如何做系统功能FMEA

admin
admin
admin
139887
文章
114
评论
2021年9月27日07:00:00评论382 views字数 2874阅读9分34秒阅读模式

故障模式及影响分析(FMEA)是一种系统性分析方法,用于识别潜在失效模式、失效原因及其对系统性能的影响。FMEA可以在系统设计的不同阶段应用,随着设计的不断深入,反复更新。当系统可以用功能框图表示时,FMEA就可以开始。
FMEA的适用范围非常广泛,可以有不同的分类:
从产品开发的阶段上可以分为:
  • 对产品设计进行分析的DFMEA
  • 对制造、装配和运输过程进行分析的PFMEA
从系统的不同层次和分析对象可以分为:
  • 系统功能级的FMEA;
  • 软件FMEA;
  • 电子元器件FMEA;
  • 机械FMEA;
从FMEA方法的不同用途可以分为:
  • 对故障影响的严重度进行分析的FMECA;
  • 用于以可靠性为中心制定维护策略的FMEA;
  • 用于功能安全风险识别和评估的FMEA,以及对可诊断性进行量化的FMEDA;
在功能安全系统设计初期中,FMEA可以用于系统危害的识别和分析,风险评估。轨道交通EN50129标准中,规定了危害识别和分析必须要用到的两种分析方法是FMEA和HAZOP,两者选一。
工作中应用成熟度比较高的是硬件元器件级FMEA,因为每种电子元器件的故障模式通常来源于标准,对失效模式、失效率的定义都很明确,实施起来难度不大。但在其它方面的应用,由于没有详细的规定,导致实际可操作性不强。
本文介绍系统级FMEA分析的一种:系统功能FMEA
首先建立一个FMEA表格,参考IEC60812,需要考虑的字段有:
参考ID标识:为了可追溯性的目的分配一个参考ID,并将其输入FMEA工作表中。
功能项:对系统功能的分类
故障模式:故障模式将通过检查系统的功能和架构中规定的所有要求来确定,典型故障模式包括未能执行功能、输出功能的性能偏差、输出功能的不正确时序等。
通信可参考的引导词有:
如何做系统功能FMEA
数字量I/O的引导词有:
如何做系统功能FMEA

故障原因:对于每个故障模式,将确定一个或多个故障原因,将故障原因与最有可能成为故障源的部件关联起来。如果故障原因被确定为来自于被评估的独立部件,那么将参考独特的FMEA参考标识号,对该部件进行进一步的分析。
运行模式:每一种故障模式的影响,如果具体的操作时间或位置信息与故障有关,这些信息将被记录下来。
故障的影响:
  • Local本地:该故障对本功能的影响
  • Intermediate次级:该故障模式对中间层面的影响,比如子系统级
  • Initial最终:该故障对列车运行、功能或状态的最终影响,最终影响应与初步危害分析出的风险一致
外部缓解措施:定义系统之外的措施,以保护或减轻故障的影响。例如,这些措施可以包括外部具体的保护功能、冗余系统、操作规则、操作人员的行动等
严重度:为每个最终影响分配一个严重度等级,并对与之相关的每个故障模式进行关联。轨道交通从安全角度可以是:
如何做系统功能FMEA
失效率:如果有,所考虑的故障模式的故障率将被记录下来,并注明数据的来源。
内部控制措施:对该失效的内部控制措施。
下面将以实例来谈谈如何进行系统级功能的FMEA分析,用于根据系统架构去识别系统功能的安全要求,该实例来自于ETCS subset080(对信号车载系统中的列车接口单元TIU失效模式及影响分析),感兴趣的读者可以看原文。
TIU在ETCS系统中如下图所示,实现车载信号系统与车辆之间的接口(下图灰色部分)
如何做系统功能FMEA

