汽车电子控制单元FMEA流程的概念设计阶段

汽车电子控制单元FMEA流程的概念设计阶段

**摘要：**本文的主要研究内容是通过对电子控制单元（ECU）进行“失效模式与影响分析”（FMEA）来确保汽车电子控制单元（ECU）的安全性。由于芯片上有多个组件，并且每个组件都与ECU硬件上的所有其他组件相互作用，因此对ECU进行FMEA分析通常很复杂。本文的主要概念是推导汽车电子系统的安全设计，并解决可能导致危害事件的潜在故障。汽车标准的制定是为了强调电子系统的安全完整性水平，即ASIL（“汽车安全完整性等级”），研究将ISO 26262:2018“道路车辆-乘用车功能安全指南”标准纳入考虑范围，以设计FMEA。应通过进行有效的失效模式分析来预先识别特定系统或ECU的行为，其建议可在ECU的设计阶段实施，例如针对硬件实施IC芯片的安全设计约束和/或针对考虑安全冗余逻辑的软件。为了在得出任何FMEA之前强调安全设计约束的陈述，我们需要了解特定电子系统的安全完整性等级。所有电子控制器都根据风险分配了特定的ASIL等级，安全完整性系数从ASIL A提高到ASIL等级（B、C和D）。与分配给特定ECU的高风险等级ASIL D相比，ASIL A在安全关键识别中最低。本研究将重点描述FMEA如何帮助确定所有ASIL等级控制器的某些解决因素。研究还侧重于从ECU的FMEA得出的可能结果中实施安全方法，并提出可在ECU设计阶段考虑的进一步解决方案。

附赠自动驾驶最全的学习资料和量产经验：链接

01.简介

今天，当我们谈论现代汽车时，电气系统或电子控制单元在占据或驱动车辆的任何功能方面都起着至关重要的作用。汽车的每个功能，例如转向系统、制动器、悬架系统、车身电子设备、动力总成控制器，都配备了电子控制器(ECU)，其中大多数ECU硬件是32位或64位“微控制器”、热传感器、压力传感器和相应的电气元件。FMEA应在ECU的各个阶段进行（在设计阶段、工艺阶段以及制造阶段）。然而，本研究将重点关注FMEA的设计阶段(DFMEA)和FMEA的可能结果，以争取ECU的安全实施。FMEA的主要行动将布局三种情况，这将有助于更安全地设计ECU。

a) FMEA识别电子控制器系统（硬件和软件）中可能出现的失效。

b)失效对电子控制器系统的严重性和影响。

c)预防在设计电子控制器系统时可以采取的行动或措施。

除了上述FMEA的三个结果之外，FMEA还建立了“V”过程的连续循环，这将有助于设计ECU以供将来进一步开发，作为学习曲线。

由于在称为ECU单元或PCB板的一个地方存在几个其他电气元件，如果发生任何故障并且微控制器未在称为“容错时间间隔”（FTTI）的特定时间间隔内做出响应，则元件很有可能损坏或无法正常工作。为防止故障已知/未知的不确定性失效，需要对电子控制单元（ECU）的硬件和软件进行“失效模式与影响分析”。任何系统要进行FMEA，首先要确定系统与汽车中其他系统或子系统或单元的交互。本文讨论了如何针对一个ECU进行独立研究，并通过强调对其他ECU的依赖关系来增加故障模式。FMEA强调分析的风险和结果，但会考虑所有可能导致系统故障的已知失效。对于未知/不确定性故障，单独的FMEA本身是不够的，大多数情况下可以将其分为两个不同的部分。例如，仅当汽车电子设备（非自动驾驶系统，如转向、制动、悬架控制器）工作时，应通过确定失效是单点故障还是潜在故障指标来分配硬件上的ASIL。应根据失效记录开发软件冗余逻辑。在自动驾驶或无人驾驶解决方案控制器工作的情况下，我们将同时考虑ISO 26262的功能安全标准以及ISO-PAS 21448的预期功能安全标准来确定不确定事件中的失效。

进行FMEA的传统方法是使用excel模板和excel选项卡公式来确定单点、残余故障指标，以及确定风险、原因、严重程度并实施建议。在本研究方法中，我们将概述FMEA计算以及已识别失效模式的可能结果和解决方案。

本文介绍了如何对硬件、软件执行FMEA，以及解决系统内失效的方法。研究已经调整了方法（详细描述见下节）和进行FMEA的目标。

02.设计阶段FMEA方法

在对ECU进行FMEA之前，需要考虑的重要一点是确定ECU的整体系统重要性。例如，转向或制动控制必须需要FMEA来确定可能影响系统级别的失效，同样，单个组件（如电阻器、晶体管或二极管）上的FMEA是不需要的，除非该组件集成到其他组件或子系统中，而这些组件或子系统存在导致系统故障的潜 在危害。要开始对ECU进行FMEA，我们应遵循产品开发周期，在汽车领域也称为V。下图将展示设计阶段FMEA如何开始以及从概念到实施的过程。

