5-3-1硬件系统设计图(增加了功能安全模块的)
5-3-2电路设计图(增加了功能安全模块的)
略。。
5-3-3对硬件模块的描述(增加了功能安全模块的)
在之前的基本功能模块基础上增加功能安全电路模块或在原基础上增加功能安全对策的描述,因为增加了HSR,须对组件概要增加功能安全要求方面的描述。完整的功能子模块的描述包括:
为了功能安全新增的子功能模块,比如上图中的CAN电路2、切断电机电流的电路等等。
目标故障率,每个SG的PMHF是10fit,假设上面有40个模块,那么分配到上面每个模块的故障率是10/40=0.25Fit(当然功能安全规范中不做要求,作为直观的认识,建议记上)
每个功能的硬件安全规格HSR-XXX。
5-3-4状态定义图(增加了功能安全模块的)
5-3-5HSI更新(增加了功能安全模块的)
5-4技术要求验证
验证分为FTA验证和硬件FMEDA。
5-4-1FTA验证
FTA验证即回过头去评估我们分析到的HSR和SSR是否已经覆盖了之前FTA中的故障模式,是定性的分析。在FTA验证中,我们可以区分:
哪些故障是不需要特别去加安全机制如只需QM就可以,但需分析和证据
哪些故障不能直接加安全机制而是需分解后才能加的
哪些故障是安全机制加入之后会导致潜在故障(LF)
哪些故障是可以直接加安全对策的(最底端的故障)
在FTA图中以颜色区分以上四种情况,检查和评审的时候做到一目了然,
针对SG-01的功能安全目标的FTA验证如下列的图示。
总结一下(也作为HSR方法的补充):
D.2.6.5Inputcomparison/voting输入比较或投票
D.2.3.6HWredundancy硬件冗余
D.2.4.1Memorymonitoringusingerror-detection-correctioncodes(EDC)
D.2.6.5Monitoredoutputs输出监控
D.2.9.2Watchdogwithseparatetimebasewithtime-window看门狗
etc
5-4-2硬件FMEDA
FTA验证以定性的分析方法验证了HSR/SSR能否有效的阻止违背功能安全的故障产生,而FMEDA则以量化的手段来衡量安全方策和HSR/SSR是否能够满足功能安全目标的要求。
为了大家更好理解,复习一下:
安全故障:指某个故障,它不会显著地增加违反安全目标的概率。(SF)
单点故障:单点故障指某个硬件单元中的某个故障,它无法被“安全机制”探测到,并且它会直接导致安全目标的违反。(SPF)
残余故障:在某个硬件单元中被诊断的故障的残存部分,即没有被诊断覆盖(诊断覆盖率>0%)到的那部分故障,并且它会立即导致安全目标的违反。(RF)
两点故障:指某个故障,只有当它和另外一个故障共同作用后,才造成了安全目标的违反。
多点故障:当有多个(大于2个)具有足够独立性的故障共同组合后引起的失效,通常可以忽略。如果“多点故障”可以被识别,则应归类为“可检测的多点故障”;如果“多点故障”可以被探知,并且能够被驾驶员控制(如:前灯变暗的缺陷),则应归类为“可感知的多点故障”(MPF)。
潜伏故障:指“多点故障”中未被检测到的部分,称为“潜在错误”。它是“多点错误”,并且不能被检测到,而是潜藏在系统单元内,具有违反安全目标的风险。(LF)
当一个失效发生时,按照下面的流程来判定失效导致的故障属于哪种类型。
复习结束。
那么,开展FMEDA分析大概的要点如下:
要点1:先有FMEA再有FMEDA,即分析具体的电子元件的失效模式,计算失效率,后确定属于哪种故障(SF,SPF..),然后做量化计算SPFM,LFM。中间过程计SF,SPF,RF,MPF,LF..的值。
要点2:针对每个功能目标进行FMEAD,若某SG要求ASILD,则需满足SPFM≥99%,LFM≥90%。MPMHF<10Fit.
