FMEDA在汽车工业产品设计中的应用
2016-06-20陈修锋大陆泰密克汽车系统上海有限公司上海201807
陈修锋(大陆泰密克汽车系统(上海)有限公司,上海 201807)
FMEDA在汽车工业产品设计中的应用
陈修锋
(大陆泰密克汽车系统(上海)有限公司,上海 201807)
摘要:功能安全技术随着汽车产业的不断发展得到了整个行业广泛的关注。FMEDA作为ISO26262的三大可靠性分析技术之一,如何在产品设计流程中实施FMEDA技术是系统安全分析工程师的巨大挑战。文章阐述了如何在系统设计的过程中使用FMEDA发现系统的弱点进一步优化系统。通过示例分析及优化的结果证明FMEDA的应用可以显著提升产品设计的质量,缩短设计周期。
关键词:失效模式;安全机制;诊断覆盖率
10.16638/j.cnki.1671-7988.2016.05.002
CLC NO.: U467.4Document Code: AArticle ID: 1671-7988(2016)05-05-04
引言
2011年ISO26262《Road vehicles-functional safety》颁布后,功能安全技术引起了国内外汽车厂家及供应商的重视,在新产品开发过程中无论是主机厂还是供应商都努力将功能安全的要求纳入到产品开发的流程。FMEA,FTA和FMEDA作为ISO26262三种重要的分析技术在产品开发过程中也发挥了重要的作用,相对于前两种常用的分析技术,FMEDA作为定量分析的核心技术引起了从业者越来越多的关注。由于不同的产品应用导致的危害不同,ISO 26262如同IEC 61508引入了安全等级的概念及量化指标:
在产品设计过程中,FMEDA可以同时分析以上三个指标,度量产品的硬件设计是否符合相应的安全要求。产品设计的过程中SPFM和LFM可以用来验证硬件构架设计应对随机失效的鲁棒性,PMHF用来评估随机硬件失效率导致违反安全目标的风险已经足够小。
在实际产品设计过程中,往往先根据产品的使用环境及用途进行危害分析得出的安全目标,再对硬件设计架构实施FMEDA计算出硬件架构的三个指标,来验证是否符合相应的安全等级要求。如果系统不符合设计要求,需通过设计优化和分析计算等一系列的迭代活动改进产品设计,最终设计出符合要求的产品。
1、FMEDA技术
FMEDA-失效模式影响与诊断分析(failure mode effect and diagnostic analysis)是产品设计定量分析的基础,可以用来分析整个系统也可以用来分析系统的某个模块单元。
1.1故障、误差及失效
故障(Fault)指某个异常情况,它会造成某个单元(器件)或整个系统的失效。
误差(Error)指实际计算的、观察的或者测试的数据/情形和真实的、规定的或理论上正确的值或情形不相符。
失效(Failure)指能使某个单元或整个系统按要求执行某项功能的能力的终止。
系统失效的过程往往是从单元(器件)的异常情况(故障)开始导致测量值与规定值不符(误差),最终使系统或单元失去执行某项功能的能力(失效)。
失效率指系统或零件在单位时间内失效的概率,其单位通常用fit表示,1fit=10-9/h。
1.2安全机制及诊断覆盖率
安全机制是指某项功能,它由电子/电气器件,或其他技术手段实现,用于探测故障,或控制失效,以使产品能进入或保持于安全状态避免不合理的风险。
诊断覆盖率是指元器件失效率可以被安全机制诊断出来的百分比,典型值:60%、90%和99%。安全机制的覆盖率可以根据产品的实际使用场景进一步的分析和优化。在产品设计过程中可以参考ISO 26262 Part 5 Annex D 的安全机制来提高产品设计的可靠性。图1为附录D中一个诊断覆盖率的评估示例,Low->DC=60%;medium->90%;High->99%。
图1 诊断覆盖率评估(ISO 26262 part5 Annex D)
1.3故障类别
从违反系统输出要求的角度来讲,故障可以分为:单点故障、残余故障、两点故障、潜伏故障和多点故障等。为了减少故障的发生率,系统设计过程中往往会增加一些安全机制,或其他技术手段实现,用于探测故障控制失效,以使产品能进入或保持于安全状态。
安全故障:指某个故障,它不会显著地增加违反安全目标的概率。
单点故障:单点故障指某个硬件单元中的某个故障,它无法被“安全机制”探测到,并且它会直接导致安全目标的违反。
残余故障:在某个硬件单元中被诊断的故障的残存部分,即没有被诊断覆盖(诊断覆盖率>0%)到的那部分故障,并且它会立即导致安全目标的违反。
