安全分析-DFMEA

FMEA（失效模式与影响分析）是一种在产品设计和过程设计阶段广泛使用的风险评估工具，它通过识别产品或过程中潜在的失效模式及其后果，帮助团队制定相应的风险缓解措施。

FEMA标准

版本历史

1993年 AIAG编制了FMEA参考手册，提供了标准化的指导和框架。

1994年 FMEA成为QS-9000的认证要求。

1999年 FMEA成为TS16949认证的必备要求。

 2008年 FMEA手册推出了第四版，对过程和结果进行了改进和强化。

 2019年 AIAG和VDA联合发布了新版FMEA手册，提出“七步法”，将FMEA分析方法进一步结构化。

新版FMEA手册将原来的五步法（VDA方法）或填表法（AIAG方法）整合为七步法，包括策划和准备、结构分析、功能分析、失效分析、风险分析、优化和结果文件化。

风险参数的调整：严重度（S）、发生频度（O）和探测度（D）的评分标准有所调整，例如，严重度的评分更加严格，安全相关的失效无论是否存在预警都统一评为10分。

措施优先级（AP）的引入：新版FMEA手册引入了措施优先级（AP）的概念，通过综合考虑严重度、发生频度和探测度的评分，以及措施的实施难度和成本，来确定哪些措施应该优先实施。

FMEA七步法

步骤1 策划与准备

步骤2 结构分析

第一层：上级元素（失效影响，直接与SG关联）
第二层：聚焦元素(element：主要分析对象)
第三层：下级元素（失效原因）

  失效链：当前层级的失效原因是下一层级的失效模式，当前层级的失效影响是上一层级的失效模式

步骤3 功能分析

步骤4 失效分析

P图：是用于确定和描述干扰控制因子和错误状态的稳健性工具。描述干扰因子，控制因子，理想功能和错误状态，有助于识别潜在的失效原因、失效模式、潜在的失效后果、目前的控制方法、建议的措施

P图仅为辅助工具，标准FMEA中不强制要求画P图分析

失效模式

功能丧失 产品或系统完全无法执行其预期功能。

部分功能 产品或系统仅能部分执行其预期功能，性能受到损失。

功能退化  产品或系统的性能随时间逐渐降低或衰退。

过度功能  产品或系统的操作超出了可接受的范围或阈值。

间歇性功能 产品或系统的操作呈现随机启动-停止-启动的间歇性行为。

延迟功能  产品或系统在非预期的时间间隔后才开始执行其功能。

错误功能 产品或系统执行了错误的功能或操作。

步骤5 风险分析

严重度S 表示失效影响的严重程度

S	影响	严重度标准	示例
10	非常高	影响到车辆和/或其他车辆的操作安全，驾驶员、乘客、道路使用者和行人的监控状状况	影响车辆及人员安全和健康
9		不符合法规	仅影响法规，不涉及安全和健康
8	高	在预期使用寿命内，失去正常驾驶所必需的车辆主要功能	车辆无法行驶，主要功能损失
7		在预期使用寿命内，降低正常驾驶所必需的车辆主要功能	车辆无法行驶，主要功能降级
6	中	失去车辆次要功能	次要功能损失
5		降低车辆次要功能	次要功能降级
4		用户舒适性功能，例如氛围灯亮度，声音控制，APP舒适性显示等	非常影响体验，不影响功能
3	低	用户舒适性功能，例如氛围灯亮度，声音控制，APP舒适性显示等	中度影响体验，不影响功能
2		用户舒适性功能，例如氛围灯亮度，声音控制，APP舒适性显示等	略微影响体验，不影响功能
1	非常低	没有可察觉到的影响	没有影响

