这里把有关电子部分的失效细节给梳理出来了。系统级别的FMEA主要是还是把概念性的问题树立出来,确认问题之严重性。进行到这个层次,才能把握不同的设计以及设计背后的软硬件FMEA。
所谓的软硬件策略容错设计,就是建立在这些RPN数值很高的,不能接受的状态下,设定Safety Goal去实现安全目标。
4)电池单元状态汇总给整车
a)正常的客户使用(驾驶、充电、停放&维修)
4.1 无法发送正常状态
(10 4 7) 电池系统无法与整车通信 <=车辆容错设计
(10 4 4 )电池系统内部无法通信 <=车辆容错设计/电池系统容错设计
(10 4 7) 电子模块失电 <=车辆容错设计 【标准电压测试 软件测试】
(10 4 4) 传感器失效
(10 1 4) 通信崩溃(数据传输错误) <=串行通信策略
4.2 间歇性发送正常状态
(10 4 7) 电池系统间歇性无法与整车通信 <=车辆容错设计
(10 4 4 )电池系统间歇性内部无法通信 <=车辆容错设计/电池系统容错设计
(10 4 7) 电子模块间歇性失电 <=车辆容错设计 【标准电压测试 软件测试】
(10 4 4) 传感器间歇性失效
(10 1 4) 通信间歇性崩溃(数据传输错误) <=串行通信策略
4.3 故障时发送正常状态信息
(10 1 7) 单片机失效 <=车辆容错设计/电池系统容错设计
(10 4 4 )传感器信息错误 <=车辆容错设计/电池系统容错设计
(10 1 4) 通信间歇性崩溃(数据传输错误) <=串行通信策略
(10 4 7) 电池系统无法与整车通信<=车辆容错设计
(10 4 7) 电子模块失电<=车辆容错设计 【标准电压测试 软件测试】
4.4 间歇性发送故障信息
(10 4 7) 电池系统间歇性无法与整车通信 <=车辆容错设计
(10 4 4 )电池系统间歇性内部无法通信<=车辆容错设计/电池系统容错设计
(10 4 7) 电子模块间歇性失电 <=车辆容错设计 【标准电压测试 软件测试】
(10 4 4) 传感器间歇性失效
(10 1 4) 通信间歇性崩溃(数据传输错误) <=串行通信策略
4.5 正常时发送故障信息
(10 1 7) 单片机失效 <=车辆容错设计/电池系统容错设计
(10 4 4 )传感器信息错误 <=车辆容错设计/电池系统容错设计
(10 1 4) 通信间歇性崩溃(数据传输错误) <=串行通信策略
(10 4 7) 电池系统无法与整车通信 <=车辆容错设计
(10 4 4 )电池系统间歇性内部无法通信 <=车辆容错设计/电池系统容错设计
(10 4 7) 电子模块失电<=车辆容错设计 【标准电压测试 软件测试】
4.6 信息错误或不发送
(10 4 4) 无法通信<=车辆容错设计
(10 1 7) 单片机失效 <=车辆容错设计/电池系统容错设计
(10 7 4 )传感器失去<=电池系统位置/结构
(10 4 4 )传感器精度问题 <=电池系统位置/结构
5)在电池系统内对电池单体进行控制和管理
a)工作范围内维护SOC
5.1 SOC过充
(10 4 7) 传感器故障(线束、短路到12V/GND、开路)
(10 1 7) MCU故障
(10 4 7) 算法错误
(10 1 4) 通信间歇性崩溃(数据传输错误) <=串行通信策略
5.2 SOC过放
(10 4 7) 传感器故障(线束、短路到12V/GND、开路)
(10 1 7) MCU故障
(10 4 7) 算法错误
(10 1 4)通信间歇性崩溃(数据传输错误)<=串行通信策略
b)温度管控在范围内
5.3 温度高于安全范围
(10 4 4 )散热能力不足
(10 4 7) 温度传感器故障(线束、短路到12V/GND、开路)
(10 4 4 )电池内阻过高
(10 1 7)外部温度暴露过热
(10 1 4 )外部加热
5.4 充电时温度过低
(10 4 7) 外部冷却
(10 4 7) 温度传感器故障(线束、短路到12V/GND、开路)
c)电池电压一致性维护
5.5 电压不持续(稳定)
(7 4 7) 传感器故障(线束、短路到12V/GND、开路)充电机故障 单体采集电路接触电阻过高 单体内阻过高 并联单体丢失
5.6 单体电压过高
(10 4 7) 传感器故障(线束、短路到12V/GND、开路)
(10 4 7) 充电机故障
(10 7 7) 单体采集电路接触电阻过高
(10 4 7) 单体内阻过高
(10 4 7) 并联单体丢失
5.7 单体电压过低
(10 1 4) 传感器故障(线束、短路到12V/GND、开路)
10 1 7)通信间歇性崩溃(数据传输错误) <=串行通信策略
(10 4 7) 主继电器无法断开
(10 1 4) 电池包短路
d)维持充电放电电流在一定范围内
5.8 电流过高
(10 4 7) 充电机故障
(10 1 4) 熔丝故障
(10 4 4) 电池包短路
5.9 充电电流过低
小结:
a)以上的很多内容,是可以从实验来定性安全情况的
b)细节可以往下走,具体到每个传感器、MCU、电源乃至串行通信&信号输出的
c)有机会,我要仔细做一遍自己设计方案