两点故障:指某个故障,只有当它和另外一个故障共同作用后,才造成了安全目标的违反。
多点故障:当有多个(大于2个)具有足够独立性的故障共同组合后引起的失效,通常可以忽略。如果“多点故障”可以被识别,则应归类为“可检测的多点故障”;如果“多点故障”可以被探知,并且能够被驾驶员控制(如:前灯变暗的缺陷),则应归类为“可感知的多点故障”。
潜伏故障:指“多点故障”中未被检测到的部分,称为“潜在错误”。它是“多点错误”,并且不能被检测到,而是潜藏在系统单元内,具有违反安全目标的风险。
1.4FMEDA计算公式
单点故障度量:
潜伏故障度量:
随机硬件失效率:
MPMHF------随机硬件失效率的度量指标;
λSPF-----单点故障失效率;
λRF------残余故障失效率;
λMPF,Latent------潜伏的多点故障失效率(主要指两点故障);
TLifetime------产品生命周期;
1.5FMEDA流程
a.根据系统的硬件架构,列出所有的硬件单元,从元器件失效率相关的标准(SN29500、IEC 62380等)中查询失效率及不同故障模式所占的比例,并将参考失效率根据产品的使用环境转化为可以用于分析计算的的失效率:
λref---在假定参考条件下的失效率;
πU---相关电压的参数;
πI----相关电流的参数;
πT---相关温度参数。
由于有些器件仅有厂家提供的PPM值,可以根据工作时间将其转化为fit值:
假如T为8000小时,则1PPM=0.125fit。
b. 根据故障模式分析的流程图及是否会违反安全要求,逐个确认硬件单元的故障模式是否是安全相关的,是否有相应的安全机制,直至确认该故障模式为安全故障、单点故障或多点故障。
图2 故障模式分析流程图
c. 参照ISO26262-5附录D的安全机制目录,确定产品设计过程中所制定的安全机制的诊断覆盖率以用于计算分析。如果相应的诊断覆盖率查不到对应项,需根据之前的项目设计经验评估出相应诊断覆盖率的值。
d. 根据SPFM、LFM和PMHF的公式计算出硬件架构的各项衡量指标,以评估计算分析结果是否符合相应安全等级的衡量指标。
e. 假如设计不符合相应安全等级的要求,可以根据FMEDA分析的相应结果,针对产品设计的薄弱项进行优化迭代直至分析结果可以符合安全等级的要求为止。
2、FMEDA实例分析
电池管理系统是决定新能源汽车能否在市场破冰的核心技术之一,本文以简易的电池充电管理系统模块作为示例来阐述FMEDA在汽车行业产品设计过程中的实际应用。
2.1简易电池管理系统的FMEDA
假如在电池充电管理系统进行危害分析(HA)中得出电池充电过程中电压超过5V会导致系统故障,即系统的一个安全目标:避免电池充电过程中电压超过5V,安全等级为ASIL B。根据标准要求,其硬件设计架构需要满足以下条件:
表2 系统硬件架构需满足的要求
图3 简易电池管理系统架构
电池:整车制动能量回收及电能存储;
电压监测模块:实时监测电池电压,并将电压值发送到MCU;
MCU:实施监控电池电压是否在安全范围内,将电压值通过CAN总线发送给其它系统;
系统供电:为整个电池管理系统提供电源;
CAN Bus:系统间实时通讯;
安全机制1:MCU监控电压监测模块输出,电压>5V或者是没有电压输入时,通过CAN发送告警信号(DC High);
安全机制2:CAN信号校验。(DC High)。
表3 简易电池管理系统FMEDA结果
系统的FMEDA分析结果显示:单点故障率衡量指标为31.36%远远不满足ASIL B的要求,潜伏故障衡量指标为100%符合ASIL B的要求,系统的随机硬件失效率为92.67符合ASIL B的要求。通过FMEDA发现由于MCU缺乏相应的安全机制导致单点故障率非常高,所以MCU是系统设计的主要薄弱点,需要在系统改进时加强安全监控机制。
2.2系统优化后的FMEDA
根据FMEDA发现系统的薄弱项后,为了确保系统的可靠性,进行了一下优化措施。
1)增加了外部看门狗监控MCU,同时采用MCU的I/O监控看门狗芯片的信号输出端;
2)增加电池电压监控的冗余电路,避免电池监控的单点故障;
3)采用看门狗电路监控系统供电的电压的安全机制,进一步提高系统的可靠性。
根据以上改进措施,优化后的系统架构图如下:
图4 电池管理系统(优化)
WD(看门狗)模块:实施监控MCU运行状况以及系统供电模块的工作状态;