频度O 表示在给定的运行情况下,车辆的预期使用寿命期间 发生失效起因的频率

O	对失效起因发生的预测	频度标准	示例
10	极高	在 没 有 操 作 经 验 和 / 或 在 操 作 条 件 不 可 控 制 的 情 况 下 的 任 何 地 方 对 新 技 术 的 首 次 应 用 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 。 不 存 在 标 准 ， 且 尚 未 确 定 最 佳 实 践 。 预 防 控 制 不 能 预 测 现 场 性能 或 不 存 在 预 防 控 制 。	>=100件/每千车辆;>=每10件中有1件
9	非常高	在 公 司 内 首 次 应 用 具 有 技 术 创 新 或 材 料 的 设 计 · 新 应 用 ， 或 工 作 周 期 / 操 作 条 件 有 改 变 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 ， 预 防 控 制 不 是 针 对 识 别 特 定 要 求 的 性 能 ·	>=50件/每千车辆;>=每20件中有1件
8		在 新 应 用 内 首 次 应 用 具 有 技 术 创 新 或 材 料 的 设 计 · 新 应 用 工 作 周 期 / 操 作 条 件 有 改 变 · 没 有 对 产 品 进 行 验 证 和 / 或确 认 的 经 验 · 极 少 存 在 现 有 标 准 和 最 佳 实 践 ， 不 能 直 接 用 于 该 设 计 产 品 。预 防 控 制 不 能 可 靠 地 反 映 现 场 性 能 ·	>=20件/每千车辆;>=每50件中有1件
7	高	根 据 相 似 技 术 和 材 料 的 新 型 设 计 。 新 应 用 ， 或 工 作 周 期 操 作 条 件 有 改变 。 没 有 对 产 品 进 行 验 证 和 / 或 确 认 的 经 验 。 标 准 、 最 佳 实 践 和 设 计 规 则 适 用 于 基 准 设 计 ， 但 不 适 用 于 创 新 产 品 。预 防 控 制 提 供 了 有 限 的 性 能 指 标 。	>=10件/每千车辆;>=每100件中有1件
6		应 用 现 有 技 术 和 材 料 ， 与 之 前 设 计 相 似 。 类 似 应 用 ， 工 作 周 期 或 操 作条 件 有 改 变 。 之 前 的 测 试 或 使 用 现 场 经 验 。 存 在 标 准 和 设 计 规 则 ， 但 不 足 以 确 保 不 会 出 现 失 效 起 因 。 预 防 控 制 提 供了 预 防 失 效 起 因 的 部 分 能 力 。	>=2件/每千车辆;>=每500件中有1件
5	中	应 用 成 熟 技 术 和 材 料 ， 与 之 前 设 计 相 比 有 细 节 上 的 变 化 。 类 似 的 应 用 、 工 作 周 期 或 操 作 条 件 。 之 前 的 测 试 或 使 用 现 场 经 验 ， 或 为 具 有 与 失 效 相 关 测 试 经 验 的 新 设 计 。 在 之 前 设 计 中 所 学 到 的 与 解 决 设 计 问 题 相 关 的 教 训 。 在 本 设 计 中 对 最 佳 实 践 进 行 再 评 估 ， 但 尚 未 经 过 验 证 。 预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 ， 并 提 供 部 分 性 能 指 标 ·	>=0.5件/每千车辆;>=每2000件中有1件
4		与 短 期 现 场 使 用 暴 露 几 乎 相 同 的 设 计 。 类 似 应 用 ， 工 作 周 期 或 操 作 条 件 有 细 微 变 化 。 之 前 测 试 或 使 用 现 场 经 验 。 之 前 设 计 和 为 新 设 计 而 进 行 的 改 变 符 合 最 佳 实 践 、 标 准 和 规 范 要 求 · 预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 ， 很 可 能 地 反 映 设 计 符 合 性 · ​​​​​	>=0.1件/每千车辆;>=每10000件中有1件
3	低	对 己 知 设 计 （ 相 同 应 用 ， 在 工 作 周 期 或 操 作 条 件 方 面 ） 和 测 试或 类 似 操 作 条 件 下 的 现 场 经 验 的 细 微 变 化 或 成 功 完 成 测 试 程 序的 新 设 计 。 考 虑 到 之 前 设 计 的 经 验 教 训 ， 设 计 预 计 符 合 标 准 和 最 佳 实 践 。预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产 品 缺 陷 ， 并 预 测 与 生 产设 计 的 一 致 性 。	>=0.01件/每千车辆;>=每100000件中有1件
2	非常低	与 长 期 现 场 暴 露 几 乎 相 同 的 设 计 。 相 同 应 用 ， 具 备 类 似 的 工 作周 期 或 操 作 条 件 。 在 类 似 操 作 条 件 下 的 测 试 或 使 用 现 场 经 验 。 考 虑 到 之 前 设 计 的 经 验 教 训 并 对 其 具 备 充 足 的 信 心 ， 设 计 预 计符 合 标 准 和 最 佳 实 践 。 预 防 控 制 能 够 发 现 与 失 效 起 因 相 关 的 产品 缺 陷 ， 并 显 示 出 对 设 计 符 合 性 的 信 心 。	>=0.01件/每千车辆;>=每100000件中有1件
1	极低	失 效 通 过 预 防 控 制 消 除 ， 通 过 设 计 失 效 起 因 不 可 能 发 生 。	>=0.001件/每千车辆;>=每1000000件中有1件

探测度D 表示诊断监视功能的潜在探测度(探测失效起因、失效模式或失效影响)

