EPB功能安全笔记(8):FMEA⽅法论介绍本⽂要点
在上⽂(EPB功能安全笔记(7):EPB safety concept分析⽰例) 以⼀条Safety Goal为例,结合系统架构和功能定义与边界分析出功能安全需求,最终得到技术安全需求。技术安全需求将分配给软件⼯程师和硬件⼯程师实现。
功能安全开发团队合作⽰意图
⾄此,对功能安全需求分析的介绍将告⼀段落,从本⽂开始将展开对另⼀个主要功能安全开发⼯作的讨论——安全分析(Safety Analysis)。
在ISO 26262中关注两点失效:
随机硬件失效(random hardware failure):在硬件要素的⽣命周期中,⾮预期发⽣并服从概率分
布的失效。
系统性失效(systematic failure):以确定的⽅式与某个原因相关的失效,只有对设计或⽣产流程、操作规程、⽂档或其他相关因素进⾏变更后才可能排除这种失效。
站在以结果为导向的⾓度,安全分析的⽬的就是借助分析⽅法去实现以下三点⽬标从⽽证明产品符合ISO 26262的要求。
产品的失效被完整地识别
系统性失效被有效地规避
随机失效被控制在了可接受的范围内
作为安全分析的开头,本⽂将介绍常⽤的分析系统性失效的⽅法——FMEA(Failure Mode and Effects Analysis)。
1.什么是FMEA?
1.1.FMEA的⽬的
对于企业来说,影响产品释放和质量的因素包括技术风险,财务风险,时间风险和策略风险。FMEA (Failure Mode and Effects Analysis)则是针对技术风险,是对产品开发和⽣产流程中进⾏
预防性质量管理的⼀种分析⽅法。FMEA 有助于及时识别和评估系统或产品使⽤过程中所有可能的风险,并制定和实施适当的措施以优化产品开发和⽣产环节的质量控制以降低故障成本(如召回率)。
1.2.FMEA在汽车⾏业的标准
FMEA历史悠久,最早于1949年在美国军事装备开发中提出,后来形成了国际标注1977年引⼊汽车⾏业,并随着时间发展产⽣了两个标准:
德国汽车⼯业协会VDA:VDA Volume 4,“Product and Process FMEA”
美国汽车⼯业⾏动⼩组AIAG:“FMEA Reference Manual”
这两个标准的核⼼是⼀样的,但是仍然在⼀些概念的定义等⽅⾯存在差异,随着汽车⾏业全球化合作越来越深⼊,这些差异不可避免引起合作上的不便,对标准统⼀的呼声也越来越⾼,于是VDA和AIAG 在2019年联合发布了统⼀的标准“Failure Mode and Effects Analysis – FMEA Handbook”。
Failure Mode and Effects Analysis – FMEA Handbook,封⾯截图
按照AIAG&VDA标准的分类,如果将FMEA⽤于从进货到递交给客户的⽣产环节中,那么称为PFMEA(Process FMEA),由⼯⼚管理相关⼯程师负责;如果将FMEA分析⽅法⽤作产品开发环节中,那么称为DFMEA(Design FMEA)。本⽂及后续⽂章只涉及DFMEA的讨论,对PFMEA感兴趣的读者可以参考标准⾥的详细介绍。
1.3.FMEA的优势和不⾜
正确且有效地进⾏FMEA活动,可以:
提⾼产品的质量、可靠性、安全性,从⽽提⾼⽤户满意度;
打通整车层(vehicle level)、系统层(system level)和组件层(component level)之间的接⼝,在与客户和供应商沟通中更有针对性从⽽提⾼效率;
降低失效引起的成本;
避免⼲扰项⽬SOP时间;
有助于在公司内部建⽴know-how。
但是,FMEA也不是万能的。⾸先,FMEA只是⽤来做定性分析⽽不是定量分析。具体来说,对识别出的故障所能造成的风险⼤⼩的评估,以及对避免故障所制定的措施的有效性的评估,会因为不同公司之间的能⼒⽔平差异和理解上的差异⽽存在出⼊。这就导致了不同公司之间的FMEA 分析结果没有⽐较的意义。
其次,FMEA只⽤来进⾏单点故障分析,⽽不能进⾏多点故障分析。即在分析某个失效模式时,假设的前提是系统中所有其他功能都是正常⼯作的。
看到这⾥可能有读者想,既然只能做定性分析,⽽且还不能分析多点故障,局限性这么多,做
FMEA还有什么意义?在这⾥需要给FMEA正名⼀下。分析⽅法的优劣取决于这个⽅法的侧重点是什么。对于FMEA来说,关注的是组成系统的每⼀个要素,其⽬的就是尽可能完整地识别所有要素可能产⽣的所有失效,并对影响⼤的失效制定应对措施。对于某个失效所造成的影响,虽然A公司评分为9,⽽B公司评分为8,但是这两个评分都不影响A公司和B公司都意识到这个失效的后果严重从⽽都根据⾃⼰的know-how制定相应的措施。从这个⾓度,FMEA分析的⽬的已经达到了。