确定系统的功能项是关键的第一步,系统功能的识别不全面或功能描述不准确,都会影响FMEA分析的效果,如果在系统初步分析时,功能需求还不能完全确定,应该随着需求的细化,FMEA分析反复进行直至明确。TIU的功能有:
模式控制功能:
  • 休眠;
  • 切除;
  • LZB故障开关;
  • Indusi故障开关;
制动控制功能:
  • 常用制动;
  • 紧急制动;
  • 再生制动;
  • 磁靴制动;
  • 涡流制动
  • 制动压力;
  • 司机手柄制动状态;
  • 乘客拉下紧急制动手柄
列车控制功能:
  • 牵引力控制;
  • 过分相控制;
  • 气密性/襟翼控制;
  • 门控制;
  • 倾斜状态;
  • 主断开关;
  • 牵引切除;
  • ATO使能;
  • 连挂;
  • 冷移动状态监测。
系统功能还包括司机室状态、列车完整性和无线通信功能,ETCS与国内应用有所不同,本文目的在于说明分析方法,不具体解释每项功能。以两个功能的FMEA分析为例:
TIU紧急制动功能要求:在应用紧急制动的情况下,应将“应用紧急制动”命令传送到列车。当车载设备不再请求应用紧急制动时,应撤销“应用紧急制动”命令。这是车载信号系统的输出信息。如果列车中的状态信息可用,那么它也将是记录的输入信息。在任何情况下,如果有关紧急制动器反应的信息可以从其他已经可用的信息中获得,则不需要使用此附加信息。注意:如果撤销会触发刹车释放,或者司机是否必须释放刹车,功能差异取决于列车的刹车系统。
紧急制动功能FMEA分析:紧急制动功能的失效模式,分为要求时未正常施加,未要求时施加两种情况,分别属于严重度最高的安全风险和运营可用性问题。
如何做系统功能FMEA

牵引切除功能要求:这是车载信号设备向列车发出的命令,该数据流是制动模型的一部分。
牵引切除功能的分析过程,当 ETCS/ERTMS 车载设备被配置为“在实施警告限制时牵引力切断”时,故障有安全严重后果。如 ETCS/ERTMS 车载设备配置为“未实施警告限制牵引力切断”,则故障可被视为影响运营可用性。
如何做系统功能FMEA

对于系统的子功能之间,存在相互关联性的情况,比较好的方法是画出系统的功能框图,然后做进一步的分析,下面是一个功能框图分解的示例:
如何做系统功能FMEA
功能框图分解示例
然后根据系统功能框图中每个组件功能要求和功能之间的关联性,识别系统的失效模式、失效原因和对应的控制措施。

如何做系统功能FMEA

不同层次的功能FMEA

最后做个小结:
  1. 首先,FMEA实施的效果好坏与实施的人的能力紧密相关,必须匹配合适的资源,让不懂业务的工程师来做必然浮于表面,产品和过程所有者的积极参与和高层管理者的承诺对成功实施FMEA很重要;
  2. 其次,建立一套FMEA分析的流程,如标准的FMEA模板,实施的各个步骤规定,参与者职责,FMEA表的迭代更新;
  3. 在做系统功能FMEA中,定义系统的功能,其完整性、正确性、相互之间的关联性,系统架构确定后要能细化出功能框图;
  4. 采用合适的引导词进行分析,引导词选择的合理性事半功倍;
  5. 对FMEA识别的结果(危害事件、安全要求)进行跟踪管理,确认安全要求的验证结果,分析后的成果束之高阁不会有任何作用。


参考资料:

  1. IEC60812 Failure modes and effects analysis (FMEA and FMECA);

  2. SUBSET 080-1/2 Failure Modes and Effects Analysis for TIU in Application Level 1 and Level 2

  3. SUBSET-077 UNISIG Causal Analysis Process

  4. Cold Movement Detection And Train Awakening FMEA Report


相关推荐: 现实中黑客会入侵智能汽车吗?车联网未来发展将如何?

前段时间,特斯拉刹车失灵等事件热度一直高居不下,引发网友持续讨论,但该事件始终没有结果。事故责任是否归咎于自动驾驶我们暂且不论,但工信部的这一行动不禁让人产生一些联想。6月21日,工信部再度出手智能汽车行业,发布《车联网(智能网联汽车)网络安全标准体系建设指南…

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月27日07:00:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何做系统功能FMEAhttps://cn-sec.com/archives/551638.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息