D	探测能力	探测方法成熟度	探测机会	示例
10	非常低	测试程序尚未开发	测试方法尚未定义
9		没有为探测失效模式或失效起因而特别地设计测试方法	通过/不通过测试、失效测试、老化测试
8	低	新 测 试 方 法 ， 尚 未 经 过 验 证 。	通过/不通过测试、失效测试、老化测试	外观、声音。气味、操控
7		己 经 验 证 的 测 试 方 法 ， 该 方 法 用 于 功 能 性 验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确 认 ； 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 ' 如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模 具 导 致 生 产 延 迟 。	通过/不通过测试	PV阶段静态电流检测
6	中		失效测试	PV阶段拉拔力测试
5			老化测试	PV阶段高温测试
4	高	己 经 验 证 的 测 试 方 法 ， 该 方 法 用 于 功 能 性 验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确 认 ； 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 ' 如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模 具 导 致 生 产 延 迟 。	通过/不通过测试	PV阶段静态电流检测
3			失效测试	PV阶段拉拔力测试
2			老化测试	PV阶段高温测试
1	非常高	之 前 测 试 证 明 不 会 出 现 失 效 模 式 或 失 效 起 因 ， 或 者 探 测 方 法 经 过 实 践 验 证 总 是 能 够 探 测 到 失 效 模 式 或 失 效 起 因 。

行动优先级AP 通过分配 SOD 评级来完成的评审和措施实现的优先级。

RPN≥100，或Risk=3：必须采取适当措施

41≥ RPN≤99，或Risk=2：应该采取适当措施

RPN≤40，或Risk=1：可以采取适当措施

步骤6 优化

优化的最有效顺序如下：

修改组件的设计，以减少失效起因（FC）的频度（O）——现行预防控制（PC）

修改组件的设计，以减少失效起因（FC）的发生 提高探测（D）失效起因（FC）或失效模式（FM）的能力 ——现行探测控制（DC）

在发生设计修改的情况下，所有受影响的设计要素都要重新评估。

步骤7 结果文档化

FMEA局限性

尽管FMEA非常有用，但它也有一些局限性，主要包括：定性分析限制、单点失效分析模型、团队知识水平的依赖、报告质量的主观性及不涵盖所有风险管理领域。

软件FMEA

由于软件单元层级的失效多带有静态特性，基本上可以通过流程约束覆盖。此外，针对软件单元层级的安全分析工作量巨大，实际操作可行性也不大，而架构层面的失效多涉及运行时序，数据流问题等，具有明显的动态特性，复杂度高，软件安全开发流程约束不容易检出，需要进一步通过安全分析进行识别，并制定相应的安全措施