图1：产品开发周期-设计阶段FMEA

FMEA的范围

在系统设计阶段执行FMEA有点棘手。会出现一些问题，例如：

a) FMEA的构建是否有助于完成系统级别？

b)硬件和软件FMEA是否可以在概念阶段分开。

c)如果将FMEA分开而不是进行系统级FMEA，它会增加什么价值。

要回答上述未解决的问题，我们首先应该了解FMEA的范围。首先，对于仅识别失效的硬件，考虑“FMEDA”（ 失效模式影响与诊断分析）而不是FMEA。由于硬件故障可能导致单点失效或双点失效，因此通过执行FMEDA来计算永久和瞬态指标百分比或PMHF因子。

下表流程图突出显示了从概念阶段到系统再到子系统或组件级失效模式分析的FMEA范围。

图2：系统和子系统FMEA分析范围

进行FMEA的关键方面要求在ECU上彻底识别以下操作：

·确定考虑的系统和/或子系统或组件

·确定系统和子系统的可能功能

·根据第2点列出的功能确定所有可能的失效列表

·确定第3点列出的失效的影响

·确定第4点确定的失效原因

·列出当前的失效操作或控制措施

·根据记录的失效列表确定建议的操作

·确定任何其他相关操作或设计中的必要修改

失效模式有效性分析流程

图3：失效模式有效性分析流程图

图中说明了在对电子控制单元进行FMEA时所进行的高级设计调整。任何ECU的行为都应首先通过系统可能导致的失效列表进行分析，因此需要FMEA流程在“V”或产品开发周期中建立支持概念阶段。

03.设计FMEA的目标

为了确定 FMEA的目标，本文使用ECU的转向案例来研究通过计算风险因子确定的失效可能产生的影响。考虑列出失效模式的ECU被评为最高安全完整性等级，其ASIL为ASIL D。

转向电子控制单元用例

如今，大多数汽车都使用电子转向控制器，即当动力转向失效时（由于电气系统或软件逻辑出现某些失效），用户或驾驶员仍应能够手动转向。但是，这种驾驶场景被认为是安全关键的，即当从转向柱控制器到转向ECU的电子转向动作丢失时，因此这被评为最高的汽车安全完整性等级(ASIL D)。

转向控制器ECU的构建FMEA有点棘手，因为它考虑了所有可能导致电子转向指令丢失的可能失效情况。但是，借助excel FMEA，人们将能够列出失效模式以及从FMEA中注意到的故障所需的行动模式。转向ECU的FMEA表下方应确定失效模式列表和注意到的失效模式的潜在行动。

表1. 转向ECU失效模式与影响分析计算可能出现的最高失效列表

表2. 用于FMEA的严重程度等级推导

表3. 用于FMEA的发生率推导

表4. 用于FMEA的检测等级推导

04.结果与讨论

从对转向电子控制器单元进行的研究中可以看出，对系统级ECU进行失效模式与影响分析应列出车辆行驶过程中可能因系统失效（硬件和软件）而导致的潜在故障，而FMEA则列出在概念阶段设计ECU时可采用的潜在安全措施。对于ASIL等级较高的系统（例如制动器、转向系统），在概念阶段以及系统流程或实施阶段进行FMEA以分析实施阶段可能发生的故障非常重要。

从FMEA设计表中可以清楚地看到，FMEA具有很高的潜力，它列出了可能导致系统故障的所有潜在失效，但预防措施是根据失效的严重程度、发生率和检测来确定的。

05.结论

对转向ECU分层结构的用例研究进行详细的FMEA分析，其中应调整要求以适应预防措施。FMEA是一种定性分析，在概念阶段执行FMEA允许用户节省ECU的时间和成本，并在设计故障安全硬件和软件ECU要求时增加学习曲线。尽管有许多已证明有效的FMEA技术，但是当涉及汽车电气系统和电子控制单元时，非常需要假设每一个可能的潜在失效，这些失效可以从ECU的功能或功能要求中得出。进一步深入研究将使我们更广泛地了解解决FMEA发现的潜在失效的更好方法，如何解决复杂系统的失效模式以及如何快速及时解决失效。这项研究概述了ECU的FMEA需求，尽管系统没有ASIL评级，但进行FMEA始终有助于避免潜在的危害情况。