EPB功能安全笔记(9)—FMEA说: 唯有进化才能不负ISO 26262的力荐

本文要点

在上文（​​EPB功能安全笔记(8)：FMEA方法论介绍​​）中系统地介绍了ISO 26262中推荐的分析系统失效的方法——FMEA (Failure Mode and Effects Analysis)。总的来说，FMEA 有助于及时识别和评估系统或产品使用过程中所有可能的风险，并制定和实施适当的措施以优化产品开发和生产环节的质量控制以降低故障成本（如召回率）。于此同时，上文以VDA和AIAG联合发布的标准“Failure Mode and Effects Analysis – FMEA Handbook”为背景系统地介绍了FMEA分析的关键步骤。

Failure Mode and Effects Analysis – FMEA Handbook，封面截图

但是，当真正将FMEA应用于分析ISO 26262的研究对象——E/E系统时，它的局限性就暴露出来了。最典型的问题为：

• 对一些失效模式，E/E系统定义了监控模块，如果在车辆运行过程中及时探测失效并采取适当的措施，可以减轻甚至规避危害以降低失效影响(failure effect)的S评分，但是DFMA中并未考虑。

2019版的“Failure Mode and Effects Analysis – FMEA Handbook”引入了一个全新的分析方法——FMEA-MSR(FMEA for Monitoring and System Response)。FMEA-MSR和ISO 26262有着很大的联系，在标准的字里行间都让人有理由相信这个新方法的诞生来自ISO 26262的要求的驱动。本文试图对FMEA-MSR的方法论展开解读，以期给读者带来一些有价值的参考。

注：本文提到的FMEA均指DFMEA（Design FMEA），不包括PFMEA（Process FMEA）。

1.FMEA在ISO 26262面前的局限

简要概括FMEA的方法论，即：识别风险→风险评估→制定优化措施。而对于风险评估，则采用三个维度：

• S（severity 严重度）：评估故障发生后对最顶层（如整车层）造成的严重程度。评分1~10，10代表最严重。
• O (occurrence 频度): 评估采取了相应的预防措施后故障发生的可能性。评分1~10，10代表没有可能性最大。
• D（detection 探测度）：在产品释放给客户前将故障探测出来的探测措施的有效性，通常探测措施指的是量产之前产品验证阶段定义的一系列测试。评分1~10，10代表探测措施的有效性最差。

不难发现，FMEA分析的目的在于产品量产之前优化设计，保证产品交到用户手上时所有可能出现的风险的概率已经降低到可接受的范围。

这个方法对于分析机械或者液压系统是合适的，一旦底层失效发生，必然对顶层产生失效影响。比如当正在工作的车用液压千斤顶发生管路泄露时，必然会导致车辆下落，危及车底的维修人员的安全。这样一来，考虑到失效造成的严重度很高，在开发千斤顶时要对管路进行充分的设计和验证以保证千斤顶在进入市场之后的可靠性。

但是，如果千斤顶装有液压管路监控模块，当发生管路泄露时，会在彻底失去支撑能力前鸣笛报警，使得维修人员能及时逃离，是不是失效造成的严重度可以降低？理论上如果监控的有效性足够高，就可以将严重度降到可接受范围时，从而对管路设计要求的严苛程度就可以降低。

而监控恰恰是功能安全开发的精髓。ISO 26262的目标可以简单概括为：当故障发生后，E/E系统只要在故障容错时间间隔（FTTI, fault tolerant time interval）内进入安全状态（系统降级或者报警），就可以避免危害的发生。而这一目标的实现就依赖及时且有效的监控。

截图来自ISO 26262, part1, 2018

从上面可以看出， FMEA和ISO 26262的关注点是不同的。FMEA更关注让用户“用得省心”，要求产品交到用户手上之前保证产品故障概率足够低；而ISO 26262则更关心“安全”，即使产品交到用户手上后出现故障的频率比较高，只要对那些可能危及人身安全的危害，系统每次都能及时监控出故障并及时进入安全状态（比如提醒驾驶员或者系统降级）以避免危害就符合ISO 26262要求。

这样一来，因为监控的作用体现在用户使用过程中而不是产品量产之前，所以如果用FMEA的方法论来指导功能安全开发，则会在量产前的分析过程中忽略监控的作用。造成的后果就是对整车层的失效影响(failure effect)的严重程度评分过高，从而对失效影响对应的失效网上的失效原因(failure cause)采取了“过设计”的措施，既没有有效地筛选出功能安全开发真正的关注点，又增加了研发成本。

由此，FMEA-MSR的诞生也是必然。

2.FMEA-MSR的方法论

简单来说，FMEA-MSR将已有的FMA作为base，对FMEA中已经识别出来的失效网作进一步的分析：当用户在使用过程中是否对该失效网的失效原因(failure cause)有监控？

DFMEA与FMEA_MSR的关系

进一步地，需要确定以下问题：

• 对于已经存在的监控，是否需要优化？
• 如果没有监控，是否需要增加？

要回答这两个问题，需要确定一个评估准则。FMEA-MSR中引入以下三个参数来建立评估准则，从标准中摘抄如下：

• Frequency (F): represents the Frequency of Occurrence of the Cause in a given operational situation, during the intended service life of the vehicle
• Monitoring (M): represents the Detection potential of theDiagnostic Monitoring functions (detection of Failure Cause, Failure Mode and/or Failure Effect)
• Severity (S): represents the Severity of the Failure Effect

