摘要：如今，失效模式和影響分析(FMEA)越來越常見于任何產品或流程的標準評估中。在汽車行業，IEC 61508標準改編了ISO 26262對電氣和電子設備的限制。通過專注于預防失效、提高安全性和提高客戶滿意度，進行FMEA可以降低成本。本文介紹了CAN（控制器局域網）總線線束FMEA的案例研究，考慮了從定義范圍和組建團隊到將風險優先級數降低到可接受風險值以下的行動計劃的整個過程。此外，還介紹了識別可能失效模式的頭腦風暴。

01.介紹

失效模式和影響分析(FMEA)是一種用于識別和預防產品和流程問題的系統流程檢測方法。FMEA專注于預防失效、提高安全性和提高客戶滿意度。FMEA描述了一系列活動，旨在查找和估計流程或產品的潛在失效，確定必須采取哪些措施以減少可能發生的潛在失效。FMEA的主要優點是被視為“事前”程序，而不是“事后”行動。如果在設計和制造過程中都使用FMEA，則可以大大降低成本。

它還可用于識別在概念階段（此時更改相對容易且成本低廉）可以對產品或流程進行的潛在改進。

FMEA的主要目的是尋找流程或產品可能出現故障的所有方式。當產品無法在正常范圍內工作時，可能會發生產品失效。失效不能僅限于產品問題。當用戶未正確使用時，也可能會出現一些錯誤，這些類型的失效必須是FMEA過程的一部分。FMEA必須包括任何可以確保產品/流程正常運行的措施，無論其如何運行。

有時，FMEA可以擴展為FMECA（失效模式、影響和危害性分析）過程，以表示對整個過程進行了危害性分析。執行良好的FMEA可以縮短失效模式出現和識別之間的時間。它還可以降低開發對策的成本。從產品開發階段的角度來看，FMEA有三種類型：概念、設計和過程。

對于所有三種類型的FMEA方法，都使用相同的方法和形式來記錄程序。不同之處在于實施的時刻、分析的主題和開展活動的公司的職能。因此，概念FMEA是最高級別。對于這一類，最好在項目的最初設計階段檢測和預防系統和子系統的失效。FMEA設計是一種在設計階段識別和預防產品失效的工具。FMEA流程用于識別設備制造或組件組裝過程中可能出現的故障原因并確定故障消除措施（圖1）。

圖1. 上述各類FMEA之間的不同聯系

多年來，電氣和/或電子系統已用于在大多數應用領域中執行安全功能。使用特定技術可確保在整個使用壽命期間避免錯誤和失誤。從概念、風險分析、技術規范、設計、安裝、維護到退役，任何環節的錯誤都可能危及最可靠的保護。IEC 61508規定了產品生命周期每個階段要使用的技術。該通用標準針對不同的工業部門進行了特定的調整：汽車電子中的ISO 26262功能安全、軌道交通中的EN 50128/EN 50129、醫療服務中的IEC 62304、核電中的IEC 670880。

ISO 26262是一項國際標準，于2011年首次發布，并于2018年根據當前涉及摩托車安全、軌道安全和其他重要問題的新情況進行了更新。ISO 26262的目標之一是提供一種由汽車安全完整性等級(ASIL)確定的汽車特定風險方法。在汽車領域進行的任何FMEA都必須遵守此標準。

02.FMEA方法論

為了消除或減輕影響，FMEA設法選擇最佳版本來設計和開發文檔庫。后者將支持未來的項目，以降低與客戶使用的有缺陷系統/產品相關的風險。進行任何產品/設計FMEA都涉及以下十個步驟（圖2）：

圖2. FMEA的10個步驟程序

雖然沒有明確說明，但成功實施FMEA的一個非常重要的初始階段是組建團隊。FMEA是一個動態過程，不會以報告被放進抽屜而告終。如果團隊從一開始就組織良好，那么必要的迭代次數就會非常少。團隊必須有4到7名成員，來自不同的部門：生產、設計、銷售，有時甚至可以從客戶中選出一名成員。

如果團隊考慮FMEA產品，則應審查產品的技術圖紙或藍圖；如果團隊執行FMEA流程，則應審查詳細的操作圖。一旦所有團隊成員都了解了流程（或產品），他們就可以開始思考可能干擾制造流程或改變產品質量的失效方式（頭腦風暴步驟）。

