给系统要素,将产品功能可视化,将上级系统的功能要求与关注要素的功能要求关联。
前面结构分析时确定本文系统FMEA分析的关注要素是驱动控制和制动控制,其上级系统,动力系统控制,就是驱动控制和制动控制的用户,动力系统控制对驱动和制动的需求为用户需求。关注要素承接用户的需求,并且对需求进行分析、细化,确定要实现的功能,对下一级每个部件的功能要求,形成功能网。整车控制系统-驱动/制动控制功能网如图5所示。
由图5可见,功能结构自上至下逐渐详细,较低级别功能描述了较高级别功能是如何被满足的。其中,上一较高级别功能及要求描述的是从整车分解下来的需要实现的功能;关注要素功能及要求还需要识别在结构分析中识别的相关系统要素的功能;下一较低级别功能及要求或特性中还应包括在结构分析中识别的相关部件的功能。
另外,上级系统对于关注要素的需求为关注要素的主功能,除了分析主功能,系统还具备一些辅助功能,如:接口功能、诊断功能和可维护性功能。
FMEA手册中提供了可用于功能分析时的工具-参数图,参数图是功能所在环境的图表展示,包括了影响输入和输出之间传递功能的因素,专注于优化输出所需的设计决策,通过参数图应完整地展现所分析功能的失效原因。
参数图关注功能的实现,它可以清楚识别功能的所有影响因素,包括可控因素(控制因素)和不能适当控制的因素(噪音因素)。其中噪音因素会对系统从2个方面产生影响:
(1)直接影响系统的输入;
(2)间接影响系统组成部分的功能。
整车控制系统驱动/制动控制的参数图如图6所示,系统的输出受到3方面因素的影响,输入因素、控制因素和噪音因素。在输入信号确定的情况下,系统会产生预期输出或非预期输出,取决于控制因素和噪音因素之间的博弈。理想情况下,控制因素会使系统产生预期输出,噪音因素会使系统产生非预期输出。在制定相应功能需求规范(控制因素)时,如果尽可能全面的考虑了噪音因素对系统产生的影响,并且采取了规避的措施,那么因噪音因素的影响,系统产生非预期输出的概率就会减小。进行FMEA分析的目的就是尽可能全面的考虑噪音因素对系统的影响,在控制因素中采取避免措施,最大程度的避免非预期输出。
功能的完整定义将使失效分析更全面,潜在失效模式即功能的否定描述。
3.4 整车控制系统失效分析
失效分析的目的是识别失效起因、模式和影响,并显示它们之间的关系,以便进行风险评估。
系统的结构和功能都确定后,对系统进行失效分析,确定系统应该具备的功能可能会产生哪些失效模式,失效模式会对上级系统造成哪些影响,什么原因会导致这些失效模式的产生,也就是系统的失效链。
失效模式从功能推断得出,即无法满足或提供预期功能的形式。关注要素的失效模式从6个方面来分析:
a.功能丧失;
b.功能部分失效或降级;c.功能过度;
d.功能间歇性失效;e.功能延时;
f.非期望功能。
图7以驱动控制为例,列举了其可能的6种失效模式。
失效模式确定后,下一步就是分析会导致失效模式产生的原因,即失效起因。失效起因是指失效模式发生的原因,起因造成的后果是失效模式。失效起因可能源自于下一较低级别的功能失效模式、要求和潜在噪音因素(详见图6参数图),应尽可能识别每种失效模式的所有潜在起因。
以驱动控制的非期望功能“驾驶员无加速请求时,车辆加速”为例,其失效原因有2种。
(1)整车控制器失效,未正确解析加速踏板信号;
(2)加速踏板传感器失效,未正确上报驾驶员对加速踏板的请求。
其失效网如图8所示。
由图8可见,关注要素的失效模式,是上一级系统的失效原因,是下一级系统的失效后果。失效分析是风险分析的基础。
3.5 风险分析与优化改进
风险分析的目的是通过评估严重度(S)、频度(O)和探测度(D)来估计风险,并对需要采取的措施进行优先排序。
严重度定义了失效影响/后果的严重程度,失效影响包括了失效对涉及对象/产品本身的影响,对后续产品直到整车的影响,对最终用户的影响,对法律法规符合性的影响。FMEA手册中提供了严重度的评分标准,如表1所示,一般情况下,严重度的评分应该由了解失效后果的研发团队来最终确认。
频度的评级是对当前预防措施有效性的衡量。
当前预防控制描述了如何使用现有的和计划中的行为来减轻导致失效模式的潜在起因。FMEA手册中频度的评分标准如表2所示,从经验、标准和分析工具的有效性3个维度对频度进行评分。
探测度的评级是对探测措施有效性的评估,用于项目交付生产之前。探测度的确定不考虑严重度和频度。当前探测控制在项目交付生产前探测失效模式或失效起因是否存在。探测度评分标准详见表3,在考虑是否会影响生产进度的基础上,从功能、性能和可靠性3个方面对探测度进行考量。
