電動(dòng)汽車整車控制系統(tǒng)FMEA分析方法

李暢劉元治李想趙開(kāi)成宋浩源李晶姜鵬翰

（1.中國(guó)第一汽車股份有限公司新能源開(kāi)發(fā)院，長(zhǎng)春130013；2.汽車振動(dòng)噪聲與安全控制綜合技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，長(zhǎng)春130013）

主題詞：電動(dòng)汽車 整車控制FMEA

縮略語(yǔ)

FMEA Failure Mode and Effects Analysis

AP Action Priority

VCU Vehicle Control Unit

HIL Hardware-In-the-Loop

MIL Model-In-the-Loop

1 前言

隨著車輛電子化程度不斷提高，電控系統(tǒng)越來(lái)越復(fù)雜，其失效風(fēng)險(xiǎn)也隨之增加。整車控制器是電動(dòng)汽車動(dòng)力系統(tǒng)的核心控制器，是保證動(dòng)力系統(tǒng)安全、提升整車駕駛性品質(zhì)的關(guān)鍵，在相關(guān)部件出現(xiàn)故障時(shí)，整車控制器負(fù)責(zé)保證在不同故障狀態(tài)下，動(dòng)力系統(tǒng)執(zhí)行相應(yīng)的處理措施。在此背景下，如何分析整車控制系統(tǒng)潛在失效模式及影響，在失效發(fā)生之前采取措施降低失效發(fā)生的風(fēng)險(xiǎn)，對(duì)于提升電控系統(tǒng)的質(zhì)量、保證整車安全至關(guān)重要。

失效模式與后果分析（Failure Mode and Effects Analysis，F(xiàn)MEA）自1949年由美國(guó)軍方應(yīng)用于可靠性技術(shù)評(píng)估，在航空航天、食品工業(yè)和核技術(shù)應(yīng)用領(lǐng)域取得了廣泛的應(yīng)用[1]。1977年，福特汽車開(kāi)始將FMEA帶入汽車行業(yè)使用；1980年，F(xiàn)MEA在德國(guó)汽車協(xié)會(huì)中開(kāi)始使用；1986年，F(xiàn)MEA被應(yīng)用于VDA第4卷；1993年，美國(guó)汽車協(xié)會(huì)開(kāi)始推行FMEA；2008年，AIAG發(fā)布第4版FMEA手冊(cè)；2019年，AIAG & VDA聯(lián)合發(fā)布第1版FMEA手冊(cè)[2-7]。

本文參考第1版AIAG & VDA FMEA手冊(cè)，結(jié)合整車控制器產(chǎn)品開(kāi)發(fā)流程，闡述了新能源車整車控制系統(tǒng)的FMEA分析方法，使電控系統(tǒng)FMEA分析具有可操作性，分析步驟具有指導(dǎo)性，效果具有規(guī)范性。

2 AIAG&VDA FMEA方法概述

AIAG & VDA FMEA手冊(cè)最核心的方法是7步法。透過(guò)7步法的結(jié)構(gòu)框架，F(xiàn)MEA更系統(tǒng)性的從輸入，經(jīng)過(guò)一系列步驟轉(zhuǎn)化輸出，以達(dá)到產(chǎn)品質(zhì)量和安全性的要求，不再是一張表格、一個(gè)交付物，而是一個(gè)具有強(qiáng)邏輯性的系統(tǒng)過(guò)程。

對(duì)于汽車電控系統(tǒng)來(lái)說(shuō)，在充分了解設(shè)計(jì)概念后，就應(yīng)該啟動(dòng)系統(tǒng)FMEA工作，主要包括以下內(nèi)容。