我们可以说,单靠FMEA的分析结果不能完整地证明系统的可靠性,但是正确使⽤FMEA⼀定提⾼了系统的可靠性。
在这⾥说句题外话,从上⼀节的介绍中不难看出,理论上来说FMEA可以⽤来分析任何类型的产品(E/E,机械,液压等),从组成产品的底层要素⼊⼿进⾏风险分析。因此对于分析E/E产品的ISO 26262来说,⾃然⽽然地将FMEA作为⼀种⾃下⽽上的分析⽅法(归纳分析⽅法)作为推荐引⼊其中,⽤以辅助功能安全开发。但是不要错误得认为FMEA就是为ISO 26262服务的。通过上⾯的对⽐我们知道,实际上FMEA的使⽤范围⽐ISO 26262更⼴。
2.FMEA的⽅法论
在2019版的《Failure Mode and Effects Analysis – FMEA Handbook》中将FMEA活动归纳为七步,如下图所⽰。
FMEA“七步法”
其中第1步和第7步是新版本加上去的,分别对计划和最后的⽂档⼯作进⾏了指导,⽽中间五步则是FMEA的核⼼。接下来将重点对这五步的关键点进⾏阐述。
2.1.Structural Analysis(结构分析)
这⾥的结构指的是系统的结构。什么是系统?系统由若⼲个要素(element)组成,这些要素都具备相应的特征同时通过⼀定的关系与其他要素相互联系。同时系统具有将系统与外界环境分开的明确的边界,并且其与环境的关系由输⼊和输出定义。
结构分析的⽬的就是清晰、完整地描述产品的组成部分,包括系统的边界。在DFMEA中⽤树状图的形式描述了整个系统中的要素。
车窗升降系统树状图⽰例
在这⾥需要强调⼀点,整车系统由好⼏家公司的产品共同组成,相应地,这个系统完整的FMEA 也是这些公司各⾃的FMEA通过系统接⼝定义拼接⽽成,⽽这些接⼝定义来⾃于需求定义。
多⼚家合作时完整FMEA⽰意图
2.2.Function Analysis(功能分析)
对于要分析的产品,有基于产品设计需求定义出来的产品功能;⽽对每⼀个系统要素,也都各⾃对应⼀个或多个功能。功能分析的⽬的是保证产品功能被适当地分配给了相应的要素,从⽽将产品功能和要素功能关联起来形成功能⽹络。⽽这个⼯作将在已经确定的系统结构树的基础上完成。
车窗升降系统功能⽹⽰例
2.3.Failure Analysis(失效分析)
失效分析的⽬的是正确地识别出失效原因(failure cause)、失效模式(failure mode)和失效影响(failure effect), 从⽽基于功能⽹确定失效⽹。
对失效的定义来源于功能定义,当功能不能被实现时即为失效。功能的失效模式可以从以下⼏个⽅⾯定义:
Loss of function (e.g. inoperable, fails suddenly)
Degradation of function (e.g. performance loss over time)
Intermittent function (e.g. operation randomly starts/stops/starts)
Partial function (e.g. performance loss)
Unintended function (e.g. operation at the wrong time,
unintended direction, unequal performance)
Exceeding function (e.g. operation above acceptable threshold)
Delayed function (e.g. operation after unintended time interval)
失效模式图⽰
前⾯提到,⼀条完整的失效⽹包含以下三个因素,三者的关系如下。
失效原因(failure cause)
失效模式(failure mode)
失效影响(failure effect)
德国汽车工业协会
失效⽹模型
failure mode是使要素⽆法满⾜预期功能的⽅式;⽽failure cause则为使failure mode发⽣的原因;failure effect被定义为failure mode所引起的后果。
值得注意的是,当分别站在系统层、⼦系统层和部件层来看某⼀个失效时,这个失效可能在不同的层级下分别被定义为failure cause、failure mode和failure effect。举例来说,OEM站在主机⼚定义“电机扭矩⾮预期将为0Nm”为车窗⽆法升起的failure cause,但是对电机供应商来说却是failure effect。
发布评论