韩 虎，李云霞，滑文山，王震华，段 楠

（潍柴动力股份有限公司，山东 潍坊 261000）

0 引言

汽车工业发展历经百余年，从最初的纯机械系统逐步演变成机电一体化系统，到当今的软件定义汽车技术［1-2］。随着汽车产业以智能化、网联化、电动化、共享化为代表的“新四化”发展趋势要求，汽车电控系统的功能逻辑、架构设计以及容错设计逐渐变得复杂化，这样就会给系统可靠性的保证带来诸多问题与挑战，尤其是在电控系统领域方面。

系统可靠性分析一直是可靠性工程研究中的关键点与难点［3］。对于汽车系统来说，高安全性和高可靠性一直是汽车领域研究者孜孜不倦追求的目标。FMEA 是一种公认的汽车可靠性分析工具，已经被广泛应用于汽车机械结构和电子控制单元硬件设计中［4-9］，对于如何应用在侧重汽车软件级电控系统，鲜有文献进行报道。本文立足于系统工程思维角度，结合系统可靠性分析工具FMEA，对汽车电控系统的可靠性方法进行研究与应用，提供一种识别复杂系统风险因素的新思路，增强汽车电控系统可靠性设计。

1 系统工程思想

1.1 系统工程概要

汽车电控系统在汽车技术革命过程中扮演着不可替代的作用，其在整个汽车系统所处的位置如图1 所示，通常由传感器、电子控制单元和执行器组成，集成度高且复杂，汽车电控系统开发是一项兼具挑战与复杂的系统工程。它所涉及的零部件数量众多，所使用的工程学科领域知识宽广，设计复杂性及难度极高。电控系统作为整体所产生的价值主要来自各组成部分的相互联系和相互作用关系，而且远远超过各组成部分的单独贡献之和。系统工程是分析解决复杂系统的论证、设计、生产和使用中评价决策和权衡优化问题有效方法和手段［10］。系统工程是一种有逻辑的思维方法。

图1 汽车电控系统的位置

系统工程有多种定义，文献［11］将系统工程定义为“系统工程是一个正式的流程，用于开发一个复杂的系统，由一组既定需求驱动，这些需求源自系统在整个生命周期内的预期任务”。国际系统工程协会（INCOSE）

将系统工程定义为［12］“系统工程是一种使系统能够成功实现的跨学科的方法和手段”。系统工程专注于：在开发周期的早期阶段定义客户需要与所要求的功能性，将需求文件化，然后再进行设计综合和系统确认，并同时考虑完整问题，即运行、成本、进度、性能、培训、支持、试验、制造和退出。系统工程把所有学科和专业群体综合为一种团队的努力，形成从概念到生产再到运行的结构化开发流程。系统工程以提供满足用户需要的高质量产品为目的，同时考虑所有客户的业务和技术需要。

遵循系统工程要求，依据对汽车电控系统的规格要求，识别构成电控系统的各要素及工作机理，对电控系统进行边界划定及架构设计，识别出各个子系统核心接口，同时，对系统可能存在的失效模式进行分析，并根据结果对车辆运行影响的失效严重度、发生度和探测度，识别出关键失效模式，并定义相应的改进或防止措施，并指定责任人在系统开发和测试时采取措施并制定落实计划［13］。汽车电控系统开发的最终目标是满足利益相关者的要求和需求。

1.2 汽车电控开发V流程

在系统工程生命周期领域，常见的模型有瀑布模型［14］、螺旋模型［15］和“V”形模型［16］。在汽车行业，V模式开发是一个已经公认的高效模式，汽车电控系统开发过程也遵循这个过程。图2 所示为经典的V 模式开发流程，涵盖了从系统层面到软件层面以及集成后的功能测试和系统测试等流程，其理念就是通过协同合作，使得电控系统设计达到高效与高质兼得目的。