（1）規(guī)劃與準(zhǔn)備階段：確定分析的范圍；

（2）結(jié)構(gòu)分析階段：根據(jù)相關(guān)的電氣原理圖、網(wǎng)絡(luò)拓?fù)湟约肮δ芤蟠_定系統(tǒng)的邊界、系統(tǒng)中包括哪些部件、總成，系統(tǒng)中各部件如何交互信息，形成框圖，根據(jù)關(guān)注功能的上一級(jí)系統(tǒng)以及實(shí)現(xiàn)關(guān)注功能需要哪些下一級(jí)部件，形成結(jié)構(gòu)樹(shù)；

（3）功能分析階段：明確系統(tǒng)需要實(shí)現(xiàn)的功能、要求、特性，除主要功能外，輔助功能如診斷、接口功能，也需要明確；

（4）失效分析階段：對(duì)于系統(tǒng)需要實(shí)現(xiàn)的全部功能，逐條分析其失效模式，每個(gè)失效模式可能會(huì)造成哪些后果，每條失效模式可能由哪些原因造成，形成失效鏈；

（5）風(fēng)險(xiǎn)分析階段：針對(duì)失效原因，確定當(dāng)前的預(yù)防控制方法，針對(duì)失效原因/失效模式，確定探測(cè)措施，針對(duì)每個(gè)失效鏈進(jìn)行嚴(yán)重度、頻度、探測(cè)度評(píng)級(jí)，確定采取措施的優(yōu)先級(jí)(Action Priority,AP)；

（6）優(yōu)化階段：確認(rèn)降低風(fēng)險(xiǎn)的必要措施，并對(duì)措施有效性進(jìn)行評(píng)估；

（7）結(jié)果文件化階段：將以上分析的過(guò)程和結(jié)果填寫到FMEA表格中，將分析過(guò)程中確定的失效預(yù)防措施作為故障診斷和處理方案，探測(cè)措施作為測(cè)試方案，整理為相應(yīng)文檔，為后續(xù)開(kāi)發(fā)和測(cè)試提供參考，具體步驟如圖1所示。

本文以電動(dòng)汽車整車控制系統(tǒng)為例，對(duì)電控系統(tǒng)FMEA分析方法進(jìn)行說(shuō)明。

圖1 FMEA分析7步法

3 整車控制系統(tǒng)FMEA分析

3.1 規(guī)劃與準(zhǔn)備

規(guī)劃與準(zhǔn)備階段的目的有以下3點(diǎn)。

（1）確定分析對(duì)象。本文的分析對(duì)象是整車控制系統(tǒng)，其核心部件是整車控制器，電動(dòng)汽車的高壓上下電、充電、行駛、熱管理控制功能都是由整車控制系統(tǒng)來(lái)實(shí)現(xiàn)的。在功能實(shí)現(xiàn)的同時(shí)，整車控制器還需要保證整車的高壓安全、行駛安全、熱管理安全。整車控制系統(tǒng)具備的功能應(yīng)該由其上級(jí)系統(tǒng)分配，一般來(lái)說(shuō)，在整車電子電氣架構(gòu)設(shè)計(jì)時(shí)，應(yīng)該對(duì)整車電氣系統(tǒng)功能進(jìn)行分解，確定整車控制系統(tǒng)應(yīng)該具備的功能，并形成設(shè)計(jì)開(kāi)發(fā)任務(wù)書，作為開(kāi)發(fā)的輸入。

（2）分析對(duì)象的邊界確定。除了實(shí)現(xiàn)設(shè)計(jì)開(kāi)發(fā)任務(wù)書中對(duì)整車控制系統(tǒng)要求的功能之外，還需要考慮要實(shí)現(xiàn)功能的相關(guān)法規(guī)要求、具體的技術(shù)要求、技術(shù)新穎性、創(chuàng)新程度、設(shè)計(jì)復(fù)雜性、質(zhì)量、可靠性歷史等多方面的因素。

（3）FMEA小組成員確定。FMEA團(tuán)隊(duì)由涵蓋多學(xué)科專業(yè)知識(shí)的跨職能成員組成，對(duì)于電控系統(tǒng)來(lái)說(shuō)，F(xiàn)MEA小組成員至少應(yīng)該包含設(shè)計(jì)、測(cè)試、試驗(yàn)、生產(chǎn)和質(zhì)量相關(guān)專業(yè)成員。

