《新版FMEA(AIAG-VDA第一版)FMEA-MSR补充FMEA课件ppt》由会员分享,可在线阅读,更多相关《新版FMEA(AIAG-VDA第一版)FMEA-MSR补充FMEA课件ppt(65页珍藏版)》请在金锄头文库上搜索。
1、FMEA-MSR,AIAG - VDA 1st Edition,4.监视及系统响应的补充FMEA,4.1 FMEA-MSR 第一步:范围定义 4.2 FMEA-MSR 第二步:结构分析 4.3 FMEA-MSR 第三步:功能分析 4.4 FMEA-MSR 第四步:失效分析 4.5 FMEA-MSR 第五步:风险分析 4.6 FMEA-MSR 第六步:优化 4.7 FMEA-MSR 第七步:FMEA结果文档,4 监视及系统响应的补充FMEA(FMEA-MSR),关于对系统、车辆、人员和法规遵从性的技术影响,监视及系统响应的补充FMEA对顾客操作条件下可能出现的潜在失效起因进行了分析。该方法考虑到
2、失效起因或失效模式是否由该系统探测到或失效影响是否由驾驶员探测到。顾客操作将理解为最终用户操作或运行操作以及维护操作。 FMEA-MSR涵盖了以下风险要素: 伤害的严重程度、不符合法规,功能丧失或退化,以及不可接受的质量,由(S)表示 在运行情况下估计的失效起因频率,由(F)表示 通过诊断探测和自动响应避免或限制失效影响的技术可能性。以及通过感官知觉和物理响应避免或限制失效影响的人为可能性,由(M)表示 F和M的组合系指由于失效(失效起因)和由此产生的故障行为(失效横式模式)所导致的失效影响发生概率的估计。 注:发生失效影响的总体概率可能更高,原因在于不同的失效起因可能导致相同的失效影响。,F
3、MEA-MSR 通过评估因监视和响应所产生的降低风险的方式增值。FMEA-MSR 通过与可接受的残余风险条件进行比较并评估当前的失效风险状态,得出额外监视的必要性。该分析可以属于设计FMEA的一部分,设计FMEA中该分析的开发方面从顾客操作方面进行补充分析。但它仅在需要诊断探测维持安全性或合规性时才加以应用。 DFMEA的探测与补充FMEA-MSR的监视不同。在DFMEA中,探测控制记录了可证明满足开发和确认要求的试验能力。对于已成为系统设计一部分的监视功能,确认旨在证明诊断监视和系统响应按预期运作。相反,假设满足相应的规范的情况下,FMEA-MSR中的监视评估了顾客操作中的故障探测性能的效果
4、,监视评级也可理解为安全性能以及系统对监视到的故障的响应的可靠性。它有利于评估是否实现安全目标,且可用于获得安全概念。 根据车辆操作系统的诊断功能,通过考虑更多的、可精确地反映所评估到的较低级别风险的因素,补充的FMEA-MSR可以解决DFMEA中被评为高级别的风险。这些附加因素有利于提高对失效风险(包括伤害风险、不合规风险、不遵守规范的风险)的描述。,4 监视及系统响应的补充FMEA(FMEA-MSR),4 监视及系统响应的补充FMEA(FMEA-MSR),FMEA-MSR有利于提供诊断、逻辑和驱动机制实现和维持安全或合规状态的能力的证据(特别是在最大故障处理时间间隔内和容错时段内的适当失效
5、缓解能力) 。 FMEA-MSR评估最终用户条件下的当前失效风险状态(不仅仅是对人员造成伤害的风险)。顾客操作期间的故障/失效探测可用于通过切换到降级的运行状态(包括禁用车辆),通知驾驶员和/或将诊断故障代码(DTC)写入服务用控制单元来避免初始的失效影响。就FMEA而言,可靠的诊断探测和响应最终消除(预防)初始影响,并将其替换为新的,不太严重的影响。 FMEA-MSR可用于确定系统设计是否满足安全性和合规性方面的性能要求。结果可能如下: 出于监视的目的考虑,可能需要额外的传感器 可能需要处理冗余 真实性检查可能显示传感器故障,FMEA的七步法,6,4 监视及系统响应的补充FMEA(FMEA-