图2 汽车电控系统开发V流程

汽车机械、电子控制系统、电气硬件和软件开发间存在着千丝万缕的相互联系，使得我们必须要有一个综合完整的开发过程。这个过程包含开发的各个步骤，从用户需求分析到最终的电控系统的验收测试。V 模型的特点是流程严格有序，一个阶段必须在上一阶段完成后才能进行，并且每个开发阶段都对应一个测试阶段，每个横向层级形成一个闭环，每个纵向层级一环扣一环，这样能有效保证汽车电控系统产品可靠性与质量。

1.3 FMEA使用背景

失效模式及影响分析FMEA 是在产品设计和过程设计早期阶段采用的一种风险分析技术，是一种在产品和过程开发中对潜在问题予以事先考虑和阐述，并能采取预防措施和探测措施以避免发生问题或防止不合格产品流出的分析方法，旨在提高产品的可靠性和质量。

FMEA是对所关注的系统（这里指汽车电控系统）进行系统性分析，以识别系统潜在的失效模式、失效起因、失效影响的系统化程序［17］。成功实现FMEA方案的最重要因素之一是及时响应性。在产品的整个生命周期内，FMEA 的使用阶段在产品质量先期策划APQP 各阶段安排如表1 所示，要求在开发周期的早期阶段实施。

表1 产品质量先期策划对应各阶段的FMEA时间安排

2 电控系统FMEA开发方法

系统FMEA是一种设计FMEA，重点是整个系统特有的功能和关系，关注系统特有的功能以及系统与相邻系统之间的接口。电控系统FMEA 侧重于由电子电气部件组成的系统FMEA分析，分析系统所处的上下文交互环境以及系统内部各要素之间交互的信息与关系，主要关心软件的设计，希望通过软件的设计，提前规避系统一些潜在发生失效风险。电控系统FMEA 的分析流程如图3 所示，从分析思路来说，“V”形左半部分属于系统分析，其主要目的是分析电控产品的组成以及功能和要求的实现方式，属于正向分析过程；“V”形右半部分属于系统分析之上的失效分析和风险降低，属于反向分析过程；结果文件化属于总结反馈及风险沟通。从技术和管理角度来说，策划和准备、结果文件化都属于管理过程，而中间的结构分析、功能分析、失效分析、风险分析、优化改进则是层层递进的技术过程，理解它们的关键是：失效的因果关系来源于功能的因果关系。

图3 电控系统FMEA分析流程

从7 步法的结构框架视角可以看出，电控系统FMEA更系统性的从输入开始，经过一系列分析过程，将分析后的结果输出，以达到产品质量和安全性的要求，是一个具有强逻辑严谨的系统思维过程。启动电控系统FMEA工作，主要包括以下内容。

（1）策划与准备阶段。为电控系统FMEA 的开始和进行创造有利条件，通过所收集的要求，确定分析对象的类型为电控系统FMEA，以及分析的边界及关注点。要求按来源可分为法律法规要求、行业要求、顾客要求和内部要求。收集包含这些要求的文件或信息是策划和准备阶段中的重要工作。

（2）结构分析阶段。明确所关注系统结构上的框架以及内部构成要素。组成系统的要素可以是各种系统、子系统、零部件。针对电控系统而言，组成它的要素这里定义为系统、子系统和部件。建立了所关注系统可视化结构上的框架及构成，就为功能分析阶段的展开建立了物质基础。

（3）功能分析阶段。在结构框架的基础上把所关注系统的功能和要求依次进行展开，确保顾客／法规指定的功能和要求被合理的分配到对应的系统要素。产品或零部件的功能一般可以分为主要功能、次要功能、个体功能、防止损害功能和自我保护功能。掌握这些功能类型，可以减少在功能识别时的遗漏。

（4）失效分析阶段。针对分析出的所关注系统功能，全面进行逐条功能失效分析，识别其潜在失效的因果关系，即失效影响、失效模式和失效起因。

（5）风险分析阶段。针对分析出的每条失效链所涉及的失效起因，评估预防控制措施从而为确定发生度评级提供基础。针对失效起因／失效模式，确定探测措施（比如，诊断处理方案、功能走查、代码动静态测试、台架及整车测试等），为确定探测度评级提供基础。每个失效链采取措施的优先级可通过严重度、发生度、探测度值进行判定。