针对电子电气系统的评分,存在一定的主观性,新版FMEA手册中推荐各公司用典型的实例对于分值进行解释,尽可能保证同一公司/相同车型评分标准统一。
以整车控制系统为例,出现意外加速,行驶不受控,可以认为是主要功能丧失,严重度为8分。
对于整车控制器未正确解析加速踏板信号这种失效原因,当前从整车控制器的硬件和软件2个方面都有预防措施:硬件方面,对于加速踏板传感器1和传感器2的信号采集,采用2个不同的A/D采样芯片上的管脚来实现,避免一个采样芯片的失效导致2路加速踏板信号都失效;软件方面,对于加速踏板传感器的2路信号做校验处理,避免加速踏板信号异常突变。基于以上预防措施,整车控制器未正确解析加速踏板的频度为4分。
当前的探测措施,硬件在环(Hardware-in-the-Loop,HIL)测试可以探测到加速踏板信号失效时,整车控制系统当前的处理措施是否能够导致整车出现意外加速;实车测试可以测试到当系统受到各种干扰因素的影响,是否会产生意外加速,探测度取决于测试用例是否能够全面覆盖各种工况,这里基于实际情况,探测度为4分。
FMEA手册中AP表建议将措施分为H(高)、M(中)、L(低)优先级别。综合以上严重度、频度和探测度的得分,整车控制器未正确解析加速踏板造成意外加速的AP优先级为M。
按照FMEA手册的建议:AP优先级为H时,需要确定适当的优化措施;AP优先级为M时,应该采取优化措施;L可以采取措施。故上文中的示例应该采取优化措施减轻风险,并对措施的有效性进行评估。
对于整车控制器未正确解析加速踏板造成意外加速的优化措施,可以从2个方面考虑:从设计的角度,考虑降低频度。对于加速踏板的2路信号,在原有预防措施,2路信号进行校验的基础上,增加可能造成加速踏板异常变化的特殊工况进行识别,识别到异常变化的工况时,对加速踏板的变化进行斜率限制,避免加速踏板在某些工况下,短时间内发生较大的变化,这样可以将频度降为3。
从探测的角度,考虑降低探测度。考虑各种工况,在MIL、HIL和实车测试过程中,增加相应的测试用例,增加意外加速探测的可能性,将探测度降低为3。
从设计和探测2个方面采取措施后,频度从4降低为3,探测度从4降低为3,AP优先级从M降低为L。风险分析结果如图9所示。
风险分析与优化改进是对系统开发和测试工作的梳理过程。首先,确认对于系统的各类失效,系统当前是否有相应的预防和探测措施,措施的有效性如何,是否需要优化措施来进一步保证失效情况下的系统安全。
另外,针对整车电控系统的复杂性,FMEA分析中高级别风险新增的优化措施,会对系统产生哪些影响,是否会造成新的失效,需要根据优化措施的具体情况确定是否需要针对优化措施再进行FMEA分析。
3.6 结果文件化
结果文件化的目的是对结果和分析结论进行沟通、建立文件内容、记录采取的措施,形成FMEA报告。具体目的包括以下6方面:
(1)根据项目计划中的初始目标,说明最终状态;
(2)总结分析范围并确认新的内容;
(3)对功能是如何开发的进行总结;
(4)对团队确定的高风险失效进行总结;
(5)对已采取的和计划中的措施进行总结;
(6)为进行中的改进措施制定计划和时间安排。将前面整车控制系统FMEA分析的内容进行整理,首先是结构分析和功能分析,其次是整车控制系统结构和功能分析,如表4所示。
结构分析和功能分析完成后,对于功能要求做6种类型的否定,表5以非预期功能为例,进行失效分析、风险分析。
对于措施优先级为M的失效,采取优化措施,优化措施如表6。
4 结束语
本文以新能源车整车控制系统为例,介绍了电控系统FMEA分析的过程和方法。FMEA分析不只是开发过程中质量提升的工具,更是一种预防性思维方式。电控系统FMEA分析能够为开发和测试方案制定提供方法,并对完整的问题解决过程进行记录,为后续开发和测试提供参考。
- 下一篇:ECMA 418 粗糙度计算方法解读
- 上一篇:氢燃料电池技术发展现状及未来展望
广告
广告
编辑推荐
最新资讯
-
新能源汽车应用中的【夜视系统】与【雨夜系
2024-11-22 08:57
-
标准解读 | GB 20997-2024 《轻型商用车辆
2024-11-22 08:55
-
规程新看点 | 2024版C-GCAP首次引入高原尾
2024-11-22 08:54
-
新能源检验中心与大众汽车(中国)科技有限
2024-11-22 08:53
-
IAE智行众维子公司上海智测(IAE-SET)项目
2024-11-22 08:50
广告
广告
