FMEA(失效模式与影响分析)是一种在产品设计和过程设计阶段广泛使用的风险评估工具,它通过识别产品或过程中潜在的失效模式及其后果,帮助团队制定相应的风险缓解措施。
FEMA标准
版本历史
1993年 AIAG编制了FMEA参考手册,提供了标准化的指导和框架。
1994年 FMEA成为QS-9000的认证要求。
1999年 FMEA成为TS16949认证的必备要求。
** 2008年 FMEA手册推出了第四版**,对过程和结果进行了改进和强化。
** 2019年 AIAG和VDA联合发布了新版FMEA手册,提出“七步法”**,将FMEA分析方法进一步结构化。
新版FMEA手册将原来的五步法(VDA方法)或填表法(AIAG方法)整合为七步法,包括策划和准备、****结构分析、功能分析、失效分析、风险分析、优化和结果文件化。
风险参数的调整:严重度(S)、发生频度(O)和探测度(D)的评分标准有所调整,例如,严重度的评分更加严格,安全相关的失效无论是否存在预警都统一评为10分。
措施优先级(AP)的引入:新版FMEA手册引入了措施优先级(AP)的概念,通过综合考虑严重度、发生频度和探测度的评分,以及措施的实施难度和成****本,来确定哪些措施应该优先实施。
FMEA七步法
步骤1 策划与准备
步骤2 结构分析
第一层:上级元素(失效影响,直接与SG关联)
第二层:聚焦元素(element:主要分析对象)
第三层:下级元素(失效原因)
失效链:当前层级的失效原因是下一层级的失效模式,当前层级的失效影响是上一层级的失效模式
步骤3 功能分析
步骤4 失效分析
P图:是用于确定和描述干扰控制因子和错误状态的稳健性工具。描述干扰因子,控制因子,理想功能和错误状态,有助于识别潜在的失效原因、失效模式、潜在的失效后果、目前的控制方法、建议的措施
P图仅为辅助工具,标准FMEA中不强制要求画P图分析
失效模式
**功能丧失 **产品或系统完全无法执行其预期功能。
**部分功能 **产品或系统仅能部分执行其预期功能,性能受到损失。
**功能退化 **产品或系统的性能随时间逐渐降低或衰退。
**过度功能 **产品或系统的操作超出了可接受的范围或阈值。
间歇性功能 产品或系统的操作呈现随机启动-停止-启动的间歇性行为。
**延迟功能 **产品或系统在非预期的时间间隔后才开始执行其功能。
错误功能 产品或系统执行了错误的功能或操作。
步骤5 风险分析
严重度S 表示失效影响的严重程度
S影响严重度标准示例10非常高影响到车辆和/或其他车辆的操作安全,驾驶员、乘客、道路使用者和行人的监控状状况影响车辆及人员安全和健康9不符合法规仅影响法规,不涉及安全和健康8高在预期使用寿命内,失去正常驾驶所必需的车辆主要功能车辆无法行驶,主要功能损失7在预期使用寿命内,降低正常驾驶所必需的车辆主要功能车辆无法行驶,主要功能降级6中失去车辆次要功能次要功能损失5降低车辆次要功能次要功能降级4用户舒适性功能,例如氛围灯亮度,声音控制,APP舒适性显示等非常影响体验,不影响功能3低用户舒适性功能,例如氛围灯亮度,声音控制,APP舒适性显示等中度影响体验,不影响功能2用户舒适性功能,例如氛围灯亮度,声音控制,APP舒适性显示等略微影响体验,不影响功能1非常低没有可察觉到的影响没有影响
频度O 表示在给定的运行情况下,车辆的预期使用寿命期间 发生失效起因的频率
O对失效起因发生的预测频度标准示例10极高
在 没 有 操 作 经 验 和 / 或 在 操 作 条 件 不 可 控 制 的 情 况 下 的 任 何 地 方 对 新 技 术 的 首 次 应 用 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 。
不 存 在 标 准 , 且 尚 未 确 定 最 佳 实 践 。 预 防 控 制 不 能 预 测 现 场 性能 或 不 存 在 预 防 控 制 。
=100件/每千车辆;>=每10件中有1件9非常高
在 公 司 内 首 次 应 用 具 有 技 术 创 新 或 材 料 的 设 计 · 新 应 用 , 或 工 作 周 期 / 操 作 条 件 有 改 变 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 , 预 防 控 制 不 是 针 对 识 别 特 定 要 求 的 性 能 ·
=50件/每千车辆;>=每20件中有1件8
在 新 应 用 内 首 次 应 用 具 有 技 术 创 新 或 材 料 的 设 计 · 新 应 用 工 作 周 期 / 操 作 条 件 有 改 变 · 没 有 对 产 品 进 行 验 证 和 / 或确 认 的 经 验 ·
极 少 存 在 现 有 标 准 和 最 佳 实 践 , 不 能 直 接 用 于 该 设 计 产 品 。预 防 控 制 不 能 可 靠 地 反 映 现 场 性 能 ·
