ISO 26262和FMEA中的风险评估对比
对ISO 26262有了解的朋友都知道,对危害事件可能造成的风险进行ASIL等级评定是功能安全开发的第一步。而ASIL等级通过三个维度来评定:S(severity 严重度)
E(Exposure 曝光度)
C(controllability 可控度)
另一方面,FMEA (Failure Mode and Effects Analysis) 作为一种安全分析方法,也是通过三个维度对风险进行评估:S(severity 严重度)
O(Occurrence 频度)
D(Detection 探测度)
由于ISO 26262和FMEA都是伴随着“安全”出现,且都涉及到从三个维度进行评估,因此两者似乎存在着联系和重叠,这也导致在理解上造成了一定程度的混淆,然而,两者千差万别。本文旨在对ISO 26262和FMEA进行对比,梳理两者之间的差别。1、ISO 26262和FMEA的目的对比
在对ISO 26262和FMEA中的风险评估进行对比之前,需要先分清楚ISO 26262和FMEA分别做什么用,避免从从顶层概念上就产生了混淆。1.1、ISO 26262的目的
2011年第一版ISO 26262问世,并随着汽车智能化的发展逐步被汽车行业所接受。中国也在2017年基于ISO 26262颁布了功能安全法规GB/T 34590。Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.国标GB/T 34590对这一定义的翻译为:不存在由电子电气系统的功能异常表现引起的危害而导致不合理的风险。机械、液压、化学等设计都不在ISO 26262的研究范围。从中可以看出,功能安全只是保证产品安全的一部分。危害有很多类型,如人身伤害、财产损失或信息泄露等等。功能安全里的危害仅仅指因为E/E系统的故障行为而引起的对驾驶员或者路人或周边车辆内人员造成的健康伤害。换句话说,功能安全开发目的是避免伤人,而不是为了避免财产损失或信息泄露。如同世界上没有永动机一样,世界上也没有100%安全的系统。功能安全不是追求100%的安全,也无法实现100%的安全,而是希望将风险控制在合理的(或者说可被接受)的范围内。1.2、FMEA的目的
FMEA历史悠久,最早于1949年在美国军事装备开发中提出,后来形成了国际标注1977年引入汽车行业,并随着时间发展产生了两个标准:这两个标准的核心是一样的,但是仍然在一些概念的定义等方面存在差异,随着汽车行业全球化合作越来越深入,这些差异不可避免引起合作上的不便,对标准统一的呼声也越来越高,于是VDA和AIAG 在2019年联合发布了统一的标准“Failure Mode and Effects Analysis – FMEA Handbook”。Failure Mode and Effects Analysis – FMEA Handbook,封面截图按照AIAG&VDA标准的分类,如果将FMEA用于从进货到递交给客户的生产环节中,那么称为PFMEA(Process FMEA),由工厂管理相关工程师负责;如果将FMEA分析方法用作产品开发环节中,那么称为DFMEA(Design FMEA)。由于绝大多数工程师平时接触的都是DFMEA,因此本文的举例只设计DFMEA,但是其中涉及的方法 论和PFMEA是相通的。对PFMEA感兴趣的读者可以参考标准里的详细介绍。从FMEA所研究的风险类型的角度看,对于企业来说,影响产品释放和质量的因素包括技术风险,财务风险,时间风险和策略风险。FMEA (Failure Mode and Effects Analysis)则主要针对技术风险,是对产品开发和生产流程中进行预防性质量管理的一种分析方法。从FMEA的适用性角度看,理论上任何产品(E/E,机械,液压等)都可以使用FMEA这一分析方法来对产品的开发和生产环节进行质量管控。FMEA 有助于及时识别和评估系统或产品使用过程中所有可能的风险,并制定和实施适当的措施以优化产品开发和生产环节的质量控制以降低故障成本(如召回率)。
1.3、ISO 26262和FMEA目的区别对比
结合前两节的内容,将ISO 26262和FMEA的目的对比汇总如下。 | ISO 26262 | FMEA |
研究对象不同 | 电子电器(E/E)系统或产品 | 任何系统或产品(E/E,机械,液压等) |
风险控制目标不同 | 对驾驶员或乘客或路人或周边车辆中人员造成伤害的不合理的风险 | 产品开发和生产环节中所有可能的故障造成的所有风险 |
通过对比可知,实际上FMEA所需要考虑的范围比ISO 26262更广。举例来说,对于车载娱乐产品,如果系统的某个故障会导致无法播放音乐,这一故障可以在该产品的FMEA中加以分析,但是由于不会对人造成伤害,ISO 26262不会予ISO 26262和FMEA风险评估对比2、ISO26262和FMEA的风险评估对比
