Leo说
FMEA(Failure mode and effects analysis)是最为熟知的一种安全分析方法被广泛应用于多个行业,包括汽车行业。
本期先讨论安全分析的目的,在此基础上再对FMEA的展开步骤进行说明,希望能给读者一些新的启发。
本文内容
1. 为什么需要安全分析?
2. 安全分析有哪些类型?
3. 什么是FMEA? 从纠正两个有趣的点谈起
4. FMEA的发展史
5. FMEA的作用
6. FMEA的开展步骤 “七步法”
7. 总结
1
为什么需要安全分析?
无论是从事什么领域,无论设计什么产品,选择合适的方法对产品展开安全分析,其作用主要有两个:
在一个系统化的思维下对一个产品进行剖析并将对其的了解具象地呈现出来,在此基础上识别潜在的设计缺陷以及潜在的风险
基于风险评估标准,对不可接受的设计进行优化以避免风险
其中,Leo认为第一点是一个有效的安全分析的基础,这要求工程团队先了解产品,这一了解的过程少不了工程团队的合作与know-how的融合,通过展开安全分析的过程将团队对产品的了解系统化地记录下来,做到了这一点,安全分析就成功了80%;也只有做到了这一点,安全分析才不会沦为“文档工作”。
2
安全分析的类型
安全分析的方法大家听到过很多,比如FMEA, FTA, ETA, FMEDA, 可靠性框图,鱼骨图等等。但是实际上如果我们按照安全分析的“思维方式”归类,所有的安全分析方法都可以归为两个类型:归纳法和演绎法,其特点总结如下。
由此可见,任何一个具体的分析方法,都是在一个具体的思维方式的引领下去展开的,这是我们需要抓住的重点。而FMEA作为归纳法的一种,体现的就是这种“Bottom-up”的分析思路。
3
什么是FMEA?从纠正两个有趣的点谈起
FMEA的全称为“Failure mode and effects analysis,失效模式与影响分析”,是一种通过系统化分析和评估潜在故障模式及其影响的方法。
在中国,FMEA又有一个新的名字:“飞马”。这着实是一个美丽的误会,因为FMEA经常被误写成FEMA,顺着中文发音的思维,慢慢地衍生出了“飞马”这个名字。现在“飞马”几乎已经是讨论FMEA时的默认名了,但是知道了这个原因后,在进行国际化交流的时候需要注意避免叫“飞马”,以免需要一些不必要的解释。
其次还需要澄清的是,有些读者因为企业需要满足ISO 26262的功能安全要求才开始接触FMEA,这就造成了一个误解:FMEA是为ISO 26262服务的。实际上FMEA的历史比2011年释放的ISO 26262要悠久得多,而且适用范围比ISO 26262所关注的汽车E/E系统要广得多。恰恰是FMEA已经在各个领域得到了广泛的应用并被认可,所以ISO 26262也要求功能安全开发需要使用FMEA进行安全分析。
4
FMEA的发展史
FMEA的历史可以追溯到20世纪40年代后期。1949年美国军事装备开发中首次提出FMEA,美国空军正式采用了FMEA。后来,航天技术/火箭制造领域将FMEA用于在小样本情况下避免代价高昂的火箭技术发生差错。其中的一个例子就是阿波罗太空计划。二十世纪60年代,在开发出将宇航员送上月球并安全返回地球的手段的同时,FMEA得到了初步的推动和发展。二十世纪70年代后期,福特汽车公司在“平托事件”之后,出于安全和法规方面的考虑,在汽车行业采用了FMEA。同时,他们还利用FMEA来改进生产和设计工作。
尽管最初是由军事领域所建立的方法,但FMEA方法学现在已广泛应用于各种各样的行业,包括半导体加工、饮食服务、塑料制造、软件以及医疗保健行业。在设计和加工处理格式方面,FMEA已经结合到了产品质量先期策划(APQP),以便提供基本的风险化减手段以及实现对于预防策略的时机选择。
回到汽车行业,美国汽车工业行动小组AIAG和德国汽车工业协会VDA分别于1993年和1996年先后发布了FMEA的应用手册,主流的汽车企业逐渐将这些指南作为要求融入到自己的开发流程体系,这极大地推动了FMEA在汽车行业的应用。
随着经济日益全球化,使得制造商从世界各地采购耗材和零件变得前所未有的简单。但是,一个行业内采用两套 FMEA 方法无疑会使效率降低,影响发展进程。在这个背景下,美国 AIAG 和德国 VDA 于2019年合作推出 FMEA 流程的标准化版本《Failure Mode and Effects Analysis – FMEA Handbook》。为汽车行业的供应商提供一致的指南和准则。如今该版本已经是被广泛使用的最新FMEA指南了。
《Failure Mode and Effects Analysis – FMEA Handbook》封面
想要获取该指南原文的读者,可以关注公众号“Leo的汽车安全世界”后台私信或者扫描原文文末二维码联系Leo。