在規(guī)劃與準(zhǔn)備時(shí)，還需要確定是否有基礎(chǔ)FMEA，識(shí)別基礎(chǔ)FMEA分析的內(nèi)容與本次FMEA分析的內(nèi)容有哪些變化點(diǎn)，本次FMEA分析可只針對(duì)變化點(diǎn)進(jìn)行分析。

另外，由于FMEA分析理論上只分析單點(diǎn)失效，為了盡可能的彌補(bǔ)FMEA分析的不足，規(guī)劃與準(zhǔn)備階段可以對(duì)FMEA分析關(guān)注要素功能的歷史失效進(jìn)行整理。因?yàn)闅v史失效既包括單點(diǎn)失效，也有多點(diǎn)失效。對(duì)歷史失效進(jìn)行分析，既能夠提供相應(yīng)的不可缺失的失效分析案例，又可以彌補(bǔ)FMEA只分析單點(diǎn)失效的局限性。規(guī)劃與準(zhǔn)備是結(jié)構(gòu)分析的基礎(chǔ)。

3.2 整車控制系統(tǒng)結(jié)構(gòu)分析

結(jié)構(gòu)分析的目的是將對(duì)象分解為系統(tǒng)、子系統(tǒng)、組件或零件，并且將分析范圍可視化。系統(tǒng)結(jié)構(gòu)由系統(tǒng)要素組成，系統(tǒng)要素包括系統(tǒng)、子系統(tǒng)、總成、部件/組件和零件。圖2為整車結(jié)構(gòu)分解的示意圖，整車可以分解為動(dòng)力系統(tǒng)、底盤系統(tǒng)、車身系統(tǒng)和電氣系統(tǒng)4大部分。其中，電氣系統(tǒng)結(jié)構(gòu)較復(fù)雜，涵蓋整車所有的控制器、傳感器和執(zhí)行器，實(shí)現(xiàn)整車所有的控制功能，包括動(dòng)力系統(tǒng)控制、高壓/充電系統(tǒng)控制、熱管理系統(tǒng)控制、底盤系統(tǒng)控制、信息系統(tǒng)控制，各控制系統(tǒng)之間相互作用，相互協(xié)調(diào)，共同實(shí)現(xiàn)電氣系統(tǒng)的功能。本文所說(shuō)的整車控制系統(tǒng)，主要包括動(dòng)力系統(tǒng)控制、高壓/充電系統(tǒng)控制、熱管理系統(tǒng)控制的功能，并且還需要與底盤系統(tǒng)控制、信息系統(tǒng)控制有一定的交互?？梢?jiàn)，整車電子電氣系統(tǒng)從結(jié)構(gòu)上來(lái)說(shuō)甚是復(fù)雜，更需要進(jìn)行充分的FMEA分析來(lái)保證系統(tǒng)的可靠性。

圖2 整車結(jié)構(gòu)分解示意

FMEA手冊(cè)提供了2種結(jié)構(gòu)分析的工具，邊界圖和結(jié)構(gòu)樹(shù)。

結(jié)構(gòu)樹(shù)按層次排列系統(tǒng)要素，并通過(guò)結(jié)構(gòu)化連接展示依賴關(guān)系。電動(dòng)汽車整車控制系統(tǒng)的上級(jí)系統(tǒng)主要包括：動(dòng)力系統(tǒng)、高壓系統(tǒng)和熱管理系統(tǒng)3部分，本文主要針對(duì)動(dòng)力系統(tǒng)控制部分功能做分析。動(dòng)力系統(tǒng)控制部分的結(jié)構(gòu)樹(shù)如圖3所示。

圖3 整車控制系統(tǒng)結(jié)構(gòu)樹(shù)

