對ISO 26262有了解的朋友都知道，對危害事件可能造成的風險進行ASIL等級評定是 功能安全開發的第一步。而ASIL等級通過三個維度來評定：

• S（severity 嚴重度）

• E（Exposure 曝光度）

• C（controllability 可控度）

另一方面，FMEA (Failure Mode and Effects Analysis) 作為一種安全分析方法，也是通過三個維度對風險進行評估:

• S（severity 嚴重度）

• O（Occurrence 頻度）

• D（Detection 探測度）

由于ISO 26262和FMEA都是伴隨著“安全”出現，且都涉及到從三個維度進行評估，因此兩者似乎存在著聯系和重疊，這也導致在理解上造成了一定程度的混淆，然而，兩者千差萬別。 本文旨在對ISO 26262和FMEA進行對比，梳理兩者之間的差別。

1.ISO 26262和FMEA的目的對比

在對ISO 26262和FMEA中的風險評估進行對比之前，需要先分清楚ISO 26262和FMEA分別做什么用，避免從從頂層概念上就產生了混淆。

1.1.ISO 26262的目的

2011年第一版ISO 26262問世，并隨著汽車智能化的發展逐步被汽車行業所接受。中國也在2017年基于ISO 26262頒布了功能安全法規GB/T 34590。

ISO 26262對功能安全的定義為：

Absence of unreasonable risk due to hazards caused by malfunctioning behavior of E/E systems.

國標GB/T 34590對這一定義的翻譯為： 不存在由電子電氣系統的功能異常表現引起的危害而導致不合理的風險。

簡短的定義中實際上包含了很多信息。總結如下：

①.功能安全要討論的對象是E/E系統

機械、液壓、化學等設計都不在ISO 26262的研究范圍。從中可以看出，功能安全只是保證產品安全的一部分。

②.功能安全只關注會對人造成傷害的危害。

危害有很多類型，如人身傷害、財產損失或信息泄露等等。功能安全里的危害僅僅指因為E/E系統的故障行為而引起的對駕駛員或者路人或周邊車輛內人員造成的健康傷害。換句話說，功能安全開發目的是避免傷人，而不是為了避免財產損失或信息泄露。

③.功能安全追求的是將風險控制在合理的范圍內。

如同世界上沒有永動機一樣，世界上也沒有100%安全的系統。功能安全不是追求100%的安全，也無法實現100%的安全，而是希望將風險控制在合理的（或者說可被接受）的范圍內。

1.2.FMEA的目的

FMEA歷史悠久，最早于1949年在美國軍事裝備開發中提出，后來形成了國際標注1977年引入汽車行業，并隨著時間發展產生了兩個標準：

• 德國汽車工業協會VDA：VDA Volume 4，“Product and Process FMEA”

• 美國汽車工業行動小組AIAG：“FMEA Reference Manual”

這兩個標準的核心是一樣的，但是仍然在一些概念的定義等方面存在差異，隨著汽車行業全球化合作越來越深入，這些差異不可避免引起合作上的不便，對標準統一的呼聲也越來越高，于是VDA和AIAG 在2019年聯合發布了統一的標準“Failure Mode and Effects Analysis – FMEA Handbook”。

Failure Mode and Effects Analysis – FMEA Handbook，封面截圖

按照AIAG&VDA標準的分類，如果將FMEA用于從進貨到遞交給客戶的生產環節中，那么稱為PFMEA（Process FMEA），由工廠管理相關工程師負責；如果將FMEA分析方法用作產品開發環節中，那么稱為DFMEA（Design FMEA）。由于絕大多數工程師平時接觸的都是DFMEA，因此本文的舉例只設計DFMEA，但是其中涉及的方法論和PFMEA是相通的。對PFMEA感興趣的讀者可以參考標準里的詳細介紹。

從FMEA所研究的風險類型的角度看，對于企業來說，影響產品釋放和質量的因素包括技術風險，財務風險，時間風險和策略風險。FMEA (Failure Mode and Effects Analysis)則主要針對技術風險，是對產品開發和生產流程中進行預防性質量管理的一種分析方法。

從FMEA的適用性角度看，理論上任何產品（E/E，機械，液壓等）都可以使用FMEA這一分析方法來對產品的開發和生產環節進行質量管控。FMEA 有助于及時識別和評估系統或產品使用過程中所有可能的風險，并制定和實施適當的措施以優化產品開發和生產環節的質量控制以降低故障成本（如召回率）。

FMEA的目的

1.3.ISO 26262和FMEA目的區別對比

結合前兩節的內容，將ISO 26262和FMEA的目的對比匯總如下。

	ISO 26262	FMEA
研究對象不同	電子電器（E/E）系統或產品	任何系統或產品（E/E，機械，液壓等）
風險控制目標不同	對駕駛員或乘客或路人或周邊車輛中人員造成傷害的不合理的風險	產品開發和生產環節中所有可能的故障造成的所有風險

