本文作者Richard,目前就职于某新能源车企。有兴趣的同学可以移步他的个人公众号:聊聊汽车那些事儿。本文由雷锋网独家首发。

导读:本文介绍了FMEA的思想,并结合自动驾驶,介绍了FMEA的量化评价方法,包括了严重度、频度和探测度,最后对FMEA与ISO26262做了比较。

自动驾驶目前发展的如火如荼,其安全性尤为大众和媒体所关注,就在前几天,NHTSA(国家公路交通安全管理局)结束了特斯拉自动驾驶死亡案调查,还了特斯拉一个清白。如果要赢得人们的信任,自动驾驶就必须要足够安全,换句话说,要比人类驾驶的事故率更低。

自动驾驶在设计过程中是如何降低和控制风险的呢?在一项新技术或者一款新车型的开发过程中,是如何控制风险的呢?

FMEA的产生

伴随着最高车速的提高,汽车驾驶的风险也相应的变大。在每年这么大的销售基数下,即使很小的事故率,也是一个很大的绝对值,所以汽车行业骨子里就必须谨慎和保守。在汽车工业一百多年的发展历史中,已经发展形成了完善的质量管理体系来管控风险,众多的质量管理工具也随之产生。

失效模式分析(FMEA)就是一种比较代表性的设计方法/质量工具/风险管控思路。作为一种能够最大程度的识别并帮助减少潜在的隐患的一种技术手段,FMEA已经被列为ISO/TS16949的5大工具之一,并被证实能有效防止召回事件的发生。ISO26262也明确要求,所有与功能安全相关的设计均需经过FMEA。

FMEA的概念——什么是FMEA?

何谓FMEA?即Failure Mode and Effects Analysis,就是通过分析产品/系统的失效模式(非预期功能现象),找到可能的失效原因,并在设计前期采取预防措施来避免。

FMEA分设计FMEA(即DFMEA)和生产FMEA(即PFMEA)。DFMEA关注的是产品设计的失效模式分析,PFMEA关注的是过程失效模式分析,前者更关注设计,后者更关注生产。

我们这里谈到的主要是指DFMEA。

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第1张图片-零帕网

DFMEA的具体流程图

别看上面描述的这么复杂,其实这种思想,在日常生活中每个人都经常会用到。举个例子,你早上出门之前,看了下外面天气,阴沉沉的,就随手带了把伞再出门。

这其实就是一个简单的运用FMEA思想的过程,通过阴天想到可能要下雨淋湿衣服,为了避免该问题,就采取带伞的措施来预防这种失效模式,具体可分析如下:

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第2张图片-零帕网

通过上面简单的例子可以基本了解FMEA的思想。

FMEA的核心是找到所有的潜在失效模式,并且每个失效模式都找到所有可能的潜在失效原因。尽量做到不重复,不遗漏。可以说,这两步做的好不好,直接决定了FMEA是否成功。

FMEA的评价——如何量化分析?

问题来了,一辆车上有成千上万零件,每个零件都有几十甚至上百个失效模式,怎么确保能够关注到应该得到的关注那些失效模式呢?换句话说,要确保我们能有轻重、分主次的找到需要重点关注的失效模式,就需要对FMEA进行量化。工程师需要数据来说话的,仅靠定性分析不够,还需要定量。

如何对FMEA进行量化呢?

这难不倒我们聪明的工程师,他们定义了一个叫风险顺序数--也叫做RPN(Risk Priority Number)的参数。

风险顺序数RPN=SXOXD.

S定义为严重度(Severity),O定义为频度(Occurrence),D定义为探测度(Detection)。

RPN值越高,表示风险就越大,需要重点关注。

下面分别介绍一下严重度、频度和探测度。

严重度——后果有多严重?