關(guān)注要素是驅(qū)動(dòng)控制和制動(dòng)控制，是由上級(jí)系統(tǒng)-動(dòng)力系統(tǒng)控制分配而來(lái)。為了實(shí)現(xiàn)驅(qū)動(dòng)控制和制動(dòng)控制功能，需要的下一級(jí)零部件包括：整車控制器、加速踏板傳感器、制動(dòng)踏板傳感器、電機(jī)控制單元、電池管理系統(tǒng)、換擋手柄控制器、網(wǎng)關(guān)和底盤域控制系統(tǒng)。

系統(tǒng)的結(jié)構(gòu)樹(shù)確定后，邊界圖用于描述系統(tǒng)要素之間的交互作用。接口有5種主要類型：物理連接、材料交換、能量傳遞、數(shù)據(jù)交換和人機(jī)接口。邊界圖中顯示所有內(nèi)、外部接口發(fā)生關(guān)系的性質(zhì)和類型。如圖4為整車控制系統(tǒng)驅(qū)動(dòng)/制動(dòng)控制的邊界圖。

圖4 整車控制系統(tǒng)-動(dòng)力系統(tǒng)控制邊界

圖4中框內(nèi)為整車控制系統(tǒng)FMEA分析時(shí)需要考慮的部件，其核心部件是整車控制器，采集換擋手柄控制器信號(hào)，解析駕駛員檔位意圖，采集加速踏板傳感器、制動(dòng)踏板傳感器信號(hào)，解析駕駛員的加速意圖和制動(dòng)意圖，根據(jù)駕駛員意圖，輸出信號(hào)，控制動(dòng)力系統(tǒng)各部件（電機(jī)、電池）協(xié)調(diào)工作實(shí)現(xiàn)車輛驅(qū)動(dòng)、制動(dòng)功能?？蛲馐强赡軙?huì)對(duì)系統(tǒng)功能產(chǎn)生影響的相關(guān)部件，在后續(xù)進(jìn)行功能分析和失效分析時(shí)也需要考慮外圍部件是否會(huì)因其本身失效或與關(guān)注系統(tǒng)交互的失效造成關(guān)注要素功能失效。結(jié)構(gòu)分析是功能分析的基礎(chǔ)。

3.3 整車控制系統(tǒng)功能分析

功能分析的目的是確保要求/規(guī)范中規(guī)定的功能被適當(dāng)?shù)胤峙浣o系統(tǒng)要素，將產(chǎn)品功能可視化，將上級(jí)系統(tǒng)的功能要求與關(guān)注要素的功能要求關(guān)聯(lián)。

前面結(jié)構(gòu)分析時(shí)確定本文系統(tǒng)FMEA分析的關(guān)注要素是驅(qū)動(dòng)控制和制動(dòng)控制，其上級(jí)系統(tǒng)，動(dòng)力系統(tǒng)控制，就是驅(qū)動(dòng)控制和制動(dòng)控制的用戶，動(dòng)力系統(tǒng)控制對(duì)驅(qū)動(dòng)和制動(dòng)的需求為用戶需求。關(guān)注要素承接用戶的需求，并且對(duì)需求進(jìn)行分析、細(xì)化，確定要實(shí)現(xiàn)的功能，對(duì)下一級(jí)每個(gè)部件的功能要求，形成功能網(wǎng)。整車控制系統(tǒng)-驅(qū)動(dòng)/制動(dòng)控制功能網(wǎng)如圖5所示。

由圖5可見(jiàn)，功能結(jié)構(gòu)自上至下逐漸詳細(xì)，較低級(jí)別功能描述了較高級(jí)別功能是如何被滿足的。其中，上一較高級(jí)別功能及要求描述的是從整車分解下來(lái)的需要實(shí)現(xiàn)的功能；關(guān)注要素功能及要求還需要識(shí)別在結(jié)構(gòu)分析中識(shí)別的相關(guān)系統(tǒng)要素的功能；下一較低級(jí)別功能及要求或特性中還應(yīng)包括在結(jié)構(gòu)分析中識(shí)別的相關(guān)部件的功能。

