干貨｜詳解功能安全分析技術(shù)FEMA和FTA關(guān)系與差別_熱門

工業(yè)自動化的急劇增長導(dǎo)致操作人員與自動化機(jī)器之間會發(fā)生不可預(yù)見的交互。工程師有責(zé)任實施適當(dāng)且經(jīng)常重疊的安全措施，以避免生產(chǎn)中斷、傷害甚至死亡的各種后果。工廠的安全環(huán)境是一個多方面的問題，需要組織各個層面的關(guān)注，應(yīng)該從工廠底層開始到管理層。理想情況下，從一開始就需設(shè)計一個安全的工廠，但許多工廠早于自動化的廣泛采用，包括使用工業(yè)物聯(lián)網(wǎng)（IIoT）、人工智能和其他工業(yè)4.0技術(shù)。功能安全已成為開發(fā)人員不可或缺的一部分，因為它可以避免系統(tǒng)故障、預(yù)測其影響或減輕未知風(fēng)險，并改變工程師對設(shè)計系統(tǒng)的思維方式。

什么是FMEA？

FMEA，即Failure Mode and Effects Analysis，是在產(chǎn)品設(shè)計階段和過程設(shè)計階段，對構(gòu)成產(chǎn)品、設(shè)備的子系統(tǒng)、零件，以及構(gòu)成過程的各個工序逐一進(jìn)行分析，找出所有潛在的失效模式，并分析其可能的后果，從而預(yù)先采取必要的措施，以提高產(chǎn)品或設(shè)備的質(zhì)量和可靠性的一種系統(tǒng)化的活動。

(資料圖片僅供參考)

通常，產(chǎn)品開發(fā)和流程運營工程師會執(zhí)行“故障模式和影響分析（FMEA）”，以根據(jù)嚴(yán)重性和概率分析系統(tǒng)中的潛在故障風(fēng)險。這是基于類似產(chǎn)品或運營的經(jīng)驗，其目的是從系統(tǒng)中排除已識別的故障，從而最大限度地降低相關(guān)風(fēng)險。FMEA將術(shù)語“故障模式”定義為識別設(shè)計或運營中的潛在或?qū)嶋H缺陷，重點關(guān)注那些影響最終用戶的缺陷，而“故障影響”則是由操作員感知的產(chǎn)品或系統(tǒng)功能故障模式的結(jié)果。

故障的影響可以根據(jù)最終用戶的感知和體驗來解釋。對已識別故障的調(diào)查結(jié)果稱為影響分析。FMEA根據(jù)故障的嚴(yán)重性、頻率和可檢測性對故障進(jìn)行優(yōu)先級排序。FMEA還包含有關(guān)當(dāng)前殘疾風(fēng)險的知識文件，并力求降低所有級別的風(fēng)險。因此，優(yōu)先采取措施以防止故障，或者至少降低故障的嚴(yán)重性和發(fā)生的可能性。這反過來又有助于定義和選擇修復(fù)以減輕故障的影響和后果。在FMEA中，圖2所示的7步法可用于從初始設(shè)計和概念階段到開發(fā)和測試過程，以及在整個產(chǎn)品或系統(tǒng)生命周期中控制連續(xù)操作過程。

圖2. FMEA方法（來源:2019年AIAG和VDA FMEA手冊）

通過遵守功能安全標(biāo)準(zhǔn)IEC 61508，成為保障自主系統(tǒng)各項功能安全的基準(zhǔn)。如圖3所示，廣泛的功能安全系統(tǒng)開發(fā)在不同的開發(fā)驗證階段進(jìn)行：簡介/概念階段，包括規(guī)范審查；詳細(xì)的設(shè)計/測試階段，包括功能評估；以及主要的認(rèn)證階段，包括第三方檢驗和驗證。整個流程有常規(guī)開發(fā)所不具備的技術(shù)要求和流程。

