点击蓝字 关注我们
本期内容篇幅较长,欢迎收听音频。
APQP(先期产品质量策划)是一种重要的质量管理工具,确保产品在设计、制造和交付过程中的质量,满足顾客的需求和超越期望。
从策划和定义方案阶段,就开始准备FMEA(失效模式影响分析)计划。在产品设计和开发阶段,启动设计FMEA和过程FMEA。在过程设计与开发阶段,完成设计FMEA。产品与生产确认阶段,生产工装开始之前,完成设计FMEA的措施。在PPAP(生产件批准程序)之前,完成过程FMEA。如果现有设计和过程发生变化,则重新开始设计FMEA和过程FMEA。
可以看出来,FMEA是一个重要的分析工具。AIAG美国汽车工业行动集团和VDA QMC德国汽车工业协会质量管理中心,在2019年联合推出了《FMEA手册》。它是汽车行业供应商重要的参考手册。在此手册中,明确提出来要参考ISO 26262功能安全标准。
在ISO 26262:2018版标准,其中第9章(以汽车安全完整性等级为导向和以安全为导向的分析),它指出安全分析的目的是确保由于系统性故障或随机硬件故障而导致违背安全目标的风险足够低。在要求和建议里面,提到应该按照适当的标准或指南,以及定义的目标来开展安全分析。所以AIAG&VDA QMC的《FMEA手册》是功能安全分析一个重要的参考指南。
接下来我们就以《FMEA手册》中7步分析为基础,来开展近光灯产品的功能安全分析。
首先介绍设计FMEA。
近光灯产品有功能安全的要求,所以DFMEA的核心团队必须有功能安全工程师。考虑到客户需求、技术要求、法律法规等输入信息后,形成DFMEA表头。
识别系统、子系统、组件和零件,为后续的风险分析做准备。可以通过结构树、方块图、边界图等形式表达设计的结构。在结构分析过程中,需要考虑接口和项目边界。近光灯系统的边界图如图1所示:
图1:近光灯系统边界图
为了清晰表达系统要素之间的关系,通过结构化展示依赖关系,如下图2所示:
图2:近光灯系统结构分析图
通过行为动词后加名词的形式,表示可测量的功能。将功能分配给一个系统要素或者结构要素。功能描述了输入和输出之间的关系,目的是为了完成一个任务。当然也有可能存在,没有输入和输出的情况,例如密封件,夹具等功能。功能性要求是判断或测量功能预期性能的标准。非功能要求是对设计决策自由度的限制。这些要求可能来自于法律,行业规范,标准,顾客,内部要求和产品特性。
图3:近光灯系统功能结构树
目的是确认产品功能的潜在失效影响,失效模式和失效起因。为后续的风险分析提供基础。
常见的潜在失效模式是,
- 功能丧失(无法操作,突然失效)
- 功能退化(性能随时间损失)
- 功能间歇(操作随机开始/停止/开始)
- 部分功能丧失(即性能损失)
- 非预期功能(在错误的时间操作,意外的方向,不相等的性能)
- 功能超范围(超出可接受极限的操作)
- 功能延迟(非预期时间间隔后的操作)等
根据失效模式考虑所产生的后果。关注的是对下一级产品集成的影响(内部或外部),对操作整车的最终用户的影响(外部),以及对适用的政府规章的影响(法规)。
对功能安全要求的产品而言,必须考虑是否违反客户提出的功能安全目标或功能安全要求。
接着是失效起因,考虑失效模式发生的原因。以便针对具体起因采取适当的控制和措施。失效起因可能来自于下一较低级别的功能失效模式,要求等。
潜在失效起因从功能性能设计不充分(指定材料不正确,零件选择不正确,计算程序不正确,维护指南不当等),系统交互作用(机械接口,流体流动等),随时间变化(疲劳,材料不稳定,磨损,过度压力等),对于应对外部环境设计不足(热,冷,潮湿,振动等),最终用户的错误操作或行为(错误使用挡位,错误使用踏板,服务损坏等),制造设计不可靠(零件处理造成损坏,零件缺乏明显设计特性等),软件问题(未定义的状态,损坏的代码数据等)等考虑。