FMEA團隊分析每種故障模式，并使用FMEA工作表中列出的失效模式確定故障發生時的潛在影響。下一階段是將嚴重程度(S)、發生率(O)和檢測率(D)分為1到10級。嚴重程度等級是對發生特定失效時影響嚴重程度的估計。確定發生率等級的最佳方法是使用過程數據。這可能是過程容量數據或故障日志的形式。當沒有實際故障數據時，團隊必須估計故障發生的頻率。檢測等級表示我們檢測到失效或失效影響的可能性。此步驟從識別可能檢測到是奇偶性或失效影響的當前控制開始。

此時，FMEA團隊可以計算風險優先級數(RPN)：

這個數字本身并不重要，因為每個FMEA都可以區分不同的失效模式和影響。但是，一旦建議的行動開始實施，它可以作為比較修訂后的總RPN的指標。

現在可以按從最高RPN到最低的順序對失效模式進行排序。每家公司都應選擇RPN的最大可接受水平。但是，在大多數情況下，這個標準設置為200（代表從最高水平1000開始的20%）。此時是采取行動計劃的時候了，該計劃將嘗試降低嚴重性、發生率或檢測率中的至少一個。一旦采取行動改進產品或流程，就應該確定S、O或/和D的新排名，并計算出最終的RPN。

03.案例研究--CAN總線線束

3.1 FMEA準備

對于所有類型的車輛，其電氣和電子設備都應符合IEC 61508標準要求。CAN（控制器局域網）總線線束是車輛的重要組成部分，它定義了串行通信總線，旨在用雙線總線取代復雜的線束（圖3）。

圖3.CAN總線線束示例

第一步是定義此FMEA的范圍。此工作表的標準問題如圖4所示。在其上部，應標明產品名稱、日期和定義其范圍的實體。第一個問題是“客戶是誰？”。在這種情況下，可以認為是任何汽車生產商。然后介紹產品的特點和優點。最后，確定是要全面研究產品還是還要研究子組件。還可以考慮原材料。包裝也包括在內，并考慮要求和約束。

圖4.FMEA范圍工作表

接下來，必須完成FMEA團隊啟動工作表（圖5）。上半部分顯示FMEA報告的識別號。此外，還報告了開始日期和截止日期。第二部分包含FMEA團隊的組成部分。對于該產品，選擇一個由4人組成的團隊，分別代表以下部門：設計、生產、汽車制造和銷售。合適的團隊負責人來自設計部門，即最熟悉該產品的人。

圖5.FMEA團隊啟動工作表

在啟動工作表的中間部分，重新確認范圍，要求團隊分析其成員與范圍相關的能力。它還澄清了客戶和/或供應商是否積極參與。在工作表的底部，團隊必須明確項目的自由界限。從問題5開始明確FMEA狀態：分析（然后停止）或發布建議（然后停止）或在實施階段繼續進行FMEA工作。

他們的幫助來自產品藍圖（圖6）。其他自由界限包括限制財務支出、截止日期和預先定義的時間限制。工作表通過建立團隊的預期溝通來完成初始規劃階段。

圖6.CAN總線線束藍圖

3.2 FMEA分析工作表

在FMEA的這一部分，團隊應考慮組件可能出現故障的任何方式。因此，定義了項目、功能和失效模式的動態列表（圖7）。此時很難區分失效模式、影響和原因，但這一點很重要。產品如何發生失效代表失效模式。這次失效的影響就是效果。最后，失效機制由失效原因描述。

識別失效的潛在影響是FMEA中最重要的方面。首先，必須確定失效是否會進一步影響客戶、環境甚至產品本身。詳細說明失效也很重要，而不是泛泛而談。

圖7. FMEA中的項目、功能、失效模式和影響的動態列表

對于本研究中考慮的CAN總線線束，圖8描述了產品的功能、失效模式以及針對每個功能確定的影響。

圖8. CAN總線線束FMEA的功能、失效模式和影響

對應于這些失效模式，確定了它們的出現頻率（表1）。此外，使用帕累托圖（圖9）可以識別出最頻繁的失效模式。帕累托圖的目的是突出最重要的因素集。在FMEA中，它通常是最常見的缺陷來源、發生的最大缺陷或客戶投訴的最常見原因等。