什么是FTA？

FTA 故障樹分析（Fault Tree Analysis），是一種自上向下的可靠性分析方法，從需要分析的事件（頂事件）開始，作為故障樹的根，逐步向下追查導(dǎo)致事件發(fā)生的原因直到基本事件（底時間），是一種特殊的倒立樹狀邏輯因果關(guān)系圖，用事件符號，邏輯門符號和轉(zhuǎn)移符號描述系統(tǒng)中各種事件之間的因果關(guān)系。

結(jié)合功能安全I(xiàn)SO26262和GBT 34590，分析相關(guān)項和要素的故障和失效時，F(xiàn)TA和FMEA是最常用的兩種技術(shù)。FMEA通常以歸納（自下而上，見圖3）的方式執(zhí)行，重點關(guān)注系統(tǒng)的各個部分、如何失效以及這些失效對系統(tǒng)的影響。FTA通常以演繹（自上而下，見圖 4）的方式執(zhí)行，從非預(yù)期的系統(tǒng)行為到確定導(dǎo)致該行為的可能原因。FTA包含覆蓋了所有可能導(dǎo)致違反某個危害事件的多個故障和事件或情況的組合，而FMEA考慮每個單一故障的影響。

圖3?FEMA圖解，自下而上方法

圖4?FTA圖解 自上而下方法

FEMA和FTA關(guān)系與差別

在某些情況下，這兩種方法都可以在不同的細(xì)節(jié)層面上執(zhí)行。一種典型的分析方法是使用FTA把危害分析到組件層面。然后使用FMEA自下而上的分析所有組件的失效模式，以確定它們的失效模式和安全機(jī)制來完成故障樹的底層事件，期望通過這種方法來避免因為FTA模型和FMEA重疊導(dǎo)致的重復(fù)工作。由此更傾向于將一系列的系統(tǒng)元器件的FMEA結(jié)果做為底事件失效率提供給故障樹模型。

ISO26262和GBT34590 中第10部分，附錄A中也有提及這部分內(nèi)容。

成功實施FMEA，時間性是最重要因素之一，它是一個“事前行為”，而不是“事后練習(xí)”。為達(dá)到最佳效益，F(xiàn)MEA的應(yīng)用一定要注意時機(jī)，它必須在產(chǎn)品或過程的設(shè)計和開發(fā)完成之前進(jìn)行和完成。在實施FMEA的過程中，應(yīng)注意以下問題；

(1) FMEA工作應(yīng)與產(chǎn)品的設(shè)計同步進(jìn)行，尤其應(yīng)在設(shè)計的早期階段就開始進(jìn)行FMEA，這將有助于及時發(fā)現(xiàn)設(shè)計中的薄弱環(huán)節(jié)并為安排改進(jìn)措施的先后順序提供依據(jù)。

(2) 對產(chǎn)品研制的不同階段，應(yīng)進(jìn)行不同程度、不同層次的FMEA。也就是說，F(xiàn)MEA應(yīng)及時反映設(shè)計、工藝上的變化，并隨著研制階段的展開而不斷補充、完善和反復(fù)迭代。

(3)FMEA工作應(yīng)由設(shè)計人員負(fù)責(zé)完成，貫徹“誰設(shè)計、誰分析”的原則，這是因為設(shè)計人員對自己設(shè)計的產(chǎn)品最了解。

(4) FMEA分析中應(yīng)加強規(guī)范化工作，以保證產(chǎn)品FMEA的分析結(jié)果具有可比性。開始分析復(fù)雜系統(tǒng)前，應(yīng)統(tǒng)一制定FMEA的規(guī)范要求，結(jié)合系統(tǒng)特點，對FMEA中的分析約定層次、失效判據(jù)、嚴(yán)酷度與危害度定義、分析表格、失效率數(shù)據(jù)源和分析報告要求等均應(yīng)作統(tǒng)一規(guī)定及必要說明。

