整车可靠性之零部件以及系统设计

“ 本章介绍整车零部件以及系统可靠性设计的原理和方法，其实机械耐久大家都比较熟悉，其中非常有参考意义的是关于电子以及软件可靠性的理论，值得了解和学习”

7.9.2 零部件以及系统设计

可靠性设计意味着必须从一开始就消除潜在的故障源，并遵循整车开发概览 Vehicle Development Projects -整车开发流程第一章 An Overview第1.3.3中介绍的V型车的所有其他整车性能。：整车的可靠性指标达成一致，然后在部件级进行设计，然后在部件级、子系统级和系统级进行验证。这需要了解不同类型零部件的一般故障过程，以及确定零部件故障如何传播到系统故障的整个系统的可靠性相关结构。

7.9.2.1 零部件级别可靠性

在汽车领域，决定汽车可靠性的参数在过去几年里发生了变化：虽然传统上车身和底盘部件的腐蚀以及传动系部件的磨损是主要缺陷，但如今的可靠性主要是软件控制的E/E系统（电子电器系统开发流程-整车开发流程第五章E/E System Development）。对客户的影响可能是相似的，但潜在的因果链是完全不同的，必须在详细的层面上加以理解。

机电元件故障

负荷相关故障表示零件因磨损、老化或过载而发生故障，例如压缩机驱动轴的疲劳断裂导致空调系统故障，或发动机电子控制单元中的半导体故障导致发动机等故障。根据假定的载荷谱，乘以适用的安全系数，计算部件所需的工作强度，并记录在部件的正式设计规范中。作为设计过程的一部分，所需的操作强度是确定部件尺寸的基础，并与其他目标（如材料成本、可用空间和质量/惯性矩）相冲突。

这种方法的一个很好的例子是底盘部件的尺寸标注。如图7.43所示，正常日常使用中车辆的载荷谱与在赛道上驾驶时车辆所暴露的载荷谱有很大不同。但是，由于底盘部件对安全性至关重要，因此，将赛道载荷谱作为确定部件寿命耐久性尺寸的基础，即使有关操作强度的正常要求要低得多。

NVH 虽然潜在物理效应是相似的由振动产生，但根据人类的感知不同主要分两大块，可听见的振动（噪声）和不可听见的振动（振动），所以开发当中也是区别对待。

考虑到这个过程，零部件硬件的故障有两个基本原因：

• 实际荷载谱超过了设计假定的荷载：

  –假定的荷载谱是不现实的（例如，关于活顶在使用寿命内打开和关闭的频率的假设）

  –实际荷载超过了正常运行时设计假定的荷载（例如，在路边石上行驶超过步行速度）

• 部件弱于预期：

  –尺寸标注过程不正确（例如，应用不准确的模拟算法计算部件尺寸）

  –部件未按规范制造或组装（例如，铸造张力支柱中的孔数超过容许水平）

  –部件在生产或运输过程中已预先损坏（例如，在车辆海上运输过程中车轮轴承处于静止状态时的振动应力）

作为其设计过程的一部分，可以使用有限元法（FEM）模拟奇异机械部件的疲劳行为。以张力支柱为例，图7.79中的左图显示了数值模拟的结果，该数值模拟预测了上眼下方红色区域450到600次荷载变化后的早期裂纹萌生。右图显示了292次荷载变化后试验中实际受拉支柱所遭受的起始裂纹。

如果随时间测量，传统机械或电气系统的故障率显示出一种称为浴缸曲线的明显行为（见图7.80）。它可以分为三个主要阶段：

• 全新系统（第一阶段）的故障通常是由产品成熟度不足或生产故障引起的。随着各自问题的解决，产品和过程都变得越来越成熟，因此早期阶段可以被视为产品开发的最后阶段——产品已经掌握在客户手中。这款车的设计质量越高，出厂前测试的次数越多，这一阶段浴缸曲线的起点就越低。一个已经建立和改进多年的成熟系统实际上没有早期故障。

• 在系统寿命的主要部分（第二阶段），随机故障会导致尽可能低的恒定故障率。第二阶段应该至少持续到第一个客户通常保留产品的时候。

• 在系统寿命后期（第三阶段），磨损和疲劳失效导致失效率增加。这个阶段不应该在产品的预期寿命结束之前开始。随着故障率的增加，维修费用也随之增加。当修理费用超过产品的实际价值时，它就退役了。

