一、ISO26262的ASIL与DFMEA的打分对象不同

二者具有相同点,都研究失效(failure)。那么,我们举一个具体的例子来对比:

整车控制器(VCU)上的某个器件发生失效后,导致VCU发出错误的扭矩命令,从而使动力总成输出过大扭矩,车辆发生了非预期加速;而前方恰好有车,非预期加速导致了追尾碰撞,驾驶员受到不同程度的伤害。

以下图表示此事件,发生在element level的fault向上级系统层层传递,导致了vehicle level的failure(也可以叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下会危害到人的安全,发生危害事件(Hazard event)。

case2.jpg

DFMEA的打分对象是element或component或system或vehicle,在企业中,不同系统级别的DFMEA一般是在不同级别部门里进行,某一系统级别的failure mode是上级系统的fault。DFMEA打分的3个维度Severity/Occurrence/Detective都是针对器件或系统的:

  • Severity严重度:某个器件或系统失效后有多严重?
  • Occurrence频度:某个器件或系统失效有多频繁?
  • Detective探测度:发现失效的难度程度(可能性)有多高?

ISO26262的打分对象是Hazard event,打分的3个维度Severity/exposure/controllability都是针对可能危害到人身安全的危害事件的(若只损害汽车而不危害到人身安全,则为S0,不需要打分):

  • Severity严重度:危害事件会对人造成多大危害?(无大碍、轻伤、致残、致死)
  • Exposure暴露度:此危害事件的情景(Scenario)发生的频繁程度?(注意,与系统无关,情景的频繁程度)
  • Controllability可控度:驾驶员通过观察系统警示信息或快速反应,以避免危害事件发生的难易程度(注意,不是系统主动避免危害事件)。

综上,二者的打分对象是完全不同的。DFMEA关注的是系统或器件,而ISO26262关注的则是抽象概念的危害事件(所谓抽象,是指ISO26262时在打分的时候是不关注系统的,可适用于不同车辆。)。

二、两者的思维方法完全不同

DFMEA是典型的归纳式(inductive)方法,从单个fault出发,去思考可能引发的后果(failure或hazard)。

与DFMEA相对应的是故障树方法(FTA: fault tree analysis),从hazard去分析可能的原因,是一种演绎式(deductive)方法。

ISO26262的功能安全是一整套体系与流程,不能笼统地说是归纳式的还是演绎式的。但从上面的图可以看出,ISO26262的分析起点是Hazard event,从最终的后果去定ASIL等级,再通过一定的方法将ASIL等级分配给系统、子系统、部件、器件。从宏观的思路上来看,这与FTA类似而与FMEA相反,是一种演绎的思维方法。

三、两者者的概念级别不同

DFMEA与FTA可以是同一级别的概念,是分析失效的两种不同思维方法。

而ISO26262是一整套流程,大体上可以分为几大阶段:

  • 概念阶段Concept Phase
  • 系统开发阶段System Design (V型开发)
  • 硬件开发阶段Hardware Design
  • 软件开发阶段Software Design

每一阶段,均会使用到FMEA方法与FTA方法(有可能只做部分工作,而不是完整的FMEA或FTA)。ISO26262将FMEA与FTA当作是整套流程的一种工具。

四、参考文献

ISO26262标准

ISO26262中ASIL与DFMEA有什么区别?