通過對比可知，實際上FMEA所需要考慮的范圍比ISO 26262更廣。舉例來說，對于車載娛樂產品，如果系統的某個故障會導致無法播放音樂，這一故障可以在該產品的FMEA中加以分析，但是由于不會對人造成傷害，ISO 26262不會予ISO 26262和FMEA風險評估對比

2.ISO26262和FMEA的風險評估對比

無論是ISO 26262和FMEA，都可以簡單概括為以下兩步：

①.評估風險的程度

②.制定控制風險的措施

兩者在這兩個步驟上都存在這較大差別。限于本文篇幅， 本節將聚焦于對兩者第一步的差異進行對比，看看兩者在評估風險的方法步驟和維度上有何差別。

2.1.ISO 26262風險評估——ASIL等級

ISO 26262通過識別出相關項（即所研究的產品）的功能失效可能導致的危害和風險，并對風險進行ASIL等級評估從而得到相關項的安全目標。有了安全目標后，才能按照V模型對相關項進行功能安全開發。因此，危害分析與風險評估是進行功能安全開發的關鍵一步。

ISO 26262中對危害分析與風險評估過程中的關鍵點展開說明，其中最重要的一點為： ISO 26262, part3, 7.4.2.2.2： 應以能在整車層面觀察到的條件或行為來定義危害。

既然是以整車層面觀察到的行為來定義危害，那么，首先需要了解車輛所有可能的運動行為。從整車動力學的角度，下圖中的運動坐標系準確地描述了汽車所有可能的運動行為。

車輛運動坐標系

以制動系統為例，如果制動系統故障導致車輛產生非預期的制動力，所造成的危害與車輛縱向運動有關。在嚴重的情況下，如果只有左前輪產生非預期制動力而其他車輪沒有制動力，會導致車輛產生非預期的橫擺，此時危害與車輛的橫擺運動有關。

于此同時，在1.1節中提到，功能安全追求的是將風險控制在合理的范圍內。這也意味著功能安全并不會考慮所有的風險。那么問題來了：怎么界定“合理性”？

這需要結合危害和場危害發生時刻車輛運行的場景來分析，這一活動被稱為“危害事件分類（Classification of hazardous events）”。

對于制動系統來說，功能異常導致車輛產生非預期的制動。如果這個危害發生在高速公路上時，很可能造成人員傷亡；但是當危害發生在自家的停車場，則不會有人員傷亡的風險。從這個例子可以看出，需要結合危害和危害發生時刻車輛運行的場景來分析危害所導致的風險是否在可接受的范圍內。

車輛的運行場景，可以理解為是下圖各個因素的排列組合。簡單來說，運行場景 = 道路場景 + 駕駛場景，比如“高速公路+直行加速”或者“高速公路+直線制動”等。

車輛運行場景

當列出了相關項的所有場景與危害的組合后，接下來就是對其進行分類和篩選，確定哪些風險是可接受的，哪些是不可接受的。ISO 26262將篩選指標分為三個維度：

①. S（severity 嚴重度）：危害發生對駕駛員或乘客或路人或周邊車輛中人員會造成的傷害等級。評分表如下：

S值評級及說明

②. E（Exposure 曝光度）：運行場景在日常駕駛過程中發生的概率。評分表如下：

E值評級及說明

③. C（controllability 可控度）：駕駛員或其他涉險人員控制危害以避免傷害的概率。評分表如下：

C值評級及說明

基于這三個維度的評分，即可確定ASIL等級即汽車安全完整性等級（ automotive safety integrity level）。ASIL一共分為四個等級，D代表最高嚴格等級，即風險最高，A 代表最低嚴格等級，即風險最低。

如果相關項對應的危害事件的評級在ASIL A及ASIL A以上，則功能安全開發需要予以考慮；對于QM（質量管理，quality management），只要按照企業流程開發就認為可以滿足ISO 26262要求，無需額外進行功能安全開發。

仍然拿制動系統舉例，對于非預期制動這一危害，結合場景進行ASIL等級評定的結果如下表所示。

整車危害	場景	可能發生的風險
車輛非預期制動	兩輛車運行在同一車道且速度相近	前車非預期減速，后車制動不及，追尾
S值	E值	C值	ASIL等級
碰撞速度超過40kph時，駕駛員有危及生命的危害 S3	場景發生概率與兩車車距有關，能造成碰撞危害的場景暴露度中等 E3	駕駛員不可控 C3	C

總結來看，功能安全開發中危害分析與風險評估的步驟和要點可歸納如下：得到安全目標及對應的ASIL等級后，接下來就對可能影響這一安全目標的產品進行功能安全開發，從而保證將該產品及功能違背安全目標的可能性控制在對應的ASIL等級可接受的范圍內。

危害分析與風險評估的流程

2.2.FMEA風險評估

前面提到，FMEA旨在識別產品的所有故障以及故障所能產生的所有風險，并分別對這些故障制定實施適當的預防措施。如果要識別所有故障，首先必須完整地了解產品以及產品的所有功能。因此，構建系統的結構和功能網絡是展開FMEA工作的第一步。

