關(guān)于監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA（FMEA-MSR）

關(guān)于對系統(tǒng)、車輛、人員和法規(guī)遵從性的技術(shù)影響，監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA對顧客操作條件下可能出現(xiàn)的潛在失效起因進(jìn)行了分析。該方法考慮到失效起因或失效模式是否由該系統(tǒng)探測到或失效影響是否由駕駛員探測到。顧客操作將理解為最終用戶操作或運行操作以及維護(hù)操作。FMEA-MSR涵蓋了以下風(fēng)險要素：

a)傷害的嚴(yán)重程度、不符合法規(guī)、功能喪失或退化，以及不可接受的質(zhì)量，由(S)表示

b)在運行情況下估計的失效起因頻率，由(F)表示

c)通過診斷探測和自動響應(yīng)避免或限制失效影響的技術(shù)可能性，以及通過感官知覺和物理響應(yīng)避免或限制失效影響的人為可能性，由(M)表示

F和M的組合系指由于失效(失效起因)和由此產(chǎn)生的故障行為(失效模式)所導(dǎo)致的失效影響發(fā)生概率的估計。

注：發(fā)生失效影響的總體概率可能更高，原因在于不同的失效起因可能導(dǎo)致相同的失效影響。

FMEA-MSR通過評估因監(jiān)視和響應(yīng)所產(chǎn)生的降低風(fēng)險的方式增值。FMEA-MSR通過與可接受的殘余風(fēng)險條件進(jìn)行比較并評估當(dāng)前的失效風(fēng)險狀態(tài)，得出額外監(jiān)視的必要性。該分析可以屬于設(shè)計FMEA的一部分，設(shè)計FMEA中該分析的開發(fā)方面從顧客操作方面進(jìn)行補充分析。但它僅在需要診斷探測維持安全性或合規(guī)性時才加以應(yīng)用。

DFMEA的探測與補充FMEA-MSR的監(jiān)視不同。在DFMEA中，探測控制記錄了可證明滿足開發(fā)和確認(rèn)要求的試驗?zāi)芰?。對于已成為系統(tǒng)設(shè)計一部分的監(jiān)視功能，確認(rèn)旨在證明診斷監(jiān)視和系統(tǒng)響應(yīng)按預(yù)期運作。相反，假設(shè)滿足相應(yīng)的規(guī)范的情況下，F(xiàn)MEA-MSR中的監(jiān)視評估了顧客操作中的故障探測性能的效果。監(jiān)視評級也可理解為安全性能以及系統(tǒng)對監(jiān)視到的故障的響應(yīng)的可靠性。它有利于評估是否實現(xiàn)安全目標(biāo)，且可用于獲得安全概念。

根據(jù)車輛操作系統(tǒng)的診斷功能，通過考慮更多的、可精確地反映所評估到的較低級別風(fēng)險的因素，補充的FMEA-MSR可以解決DFMEA中被評為高級別的風(fēng)險。這些附加因素有利于提高對失效風(fēng)險(包括傷害風(fēng)險、不合規(guī)風(fēng)險、不遵守規(guī)范的風(fēng)險)的描述。FMEA-MSR有利于提供診斷、邏輯和驅(qū)動機制實現(xiàn)和維持安全或合規(guī)狀態(tài)的能力的證據(jù)(特別是在最大故障處理時間間隔內(nèi)和容錯時段內(nèi)的適當(dāng)失效緩解能力)。

FMEA-MSR評估最終用戶條件下的當(dāng)前失效風(fēng)險狀態(tài)(不僅僅是對人員造成傷害的風(fēng)險)。顧客操作期間的故障/失效探測可用于通過切換到降級的運行狀態(tài)(包括禁用車輛)，通知駕駛員和/或?qū)⒃\斷故障代碼(DTC)寫入服務(wù)用控制單元來避免初始的失效影響。就FMEA而言，可靠的診斷探測和響應(yīng)最終消除(預(yù)防)初始影響，并將其替換為新的，不太嚴(yán)重的影響。

FMEA-MSR可用于確定系統(tǒng)設(shè)計是否滿足安全性和合規(guī)性方面的性能要求。結(jié)果可能如下：

出于監(jiān)視的目的考慮，可能需要額外的傳感器

可能需要處理冗余

真實性檢查可能顯示傳感器故障

FMEA-MSR步驟一：策劃和準(zhǔn)備

目的

FMEA-MSR策劃和準(zhǔn)備的主要目標(biāo)：

項目識別

項目計劃(目的、時間安排、團(tuán)隊、任務(wù)、工具(5T))

分析邊界：分析中包括什么、不包括什么

基準(zhǔn)DFMEA的識別

結(jié)構(gòu)分析步驟的基礎(chǔ)

FMEA-MSR項目識別和邊界

項目識別包括明確了解需要評估的內(nèi)容。這涉及到確定顧客項目所需的FMEA-MSR的決策過程。分析中需要不包括和包括的內(nèi)容一樣重要。

如適用，以下內(nèi)容可幫助團(tuán)隊確定FMEA-MSR項目：

危害分析和風(fēng)險評估

法律要求

技術(shù)要求

顧客需要/需求/期望(外部和內(nèi)部顧客)

要求規(guī)范

圖表(方塊/邊界圖/系統(tǒng))