=20件/每千车辆;>=每50件中有1件7高
根 据 相 似 技 术 和 材 料 的 新 型 设 计 。 新 应 用 , 或 工 作 周 期 操 作 条 件 有 改变 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 。
标 准 、 最 佳 实 践 和 设 计 规 则 适 用 于 基 准 设 计 , 但 不 适 用 于 创 新 产 品 。预 防 控 制 提 供 了 有 限 的 性 能 指 标 。
=10件/每千车辆;>=每100件中有1件6
应 用 现 有 技 术 和 材 料 , 与 之 前 设 计 相 似 。 类 似 应 用 , 工 作 周 期 或 操 作条 件 有 改 变 。 之 前 的 测 试 或 使 用 现 场 经 验 。
存 在 标 准 和 设 计 规 则 , 但 不 足 以 确 保 不 会 出 现 失 效 起 因 。 预 防 控 制 提 供了 预 防 失 效 起 因 的 部 分 能 力 。
=2件/每千车辆;>=每500件中有1件5中
应 用 成 熟 技 术 和 材 料 , 与 之 前 设 计 相 比 有 细 节 上 的 变 化 。 类 似 的 应 用 、 工 作 周 期 或 操 作 条 件 。 之 前 的 测 试 或 使 用 现 场 经 验 , 或 为 具 有 与 失 效 相 关 测 试 经 验 的 新 设 计 。
在 之 前 设 计 中 所 学 到 的 与 解 决 设 计 问 题 相 关 的 教 训 。 在 本 设 计 中 对 最 佳 实 践 进 行 再 评 估 , 但 尚 未 经 过 验 证 。 预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 , 并 提 供 部 分 性 能 指 标 ·
=0.5件/每千车辆;>=每2000件中有1件4
与 短 期 现 场 使 用 暴 露 几 乎 相 同 的 设 计 。 类 似 应 用 , 工 作 周 期 或 操 作 条 件 有 细 微 变 化 。 之 前 测 试 或 使 用 现 场 经 验 。 之 前 设 计 和 为 新 设 计 而 进 行 的 改 变 符 合 最 佳 实 践 、 标 准 和 规 范 要 求 ·
预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 , 很 可 能 地 反 映 设 计 符 合 性 ·
>=0.1件/每千车辆;>=每10000件中有1件3低
对 己 知 设 计 ( 相 同 应 用 , 在 工 作 周 期 或 操 作 条 件 方 面 ) 和 测 试或 类 似 操 作 条 件 下 的 现 场 经 验 的 细 微 变 化 或 成 功 完 成 测 试 程 序的 新 设 计 。
考 虑 到 之 前 设 计 的 经 验 教 训 , 设 计 预 计 符 合 标 准 和 最 佳 实 践 。预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 , 并 预 测 与 生 产设 计 的 一 致 性 。
=0.01件/每千车辆;>=每100000件中有1件2非常低
与 长 期 现 场 暴 露 几 乎 相 同 的 设 计 。 相 同 应 用 , 具 备 类 似 的 工 作周 期 或 操 作 条 件 。 在 类 似 操 作 条 件 下 的 测 试 或 使 用 现 场 经 验 。
考 虑 到 之 前 设 计 的 经 验 教 训 并 对 其 具 备 充 足 的 信 心 , 设 计 预 计符 合 标 准 和 最 佳 实 践 。 预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产品 缺 陷 , 并 显 示 出 对 设 计 符 合 性 的 信 心 。
=0.01件/每千车辆;>=每100000件中有1件1极低
失 效 通 过 预 防 控 制 消 除 , 通 过 设 计 失 效 起 因 不 可 能 发 生 。
=0.001件/每千车辆;>=每1000000件中有1件
探测度D 表示诊断监视功能的潜在探测度(探测失效起因、失效模式或失效影响)
D探测能力探测方法成熟度探测机会示例10非常低测试程序尚未开发测试方法尚未定义9没有为探测失效模式或失效起因而特别地设计测试方法通过/不通过测试、失效测试、老化测试8低
新 测 试 方 法 , 尚 未 经 过 验 证 。
通过/不通过测试、失效测试、老化测试外观、声音。气味、操控7
己 经 验 证 的 测 试 方 法 , 该 方 法 用 于 功 能 性
验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确