6、MSR),4.1.1 目的 FMEA-MSR规划和准备的主要目标: 项目确定 项目计划(目的、时间安排、团队、任务、工具(5T) ) 分析边界:分析中包括什么、不包括什么 基准DFMEA的识别 结构分析步骤的基础,4.1 FMEA-MSR 步骤一:策划和准备,4.1.2 FMEA-MSR项目确定和边界 项目确定包括明确了解需要评估的内容。这涉及到确定顾客项目所需的FMEA-MSR的决策过程。分析中需要不包括和包括的内容一样重要。 如适用,以下内容可帮助团队确定FMEA-MSR项目:,4.1 FMEA-MSR 步骤一:策划和准备,危害分析和风险评估 法律要求 技术要求 顾客需要/需求/期望(外部
7、和内部顾客) 要求规范 图表(方块/边界图/系统) 原理图、图纸和/或3D模型 物料清单(BOM)、风险评估 类似产品以往的FMEA,4.1 FMEA-MSR 步骤一:策划和准备,对这些问题以及公司定义的其它问题的回答,将帮助创建所需的FMEA-MSR项目清单。FMEA-MSR项目清单确保了方向、承诺和工作重点的一致性。 以下基本问题可帮助确定FMEA-MSR边界: 在电气/电子/可编程电子系统上完成DFMEA后,是否存在可能对人员伤害或涉及法规不符合的影响? DFMEA是否表明可通过直接感知和/或合理算法探测到将引起伤害或不合规行为的所有起因? DFMEA是否表明对任何和所有探测到的起因的预
8、期系统响应是切换到降级的运行状态(包括禁用车辆),通知驾驶员和/或将诊断故障代码(DTC)写入服务用控制单元? 监视及系统响应补充FMEA可用于测试系统,这些系统已集成操作期间的故障监视和响应机制。通常这些属于更加复杂的系统,它们是由传感器、执行器和逻辑处理单元构成。此类系统中的诊断和监视功能可通过硬件和/或软件实现。,监视及系统响应的补充FMEA中可能操作考虑的系统通常由至少一个传感器、一个控制单元和一个执行器或者其一部分组成。并且称为机械电子系统。系统内也可能由机械硬件要素(例如:气动和液压件)组成。,4.1 FMEA-MSR 步骤一:策划和准备,图4.1-1 电气/电子/可编程电子系统的
9、一般方块图,数据 电压 电流,数据 电压 电流,4.1 FMEA-MSR 步骤一:策划和准备,可在顾客和供应商协商的基础上确定监视及系统响应的补充FMEA的范围。适用范围标准可能包括但不限于: 系统安全关联性 ISO标准,例如:根据ISO 26262的安全目标 立法机构的文件要求,例如: UN/ECE法规(联合国欧洲经济委员会)、FMVSS( 美国汽车安全技术法规 )/CMVSS (加拿大机动车辆安全标准) 、NHTSA (美国高速公路安全管理局)和车载诊断要求(OBD)合规性 4.1.3 FMEA-MSR项目计划 确定FMEA-MSR项目后,应当立即制定FMEA-MSR的执行计划。 建议使用
10、本手册第1.5节中所述的5T方法(日的、时间安排、团队、任务、工具)。FMEA-MSR计划有助于公司提早启动FMEA-MSR。FMEA-MSR活动(七步法过程)应纳入总体设计项目计划中。,4.2.1 目的 FMEA-MSR结构分析的主要目标: 分析范围的可视化 结构树或其它:方块图、边界图、数字模型、实体零件 识别设计接口、交互作用 顾客和供应商工程团队之间的协作(接口职责) 功能分析步骤的基础,4.2 FMEA-MSR 步骤二:结构分析,视据分析范围,结构可能包含硬件要素和软件要素。复杂结构可分成几个结构(工作包)或不同的方块图层,并出于组织原因的考虑单独分析或确保足够的清晰度。 FMEA-
11、MSR的范围仅限于系统的要素,其中根据该系统的基准DFMEA所示,存在可能导致危险或不合规影响的失效起因。 为实现系统结构的可视化。通常使用以下两种方法: 方块(边界)图 结构树 详见设计FMEA第2.2节,4.2 FMEA-MSR 步骤二:结构分析,4.2.2 结构树 在监视及系统响应的补充FMEA中,结构树的根要素可能处于整车层面(例如:分析整个系统(见图4.2-1)或OEM)或处于系统层面(即对子系统或组件进行分析的供应商(见图4.2-2) ) 整车层面的根要素 图4.2-1 车窗升降系统结构树的示例,用于调查错误信号、监视和系统响应,4.2 FMEA-MSR 步骤二:结构分析,传感器元
