谈谈ISO26262中的FMEA分析（三）

6. 如何进行FMEA分析

推荐参考VDA/AIAG FMEA handbook，此手册中的内容，本文不再赘述，本文从功能安全的角度阐述如何进行FMEA分析。

需要澄清的是：VDA/AIAG FMEA handbook中的内容，功能安全的FMEA也需要满足，不能只考虑本文此章节的内容。

6.1 在FMEA手册的D-FMEA中融入功能安全的考虑

VDA/AIAG FMEA handbook中第2章是DFMEA。

建议：

·DFMEA Step 2结构分析中，考虑本文第5章的分析范围

·DFMEA Step 4失效分析中，失效模式可参考ISO26262 Part 5附录D、Part 6附录E和Part 11中的失效模式。软件的失效模式，可进一步参考NASA Software Safety Guidebook

·DFMEA Step 5风险分析中，分析失效对功能安全影响，是否会造成违背安全目标或安全需求

6.2 FMEA手册中的FMEA-MSR vs. 功能安全FMEA

VDA/AIAG FMEA handbook中第4章是FMEA-MSR的执行。

此方法是新引入的FMEA方法，是对监控功能的有效性进行分析。提供了诊断/感知和系统响应的打分，规则如下（此内容来自VDA/AIAG FMEA handbook，仅摘录一部分）。

 

这个打分规则，和功能安全中的安全机制有效性的思路类似，分为故障探测+故障处理的打分。FMEA-MSR关注的是监控功能的有效性，而功能安全关注的是安全机制的有效性（功能安全FMEA分析一个重要的目的是验证安全机制的有效性）。

1）实施方案1：

把安全机制的诊断覆盖度Low-medium-High的结果映射到FMEA-MSR的诊断监视/感知打分；能否在FTTI内处理故障（比如进入安全状态）的结果映射到FMEA-MSR的系统响应/人体反应打分中。根据措施优先级AP的得分，采取对应措施。此方法实际操作起来，比较困难，因为很少有项目做FMEA-MSR。

2）实施方案2：

在现有的FMEA表单中，加入对于安全措施是否足够的考量，如下示例。

· 增加1列“是否影响安全”，结合失效影响的结果，判断是否违背安全目标或者需求。如下图所示，列出SG或安全需求ID，以及对应的ASIL等级

· 增加1列“SM+DC”，填写针对此失效已有的安全措施及其诊断覆盖度。

如何判断安全机制的诊断覆盖度，可参考文章：谈谈安全机制的诊断覆盖度

如果采取的安全措施不是安全机制类的措施，这类措施在ISO26262标准中没有诊断覆盖度的概念，项目中如何处理呢？

·增加1列“是否需要进一步措施”，结合安全机制的诊断覆盖度和会违背的ASIL等级，判定是否需要进一步措施（如何判定呢？）。如果不需要，填写No；如果需要，描述需要采取什么措施，分配责任人和完成日期。

 

7. 评审FMEA报告

ISO26262要求对FMEA报告进行confirmation review和verification review。

 华菱咨询成立于2001年，是长三角，珠三角、京津冀和西南地区具有影响力的咨询机构。专注于标准体系咨询、产品认证咨询、企业管理项目咨询以及相关教育训练的顾问公司。公司已在北京、上海、深圳、杭州、、江西、西安设立了分支机构。经过20多年的发展，现已成为江苏省咨询协会理事单位、苏州工商联咨询协会理事单位、北京企业管理咨询协会会员单位、上海认证协会会员单位、上海咨询协会会员单位、广东省咨询协会会员单位；同时也被评为江苏省和广东省优秀管理咨询机构。