电压比较模块:将电池检测电压与参考电压进行比较,将比较值发送给MCU;
安全机制3:MCU检测电压检测模块的输出,当电池电压>5V时通过CAN发送告警信号(DC High);
安全机制4:WD检测MCU程序运行,发现异常后重置MCU并发出告警信号(DC Medium);
安全机制5:WD检测MCU电压VCC,当MCU检测到WD信号输出端为低电平时发出告警信号(DC Low);
安全机制6:MCU检测WD信号输出端电平,发现异常重置WD(DC High)。
优化电池管理系统架构的FMEDA结果显示:单点故障率衡量指标为93.88%,潜伏故障衡量指标为99.79%,系统的随机硬件失效率为10.12fit,符合ASIL B安全目标的要求。假如对系统进行危害分析得出安全目标对ASIL等级要求更高,该系统还可以进一步进行优化。例如:采用双核MCU,增加系统供电模块的监控以及一些软件安全机制。
表4 电池管理系统优化后FMEDA结果
3、结论
对比优化前后的系统架构和衡量指标,会发现系统的优化需要做一定的取舍,尤其是硬件冗余电路必然会带来成本的增加。因此在硬件条件允许的情况下,尽可能多的使用软件诊断的安全机制,既可以降低成本又可以提升系统的可靠性和评估指标。虽然功能安全技术的实施会让系统变得更安全,但需要平衡各方面因素使系统设计能得到最大效益化,既要避免或降低危害的发生,又要防止过设计。
参考文献
[1]ISO 26262 Road vehicles—Functional safety-part 5: Product development at the hardware level [S]. 2011.
[2]ISO 26262 Road vehicles— Functional safety- part 10: Guideline on ISO 26262 [S]. 2011.
[3]IEC 61508-2010 Functional safety of electrical/electronic/programmable electronic safety-related systems- Part 7: Overview of techniques and measures [S]. 2010.
[4]SN29500 Failure rate of components[S].2005.
Application of FMEDA in automotive industrial product design
Chen Xiufeng
( Mainland Thai Mick automotive systems (Shanghai) Co., Ltd., Shanghai 201807 )
Abstract:Functional safety technology attracts total industry attention during the continuous development of the automotive industry. FMEDA is one of the three reliability analysis technology. How to implement FMEDA technology in product design process is a great challenge for system safety analysis engineer. The paper expounds product how to use FMEDA to find the system weakness in system design process and further optimize system. FMEDA application can significantly improve the quality of product design and shorten design cycle through the practice analysis result.
Keywords:failure mode; safety mechanism; diagnostic coverage
中图分类号:U467.4
文献标识码:A
文章编号:1671-7988(2016)05-05-04
作者简介:陈修锋,硕士,就职于大陆泰密克汽车系统(上海)有限公司。现从事汽车工业产品设计及应用的安全管理和分析。