从功能安全的角度,以上常见原因分析属于系统性失效。根据ISO 26262-1词汇的解释,系统性失效,以确定的方式与某个原因相关的失效,只有对设计或生产流程,操作规范,文档或其他相关因素进行变更后才可能排除这种失效。如果设计不充分,则需要改设计规范。如果是软件未定义的状态导致的失效,则需要修改代码。如果产品涉及功能安全,失效影响是违背客户功能安全目标或者功能安全需求,在考虑失效起因的时候,就不能仅仅是考虑以上系统性失效,还需要考虑随机硬件失效。在硬件要素的生命周期内,发生的服从概率分布的不可预测的失效。在合理的精度内预测随机硬件失效率。
图4:失效模式,原因与影响的关系
评估每一个失效模式,起因和影响,以便对风险进行评估。用严重度S代表失效影响的严重程度。频度O,代表失效起因的发生频度。探测度D,代表已发生的失效起因,失效模式的可探测程度。用1-10分制,10代表最高风险。参数打分完全依照AIAG&VDA FMEA手册。如果失效影响了功能安全,严重度需要设置10。
现有的控制设计是针对以前类似的设计建立的,其效果已得到证实。预防型控制提供信息或指导,作为设计输入使用。探测控制则描述了已建立的验证和确认程序,这些程序已被证明在出现失效时,能探测到失效。
当前预防控制描述了如何使用现有的和计划中的行为来减轻导致失效模式的潜在起因,为确定频度评级提供基础。预防控制与性能要求相关。常见的是通过仿真,计算确认设计的正确性,可靠性设计,或者采用设计标准,应用最佳实践,零件几何结构防止错误方向,以前应用中经过验证的技术,屏蔽防护等。
预防措施完成后,频度通过探测控制来确认。
当前探测控制,在项目交付生产前探测失效起因或失效模式是否存在。常见的有,功能检查,环境测试,驾驶测试,耐久性测试等。
总结来看,就是通过计算,仿真,或者试验,加深对设计的理解,这些措施可以认为是预防措施。在样品出来以后,通过对现有样品进行测试,来探测失效。
如果是涉及功能安全的失效,优先级是高,必须确定适当的措施来改进预防,控制措施,并证明其是有效的。
减轻风险的措施及评估措施的有效性。为措施实施分配职责和认为期限。如果是对功能安全有影响,需要评估该措施是否充分,如果不够,需要额外增加其他探测措施。
可以基于FMEA分析过程,形成FMEA报告,作为内部或公司之间沟通使用。它应该指出失效的技术风险,尤其是对于功能安全的影响。
FMEA在实施过程中,需要按照功能安全要求,由满足ASIL要求的独立性的评审人员完成认可评审。认可评审通过后,才可以释放发布。配置管理人员将FMEA纳入基线管理。
下一期我们继续来谈一谈过程FMEA实施过程中与功能安全的融合。
敬请期待!
作者:张婵 女士
- TÜV南德功能安全专业顾问
- 拥有8年以上电子件硬件设计开发经验,曾在某外资一级供应商担任功能安全项目负责人,熟悉汽车系统,硬件和软件设计标准,拥有5年以上的咨询和评审经验
更多业务内容,欢迎联系
张 女士
电话:021-6142 4472
邮箱:dongye.zhang@tuvsud.com
关于我们
TÜV南德知识服务是TÜV南德意志集团打造的培训及知识服务平台。我们通过不同的服务形式,为不同行业提供培训与知识服务,致力于上述领域的业务优化和人才赋能,以提升企业的业务运营能力,保持企业的可持续竞争优势。TÜV南德知识服务在全球拥有超过500名顾问/技术专家,2,500名培训师,始终致力于为企业和员工提供国际化、同时独具地方智慧的专业意见,助力客户保持专业性和持续的雇佣价值,从而支持知识经济的全面发展。
更多优惠活动
请扫描二维码
关注TÜV SÜD ACADEMY
Add value. Inspire trust.
创享价值,激发信任