12、件和控制单元可能也是一个组件 (智能传感器)的一部分。此类系统中的诊断和监视功能可通过硬件和/软件要素实现。 图4.2-2带内部感测元件和接口输出的智能传感器结构树示例,4.2 FMEA-MSR 步骤二:结构分析,如果分析范围内未提供传感器,则使用接口要素来描述ECU接收的数据/电流/电压。任何ECU的功能之一便是接收信号,即通过连接件接收信号。这些信号可能丢失或错误。在没有监视的情况下,获得的输出可能有误。 如果分析范围内未提供执行器,则使用接口要素来描述ECU发送的数据/电流/电压。任何ECU的其他功能之一便是发送信号,即通过连接器发送信号。这些信号也可能丢失或错误。也可能是“无输出”或“
13、失效信息”。 错误信号可能是由工程师或组织的责任范围之外的组件所致。这些错误信号可能对工程师或组织责任范围内组件的性能产生影响,因此FMEA-MSR分析中需要涵盖这些原因。 注:确保该结构与安全概念(如适用)保持一致。,4.2 FMEA-MSR 步骤二:结构分析,图4.2-3 FMEA-MSR表格中的结构分析示例,4.2 FMEA-MSR 步骤二:结构分析,4.3.1 目的 FMEA-MSR功能分析的主要目标: 功能及各功能之间的关系的可视化 功能树/网络或等效功能矩阵参数图(P图) 顾客(外部和内部)功能与相关要求的关联 要求或特性与功能的关联 工程团队(系统、安全和维件)之间的协作 失效分
14、析步骤的基础 在监视及系统响应的补充FMEA中,对失效探测和失效响应的监视视为其具有的功能,硬件和软件功能可能包括监视控制状态的功能。,4.3 FMEA-MSR 步骤三:功能分析,故障/失效的监视和探测功能可能包括超出范围的探测、循环冗余校验、真实性检查和序列计数器检查等功能。 针对失效响应的功能可能包括提供默认值,切换到跛行模式、关闭相应功能和/或显示警告等功能。 这些功能被建模为那些作为这些功能载体的结构要素,即具有计算能力的控制单元或组件,如智能传感器。 此外,可考虑由控制单元接收的传感器信号。因此,也可以描述信号的功能。 最后,执行器的功能可增加,这说明了执行器或车辆按需响应的方式。
15、假设性能要求是维护安全或合规状态。通过风险评估,对相关要求的履行情况进行评估。 如果传感器和/或执行器不在分析范围内,则将功能分配给相应的接口要素(与适用安全概念相符)。,4.3 FMEA-MSR 步骤三:功能分析,4.3 FMEA-MSR 步骤三:功能分析,图4.3-2 FMEA-MSR表格中的功能分析示例,图4.3-1 含功能的结构树的结构树示例,4.4.1目的 在相关的场景下,FMEA-MSR的失效分析旨在说明导致最终影响的事件链。 FMEA-MSR失效分析的主要目标: 建立失效链 失效起因、监视、系统响应、减轻的失效影响 使用参数图或失效网识别产品失效起因 顾客与供应商之间的协作(失效
16、影响) FMEA表格中失效文件化和风险分析步骤的基础 4.4.2失效场景 失效场景由相关操作条件的描述组成,在这些条件中,故障导致错误行为并且可能导致最终系统状态(失效影响)的事件序列(系统状态),4.4 FMEA-MSR步骤四: 失效分析,图4.4-1 理论失效链模型DFMEA和FMEA-MSR,4.4 FMEA-MSR步骤四: 失效分析,失效是否在顾客操作过程中被探测到?,它的起点为确定的失效起因,而其终点为失效影响。(见图4.4-1),分析的焦点在具有诊断能力的组件,即ECU。 如果组件无法探测到故障/失效,则会发生失效模式,从而导致相应严重程度的最终结果。 但如果组件可探测到失效,这会产生系统响应,其失效影响与初始的失效影响相比,其严重度更低。在以下场景(1)至(3)中对相关细节进行了说明。 图4.4-2 失效场景(1)无危险事件 失效场景(1)说明了从故障出现到失效影响发生过程中所产生的故障行为,其中在本示例中,失效影响虽然不会造成危险,但可能达到不合规的最终系统状态。,4.4 FMEA-M