认 ; 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 '
如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模
具 导 致 生 产 延 迟 。
通过/不通过测试PV阶段静态电流检测6中失效测试PV阶段拉拔力测试5老化测试PV阶段高温测试4高
己 经 验 证 的 测 试 方 法 , 该 方 法 用 于 功 能 性
验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确
认 ; 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 '
如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模
具 导 致 生 产 延 迟 。
通过/不通过测试PV阶段静态电流检测3失效测试PV阶段拉拔力测试2老化测试PV阶段高温测试1非常高
之 前 测 试 证 明 不 会 出 现 失 效 模 式 或 失 效 起 因 , 或 者 探 测 方 法 经 过 实 践 验 证 总 是 能 够 探 测 到 失 效 模 式 或 失 效 起 因 。
行动优先级AP 通过分配 SOD 评级来完成的评审和措施实现的优先级。
RPN≥100,或Risk=3:必须采取适当措施
41≥ RPN≤99,或Risk=2:应该采取适当措施
RPN≤40,或Risk=1:可以采取适当措施
步骤6 优化
优化的最有效顺序如下:
修改组件的设计,以减少失效起因(FC)的频度(O)——现行预防控制(PC)
修改组件的设计,以减少失效起因(FC)的发生 提高探测(D)失效起因(FC)或失效模式(FM)的能力 ——现行探测控制(DC)
在发生设计修改的情况下,所有受影响的设计要素都要重新评估。
步骤7 结果文档化
FMEA局限性
尽管FMEA非常有用,但它也有一些局限性,主要包括:定性分析限制、单点失效分析模型、团队知识水平的依赖、报告质量的主观性及不涵盖所有风险管理领域。
软件FMEA
由于软件单元层级的失效多带有静态特性,基本上可以通过流程约束覆盖。此外,针对软件单元层级的安全分析工作量巨大,实际操作可行性也不大,而架构层面的失效多涉及运行时序,数据流问题等,具有明显的动态特性,复杂度高,软件安全开发流程约束不容易检出,需要进一步通过安全分析进行识别,并制定相应的安全措施
软件硬件FMEA区别
分析对象不同
硬件FMEA关注的是物理组件的故障,如机械零件的磨损、电子元件的损坏等。
软件FMEA关注的是软件缺陷和错误,如算法错误、编码问题、软件设计缺陷等。
故障类型不同
硬件故障通常是物理性的,可能由材料疲劳、环境因素(如温度、湿度)等引起。
软件故障通常是逻辑性的,可能由编程错误、软件设计不足或软件配置问题引起。
分析工具和技术
硬件FMEA可能需要使用工程图纸、材料特性数据、物理测试结果等。
软件FMEA可能需要使用软件架构图、代码库、软件测试结果等。
故障检测和修复方法
硬件故障可能需要通过物理检查、替换部件等方式来修复。
软件故障通常通过代码修改、软件更新或配置更改来修复。
环境因素影响
硬件FMEA需要考虑环境因素对物理组件的影响。
软件FMEA更多关注于软件运行的环境,如操作系统、网络条件等,而不是物理环境。
失效分析
More-数据值有效但过大
LESS-数据值有效但过小
Stuck or Void-数据值卡滞或者空值
INValid or INCOMPLETE-数据值不完整的
NO 丢失-没有执行
More多于期望-执行时间过长
Less少于期望-执行时间过短
Before早于期望-执行时间提前
After晚于期望-执行时间滞后
Faster快于期望-执行次数过多
Slower慢于期望-执行次数过少
软件故障示例
失效原因
一般失效原因具体失效原因逻辑遗漏或执行错误
一 遗 忘 细 节 或 步 驟
一 逻 辑 重 复
一 忽 略 极 很 条 件
一 不 必 要 的 函 数
一 需 求 的 错 误 表 迷
一 未 进 行 条 件 测 试
一 检 查 错 误 变 量
一 循 环 错 误
算法的编码错误
一 等 式 不 完 整 或 不 正 确
一 丢 失 运 算 结 果
一 操 作 数 错 误
一 操 作 错 误
一 括 号 使 用 错 误
一 精 度 损 失
一 舍 入 和 舍 去 错 误
一 混 合 类 型
一 标 记 习 慣 不 正 确
软硬件接口故障
一 中 断 句 柄 错 误
一 I/O 时 序 错 误
一 时 序 错 误 导 致 数 据 丢 失
一 子 函 数 或 模 块
一 子 函 数 调 用 不 当
一 子 函 数 调 用 位 置 错 误