严重度就是该所产品/系统的某性能失效后产生的后果的严重程度。

以电子驻车系统(EPB)举个例子,当EPB失效时,引起驻车功能失效,会导致车辆溜坡,如果此时驾驶员不在车上,会造成非常严重的后果,严重度就很高。

下图为AIAG(即Automotive Industry Action Group,由美国三大汽车巨头福特、通用和克莱斯勒创建)的FMEA手册中的严重度打分标准。

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第3张图片-零帕网

严重度分值越高,表示该失效的失效后果越严重,就越需要引起重视。值得一提的是,如果不能满足安全和法规,严重度是最高的,为9分/10分。再多说一句,同样是不满足法规,严重度9分和10分的差别在哪里?10分为失效时无预警,9分时有预警。

不知道大家还记不记得当年速腾召回事件中后桥上的那块补丁“金属衬板”?失效时可以发出警示音,虽然这个做法很伤害广大车主的感情,但是理论上确实可以降低严重度。

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第4张图片-零帕网

频度-经常发生吗?

频度的定义是,失效原因发生的可能性(基于之前的数据和经验来评估)。失效的可能性越大,频度分值越高。

下图为频度具体的打分表。

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第5张图片-零帕网

 可以看出,对于新技术或者新应用,其分值非常高,如果是相同的设计或者类似的设计,则分值要低得多。这就鼓励采用成熟的技术,谨慎采取新技术。ISO26262中也鼓励重用受信任的设计原则,并规定弃用受信任的设计原则的决定需要经过论证。

从功能安全角度分析,希望尽可能的重用以前的经过验证过的设计,不论硬件(传感器/执行器/接口等)还是架构,这就解释了业界为什么都预测自动驾驶的发展会是小范围的不断改进、小幅迭代另起炉灶。一步到位不是不可能,只是实施起来难度比较大。

探测度——方法够好吗?

找到失效原因之后,需要对该失效原因所采取的措施。措施分两种,一种是预防措施,一种是探测措施。预防指的是,在设计阶段通过更改设计,来防止出现该问题或者降低其发生概率。探测指的是,在项目投产前,通过分析方法或者试验手段,探测出失效。探测度的分值表征了其探测手段的有效性。

对于硬件来说,测试分台架测试(DV/PV)和整车测试。

对于软件来说,其开发就是下图所示的V模型,V模型左侧为设计阶段,右侧主要为测试阶段,包括软件测试、ECU测试、HIL测试和整车测试等。 

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第6张图片-零帕网

下图为探测度的分值标准。 

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第7张图片-零帕网

为了降低探测度分值,通常需要改进探测手段或者将探测的时间提前。

FMEA的量化评估

严重度、频度和探测度的分值均已确定后,就可以得出RPN的分值。如果RPN的分值超过特定值的失效模式,需要额外增加措施,以进一步降低设计风险。

需要注意的是,即使RPN没有超过特定值,对于严重度为9分/10分的失效模式,也需要额外增加措施。下表为FMEA手册中提供的DFMEA的样表。

FMEA与ISO26262的差异

与FMEA中的严重度、频度和探测度相对应,ISO26262也有类似的严重度(S)、暴露率(E)和可控性(C)的定义。不过因为ISO26262关注的是功能安全,所以定义上有很大的差别。

从失效后果造成的伤害的严重程度来说,ISO26262定义了严重度S。严重度S分4个等级,S0到S3,其中S0为无危害,S3为致命危害。

从失效发生的概率来说,ASIL定义了暴露率E。暴露率E分为4个等级,E1到E4,其中E1指很低的概率,E4指高概率(>10%)。

暴露率(E)主要关注该失效能够造成危害的场景的概率。

如上图说的电子驻车系统(EPB)的例子,暴露率指的是,驻车系统的使用时长占整车寿命的比例,因为其超过10%,所以应该选择E4.

从失效发生后能够避免事故或伤害的可能性来说,ASIL定义了可控性C。可控性C分为4个等级,其中C0为完全可控,C3为很难控制(<90%驾驶员)。

确定好严重度、暴露率和可控性的等级后,就可以确定汽车安全完整性等级(即ASIL)。

从FMEA角度分析:如何在开发过程中降低自动驾驶风险-第8张图片-零帕网

ASIL等级确认

ASIL分4个等级,其中A代表最低等级,D为最高等级,QM代表不需要考虑安全设计。确定好ASIL等级后,就可以按照各个安全等级标准的要求去开发。

感谢阅读,希望大家能有所收获。