2、FMEA-MSR的分析示例
本节基于前面1节DFMEA的分析示例的ECU示例,在其基础上增加了MSR机制,优化了该ECU的系统架构,如下图所示。其中绿色模块(安全相关)为分配了ASIL等级的安全需求,灰色模块(非安全相关)开发为QM要素。其中:
· Sys_element04开发为安全要素;
· 增加Sys_element06用于诊断来自Sys_element01的数据的正确性和一致性;
· 增加Sys_element07故障收集和诊断模块;
· 增加Sys_element08用于诊断MCU内部失效。
下面同样假设其中一个模块(Sys_element01)故障,假设ECU针对Sys_element01故障已经采取诊断监视措施,按照FMEA-MSR的分析步骤展开。
1)识别每个模块的功能,例如Sys_element01的主要功能是向MCU传输传感器数据;(FMEA-MSR第3步)
2)识别模块的失效行为;例如:假设Sys_element01(SPI通信模块)故障导致传感器数据错误;(FMEA-MSR第4步)
3)确定传感器数据错误将导致的后果严重程度(得到严重度S评分),例如:该故障发生时导致MCU路径规划错误,影响行车安全,严重度达到S=10;(FMEA-MSR第4步)
4)确定该模块的故障频率(得到频率F评分),例如,这里假设Sys_element01在其使用生命周期内故障发生的概率非常低(实际项目中应结合可靠性预测结果来评估),频率F=3;(FMEA-MSR第5步)
5)确定系统中是否有监控措施(即监视和系统响应,或者称之为安全机制)及其监控能力,例如,该Sys_element01发生故障时,不能通过Sys_element06的校验,由Sys_element07向上级系统发出错误警报(如图7红色曲线路径所示),假设该安全机制的诊断覆盖率为99%,监视则可评定为M=3。在汽车功能安全中,一个非常重要的概念是FTTI(故障容错时间间隔),如下图所示。
FTTI可以用来衡量安全机制的有效性,它来自车辆层面的安全目标,用于表示车辆部件在某个场景下发生故障直到产生对人身产生危害事件的这段时间间隔。进一步地细分,相关的时间概念还有FDTI(故障检测时间隔离)、FRTI(故障响应时间时间)以及FHTI(故障处理时间间隔)。在设计监视和系统响应机制时需要考虑上述时间约束,确保系统或子系统满足分配其的时间要求:FDTI + FRTI = FHTI < FTTI。(FMEA-MSR第5步)
6)分析在MSR起有效作用后,即系统响应安全机制后失效的严重度;例如,如上述第5)点的监控措施启动后,车辆通知向驾驶员发出接管方向盘的警示,尽管车道偏离可能已经偏离,但在FTTI的时间内驾驶员已经及时接管方向盘并将方向回正(假设驾驶员有能力处理这种情况),此时原先定义的严重度可适当降低到S=6;(FMEA-MSR第5步)
7)根据S、F、M评分,综合得出措施优先级AP值,AP=L;(FMEA-MSR第5步)
8)必要时,根据AP值,制定进一步的风险降低措施;(FMEA-MSR第6步)
9)文件化将上述分析步骤。(DFMEA第7步)
这里需要注意的是,如2.1FMEA-MSR决策流程第4)点所述,对比DFMEA的分析示例:
· Sys_element04由于设计变更(由原先的QM要素开发为安全要素),需要更新其先前的DFMEA结果;
· 新增Sys_element06~08的三个模块,需要新增它们的DFMEA。