表1. CAN總線線束的失效模式頻率

圖9.當前FMEA中研究的失效模式的帕累托圖

現在是時候為每種失效模式分配嚴重程度等級了。這是一個從1到10的相對等級，其中10表示影響可能在沒有警告的情況下產生危害，而1表示嚴重程度極低。AIAG（汽車工業行動小組）指南建議定制每個等級，以方便每個組織使用。FMEA團隊提出的CAN總線線束自適應嚴重程度等級可以在圖10中看到。

圖10. CAN總線線束的嚴重程度等級適配

將進一步考慮每個已識別失效模式的潛在失效原因技術。與嚴重程度等級一樣，發生率等級量表也是從1到10的相對量表。其中，10表示失效模式發生的可能性非常高，而1表示發生的可能性很小。與嚴重程度一樣，FMEA團隊為CAN總線線束設計了一個發生率量表（圖11）。

圖11. CAN總線線束的發生率排序適配

設計控制檢測或預防失效機制的能力代表檢測等級。預防性檢查可防止原因、失效機制或失效模式的發生。檢測命令在故障發生后但在產品從設計階段發布之前檢測原因、故障機制或故障模式本身。與嚴重程度和發生率一樣，檢測等級也是從1到10。檢測等級為1表示幾乎可以肯定檢測到失效。相反，10表示失效或失效機制的檢測完全不確定。

圖12顯示了此量表對CAN總線線束FMEA的適應性。

圖12. CAN總線線束的檢測等級排名適配

圖13顯示了使用公式(1)生成RPN的結果FMEA流程。RPN是通過將三個等級相乘而計算出來的。因此，PRN的范圍是1到1000。RPN為FMEA團隊提供了一個極好的工具，可以優先考慮重點改進工作。

圖13.分配嚴重程度、發生率和檢測值后，FMEA流程產生的RPN

在大多數情況下，組織認為可接受的風險是RPS的值低于200（即最大值的20%）。在本FMEA中，可以注意到兩種失效模式超出了此值，因此遵循FMEA的行動計劃將僅關注這些失效模式。

首先，失效模式定義為由于振動而引起的信號反彈，其嚴重程度值較高。FMEA團隊考慮使用在極端溫度下保持其性能（機械和化學）的防護涂層、防火材料。此外，設計工程建議開發SWC（軟件組件）以進行失效檢測和軟件重新配置。實施這些措施后，結果可能會提高對極端溫度和防火性的抵抗力。此外，失效檢測得到改善，影響也減少了。最后，嚴重程度降低到5，RPN變為：

第二種失效模式是由CAN總線線束的錯誤連接引起的。對于這種情況，由于人為因素，無法預防，而人為因素只能在裝配線系統測試中檢測到。通過實施單向連接插頭，檢測次數減少到4。重新計算的RPN現在是：

行動計劃和結果由此得出結論，所有RPN均降至200以下。

04.結論

本文旨在介紹汽車行業開發FMEA的整個過程。這種FMEA必須遵守汽車電氣和電子設備的標準IEC 61508。選擇進行FMEA的產品是CAN總線線束，它配備在所有汽車上，是車輛安全運行的重要組成部分。

FMEA從定義其范圍開始。這將側重于研究整個產品，同時考慮包裝。FMEA啟動團隊包括來自設計、生產、銷售和制造商的專家。它的時間跨度為一個月，預算為25000歐元。

FMEA團隊集思廣益，發現了CAN總線線束的7種可能失效模式（圖8）。頻率分析表明，錯誤的連接方式和低抗噪性是最常見的失效模式。此外，根據AIAG的建議，FMEA團隊制定了嚴重的程度、發生率和檢測率的特定排名量表。在分配每種失效模式時，FMEA團隊會考慮其嚴重性、發生率和檢測率，并完成完整的FMEA流程，每種失效模式都有一個RPN。最后，兩種失效模式的RPN超過了可接受值200。通過將由于振動導致信號反彈的嚴重性從9降低到5，將CAN總線線束錯誤連接的檢測率從7降低到4，兩種失效模式都降低到180。這樣，FMEA就實現了其目標。