圖5 整車控制系統(tǒng)-驅(qū)動(dòng)/制動(dòng)控制功能網(wǎng)

另外，上級(jí)系統(tǒng)對(duì)于關(guān)注要素的需求為關(guān)注要素的主功能，除了分析主功能，系統(tǒng)還具備一些輔助功能，如：接口功能、診斷功能和可維護(hù)性功能。

FMEA手冊(cè)中提供了可用于功能分析時(shí)的工具-參數(shù)圖，參數(shù)圖是功能所在環(huán)境的圖表展示，包括了影響輸入和輸出之間傳遞功能的因素，專注于優(yōu)化輸出所需的設(shè)計(jì)決策，通過(guò)參數(shù)圖應(yīng)完整地展現(xiàn)所分析功能的失效原因。

參數(shù)圖關(guān)注功能的實(shí)現(xiàn)，它可以清楚識(shí)別功能的所有影響因素，包括可控因素（控制因素）和不能適當(dāng)控制的因素（噪音因素）。其中噪音因素會(huì)對(duì)系統(tǒng)從2個(gè)方面產(chǎn)生影響：

（1）直接影響系統(tǒng)的輸入；

（2）間接影響系統(tǒng)組成部分的功能。

整車控制系統(tǒng)驅(qū)動(dòng)/制動(dòng)控制的參數(shù)圖如圖6所示，系統(tǒng)的輸出受到3方面因素的影響，輸入因素、控制因素和噪音因素。在輸入信號(hào)確定的情況下，系統(tǒng)會(huì)產(chǎn)生預(yù)期輸出或非預(yù)期輸出，取決于控制因素和噪音因素之間的博弈。理想情況下，控制因素會(huì)使系統(tǒng)產(chǎn)生預(yù)期輸出，噪音因素會(huì)使系統(tǒng)產(chǎn)生非預(yù)期輸出。在制定相應(yīng)功能需求規(guī)范（控制因素）時(shí)，如果盡可能全面的考慮了噪音因素對(duì)系統(tǒng)產(chǎn)生的影響，并且采取了規(guī)避的措施，那么因噪音因素的影響，系統(tǒng)產(chǎn)生非預(yù)期輸出的概率就會(huì)減小。進(jìn)行FMEA分析的目的就是盡可能全面的考慮噪音因素對(duì)系統(tǒng)的影響，在控制因素中采取避免措施，最大程度的避免非預(yù)期輸出。

圖6 整車控制系統(tǒng)-驅(qū)動(dòng)/制動(dòng)控制參數(shù)

功能的完整定義將使失效分析更全面，潛在失效模式即功能的否定描述。

3.4 整車控制系統(tǒng)失效分析

失效分析的目的是識(shí)別失效起因、模式和影響，并顯示它們之間的關(guān)系，以便進(jìn)行風(fēng)險(xiǎn)評(píng)估。

系統(tǒng)的結(jié)構(gòu)和功能都確定后，對(duì)系統(tǒng)進(jìn)行失效分析，確定系統(tǒng)應(yīng)該具備的功能可能會(huì)產(chǎn)生哪些失效模式，失效模式會(huì)對(duì)上級(jí)系統(tǒng)造成哪些影響，什么原因會(huì)導(dǎo)致這些失效模式的產(chǎn)生，也就是系統(tǒng)的失效鏈。

失效模式從功能推斷得出，即無(wú)法滿足或提供預(yù)期功能的形式。關(guān)注要素的失效模式從6個(gè)方面來(lái)分析：

a.功能喪失；

b.功能部分失效或降級(jí)；

c.功能過(guò)度；

d.功能間歇性失效；

e.功能延時(shí)；

f.非期望功能。

圖7以驅(qū)動(dòng)控制為例，列舉了其可能的6種失效模式。

圖7 驅(qū)動(dòng)控制失效模式分析

失效模式確定后，下一步就是分析會(huì)導(dǎo)致失效模式產(chǎn)生的原因，即失效起因。失效起因是指失效模式發(fā)生的原因，起因造成的后果是失效模式。失效起因可能源自于下一較低級(jí)別的功能失效模式、要求和潛在噪音因素（詳見(jiàn)圖6參數(shù)圖），應(yīng)盡可能識(shí)別每種失效模式的所有潛在起因。