电子零部件

与机械部件相比，电子部件（如处理器、存储芯片或通用半导体）显示出稍有不同的故障模式。导致故障的三个主要因素是：

• 环境温度：在大多数情况下，微处理器故障的实际根本原因是冷却系统故障。

• 工作负载：微处理器的可靠性在很大程度上取决于实际工作负载。

• 电源稳定性：大多数存储器故障是由电源电压变化引起的软故障。

嵌入式软件

软件的故障方式与硬件完全不同。由于硬件故障是由物理或化学过程引起的，因此整个系统可以通过修理或更换有缺陷的部件来恢复到原始工作状态，以执行其预期功能。但软件不会老化或磨损。软件故障（即非预期操作的执行）是操作状态和输入的非预期组合的结果，并且始终与设计相关。与大多数硬件故障相反，软件故障总是在没有任何预先警告的情况下发生。

软件故障的典型原因是：

• 错误或误解的软件需求说明

• 编写代码时的粗心或不称职

• 软件测试不充分

• 软件使用不正确或意外

即使在相对较小的程序中，可能的输入/状态组合的数量也可能非常高，而且测试非常耗时，遵循系统化的软件开发过程是软件可靠性工程中不可或缺的要素。

随着时间的推移，软件的故障率遵循与硬件不同的模式。图7.81所示软件可靠性的修正浴缸曲线显示了在主要使用阶段定期功能更新的不利影响，以及来自软件的平端不易老化或磨损[51]。

创建可靠软件的第一步是以结构化的方式指定程序所需的功能（电子电器系统开发流程-整车开发流程第五章E/E System Development见第5.2.5.2条）。构造软件失效过程的经典随机软件可靠性模型能够估计当前的可靠性和预测未来的失效行为。一种度量方法，允许基于需求语句中所用词汇的分析进行定量可靠性评估，它计算文本行、命令行、连续行、指令行、弱短语、不完整语句和选项行数。

然后，根据需求规范，软件设计确定程序应如何实现指定的功能。一个结构良好的高级设计过程独立于编码指定体系结构，是创建可靠软件必不可少的先决条件。在这个阶段，架构的大小和复杂性是衡量可靠性的两个主要指标。

实际的编程是用一种高级编程语言完成的，对于汽车应用来说，通常用C语言。代码分析方法产生量化程序可靠性的度量。可靠性方面的一个重要编程要求是，确保在使用寿命阶段（见图7.81）期间，在不产生额外错误的情况下，可以根据需要进一步开发程序。

电磁抗扰度

故障类型的一个独立系列是由意外或环境电磁场引起的故障。在电磁兼容性（EMC）这一术语所包含的两个方面中，对电磁场的抗扰度是与车辆可靠性相关的一个方面（另一个方面，电磁发射，在第节中讨论）。7.10.5条）。与EMC相关的故障示例有：

• 收音机中可“听到”挡风玻璃雨刷器的声音

• 当前照灯打开时，无法接收某些调频广播电台

• 在高压电源线下行驶时发动机熄火

• 使用第三方无线电设备时，汽车被禁用，发动机控制器损坏

• 静电放电插入点火钥匙时发生，损坏点火电路

• 附近的雷击导致巡航控制系统开启并加速

对电磁兼容相关问题的分析提出了三种主要的故障模式：

• 音频和视频信号的干扰

• 通过感应高压脉冲破坏电子元件

• 通过电缆或电子元件中感应的电压脉冲（被电子控制单元误认为是输入）进行不必要且无法计算的操作信号

一辆现代轿车有大约70个高度互连的ecu、多达500个传感器和执行器、大约1.9英里的电线、高达40千伏的发射脉冲和大约15个检测125千赫兹和2.8千兆赫之间几微伏电压的内部天线。因此它对电磁扰动非常敏感。一般来说，场强越高，对车辆的风险隐患就越大。

产生不需要的电磁场的源既是车辆的一部分，也是车辆环境的一部分。因此可能受车辆设计影响的内部来源包括：

• 用于发动机控制器的脉冲调制大功率电流

• 乘员静电放电

• 用户安装的无线电发射器

• 电源开关

从车辆设计工程师的角度来看，外部电磁场是无法改变；设计只能集中在对这些扰动的抗扰性上。电磁场的主要外部来源是：

• 其他车辆产生的电磁辐射（见内部来源）

• 无线电和电视网络

• 电力线

• 闪电

EMC的设计是一个自下而上的过程。首先，必须对孤立集成电路进行优化。在这里，微控制器芯片和总线驱动器（如CAN收发器）是主要的兴趣。然后，研究完整的ecu。图7.82显示了根据ISO 11452-5进行带状线抗扰度试验的电子控制单元和相关线束部分。