通过定义中可以直白地看出，FMEA-MSR就是用来分析汽车上的E/E系统的，这让我们有理由相信这个方法论就是为配合ISO 26262而创造的。

下面就这三个参数展开说明。

2.1.Frequency (F)

F值用来评估车辆使用寿命过程中失效原因(failure cause)发生的频率。在评估F值是可以从以下几个方面进行参考：

• DFMEA的评估结果
• PFMEA的评估结果
• 售后数据
• 客户投诉等等

值得一提的是，一些失效原因(failure cause)可能只有在车辆运行过程中的特定场景下才会产生失效影响(failure effect)，因此在这种情况下，可以考虑场景在车辆运行周期中的曝光度来适当降低F值。

举例来说，如果从售后数据中反馈的ppm值确定对某个失效原因的评分为F=3，考虑到这个失效原因只有当车辆处于驻车模式时才会引起风险，驻车工况在整个车辆运行周期中的曝光度比较低，可以将F降为2。

Frequency评分表，截图来自Failure Mode and Effects Analysis – FMEA Handbook

2.2.Monitoring (M)

M值用来评估在用户使用过程中监控正确且及时地监控出故障并进入安全模式的能力。

这里有一点需要注意，在评定M值时，需要假设monitoring设计和测试都符合预期。对这一假设的解释将在第3章中展开。

Monitoring评分表，截图来自Failure Mode and Effects Analysis – FMEA Handbook

Monitoring评分示例，截图来自Failure Mode and Effects Analysis – FMEA Handbook

2.3.Severity (S)

对于S值的评定，实际上在传统的FMEA和FMEA-MSR中都是用的同一张表格。不同的是前者在评估严重度时不考虑监控的影响，而后者则可能受到监控能力的影响。具体影响表现为：

• 如果M=1，则S值可以使用在监控作用下减轻严重度后的值；
• 如果M≠1，则S值只能使用没有监控时评估的严重度值。

Severity评分表，截图来自Failure Mode and Effects Analysis – FMEA Handbook

2.4.优化准则

根据标准中的推荐，结合F/M/S值和下表来确定采取优化措施的优先级，并将优先级分为三等：

Priority High (H): Highest priority for review and action. The team needs to either identify an appropriate action to lower frequency and/or to improve monitoring controls or justify and document why current controls are adequate.

Priority Medium (M): Medium priority for review and action. The team should identify appropriate actions to lower frequency and/or to improve monitoring controls, or, at the discretion of the company, justify and document why controls are adequate.

Priority Low (L): Low priority for review and action. The team could identify actions to lower frequency and/or to improve monitoring controls.

Action Priority，截图来自Failure Mode and Effects Analysis – FMEA Handbook

推荐优化准则：

当同时符合以下两个条件时，推荐采取优化措施：

（1）.Severity值被评为9或10

（2）.Action Priority被评为High或Medium

进一步的问题是，如何进行优化？

最有效的两个优化方向为：

（1）.优化零部件设计或者使用失效率更低的零部件以降低F值

（2）.提高监控模块的覆盖度来降低M值

3.如何避免监控设计的缺陷？

在2.2中提到，在对监控的有效性进行M值评分时，假设监控的设计符合预期。但是实际上监控也存在着有设计缺陷的可能。如果监控存在设计缺陷，FMEA-MSR的分析结果将没有意义。那么，如何避免监控的设计缺陷呢？

从本质上来讲，监控是产品的一个功能，因此我们可以使用传统DFMEA的分析方法，使用“七步法”对监控功能进行失效分析。

FMEA“七步法”

对于监控功能来说，其失效模式可以概括为：

• Failed to detect fault
• Falsely detected fault (nuisance)
• Unreliable fault response (variation in response capability)

在构建好功能网和失效网后，通过定义相应的措施来保证监控功能的可靠性。

预防措施（Prevention action）: 用以定义监控机制及时探测失效原因(failure cause)的有效性；

探测措施（Detection action）：用以定义对验证监控机制是否符合预期的验证的完整性。

分别对预防措施和探测措施评定O值和D值，如果需要优化则对监控功能的设计进行改进，以此来保证监控的有效性。

由此可以看出，传统的FMEA和FMEA-MSR不是完全独立的，两者相互依赖：使用FMEA-MSR可以降低FMEA顶层的S值；贯彻FMEA的分析方法可以提高FMEA-MSR对应的监控的可靠性。

4.展望

自2019年FMEA-MSR方法论面试以来，汽车行业的主流公司正在对其进行研究，据笔者所知，暂时还没有公司已经落地。一部分原因是实施FMEA-MSR不仅开发工具需要升级，对企业原有的FMEA base也有较大改动，同时对既有的开发流程也有挑战。不过考虑到FMEA-MSR才是真正适用于E/E系统分析的方法，在加上和ISO 26262有着密切的关联，相信在不久的将来会看到越来越多的落地方案。

下篇预告

本文和上文对ISO 26262推荐的分析系统失效的方法FMEA进行了介绍。接下来将展开对 ISO 26262推荐的另一种分析方法FTA的介绍。

本文转载自：焉知智能汽车