无论是ISO 26262和FMEA,都可以简单概括为以下两步:两者在这两个步骤上都存在这较大差别。限于本文篇幅,本节将聚焦于对两者第一步的差异进行对比,看看两者在评估风险的方法步骤和维度上有何差别。2.1、ISO 26262风险评估——ASIL等级
ISO 26262通过识别出相关项(即所研究的产品)的功能失效可能导致的危害和风险,并对风险进行ASIL等级评估从而得到相关项的安全目标。有了安全目标后,才能按照V模型对相关项进行功能安全开发。因此,危害分析与风险评估是进行功能安全开发的关键一步。ISO 26262中对危害分析与风险评估过程中的关键点展开说明,其中最重要的一点为:ISO 26262, part3, 7.4.2.2.2:应以能在整车层面观察到的条件或行为来定义危害。既然是以整车层面观察到的行为来定义危害,那么,首先需要了解车辆所有可能的运动行为。从整车动力学的角度,下图中的运动坐标系准确地描述了汽车所有可能的运动行为。以制动系统为例,如果制动系统故障导致车辆产生非预期的制动力,所造成的危害与车辆纵向运动有关。在严重的情况下,如果只有左前轮产生非预期制动力而其他车轮没有制动力,会导致车辆产生非预期的横摆,此时危害与车辆的横摆运动有关。于此同时,在1.1节中提到,功能安全追求的是将风险控制在合理的范围内。这也意味着功能安全并不会考虑所有的风险。那么问题来了:怎么界定“合理性”?这需要结合危害和场危害发生时刻车辆运行的场景来分析,这一活动被称为“危害事件分类(Classification of hazardous events)”。对于制动系统来说,功能异常导致车辆产生非预期的制动。如果这个危害发生在高速公路上时,很可能造成人员伤亡;但是当危害发生在自家的停车场,则不会有人员伤亡的风险。从这个例子可以看出,需要结合危害和危害发生时刻车辆运行的场景来分析危害所导致的风险是否在可接受的范围内。车辆的运行场景,可以理解为是下图各个因素的排列组合。简单来说,运行场景 = 道路场景 + 驾驶场景,比如“高速公路+直行加速”或者“高速公路+直线制动”等。当列出了相关项的所有场景与危害的组合后,接下来就是对其进行分类和筛选,确定哪些风险是可接受的,哪些是不可接受的。ISO 26262将筛选指标分为三个维度:①. S(severity 严重度):危害发生对驾驶员或乘客或路人或周边车辆中人员会造成的伤害等级。评分表如下:
S值评级及说明
②. E(Exposure 曝光度):运行场景在日常驾驶过程中发生的概率。评分表如下:
E值评级及说明
③. C(controllability 可控度):驾驶员或其他涉险人员控制危害以避免伤害的概率。评分表如下:
C值评级及说明
基于这三个维度的评分,即可确定ASIL等级即汽车安全完整性等级( automotive safety integrity level)。ASIL一共分为四个等级,D代表最高严格等级,即风险最高,A 代表最低严格等级,即风险最低。
如果相关项对应的危害事件的评级在ASIL A及ASIL A以上,则功能安全开发需要予以考虑;对于QM(质量管理,quality management),只要按照企业流程开发就认为可以满足ISO 26262要求,无需额外进行功能安全开发。
仍然拿制动系统举例,对于非预期制动这一危害,结合场景进行ASIL等级评定的结果如下表所示。
整车危害 | 场景 | 可能发生的风险 |
车辆非预期制动 | 两辆车运行在同一车道且速度相近 | 前车非预期减速,后车制动不及,追尾 |
S值 | E值 | C值 | ASIL等级 |
碰撞速度超过40kph时,驾驶员有危及生命的危害 S3 | 场景发生概率与两车车距有关,能造成碰撞危害的场景暴露度中等 E3 | 驾驶员不可控 C3 | C |
总结来看,功能安全开发中危害分析与风险评估的步骤和要点可归纳如下:
得到安全目标及对应的ASIL等级后,接下来就对可能影响这一安全目标的产品进行功能安全开发,从而保证将该产品及功能违背安全目标的可能性控制在对应的ASIL等级可接受的范围内。
危害分析与风险评估的流程
2.2、FMEA风险评估
前面提到,FMEA旨在识别产品的所有故障以及故障所能产生的所有风险,并分别对这些故障制定实施适当的预防措施。如果要识别所有故障,首先必须完整地了解产品以及产品的所有功能。因此,构建系统的结构和功能网络是展开FMEA工作的第一步。
系统是由若干个要素(element)组成,这些要素都具备相应的特征同时通过一定的关系与其他要素相互联系。同时系统具有将系统与外界环境分开的明确的边界,并且其与环境的关系由输入和输出定义。结构分析的目的就是清晰、完整地描述产品的组成部分,包括系统的边界。在FMEA中用树状图的形式描述了整个系统中的要素。
拿电动车窗升降控制系统为例,其结构分析如下图所示。
车窗升降系统树状图示例