以驅(qū)動(dòng)控制的非期望功能“駕駛員無(wú)加速請(qǐng)求時(shí)，車輛加速”為例，其失效原因有2種。

(1)整車控制器失效，未正確解析加速踏板信號(hào)；

(2)加速踏板傳感器失效，未正確上報(bào)駕駛員對(duì)加速踏板的請(qǐng)求。

其失效網(wǎng)如圖8所示。

圖8 整車控制系統(tǒng)-驅(qū)動(dòng)/制動(dòng)控制失效網(wǎng)

由圖8可見(jiàn)，關(guān)注要素的失效模式，是上一級(jí)系統(tǒng)的失效原因，是下一級(jí)系統(tǒng)的失效后果。失效分析是風(fēng)險(xiǎn)分析的基礎(chǔ)。

3.5 風(fēng)險(xiǎn)分析與優(yōu)化改進(jìn)

風(fēng)險(xiǎn)分析的目的是通過(guò)評(píng)估嚴(yán)重度（S）、頻度（O）和探測(cè)度（D）來(lái)估計(jì)風(fēng)險(xiǎn)，并對(duì)需要采取的措施進(jìn)行優(yōu)先排序。

嚴(yán)重度定義了失效影響/后果的嚴(yán)重程度，失效影響包括了失效對(duì)涉及對(duì)象/產(chǎn)品本身的影響，對(duì)后續(xù)產(chǎn)品直到整車的影響，對(duì)最終用戶的影響，對(duì)法律法規(guī)符合性的影響。FMEA手冊(cè)中提供了嚴(yán)重度的評(píng)分標(biāo)準(zhǔn)，如表1所示，一般情況下，嚴(yán)重度的評(píng)分應(yīng)該由了解失效后果的研發(fā)團(tuán)隊(duì)來(lái)最終確認(rèn)。

表1 嚴(yán)重度評(píng)分標(biāo)準(zhǔn)[1]

頻度的評(píng)級(jí)是對(duì)當(dāng)前預(yù)防措施有效性的衡量。當(dāng)前預(yù)防控制描述了如何使用現(xiàn)有的和計(jì)劃中的行為來(lái)減輕導(dǎo)致失效模式的潛在起因。FMEA手冊(cè)中頻度的評(píng)分標(biāo)準(zhǔn)如表2所示，從經(jīng)驗(yàn)、標(biāo)準(zhǔn)和分析工具的有效性3個(gè)維度對(duì)頻度進(jìn)行評(píng)分。

表2 潛在頻度評(píng)分標(biāo)準(zhǔn)[1]

探測(cè)度的評(píng)級(jí)是對(duì)探測(cè)措施有效性的評(píng)估，用于項(xiàng)目交付生產(chǎn)之前。探測(cè)度的確定不考慮嚴(yán)重度和頻度。當(dāng)前探測(cè)控制在項(xiàng)目交付生產(chǎn)前探測(cè)失效模式或失效起因是否存在。探測(cè)度評(píng)分標(biāo)準(zhǔn)詳見(jiàn)表3，在考慮是否會(huì)影響生產(chǎn)進(jìn)度的基礎(chǔ)上，從功能、性能和可靠性3個(gè)方面對(duì)探測(cè)度進(jìn)行考量。

表3 潛在探測(cè)度評(píng)分標(biāo)準(zhǔn)[1]