(5)應(yīng)對FMEA的結(jié)果進(jìn)行跟蹤與分析，以驗證其正確性和改進(jìn)措施的有效性。這種跟蹤分析的過程，也是逐步積累FMEA工程經(jīng)驗的過程。一套完整的FMEA資料，是各方面經(jīng)驗的總結(jié)，是寶貴的工程財富，應(yīng)當(dāng)不斷積累并歸檔，以備查考。

(6 )FMEA雖然是有效的分析方法，但并非萬能。它不能代替其它的可靠性分析工作。應(yīng)該特別注意，F(xiàn)MEA一般是靜態(tài)的單一因素分析法，在動態(tài)分析方面還不完善，若對系統(tǒng)實施全面的分析還應(yīng)與其他分析方法相結(jié)合。

FTA故障樹分析的特點包括：

(1) 故障樹分析是一種圖形演繹法。是故障事件在一定條件下的邏輯推理方法。它不局限于對系統(tǒng)作一般的可靠性分析，它可以圍繞一個或一些特定的失效狀態(tài)，作層層追蹤分析。因而，在清晰的故障樹圖形下，表達(dá)了系統(tǒng)故障事件的內(nèi)在聯(lián)系，并指出了單元故障與系統(tǒng)故障之間的邏輯關(guān)系；

(2)由于故障樹能把系統(tǒng)故障的各種可能因素聯(lián)系起來，因此，有利于提高系統(tǒng)的可靠性，找出系統(tǒng)的薄弱環(huán)節(jié)和系統(tǒng)的故障譜；

(3)故障樹可以作為管理人員及維修人員的一個形象的管理、維修指南，因此，用來培訓(xùn)長期使用大型復(fù)雜系統(tǒng)的人員更有意義；

(4)通過故障樹可以定量的求出復(fù)雜系統(tǒng)的失效概率和其他可靠性特征量，為改進(jìn)和評估系統(tǒng)的可靠性提供定量數(shù)據(jù)；

(5)故障樹分析的發(fā)展與電子計算機(jī)技術(shù)的發(fā)展緊密相聯(lián)，圖像信息技術(shù) 也已經(jīng)應(yīng)用在故障樹分析中，因此，編制計算程序是故障樹分析中不可缺少的一部分；

(6)故障樹分析的理論基礎(chǔ)，除概率論和數(shù)理統(tǒng)計外，布爾代數(shù)及可靠性數(shù)學(xué)中用到的數(shù)學(xué)基礎(chǔ)同樣應(yīng)用于故障村分析的定量分析中；

(7)故障樹分析方法不僅應(yīng)用于解決工程技術(shù)問題，而且開始應(yīng)用于經(jīng)濟(jì)管理的系統(tǒng)工程之中；

(8)故障樹分析首先需要建樹，建樹過程復(fù)雜，需要經(jīng)驗豐富的工程技術(shù)人員、操作及維修人員參加，而且不同的人所建造的故障樹不會完全相同；

(9)系統(tǒng)越復(fù)雜，建樹越困難，耗時越長；

(10)數(shù)據(jù)收集困難。

功能安全系統(tǒng)需要進(jìn)行故障診斷，以避免硬件故障導(dǎo)致安全功能無法正常運行。除了檢測單個設(shè)備故障（永久性故障），故障診斷還必須檢測運行期間由輻射、噪聲等引起的軟錯誤故障（瞬時故障），并立即轉(zhuǎn)入安全運行，例如在出現(xiàn)異常時停止電機(jī)。單個設(shè)備的故障診斷需要分析每個設(shè)備的故障模式，檢查故障檢測方法以檢測這些模式，并根據(jù)該檢測方法定義故障檢測率（診斷率）。還需要使用系統(tǒng)功能來檢測軟錯誤，例如監(jiān)控程序執(zhí)行序列，或使用冗余MCU進(jìn)行相互比較，以確保安全。

來源：瑞薩MCU小百科、知乎等

關(guān)鍵詞： 干貨｜詳解功能安全分析技術(shù)FEMA和FTA關(guān)系與差別