系統是由若干個要素（element）組成，這些要素都具備相應的特征同時通過一定的關系與其他要素相互聯系。同時系統具有將系統與外界環境分開的明確的邊界，并且其與環境的關系由輸入和輸出定義。結構分析的目的就是清晰、完整地描述產品的組成部分，包括系統的邊界。在FMEA中用樹狀圖的形式描述了整個系統中的要素。

拿電動車窗升降控制系統為例，其結構分析如下圖所示。

車窗升降系統樹狀圖示例

對于要分析的產品，有基于產品設計需求定義出來的產品功能；而對每一個系統要素，也都各自對應一個或多個功能。功能分析的目的是保證產品功能被適當地分配給了相應的要素，從而將產品功能和要素功能關聯起來形成功能網絡。而這個工作將在已經確定的系統結構樹的基礎上完成。

電動車窗升降控制系統的部分功能分析如下圖所示。

車窗升降系統功能網示例

完成了結構分析和功能分析，構建出功能網絡以后，接下來就是對功能進行失效分析。失效分析的目的是正確地識別出失效原因（failure cause）、失效模式（failure mode）和失效影響（failure effect）,從而基于功能網確定失效網。

對失效的定義來源于功能定義，當功能不能被實現時即為失效。功能的失效模式可以從以下幾個方面定義：

• Loss of function (e.g. inoperable, fails suddenly)
• Degradation of function (e.g. performance loss over time)
• Intermittent function (e.g. operation randomly starts/stops/starts)
• Partial function (e.g. performance loss)
• Unintended function (e.g. operation at the wrong time,
• unintended direction, unequal performance)
• Exceeding function (e.g. operation above acceptable threshold)
• Delayed function (e.g. operation after unintended time interval)

一條完整的失效網包含以下三個因素，三者的關系如下：

• 失效原因（failure cause）
• 失效模式（failure mode）
• 失效影響（failure effect）

失效網模型

電動車窗升降控制系統的部分失效分析如下圖所示。

車窗升降系統失效網示例

當失效網絡被識別出來后，接下來就是對失效網絡進行風險評估。

概括來說，風險評估的目的是通過評估風險的嚴重度（Severity）、頻度（Occurrence）和探測度（Detection）來確定需要采取優化措施的優先級。

Severity值指的是最頂層（整車層）的failure effect所造成的嚴重程度。對S值的評級見下表。簡單來說，10表示最嚴重，0表示最不嚴重。

Severity評分表，截圖來自Failure Mode and Effects Analysis – FMEA Handbook

Occurrence值反映的是在為避免failure cause發生所采取的預防措施的作用下failure cause發生的可能性。對O值的評級見下表。簡單來說，10表示發生的可能性最大，0表示可能性最小。

Occurrence評分表，截圖來自Failure Mode and Effects Analysis – FMEA Handbook

Detection值則反映了在產品量產釋放之前采取的探測failure cause的措施的有效性。

這里必須要強調一點：探測措施是指產品量產之前即交到客戶手中之前所采取的措施。通常探測措施指的是量產之前產品驗證階段定義的一系列測試。

對D值的評級見下表。簡單來說，10表示探測的有效性最差，0表示有效性最好。

Detection評分表，截圖來自Failure Mode and Effects Analysis – FMEA Handbook

回到本節主題，在確定失效網的S\O\D值后，將進行風險評估，確定需要采取優化措施的優先級。對于風險評估的標準每個公司都可能有自己的標準，有些公司用RPN值，RPN=O*D*S，根據RPN的結果大小來確定優先級。有些公司采用S*O值的結果來進行確定。不管采取哪一種評價標準，核心的目的是識別出系統中最需要優化的點，從而對這些待優化點制動相應的措施。

FMEA“七步法”

2.3.ISO 26262和FMEA的風險評估對比

結合前兩節的內容，將ISO 26262和FMEA的風險評估對比匯總如下。

	ISO 26262	FMEA
風險評估的發起點不同	結合整車異常行為與運行場景，從S/E/C三個角度對風險進行ASIL等級評定，從而確定安全目標 整車異常行為與運行場景分析 ↓ ASIL等級評定 (S/E/C) ↓ 安全目標確定 ↓ 功能繼承安全目標及ASIL等級 ↓ 對功能進行功能安全開發	基于產品或系統的架構和功能網絡，識別出功能所有可能的失效，從S/O/D三個角度對失效網絡進行風險評估 系統架構分析 ↓ 功能網絡分析 ↓ 失效網絡分析 ↓ 對失效網絡進行評估（S/O/D）
是否需要知道產品及功能的具體設計？	ASIL等級是站在整車角度來評估的，和產品及功能的具體設計無關。產品此時是一個“黑盒”	FMEA風險評估的前提是充分了解產品及功能設計。產品此時是一個“白盒”