带状线抗扰度试验例如与测试音频设备抗扰度有关，例如来自手机GSM型调制的抗扰度。对于由ECU引起的干扰，FM频率范围是主要关注的。印刷电路板和微控制器的模型允许以足够的精度对控制器的发射行为进行早期模拟。图7.83将仿真结果与实际ECU测量的结果进行了比较。

提高电磁抗扰度的一般措施是使用屏蔽外壳和线路、接地和通过滤波器（电阻器、电容器、扼流圈）的入口去耦。根据印刷电路板设计的四个最重要的电磁兼容性指南是：

• 尽量减少与高频电源和信号电流相关的回路区域

• 不要分开、隔开或切断信号返回平面

• 不要在连接器之间定位高速电路

• 控制信号转换时间

7.9.2.2 系统级别可靠性

整车的可靠性取决于其子系统的可靠性，而子系统的可靠性又取决于其部件的可靠性。然而，因果关系并不是唯一的；系统的复杂性以及潜在的不可靠性源于相互影响对方行为的组件和系统。发动机热管理故障（例如）可能导致发动机舱温度意外升高，从而导致发动机控制器故障。

在系统级，可靠性设计从建立可靠性模型开始，这些模型表示子系统和组件的故障模式之间的逻辑依赖关系。这些模型是可靠性方法应用的基础。

汽车开发过程中最常见的自下而上的风险评估归纳方法是失效模式与影响分析（FMEA）。对于一个子系统或组件，FMEA列出所有可能发生的故障模式，然后评估每个故障的后果（影响）。在FMEA的扩展版本中，即所谓的故障模式和影响临界性分析（FMECA），所列的故障模式根据其对系统或部件可操作性的临界性进行评级。

为了确保FMEA/FMECA风险评估的质量和一致性，通过不同的工业部门，特别是航空、航天和核电部门，制定了大量的标准。对于汽车行业，已制定的标准包括SAE J1739、IEC 60812、BS 5760和VDA 96。图7.84显示了符合SAE J1739的系统FMEA表，由Relex Reliability Studio的FMEA/FMECA模块创建（见下文）。

除表格和一般程序外，FMEA/FMECA标准还为风险因素的定量评估提供了指导和建议。表7.13提供了严重性、发生概率和检测概率的排名数字。

显然，FMEA的价值很大程度上取决于所追求的团队是否考虑了所有可能的失败模式，甚至是最不可想象的失败模式。作为上述软件工具的一部分，故障模式库支持预测给定组件的可能故障模式的创造性过程。

当FMEA或FMECA自下而上分析系统时，故障树分析（FTA）将系统的不期望状态分解为低级事件的布尔组合。通过将从估计或历史数据导出的概率数据应用于这些较低级别的事件，可以导出系统级别的可靠性预测。虽然这些预测当然不是绝对准确的，但可以根据可靠性比较不同的设计方案。

FTA方法学的发展主要发生在航空航天领域，其原因是需要澄清导致灾难性系统故障的情况，如1986年挑战者号航天飞机爆炸。对FTA最全面的描述之一是NASA发布的故障树手册[59]。通常，该方法在IEC 61025[60]中有规定。图7.85显示了不需要的事件“发动机意外点火”的故障树示例。

为复杂系统创建FEMA、FMECAs和FTAs是一项复杂的任务，需要适当的项目管理和适当的IT支持。为此目的而建立的软件包有：api-IQ工具、Relex-Reliability Studio、isograph-Reliability Workbench或Reliasoft-Xfmea。

提高车辆或其子系统可靠性的一般设计方法包括：

• 关键子系统的冗余（如制动器、灯）

• 子系统的分离（如功能不在几个ecu上扩展）

• 防错（产品或过程操作的防错）

然而，后者在避免可能导致车辆故障的制造故障方面发挥着最重要的作用，而不是在车辆工厂制造过程中。

如前所述，生产故障是导致车辆故障的另一半原因。偏差，如铸造零件中的空腔、未拧紧至所需扭矩的螺栓或未清洁至规范的粘合连接的接触面，会导致稳定性降低，并可能导致相应部件的故障。预测和避免产品开发过程中的潜在生产问题是生产集成的重点，这是第节讨论的次级车辆属性中。8.1章。

室内噪声评估的验证方法与第7.3.3.4节中已经讨论过的声音设计的验证方法相同。

本节完