要点3:在SM(安全机制)的要求原则下,确定具体的诊断(D),然后确定诊断覆盖率(DC)
需准备下列的数据:
准备“数据库1”:归类构成模块的器件。
准备“数据库2”:器件的失效模式
↑可以参考:SN29500;计算所有器件的故障率,用于后面的计算。
准备“数据库3”:器件失效模式的划分
↑故障划分可以参考:IEC-62380,在上表中可以先定发生率为1,因为在后面的FMEDA中会根据把失效率转化为PPM(每百万分之)概率。
准备“数据库5”:诊断和诊断覆盖率(DC)
↑DC和标准part5附录D关联,和我们之前做的FTA,HSR有机的结合在一起,形成闭环。
上面这些数据库,就是我们做FMEDA的基本原料,接下来开始进行FMEDA的制作了。为了能够方便的用我们数据库,Excel中的If和Vlookup语句要熟练掌握,使用它们不仅可以省很多功夫而且能统一我们的描述方式。比如针对某器件的失效发生率和检出率以及引起的故障的严重度都可以从数据库中自动填入。
FMEDA主要的目标是,针对每个SG,要分别得出各自的三个量度:
PMHF=单点故障总和+残余故障总和+所有潜在故障的总和
那么开始去填写FMEDA表格了。
建议按照模块进行每个器件的分析,针对某个电路模块中的某个器件:比如陶瓷电容Cx。
Cx总的失效率为F(查第二个表),开路占20%,短路占80%(查第三个表),Cx在电路中的作用(查第一个表),然后开始分别检讨开路和短路导致的ECU本身和对系统(车辆)影响-----------(ECU失效指的是某个电路功能失效,而系统失效指的是这种失效对的车辆的影响,---这是我们做分析的目的,即最终评估其对系统的影响),因此,第四个表的故障模式就是基于我们以前做的一系列的安全评估,SG,FTA。。。的分析的汇总),所以FMEDA中侧重分析系统的失效,要在第四个表中选。选定之后,严重度等级SEV自动填入。接来要填写防止对策,从第五个表中寻找需要的对策编号,检测或诊断方法,DC也相应的填写进来。总结如下表:
完整的DFMEA还包括采取防止措施和诊断措施之后的严重度、发生率、检测性。
严重度:如果采取了防止或诊断措施,那么故障应该会向安全的状态迁移,就是说在可能出现致命的故障之前,经过防止或诊断措施后,向比较轻微的故障迁移,比如指示灯亮了,或车子不能动,或限速了等,那么严重度从10减低到更低,比如5,4。
发生率:发生率的计算和器件的失效率有关,也指的是车辆从下线到报废整个生命周期故障的发生概率,计算方法可以参考IEC-62380和VDA的指导。
检测性:如果有检测措施,那么为1,否则为0。
至此,基本的DFMEA做成了。
失效:某电阻开路,该电阻总的失效率为0.090Fit,开路的占比1%,即0.0009fit。
模块功能:切断IGBT的驱动电路。
开路导致的失效:无法切断IGBT电路。
潜在故障1:安全机制无法执行,即无法进入安全状态(切断电机电流)。
潜在故障2:无法避免电机自我加速(违背了功能安全SG-01),即是SG-01的LF。
CD:该电路是安全机制之一,覆盖率99%,
==>因此LF=0.0009Fitx(1-99%)=0.00009Fit。
分别计算:SPF+RF,MPF
如果不是LF,就可以计算SPF+RF了,即器件的故障X失效占比(如果没有安全机制)+器件的故障X失效占比X(1-DC).(如果有安全机制)。
LF不为0时,SPF+RF=0
MPF:器件的故障X失效占比X(DC).
然后用加和公式,计算总的SPF+RF,MPF.
计算SPFM,LFM,PMHF所需的参数已经集齐,就可以按照上面的公式计算、判断了.
FMEDADone!
功能安全的第五部分,到此终于被我啰啰嗦嗦写完了,待完善地方太多了,先发了吧,以后回来再更新.