（6）优化改进阶段。根据评价的风险状态，对措施优先级为中或高的失效链进行优化改进，降低至低风险。

（7）结果文件化阶段。把前述的分析结果形成文件，进行总结与沟通。将分析过程中确定的失效预防措施和探测措施补充到相关技术规范／文档和测试验证计划中，对电控系统开发过程形成迭代反馈促进。

3 后处理颗粒捕集器案例应用

汽车是一个非常复杂的系统，由于篇幅所限，案例以满足国六排放法规的后处理柴油机颗粒捕集器DPF控制系统为例进行FMEA分析与应用。

3.1 策划与准备

案例的分析对象是柴油机颗粒捕集器DPF 控制系统，如图4 所示，用于满足国六排放法规对颗粒物数量和质量的要求。它安装在发动机排气管路中，经过发动机燃烧室燃烧后的废气流经到DPF系统中，捕集废气中的颗粒物后，将处理后的废气流出，处理后的废气满足法规要求。后处理DPF 系统涉及柴油氧化催化器DOC、柴油颗粒捕集器DPF、DOC入口／出口温度传感器、DPF压差传感器和HC喷射器。

图4 后处理DPF系统

3.2 结构分析

“结构”定义为事物各个组成部分的搭配和排列。结构中各个组成部分称为结构元素，与组织结构图中的机构和岗位一样，结构元素之间也存在着上下层次以及相同层次的逻辑关系。

分析产品实现时，首先要识别相关要求，然后再分析这些要求的实现方式。在项目策划初期，已经收集了要求，现在要考虑实现。而考虑实现的第一步就是要明确由谁能够实现这些要求。这时只看到产品的整体是不够的，必须要深入到它们的内部结构，因为正是这些结构元素最终实现了这些要求。

作为结构分析的基本工具，运用方框图和结构树可以把结构元素识别得完整且清晰。方框图是一种图形化的分析工具，它可以把产品的内部组成部分宏观地展现出来，进而描绘出它们之间以及它们和外部元素的交互作用。根据对DPF控制系统的分析，形成的DPF控制系统方框图如图5 所示。它的内部结构元素为排气管路、DOC、DPF、燃油喷射器和DPF 碳载量感应器。与它交互的外部元素为发动机、燃油供给系统、驾驶员和外部环境。通过DPF控制系统方框图可以更容易理解设计的结构以及功能的交互作用，进而减少DPF控制系统功能和失效分析的遗漏，而这些都是有效问题预防的基础。

图5 DPF控制系统方框图

结构树是一种简单地表示产品结构的图形化方法，它把产品按层次进行分解，然后把得到的结构元素按照层次分明的形式展现出来。图6 为DPF 控制系统的结构树展示，根层级为DPF控制系统，下一层级为构成DPF控制系统的各结构元素。

图6 DPF控制系统方框图

在对产品进行结构分解时，可以采用模块化的思路，对于电控系统来说，不如机械零部件结构那样层次分明，需要人为按照功能分类抽象模块，直到较低层次的功能单元，完成电控系统的结构层次分解。结构分析具体要分解到多么详细的层次，取决于实际的项目需求。

3.3 功能分析

功能分析过程要立足于所分析对象的不同层次结构元素，能够识别它们的功能和要求，并连接这些具有因果逻辑关系的功能和要求。同时，顶层的功能和要求被拆解到各组成部分的功能和要求，并一直拆解到较低层元素的功能和要求。通过对DPF 控制系统的结构分析，可以总结出DPF控制系统的功能及要求如图7 所示。就上下层具有因果关系的功能和要求来说，DPF 控制系统层级的功能和要求得以实现的原因是下层级DPF碳载量感知及DPF 再生控制两部分相应功能和要求得以实现，而下层两部分的功能和要求实现的目的是实现上层DPF控制系统层级的功能和要求。