針對(duì)電子電氣系統(tǒng)的評(píng)分，存在一定的主觀性，新版FMEA手冊(cè)中推薦各公司用典型的實(shí)例對(duì)于分值進(jìn)行解釋，盡可能保證同一公司/相同車型評(píng)分標(biāo)準(zhǔn)統(tǒng)一。

以整車控制系統(tǒng)為例，出現(xiàn)意外加速，行駛不受控，可以認(rèn)為是主要功能喪失，嚴(yán)重度為8分。

對(duì)于整車控制器未正確解析加速踏板信號(hào)這種失效原因，當(dāng)前從整車控制器的硬件和軟件2個(gè)方面都有預(yù)防措施：硬件方面，對(duì)于加速踏板傳感器1和傳感器2的信號(hào)采集，采用2個(gè)不同的A/D采樣芯片上的管腳來(lái)實(shí)現(xiàn)，避免一個(gè)采樣芯片的失效導(dǎo)致2路加速踏板信號(hào)都失效；軟件方面，對(duì)于加速踏板傳感器的2路信號(hào)做校驗(yàn)處理，避免加速踏板信號(hào)異常突變?；谝陨项A(yù)防措施，整車控制器未正確解析加速踏板的頻度為4分。

當(dāng)前的探測(cè)措施，硬件在環(huán)(Hardware-in-the-Loop,HIL)測(cè)試可以探測(cè)到加速踏板信號(hào)失效時(shí)，整車控制系統(tǒng)當(dāng)前的處理措施是否能夠?qū)е抡嚦霈F(xiàn)意外加速；實(shí)車測(cè)試可以測(cè)試到當(dāng)系統(tǒng)受到各種干擾因素的影響，是否會(huì)產(chǎn)生意外加速，探測(cè)度取決于測(cè)試用例是否能夠全面覆蓋各種工況，這里基于實(shí)際情況，探測(cè)度為4分。

FMEA手冊(cè)中AP表建議將措施分為H（高）、M（中）、L（低）優(yōu)先級(jí)別。綜合以上嚴(yán)重度、頻度和探測(cè)度的得分，整車控制器未正確解析加速踏板造成意外加速的AP優(yōu)先級(jí)為M。

按照FMEA手冊(cè)的建議：AP優(yōu)先級(jí)為H時(shí)，需要確定適當(dāng)?shù)膬?yōu)化措施；AP優(yōu)先級(jí)為M時(shí)，應(yīng)該采取優(yōu)化措施；L可以采取措施。故上文中的示例應(yīng)該采取優(yōu)化措施減輕風(fēng)險(xiǎn)，并對(duì)措施的有效性進(jìn)行評(píng)估。

對(duì)于整車控制器未正確解析加速踏板造成意外加速的優(yōu)化措施，可以從2個(gè)方面考慮：

從設(shè)計(jì)的角度，考慮降低頻度。對(duì)于加速踏板的2路信號(hào)，在原有預(yù)防措施，2路信號(hào)進(jìn)行校驗(yàn)的基礎(chǔ)上，增加可能造成加速踏板異常變化的特殊工況進(jìn)行識(shí)別，識(shí)別到異常變化的工況時(shí)，對(duì)加速踏板的變化進(jìn)行斜率限制，避免加速踏板在某些工況下，短時(shí)間內(nèi)發(fā)生較大的變化，這樣可以將頻度降為3。

從探測(cè)的角度，考慮降低探測(cè)度?？紤]各種工況，在MIL、HIL和實(shí)車測(cè)試過(guò)程中，增加相應(yīng)的測(cè)試用例，增加意外加速探測(cè)的可能性，將探測(cè)度降低為3。

從設(shè)計(jì)和探測(cè)2個(gè)方面采取措施后，頻度從4降低為3，探測(cè)度從4降低為3，AP優(yōu)先級(jí)從M降低為L(zhǎng)。風(fēng)險(xiǎn)分析結(jié)果如圖9所示。

圖9 驅(qū)動(dòng)控制失效鏈、風(fēng)險(xiǎn)分析與優(yōu)化改進(jìn)

