MUNIK解读ISO26262:FMEA设计大全

 

 

DFMEA,PFMEA,FMEA-MSR三者的特点与区别

 

我们在开发功能安全产品时,经常需要进行一些安全分析,而其中经常用的一种分析方法就是FMEA,在这里我们对FMEA的一些基本概念进行梳理。

 

1.何时需要考虑执行FMEA:

  1. 全新开发一款产品(系统级,子系统级,要素级);
  2. 产品的应用进行了修改;
  3. 产品的设计进行了修改(比如产品召回进行设计修改后)这三类。

 

 

2.FMEA主要通过两种形式进行实施,

 

D-FMEA(设计FMEA)和P-FMEA(过程FMEA),可以理解是从不同方面对产品进行的分析。而FMEA-MSR(监控及系统响应的补充FMEA)是作为对这两种形式的补充。

 

 

  1. 其中DFMEA主要由设计团队在批量生产前完成,主要考虑并解决潜在失效以及相关失效起因。在这里根据分析对象层级的不同可以分为系统FMEA,子系统FMEA,组件FMEA,考虑方式都一样(这里的潜在失效不是26262里面的双点失效,而是指设计过程中遗漏未发现和应对的失效模式)。
  2. PFMEA分析和解决的是产品在制造,装配和物流过程中的潜在失效。
  3. FMEA-MSR侧重考虑的是产品在使用过程中的一些失效模式,其实在26262设计过程中经常会看到有对于生产运行服务和报废的相关要求,其实就是做了此方面的考虑,也就是出现在FMEA-MSR的失效模式,有可能已经在D-FMEA中进行了设计考虑。

注:DFMEA和PFMEA两者的分析对象不一样,一个是优化工程设计,一个是优化生产制造工艺和流程,优化结果必须在正式量产前结束,不然是没有意义的。

 

3.关于S,O(F),D(M)三个参数的理解

 

  • DFMEA最终对失效模式的影响通过三个参数S(严重度,属于失效模式的固有属性,不会受安全机制的影响),O(潜在频度),D(探测度)进行综合打分,按照打分结果定义失效模式处理的优先级,然后通过从当前预防控制(PC)以及当前探测控制(DC)这两个方面对失效进行控制(因为S是用来描述失效模式对车辆或者驾驶者的影响,低层级的开发商可以由顾客告诉其S的评级)。

 

上述的PC会对“O”的取值进行优化,降低失效发生的概率,常见的PC措施就比如对设计的评审验证。DC是用来发现失效模式的手段,可以对“D”的取值进行优化,描述的内容是已经做了规划和准备实施的活动,最好引用相关的测试计划,常见的DC措施,就比如鲁棒性测试中的老化测试,加速测试,失效测试等,主要来证明已知的失效模式完整性。PFMEA与DFMEA的操作流程大致相同,只是每个参数(S,O,D)打分时关注的点不一样,各自都有针对性的进行描述。

 

  • FMEA-MSR是作为对D/P-FMEA的补充,因为D/P-FMEA是对设计和生产环节出现的失效模式进行的分析,而FMEA-MSR是从使用者的角度进行考虑,分析在用户使用过程,车辆运行过程以及维护过程中可能会出现的失效模式。FMEA-MSR是由S,F,M来进行估算,其中S与D-FMEA的内容一致,而F指的是在运行阶段失效发生的频率,M这里引用标准的原话“监视评级涉及所有传感器、逻辑和人类感知的组合能力,旨在探测故障失效,并通过机械驱动和物理反应(可控性)改变车辆行为的方式作出响应。为保持安全或合规的运行状态,需要在发生危险或不合规的影响之前进行故障探测和响应的排序。最终评级说明了维持安全或合规运行状态的能力”,概述就是不管是通过电子电气设备还是人体对失效的探测感知能力以及将失效影响降低的可能性,M这一块举例就是方向盘电子转向助力,从电子电气角度考虑的探测和限制失效影响分别就是发现转向助力异常的探测机制和停用电子转向助力功能的安全状态实现的可能性,而从人为角度考虑的探测和限制失效影响就是人在驾驶过程中发现电子转向助力失效以及人为纠正转向助力的可能性。

 

对于FMEA-MSR的思考逻辑有点类似于ISO 26262中在概念阶段执行HARA(危害分析和风险评估)来确定SG的活动,HARA的三个参数S(严重度),E(暴露概率),C(可控性),与FMEA-MSR中的S(严重度),F(运行过程中的发生频率),M(对失效的发现和处理的可能性或者叫难易程度),大家可以类比着进行理解。