按照AIAG&VDA标准的分类,FMEA分为DFMEA(Design FMEA)和PFMEA(Process FMEA),前者关注产品开发环节的分析,后者关注从进货到递交给客户的生产环节的分析,但是这两类FMEA的方法论和分析步骤是一样的。
5
FMEA的作用
如前文所说,任何的安全分析方法都至少包含两个目的:
在一个系统化的思维下对一个产品进行剖析并将对其的了解具象地呈现出来,在此基础上识别潜在的设计缺陷以及潜在的风险
基于风险评估标准,对不可接受的设计进行优化以避免风险
而第一点是一个有效的安全分析的基础,这要求工程团队先了解产品并通过展开安全分析的过程将对产品的了解系统化地记录下来,做到这一点,FMEA可以起到以下作用:
帮助工程团队建立对产品的了解;
打通整车层、系统层和部件层之间的接口,提高与客户和供应商的沟通效率;
建立公司内部know-how并存档。
在此基础上进行风险评估,可以起到如下作用:
提高产品的质量、可靠性、安全性,从而提高用户满意度;
避免干扰项目SOP时间。
值得注意的是,FMEA的风险评估是定性分析而不是定量分析,具体体现在不同的工程团队或者不同的企业,理解上的差异或者经验上的差异等因素会导致对同一个case下的评分会有差别。但是必须强调,这并不影响FMEA发挥其作用。比如,对于同一个case,工程团队A认为风险严重度的评分是10(FMEA评分体系最严重),而工程团队B认为风险严重度的评分是9, 虽然评分有差别,但是团队A和团队B都意识到了都意识到这个case的后果严重,并都根据自己的know-how制定相应的措施。从这个角度,FMEA分析的目的已经达到了。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
另外,FMEA只用来进行单点故障分析,而不能进行多点故障分析。因此对于复杂的产品,通常会同步采取其他分析方法如进行交叉分析,以起到更全面的分析效果。
6
FMEA展开的步骤:“七步法”
在2019版的《Failure Mode and Effects Analysis – FMEA Handbook》中将FMEA活动归纳为七步,如下图所示。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
想要获取该指南原文的读者,可以关注公众号“Leo的汽车安全世界”后台私信或者扫描原文文末二维码联系Leo。
接下来以DFMEA(Design FMEA)为例分别对这七个步骤进行介绍。
Step 1: 计划和准备(Planning and Preparation)
这一步是成功执行开展FMEA的先决条件,具体表现在:
客户和供应商之间明确项目FMEA的分析范围和边界,并明确风险评估标准。
公司内部组建合适的分析团队,该团队至少有一个非常了解FMEA方法论的成员,并包括组成产品的各个部件的专家。
基于项目计划制定FMEA分析计划,确保FMEA活动能顺利进行。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
Step 2: Structure Analysis(结构分析)
这里的结构指的是系统(system)的结构。系统由若干个要素(element)组成,这些要素都具备相应的特征同时通过一定的关系与其他要素相互联系。同时系统具有将系统与外界环境分开的明确的边界,并且其与环境的关系由输入和输出定义。
结构分析的目的是用树状图的方式结构化的记录方式全面且清晰地描述产品的组成要素与系统的关系,包括系统的边界。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
Step 3: Function Analysis(功能分析)
产品提供的功能取决于设计要求,而设计要求最终要落实到组成产品的要素上。功能分析的目的一方面是保证产品功能被适当地分配给了相应的要素,另一方面在列举出各个要素的功能基础上,在结构分析的基础上,将产品功能和要素功能关联起来形成功能网络。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
Step 4: Failure Analysis(失效分析)
失效分析的目的是在功能网络的基础上,换个思维分析产品及其要素的各个功能潜在的失效模式(failure mode),并通过分析失效模式在功能网络中的传递路径,进一步构建出失效网络。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
当功能不能被实现时即为失效。功能的失效模式可以从以下几个方面定义:
Loss of function (e.g. inoperable, fails suddenly)