一 调 用 不 存 在 的 子 函 数
一 子 函 数 不 一 致
数据操作错误
一 数 据 初 始 化 错 误
一 数 据 存 取 错 误
一 标 志 或 索 引 设 置 不 当
一 数 据 打 包 解 包 错 误
一 变 量 参 考 错 误 数 据
一 数 据 越 界
一 变 量 缩 放 比 率 或 单 位 不 正 确
一 变 量 维 度 不 正 确
一 变 量 类 型 错 误
一 变 量 下 标 错 误
一 数 据 范 围 不 对
数 据 错 误 或 丢 失
一 数 据 初 始 化 错 误
一 数 据 存 取 错 误
一 标 志 或 索 引 设 置 不 当
一 数 据 打 包 解 包 错 误
一 变 量 参 考 错 误 数 据
一 数 据 越 界
一 变 量 缩 放 比 率 或 单 位 不 正 确
一 变 量 维 度 不 正 确
一 变 量 类 型 错 误
一 变 量 下 标 错 误
一 数 据 范 围 不 对
标准附录
要素影响安全机制免于干扰的实现为了开发或评估软件要素间免于干扰的达成,可考虑典型故障的影响和可能导致失效的传播。时序和执行关于时间限制,每个软件分区中执行的软件要素可考虑如下所列的故障影响:需要考虑的处理机制如:循环执行调度、固定优先级调度、时间触发调度、处理器执行时间监控、程序执行次序监控和到达(发生)率监控。— — —执行阻塞;— — —死锁;— — —活锁;— — —执行时间的不正确分配;— — —软件要素间的不正确同步。内存关于内存,每个软件分区中执行的软件要素可考虑如下所列的故障影响:可使用的处理机制如:内存保护、奇偶校验位、纠错码(ECC)、循环冗余校验(CRC)、冗余存储、内存访问限制、内存访问的静态分析、内存静态分配。— — —内容损坏;— — —对已分配给其他软件要素的内存进行读写访问。信息交换关于信息交换,针对每个发送方或接收方,可考虑如以下所列各故障的原因或故障的影响:(a.在不同软件分区或 ECU 中的要素间的信息交换包括信号、数据、消息等。— — —信息重复;可使用的处理机制如:通信协议、信息重复、信息回送、信息确认、I /O 引脚的适当配置、分离的点到点的单向通信对象、明确的双向通信对象、异步数据通信、同步数据通信、事件触发数据总线、带有时间触发访问的事件触发数据总线、时间触发的数据总线、最小时间片和基于优先级的总线仲裁。b.可使用I /O 设备、数据总线等方式进行信息交换。)— — —信息丢失;— — —信息延迟;通信协议包含的信息有通信对象的标识符、保持活动的消息、激活的计数器、序列号、错误检测码和纠错码。— — —信息插入;— — —信息伪装或信息的不正确寻址;— — —信息次序不正确;— — —信息损坏;— — —从发送方传送到多个接收方的信息不对称;— — —发送方发送的信息只能被部分接收方接收;— — —通信信道阻塞。
打分标准
探测度D
D探测能力探测方法成熟度探测机会示例10非常低测试程序尚未开发测试方法尚未定义未定义测试方法9没有为探测失效模式或失效起因而特别地设计测试方法通过/不通过测试、失效测试、老化测试未验证测试方法的有效性8低
新 测 试 方 法 , 尚 未 经 过 验 证 。
通过/不通过测试、失效测试、老化测试未验证的新的测试方法7
己 经 验 证 的 测 试 方 法 , 该 方 法 用 于 功 能 性
验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确
认 ; 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 '
如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模
具 导 致 生 产 延 迟 。
通过/不通过测试软件单元测试6中失效测试软硬件集成测试5老化测试系统验证测试4高
己 经 验 证 的 测 试 方 法 , 该 方 法 用 于 功 能 性
验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确
认 ; 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 '
如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模
具 导 致 生 产 延 迟 。
通过/不通过测试软件单元测试3失效测试软硬件集成测试2老化测试系统验证测试1非常高
之 前 测 试 证 明 不 会 出 现 失 效 模 式 或 失 效 起 因 , 或 者 探 测 方 法 经 过 实 践 验 证 总 是 能 够 探 测 到 失 效 模 式 或 失 效 起 因 。
版权归原作者 Evezyl 所有, 如有侵权,请联系我们删除。