图7 DPF控制系统功能网

为了准确地把握产品设计的界限并减少失效识别的遗漏，需要精准地识别功能的期望范围，所以，要求的各个方面也应该在功能分析过程中得到体现。很多功能都能体现为输入和输出的转化关系，能把施加给所要分析对象的输入转化为它的输出。对于这样的功能，首先需要识别分析对象的输入和输出，然后把功能描述成把输入转化为输出的关系。

3.4 失效分析

电控系统的结构和功能都确定后，对系统进行失效分析，图8 展示了电控系统FMEA 的多层级关联。电控系统级别的失效起因是下一级别（例如，子系统4）的失效模式，子系统级别的失效模式是电控系统级别的失效起因，部件级别的失效影响是子系统级别的失效模式。在这一步，识别出所有可能的潜在失效是关键。为了尽可能地识别出所有可能的失效，需要总结一下失效的类型。常见的失效类型有范围失效、偏差失效、时间失效和夹带失效等。不仅要用常见失效类型识别潜在失效，也需要考虑和引入相似产品和过程的经验教训。经验教训包含了历史上发生过的问题描述以及原因分析，它不仅反思了问题没有成功预防以及没有被探测出来的原因，还包含了有效解决该问题的措施。

图8 电控系统FMEA各层级失效关联

分析完DPF 控制系统的功能后，基于分析出的功能，对DPF控制系统的潜在失效进行分析。图9 为列举的DPF控制系统潜在失效链，中间层级的功能失效模式（如，感知DPF内捕集的颗粒物含量过低）对上一层级功能失效产生影响（如，增加DPF再生烧裂风险，无法满足PM和PN的法规要求），中间层级的失效模式是由下一层级的失效起因（如，转换成电压信号过低）导致，失效模式、失效影响与失效起因形成了一条逻辑性强的失效链。

图9 DPF控制系统失效链（部分示例）

3.5 风险分析

风险应对措施主要分为预防措施和探测措施，前者的意义在于杜绝失效原因的发生或者降低其发生的概率，而后者的目的是发现问题的发生和发展，从而启动反应措施。风险分析确定了当前的预防措施和探测措施，并评价了当前风险大小，作为接下来触发优化改进的基础，如果风险得不到正确评价，评价的风险就不能反映实际情况，优化改进的重点就会发生偏差。

用于评估风险等级的方法有很多，比如风险优先数RPN、风险矩阵和措施优先级AP 等。措施优先级AP 遵循了FMEA以失效预防为目的的方法，本文使用措施优先级AP作为风险等级评估。

作为风险分析的基本工具，围绕失效链的措施分析可以把预防和探测措施识别得完整而有条理。为了把探测措施正确实施到位，需要对这些措施制定到验证计划中并追踪执行。

3.6 优化改进

在优化改进步骤中需要仔细审视所分析的失效链以及当前的措施，然后基于风险的三个单项指标和措施优先级，努力思考改进的机会，策划、执行、评估进一步的预防和／或探测措施来降低风险，优化改进所从事的电控系统设计。定义优化改进措施完成后，需要指定责任人和目标完成时间，然后执行和追踪这些优化改进措施，完成后再评估措施的有效性，如果措施没达到预期的效果，则需要重复此优化改进的过程，直到风险可以接受为止。

根据风险分析章节所得出的DPF控制系统措施优先级均为低，不需要对其进行优化改进。

3.7 结果文件化

在本环节，要把电控系统FMEA 形成文件，梳理分析内容，对功能的开发方式进行总结和交流，新增的功能分析内容可以纳入到产品开发FMEA 库里，为其他项目的FMEA分析提供复用和借鉴参考。

4 结束语

汽车是一个复杂系统综合体，其安全与可靠性始终是汽车工程师矢志不渝地追求的高标准。汽车电控系统为汽车领域带来技术革新的同时，也伴随着系统失效风险的增加。本文提出的基于系统工程思维框架，将系统工程方法与FMEA方法进行结合，以一种新的视角去研究DFMEA逻辑要点，并进行电控系统DFMEA 操作解析，并以满足国六排放法规的后处理DPF控制系统为案例进行应用，可为汽车电控系统安全性、可靠性分析工作提供借鉴参考，不断提升电控产品开发质量。