对于要分析的产品,有基于产品设计需求定义出来的产品功能;而对每一个系统要素,也都各自对应一个或多个功能。功能分析的目的是保证产品功能被适当地分配给了相应的要素,从而将产品功能和要素功能关联起来形成功能网络。而这个工作将在已经确定的系统结构树的基础上完成。
电动车窗升降控制系统的部分功能分析如下图所示。
车窗升降系统功能网示例
完成了结构分析和功能分析,构建出功能网络以后,接下来就是对功能进行失效分析。失效分析的目的是正确地识别出失效原因(failure cause)、失效模式(failure mode)和失效影响(failure effect),从而基于功能网确定失效网。
对失效的定义来源于功能定义,当功能不能被实现时即为失效。功能的失效模式可以从以下几个方面定义:
- Loss of function (e.g. inoperable, fails suddenly)
- Degradation of function (e.g. performance loss over time)
- Intermittent function (e.g. operation randomly starts/stops/starts)
- Partial function (e.g. performance loss)
- Unintended function (e.g. operation at the wrong time,
- unintended direction, unequal performance)
- Exceeding function (e.g. operation above acceptable threshold)
- Delayed function (e.g. operation after unintended time interval)
一条完整的失效网包含以下三个因素,三者的关系如下:
当失效网络被识别出来后,接下来就是对失效网络进行风险评估。概括来说,风险评估的目的是通过评估风险的严重度(Severity)、频度(Occurrence)和探测度(Detection)来确定需要采取优化措施的优先级。Severity值指的是最顶层(整车层)的failure effect所造成的严重程度。对S值的评级见下表。简单来说,10表示最严重,0表示最不严重。Severity评分表,截图来自Failure Mode and Effects Analysis – FMEA HandbookOccurrence值反映的是在为避免failure cause发生所采取的预防措施的作用下failure cause发生的可能性。对O值的评级见下表。简单来说,10表示发生的可能性最大,0表示可能性最小。Occurrence评分表,截图来自Failure Mode and Effects Analysis – FMEA HandbookDetection值则反映了在产品量产释放之前采取的探测failure cause的措施的有效性。这里必须要强调一点:探测措施是指产品量产之前即交到客户手中之前所采取的措施。通常探测措施指的是量产之前产品验证阶段定义的一系列测试。对D值的评级见下表。简单来说,10表示探测的有效性最差,0表示有效性最好。Detection评分表,截图来自Failure Mode and Effects Analysis – FMEA Handbook回到本节主题,在确定失效网的S\O\D值后,将进行风险评估,确定需要采取优化措施的优先级。对于风险评估的标准每个公司都可能有自己的标准,有些公司用RPN值,RPN=O*D*S,根据RPN的结果大小来确定优先级。有些公司采用S*O值的结果来进行确定。不管采取哪一种评价标准,核心的目的是识别出系统中最需要优化的点,从而对这些待优化点制动相应的措施。2.3、ISO 26262和FMEA的风险评估对比
结合前两节的内容,将ISO 26262和FMEA的风险评估对比汇总如下。 | ISO 26262 | FMEA |
风险评估的发起点不同 | 结合整车异常行为与运行场景,从S/E/C三个角度对风险进行ASIL等级评定,从而确定安全目标 整车异常行为与运行场景分析 ↓ ASIL等级评定 (S/E/C) ↓ 安全目标确定 ↓ 功能继承安全目标及ASIL等级 ↓ 对功能进行功能安全开发
| 基于产品或系统的架构和功能网络,识别出功能所有可能的失效,从S/O/D三个角度对失效网络进行风险评估 系统架构分析 ↓ 功能网络分析 ↓ 失效网络分析 ↓ 对失效网络进行评估(S/O/D)
|
是否需要知道产品及功能的具体设计? | ASIL等级是站在整车角度来评估的,和产品及功能的具体设计无关。产品此时是一个“黑盒” | FMEA风险评估的前提是充分了解产品及功能设计。产品此时是一个“白盒” |
本文完。
