FMEA-MSR步骤五:风险分析(二)

续FMEA-MSR风险分析的前两项评估标准:严重度(S)和频率(F),本期继续分享第三项评估标准监视(M)。

监视(M)

监视评级(M)是对顾客操作期间探测故障/失效并应用故障响应来维持安全或合规状态能力的度量。

监视评级涉及所有传感器、逻辑和人类感知的组合能力,旨在探测故障/失效,并通过机械驱动和物理反应(可控性)改变车辆行为的方式作出响应。为保持安全或合规的运行状态,需要在发生危险或不合规的影响之前进行故障探测和响应的排序。最终评级说明了维持安全或合规运行状态的能力。

监视评级是在单个FMEA范围内的相对评级,并且在不考虑严重度或频率的情况下确定。应当使用表MSR3中的标准评估监视情况。可使用常见监视的示例来扩充该表。FMEA项目团队应当就评估标准和评级体系达成一致,即使根据单个产品分析做了修改,该标准和体系也是一致的。

假设是按照设计实现和测试监视。监视的有效性取决于传感器硬件的设计、传感器冗余以及采用的诊断算法。仅真实性指标不被认为是有效的。

监视的执行及有效性的验证应当属于开发过程的一部分, 因此可在产品的相应DFMEA中进行分析。

要在评级前确定诊断监视和响应、故障监视响应时间和容错时段的有效性。(详情请见文末附录)

实际上,三种不同监视/响应情况可加以区别。

(1) 不存在故障/失效监视

如果不存在监视控制或在故障处理间隔时间未发生监视和响应,则监视应当评为无效(M=10)。

(2) 可靠的故障/失效监视及系统响应

几乎消除了初始的失效影响。仅减缓的失效影响仍与产品或系统的风险评估相关。仅在这一情况下,减缓的FE与措施优先级相关,而不是与原始的FE相关。

失效起因的监视评级及其相应的监视控制可取决于以下几个方面:

a. 失效起因或失效模式的变差

b. 实现诊断监视的硬件的变差

c. 安全机制的执行时间安排,例如:仅在“通电”期间探测到失效

d. 系统响应的变差

e. 人类感知和反应的变差

f. 其他项目实施和有效性的知识(新颖性)

根据这些变化或执行时间安排,在M=1时,监视控制措施不被认为是可靠的。

(3) 不太可靠的故障/失效监视

初始的失效影响发生的次数较少。大多数的失效均被探测到,并且系统响应使失效影响得到了降低。降低的风险按监测评级表示。最严重的失效影响仍为S=10。

附录:诊断监测有效性的确定

特殊特性

特殊特性旨在提供需要特别注意过程控制的设计特性的有关信息。直接导致产品功能在安全、配合、组装、性能、产品的进一步加工或符合政府法规和行业标准方面失效的特性可视为特殊特性。

确定特殊特性,旨在减少报废、返工、不合格零件和装配错误的情况。因此,通过规定特殊特性来确保有效的过程控制,以降低顾客投诉、产品保修索赔和政府召回的可能性。特殊特性用缩写或符号*标注在文件中,如产品文件(根据需要)、过程FMEA (特殊特性列) 和控制计划。应当监视、记录并获取执行特殊特性过程控制的证据。

在设计FMEA中,“筛选器代码”列之所以替换了“分类”列,原因在于不需要在DFMEA中显示特殊特性。

设计FMEA是选择特殊特性的几个输入项之一。团队可使用设计FMEA来强调何时可能需要过程控制来确保符合规范。名为“筛选器代码(可选)”的设计FMEA表格列可用于记录该信息。

为了正确识别特殊特性,过程FMEA团队考虑制造过程中的变差如何影响产品的功能。换句话说,特性可能对制造/装配变差敏感(特殊特性),也可能对制造/组装变差不敏感(标准特性)。

过程FMEA包含标题为“分类”的列。此列可用于规定需要额外过程控制的特殊特性(例如:至关重要的、关键的、主要的、显著的)。

*注意:特殊特性可以有公司或顾客特定的名称。可以把顾客指定的特殊特征符号转换为组织的特殊特性符号(例如:在对照表中)。

FMEA和功能安全

1、功能安全与监视及系统响应的补充FMEA (FMEA-MSR)之间的关联性

危害分析和风险评估(HARA)提供了与安全功能相关的安全目标。该评估还分配了汽车安全完整性等级(ASIL),识别风险降低的情况,并确保社会可接受的失效行为的残余风险。功能安全概念(FSC)进一步确定了确保设计满足安全目标的要求,且定义了警告和降级的概念,以及证明设计满足安全目标和安全需求所必需的测试用案例。但ISO 26262将FMEA(以及系统理论过程分析(STPA)和故障树分析(FTA))作为识别故障行为潜在起因的方法。FMEA-MSR可用于通过分析诊断的有效性来补充DFMEA在维护功能安全方面的监控和系统响应。除了安全考虑,该方法还可以用于分析法规符合性的主题。

2、频率(F)与ISO 26262中的暴露时间之间的关联性

ISO 26262中的暴露时间系指某种运行况的持续时间或频率。但FMEA-MSRR中的频率系指运行期间故障发生的频次。因此这两个指标相关,但并非等同的。

3、频率(F)与ISO 26262中的FIT比率之间的关联性

频率系指运行期间所考虑到的失效起因可能发生频率的定性估算。根据组件在特定测试条件下的暴露时间,FIT比率系指测量E/E组件可靠性的定量估计。因此这两个指标相关,但并非等同的。

4、监视(M)与ISO 26262中的诊断覆盖率之间的关联性

监控(M)考虑的是人员和/或系统探测特定起因(故障或失效)的能力,并在容错时段(FTTI) 内对探测到的故障或失效作出反应。ISO 26262中的诊断覆盖率是指系统能够探测到所有可能故障的百分比,并在容错时段(FTTI)内对故障作出响应。因此,虽然FMEA-MSR中的监控评级的探测范围更广,但它仅涉及特定原因。

5、FMEA-MSR 中的失效与ISO 26262中的故障错误/失效之间的关联性

FMEA-MSR中的失效起因等同于ISO 26262中的故障。但它不一定是根本原因,这具体取决于分析范围是组件还是系统。FMEA-MSR中的失效模式等同于ISO 26262中的“错误”。FMEA-MSR中的失效影响等同于ISO 26262中的“失效”。

6、FMEA-MSR对微控制器制造商适用

FMEDA是微控制器定性分析的推荐方法。FMEAMSR可用于定性分析,但可能不会产生任何附加值。

喜欢 0

更多新闻

我们真诚期待与你合作开展项目!请联系我们。

We are sincerely looking forward to cooperatering with you.

联系我们