软件硬件FMEA区别

分析对象不同

- 硬件FMEA关注的是物理组件的故障，如机械零件的磨损、电子元件的损坏等。

- 软件FMEA关注的是软件缺陷和错误，如算法错误、编码问题、软件设计缺陷等。

故障类型不同

- 硬件故障通常是物理性的，可能由材料疲劳、环境因素（如温度、湿度）等引起。

- 软件故障通常是逻辑性的，可能由编程错误、软件设计不足或软件配置问题引起。

分析工具和技术

- 硬件FMEA可能需要使用工程图纸、材料特性数据、物理测试结果等。

- 软件FMEA可能需要使用软件架构图、代码库、软件测试结果等。

故障检测和修复方法

- 硬件故障可能需要通过物理检查、替换部件等方式来修复。

- 软件故障通常通过代码修改、软件更新或配置更改来修复。

环境因素影响

- 硬件FMEA需要考虑环境因素对物理组件的影响。

- 软件FMEA更多关注于软件运行的环境，如操作系统、网络条件等，而不是物理环境。

失效分析

More-数据值有效但过大

LESS-数据值有效但过小

Stuck or Void-数据值卡滞或者空值

INValid or INCOMPLETE-数据值不完整的 

NO 丢失-没有执行

More多于期望-执行时间过长

Less少于期望-执行时间过短

Before早于期望-执行时间提前

After晚于期望-执行时间滞后

Faster快于期望-执行次数过多

Slower慢于期望-执行次数过少

软件故障示例

失效原因

一般失效原因	具体失效原因
逻辑遗漏或执行错误	一 遗 忘 细 节 或 步 驟 一 逻 辑 重 复 一 忽 略 极 很 条 件 一 不 必 要 的 函 数 一 需 求 的 错 误 表 迷 一 未 进 行 条 件 测 试 一 检 查 错 误 变 量 一 循 环 错 误
算法的编码错误	一 等 式 不 完 整 或 不 正 确 一 丢 失 运 算 结 果 一 操 作 数 错 误 一 操 作 错 误 一 括 号 使 用 错 误 一 精 度 损 失 一 舍 入 和 舍 去 错 误 一 混 合 类 型 一 标 记 习 慣 不 正 确
软硬件接口故障	一 中 断 句 柄 错 误 一 I/O 时 序 错 误 一 时 序 错 误 导 致 数 据 丢 失 一 子 函 数 或 模 块 一 子 函 数 调 用 不 当 一 子 函 数 调 用 位 置 错 误 一 调 用 不 存 在 的 子 函 数 一 子 函 数 不 一 致
数据操作错误	一 数 据 初 始 化 错 误 一 数 据 存 取 错 误 一 标 志 或 索 引 设 置 不 当 一 数 据 打 包 解 包 错 误 一 变 量 参 考 错 误 数 据 一 数 据 越 界 一 变 量 缩 放 比 率 或 单 位 不 正 确 一 变 量 维 度 不 正 确 一 变 量 类 型 错 误 一 变 量 下 标 错 误 一 数 据 范 围 不 对
数 据 错 误 或 丢 失	一 数 据 初 始 化 错 误 一 数 据 存 取 错 误 一 标 志 或 索 引 设 置 不 当 一 数 据 打 包 解 包 错 误 一 变 量 参 考 错 误 数 据 一 数 据 越 界 一 变 量 缩 放 比 率 或 单 位 不 正 确 一 变 量 维 度 不 正 确 一 变 量 类 型 错 误 一 变 量 下 标 错 误 一 数 据 范 围 不 对

标准附录

要素	影响	安全机制
免于干扰的实现	为了开发或评估软件要素间免于干扰的达成,可考虑典型故障的影响和可能导致失效的传播。
时序和执行	关于时间限制,每个软件分区中执行的软件要素可考虑如下所列的故障影响:	需要考虑的处理机制如:循环执行调度、固定优先级调度、时间触发调度、处理器执行时间监控、程序执行次序监控和到达(发生)率监控。
	— — —执行阻塞;
	— — —死锁;
	— — —活锁;
	— — —执行时间的不正确分配;
	— — —软件要素间的不正确同步。
内存	关于内存,每个软件分区中执行的软件要素可考虑如下所列的故障影响:	可使用的处理机制如:内存保护、奇偶校验位、纠错码(ECC)、循环冗余校验(CRC)、冗余存储、内存访问限制、内存访问的静态分析、内存静态分配。
	— — —内容损坏;
	— — —对已分配给其他软件要素的内存进行读写访问。
信息交换	关于信息交换,针对每个发送方或接收方,可考虑如以下所列各故障的原因或故障的影响:
(a.在不同软件分区或 ECU 中的要素间的信息交换包括信号、数据、消息等。	— — —信息重复;	可使用的处理机制如:通信协议、信息重复、信息回送、信息确认、I /O 引脚的适当配置、分离的点到点的单向通信对象、明确的双向通信对象、异步数据通信、同步数据通信、事件触发数据总线、带有时间触发访问的事件触发数据总线、时间触发的数据总线、最小时间片和基于优先级的总线仲裁。
b.可使用I /O 设备、数据总线等方式进行信息交换。)	— — —信息丢失;
	— — —信息延迟;	通信协议包含的信息有通信对象的标识符、保持活动的消息、激活的计数器、序列号、错误检测码和纠错码。
	— — —信息插入;
	— — —信息伪装或信息的不正确寻址;
	— — —信息次序不正确;
	— — —信息损坏;
	— — —从发送方传送到多个接收方的信息不对称;
	— — —发送方发送的信息只能被部分接收方接收;
	— — —通信信道阻塞。

打分标准

探测度D

D	探测能力	探测方法成熟度	探测机会	示例
10	非常低	测试程序尚未开发	测试方法尚未定义	未定义测试方法
9		没有为探测失效模式或失效起因而特别地设计测试方法	通过/不通过测试、失效测试、老化测试	未验证测试方法的有效性
8	低	新 测 试 方 法 ， 尚 未 经 过 验 证 。	通过/不通过测试、失效测试、老化测试	未验证的新的测试方法
7		己 经 验 证 的 测 试 方 法 ， 该 方 法 用 于 功 能 性 验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确 认 ； 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 ' 如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模 具 导 致 生 产 延 迟 。	通过/不通过测试	软件单元测试
6	中		失效测试	软硬件集成测试
5			老化测试	系统验证测试
4	高	己 经 验 证 的 测 试 方 法 ， 该 方 法 用 于 功 能 性 验 证 或 性 能 、 质 量 、 可 靠 性 以 及 耐 久 性 确 认 ； 测 试 计 划 时 间 在 产 品 开 发 周 期 内 较 迟 ' 如 果 测 试 失 败 将 导 致 重 新 设 计 、 重 新 开 模 具 导 致 生 产 延 迟 。	通过/不通过测试	软件单元测试
3			失效测试	软硬件集成测试
2			老化测试	系统验证测试
1	非常高	之 前 测 试 证 明 不 会 出 现 失 效 模 式 或 失 效 起 因 ， 或 者 探 测 方 法 经 过 实 践 验 证 总 是 能 够 探 测 到 失 效 模 式 或 失 效 起 因 。