原理圖、圖紙和/或3D模型

物料清單(BOM)、風(fēng)險評估

類似產(chǎn)品以往的FMEA

對這些問題以及公司定義的其它問題的回答，將幫助創(chuàng)建所需的FMEA-MSR項目清單。FMEA-MSR項目清單確保了方向、承諾和工作重點的一致性。

以下基本問題可幫助識別FMEA-MSR邊界：(1)在電氣/電子/可編程電子系統(tǒng)上完成DFMEA后，是否存在可能對人員傷害或涉及法規(guī)不符合的影響?(2)DFMEA是否表明可通過直接感知和/或合理算法探測到將引起傷害或不合規(guī)行為的所有起因?(3)DFMEA是否表明對任何和所有探測到的起因的預(yù)期系統(tǒng)響應(yīng)是切換到降級的運行狀態(tài)(包括禁用車輛)，通知駕駛員和/或?qū)⒃\斷故障代碼(DTC)寫入服務(wù)用控制單元?

監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA可用于測試系統(tǒng)，這些系統(tǒng)已集成操作期間的故障監(jiān)視和響應(yīng)機制。通常這些屬于更加復(fù)雜的系統(tǒng)，它們是由傳感器、執(zhí)行器和邏輯處理單元構(gòu)成。此類系統(tǒng)中的診斷和監(jiān)視功能可通過硬件和/或軟件實現(xiàn)。監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA中可能考慮的系統(tǒng)通常由至少一個傳感器、一個控制單元和一個執(zhí)行器或者其一部分組成，并且稱為機械電子系統(tǒng)。系統(tǒng)內(nèi)也可能由機械硬件要素(例如：氣動和液壓組件)組成。

可在顧客和供應(yīng)商協(xié)商的基礎(chǔ)上確定監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA的范圍。適用范圍標(biāo)準(zhǔn)可能包括但不限于：

1.系統(tǒng)安全相關(guān)性

2.ISO標(biāo)準(zhǔn)，例如：根據(jù)ISO 26262的安全目標(biāo)

3.立法機構(gòu)的文件化要求，例如：UN/ECE法規(guī)、FMVSS/CMVSS、NHTSA和車載診斷要求(OBD)合規(guī)性

FMEA-MSR項目計劃

確定FMEA-MSR項目后，應(yīng)當(dāng)立即制定FMEA-MSR的執(zhí)行計劃。建議使用5T方法(目的、時間安排、團(tuán)隊、任務(wù)、工具)。FMEA-MSR計劃有助于公司提早啟動FMEA-MSR。FMEA-MSR活動(七步法過程)應(yīng)當(dāng)納入總體設(shè)計項目計劃中。

FMEA-MSR步驟二：結(jié)構(gòu)分析

目的

FMEA-MSR結(jié)構(gòu)分析的主要目標(biāo)：

分析范圍的可視化

結(jié)構(gòu)樹或其它：方塊圖、邊界圖、數(shù)字模型、實體零件

識別設(shè)計接口、交互作用

顧客和供應(yīng)商工程團(tuán)隊之間的協(xié)作(接口職責(zé))

功能分析步驟的基礎(chǔ)

根據(jù)分析范圍，結(jié)構(gòu)可能包含硬件要素和軟件要素。復(fù)雜結(jié)構(gòu)可分成幾個結(jié)構(gòu)(工作包)或不同的方塊圖層，并出于組織原因的考慮單獨分析或確保足夠的清晰度。FMEA-MSR的范圍僅限于系統(tǒng)的要素，其中根據(jù)該系統(tǒng)的基準(zhǔn)DFMEA所示，存在可能導(dǎo)致危險或不合規(guī)影響的失效起因。為實現(xiàn)系統(tǒng)結(jié)構(gòu)的可視化，通常使用以下兩種方法：

方塊(邊界)圖

結(jié)構(gòu)樹

結(jié)構(gòu)樹

在監(jiān)視及系統(tǒng)響應(yīng)的補充FMEA中，結(jié)構(gòu)樹的根要素可能處于整車層面(例如：分析整個系統(tǒng)(見圖4.2-1)或OEM)或處于系統(tǒng)層面(即對子系統(tǒng)或組件進(jìn)行分析的供應(yīng)商( 見圖4.2-2) )。

傳感器元件和控制單元可能也是一個組件(智能傳感器)的一部分。此類系統(tǒng)中的診斷和監(jiān)視功能可通過硬件和/軟件要素實現(xiàn)。

如果分析范圍內(nèi)未提供傳感器，則使用接口要素來描述ECU接收的數(shù)據(jù)/電流/電壓。任何ECU的功能之一便是接收信號，即通過連接件接收信號。這些信號可能丟失或錯誤。在沒有監(jiān)視的情況下，獲得的輸出可能有誤。如果分析范圍內(nèi)未提供執(zhí)行器，則使用接口要素來描述ECU發(fā)送的數(shù)據(jù)/電流/電壓。任何ECU的其他功能之一便是發(fā)送信號，即通過連接器發(fā)送信號。這些信號也可能丟失或錯誤。也可能是“無輸出”或“失效信息”。

錯誤信號可能是由工程師或組織的責(zé)任范圍之外的組件所致。這些錯誤信號可能對工程師或組織責(zé)任范圍內(nèi)組件的性能產(chǎn)生影響，因此FMEA-MSR分析中需要涵蓋這些原因。

注：確保該結(jié)構(gòu)與安全概念(如適用)保持致。

fqj