風(fēng)險(xiǎn)分析與優(yōu)化改進(jìn)是對(duì)系統(tǒng)開(kāi)發(fā)和測(cè)試工作的梳理過(guò)程。首先，確認(rèn)對(duì)于系統(tǒng)的各類失效，系統(tǒng)當(dāng)前是否有相應(yīng)的預(yù)防和探測(cè)措施，措施的有效性如何，是否需要優(yōu)化措施來(lái)進(jìn)一步保證失效情況下的系統(tǒng)安全。

另外，針對(duì)整車電控系統(tǒng)的復(fù)雜性，F(xiàn)MEA分析中高級(jí)別風(fēng)險(xiǎn)新增的優(yōu)化措施，會(huì)對(duì)系統(tǒng)產(chǎn)生哪些影響，是否會(huì)造成新的失效，需要根據(jù)優(yōu)化措施的具體情況確定是否需要針對(duì)優(yōu)化措施再進(jìn)行FMEA分析。

3.6 結(jié)果文件化

結(jié)果文件化的目的是對(duì)結(jié)果和分析結(jié)論進(jìn)行溝通、建立文件內(nèi)容、記錄采取的措施，形成FMEA報(bào)告。具體目的包括以下6方面：

（1）根據(jù)項(xiàng)目計(jì)劃中的初始目標(biāo)，說(shuō)明最終狀態(tài)；

（2）總結(jié)分析范圍并確認(rèn)新的內(nèi)容；

（3）對(duì)功能是如何開(kāi)發(fā)的進(jìn)行總結(jié)；

（4）對(duì)團(tuán)隊(duì)確定的高風(fēng)險(xiǎn)失效進(jìn)行總結(jié)；

（5）對(duì)已采取的和計(jì)劃中的措施進(jìn)行總結(jié)；

（6）為進(jìn)行中的改進(jìn)措施制定計(jì)劃和時(shí)間安排。

將前面整車控制系統(tǒng)FMEA分析的內(nèi)容進(jìn)行整理，首先是結(jié)構(gòu)分析和功能分析，其次是整車控制系統(tǒng)結(jié)構(gòu)和功能分析，如表4所示。

表4 整車控制系統(tǒng)結(jié)構(gòu)和功能分析[1]

結(jié)構(gòu)分析和功能分析完成后，對(duì)于功能要求做6種類型的否定，表5以非預(yù)期功能為例，進(jìn)行失效分析、風(fēng)險(xiǎn)分析。

表5 失效分析與風(fēng)險(xiǎn)分析

對(duì)于措施優(yōu)先級(jí)為M的失效，采取優(yōu)化措施，優(yōu)化措施如表6。

表6 優(yōu)化措施 分

除了FMEA表格之外，通過(guò)FMEA分析還應(yīng)根據(jù)失效的嚴(yán)重度和頻度導(dǎo)出特殊特性清單（安全特性、重要特性）；根據(jù)當(dāng)前預(yù)防措施和優(yōu)化措施完善開(kāi)發(fā)過(guò)程的相關(guān)標(biāo)準(zhǔn)、規(guī)范的技術(shù)文檔；根據(jù)探測(cè)措施和優(yōu)化探測(cè)措施得出MIL、HIL和實(shí)車測(cè)試用例清單。

4 結(jié)束語(yǔ)

本文以新能源車整車控制系統(tǒng)為例，介紹了電控系統(tǒng)FMEA分析的過(guò)程和方法。FMEA分析不只是開(kāi)發(fā)過(guò)程中質(zhì)量提升的工具，更是一種預(yù)防性思維方式。電控系統(tǒng)FMEA分析能夠?yàn)殚_(kāi)發(fā)和測(cè)試方案制定提供方法，并對(duì)完整的問(wèn)題解決過(guò)程進(jìn)行記錄，為后續(xù)開(kāi)發(fā)和測(cè)試提供參考。