Degradation of function (e.g. performance loss over time)
Intermittent function (e.g. operation randomly starts/stops/starts)
Partial function (e.g. performance loss)
Unintended function (e.g. operation at the wrong time, unintended direction, unequal performance)
Exceeding function (e.g. operation above acceptable threshold)
Delayed function (e.g. operation after unintended time interval)
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
一条完整的失效网包含以下三个因素:
失效原因(failure cause)
失效模式(failure mode)
失效影响(failure effect)
失效模式是使要素无法满足预期功能的方式,失效原因是使失效模式发生的原因;失效影响则为失效模式引起的后果。三者的关系如下。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
值得指出的是,站在系统的不同层级看某个失效模式时,可能会被定义成失效原因或者失效影响。举例来说, “电机卡滞”这一失效模式是车窗无法升起的失效原因,但是对电机来说却是失效影响,需要进一步挖掘失效原因。
截图来自《Failure Mode and Effects Analysis – FMEA Handbook》
Step 5: Risk Analysis(风险分析)
风险分析的目的是通过评估风险的严重度(Severity)、频度(Occurrence)和探测度(Detection)的三个维度来对产品失效后的影响以及当前避免失效的措施的有效性进行评估,从而为接下来的优化措施提供方向。
Severity值指的是最顶层(整车层)的失效影响所造成的严重程度。对S值的评级见下表。简单来说,10表示最严重,1表示最不严重。
Occurrence值反映了失效原因的发生几率。在做该项评估时,要考虑所引入的失效原因预防措施的有效性。对O值的评级见下表。简单来说,10表示发生的可能性最大,1表示可能性最小。
Detection值则反映了在产品量产交付之前通过检验措施探测失效原因或失效模式的几率。对D值的评级见下表。简单来说,10表示探测的有效性最差,1表示有效性最好。
在确认了这三个维度的评分后,接下来进行综合评估,确认采取优化行动的优先级。确认优化行动的评估的标准是2019版FMEA指南的最大改动,该版本采取“Action Priority”来提到原来的RPN(Risk Priority Number, 风险顺序系数)。其最大的区别在于新的评估标准中S值,O值和D值会对优化行动的优先级有影响,S值越大,越应该采取优化措施;当S值相同时,O值越大,越应该采取优化措施;最后再看D值。
新的风险评估方式体现了FMEA对好的安全设计的理解:好的安全设计应该将第一优先级放在避免失效发生上,其次是失效发生后的探测。这一思想是非常值得安全从业者提炼吸收的。
Step 6: Optimazation(优化)
优化的目的是确定降低风险的措施并评估这些措施的有效性。优化设计主要包含以下目标:
FMEA 团队、管理层、客户和供应商就潜在故障进行协作
确定降低风险所需的措施
定义新措施的责任人和实施期限
确认实施措施的有效性
重新评估采取行动后的风险评估结果
需要指出,优化是一个迭代的过程,对于同一个失效原因的优化,可能要定义不止一轮优化措施。
优化过程的PDCA
Step 7: Results Documentation(结果归档)
7
总结
本文在梳理安全分析的作用的大前提下,基于2019版本《Failure Mode and Effects Analysis – FMEA Handbook》对FMEA的展开步骤及关键点进行了总结。限于篇幅,本文无法面面俱到,后续会继续推出FMEA实践相关的文章,同时建议读者研读《Failure Mode and Effects Analysis – FMEA Handbook》原文,挖掘其中精髓。
想要获取2019版FMEA指南原文的读者,可以关注点赞再看后台私信!
汽车研发交流群,有兴趣的朋友请添加群主:prOmiseyes,备注:公司+职务入群。仅限汽车从业人员。
