摘要
        本篇文章介紹了失效模式、影響和診斷分析的歷史、發(fā)展和未來。指出了它與IEC61508之間的關(guān)系。

關(guān)鍵字
        失效模式影響和診斷分析，失效模式影響分析，失效模式影響和危險程度分析

ABSTRACT
       This article presents the history, development and future of Failure Modes Effects and Diagnostic Analysis (FMEDA). It also points out the relations between FMEDA and IEC 61508.

KEYWORDS
        FMEDA, FMEA, FMECA

引言

        字母組合FMEDA是一組英文字頭的縮寫，表示“失效模式影響和診斷分析”（Failure Modes Effects and Diagnostic Analysis）。這個名字是由一位作者于1994年開始使用的，用來描述一項從1988年以來不斷發(fā)展的系統(tǒng)分析技術(shù)， 這項技術(shù)可以獲得子系統(tǒng)/產(chǎn)品等級的失效率、失效模式和診斷能力（圖1）。

圖1: FMEDA 輸入和輸出

FMEDA 技術(shù)考慮的是：
        ? 一個設(shè)計產(chǎn)品的所有部件；
        ? 每個部件的功能；
        ? 每個部件的失效模式；
        ? 每個部件失效模式對產(chǎn)品功能的影響；
        ? 自動診斷和檢測失效的能力；
        ? 設(shè)計增強(qiáng)（降低失效，提高安全）和
        ? 運行規(guī)范（環(huán)境強(qiáng)調(diào)因數(shù)）。

        如果每個部件的數(shù)據(jù)庫都比較精確，那么就可以用這種方法得出產(chǎn)品等級的失效率和失效模式數(shù)據(jù)，這比用現(xiàn)場產(chǎn)品返回分析和典型現(xiàn)場失效分析的方法更加精確。

        FMEDA 是對獲得良好驗證的 FMEA（失效模式影響分析）技術(shù)的一種延伸，即可以用于電氣產(chǎn)品，也可以用于機(jī)械產(chǎn)品。

FMEA/FMECA

        失效模式和影響分析，F(xiàn)MEA，是對一個系統(tǒng)、子系統(tǒng)、過程、設(shè)計或者功能的一種結(jié)構(gòu)化的定性分析，用于確定潛在的失效模式、它們產(chǎn)生的原因和它們對運行（系統(tǒng)）的影響。

        建立 FMEA 的概念和實施 FMEA 的實踐大約是在上世紀(jì)的60年代。第一次正式的實施是在70年代，隨著美國軍用標(biāo)準(zhǔn)STD 1629/1629A的制定而實行。

        在早期的實踐中，F(xiàn)MEA 僅限于因失效而造成較大損失的應(yīng)用和行業(yè)。主要的工作是對一個系統(tǒng)的安全質(zhì)量進(jìn)行評估，決定不能接受的失效模式，指出可以改進(jìn)的設(shè)計，編制維護(hù)工作計劃，并且?guī)椭脩袅私庀到y(tǒng)在可能失效時的運行情況。

        失效模式、影響和危險程度分析，F(xiàn)MECA，是針對一個明確的 FMEA 結(jié)果以及加上危險程度的度量，從而引入對影響進(jìn)行基本的隔離。這樣的分析使用戶對結(jié)果而言，可以聚焦于最嚴(yán)重的失效模式和影響，但這里并沒有提出失效模式的可能性或者概率，而這正是非常重要的指標(biāo)，因為基于花費和收效的比值才是驅(qū)動改進(jìn)的最直接動力。

FMEDA的發(fā)展

        失效模式、影響和診斷分析，F(xiàn)MEDA，在80年代后期得到了快速發(fā)展，這是基于在1984年召開的一次研討會中的報告。FMEDA 在 FMEA 的基礎(chǔ)上新加入了兩部分內(nèi)容。加入的第一個內(nèi)容是：對所有要分析的部件給出定量的失效數(shù)據(jù)（失效率和失效模式分布）。加入的第二個內(nèi)容是：系統(tǒng)或者子系統(tǒng)提供自動在線診斷發(fā)現(xiàn)內(nèi)部失效的能力。為了達(dá)到和維持可靠性，這是決定性的指標(biāo)。這也使系統(tǒng)增加了復(fù)雜性，甚至在一般環(huán)境下不可能對所有功能進(jìn)行測試，比如一種低要求運行模式的緊急剎車系統(tǒng)，ESD系統(tǒng)。

        對自動診斷能力的測量要有一個清晰的要求，這在80年代后期達(dá)成了共識。現(xiàn)在的FMEDA 基本原則和方法，是通過《評估控制系統(tǒng)的可靠性》這本書，第一次介紹給公眾。實際上，術(shù)語 FMEDA 在1994年才首次使用，方法也是在90年代后期做了進(jìn)一步地完善。FMEDA 技術(shù)再進(jìn)一步的演化是在2000年初，在制定 IEC 61508 準(zhǔn)備工作的時候。

        主要改進(jìn)的方面有：
        1. IEC 61508 失效模式定義 – 新定義；
        2. 功能失效模式；
        3. 機(jī)械部件的使用。

        有了這些改進(jìn)，使得 FMEDA技術(shù)更加成熟，成為更完整和更有用的方法。

[DividePage:NextPage]

FMEDA – IEC 61508

        IEC 61508 標(biāo)準(zhǔn)正式地認(rèn)可 FMEDA 技術(shù)，大多數(shù) IEC 61508 評估機(jī)構(gòu)使用FMEDA 的結(jié)果去核實一個特定的應(yīng)用是否達(dá)到了安全的要求。在功能安全領(lǐng)域，可以通過使用 FMEDA 技術(shù)和對產(chǎn)生結(jié)果的解釋，來幫助用戶改進(jìn)系統(tǒng)的安全失效模式。

        在正式通過的 IEC 61508部分2－2000年版的文本中，給出了功能安全領(lǐng)域里對 FMEDA 的期望是什么，以及怎樣使用相關(guān)數(shù)據(jù)。這導(dǎo)致了在相關(guān)的工業(yè)企業(yè)中，增加了對FMEDA的使用，加快了方法和工具的更新，以及對部件水平的失效率和失效模式數(shù)據(jù)的需求。

        在 IEC 61508中，使用 FMEDA 要完成兩個安全完整性等級的測量；即：危險非檢出型失效率和眾所周知的安全失效分?jǐn)?shù)，即SFF。SFF代表不危險和能檢出的失效百分比。然而，這個對于系統(tǒng)級模型非常重要的定量型數(shù)據(jù)，也可以從同一個 FMEDA 容易地導(dǎo)出，這比 IEC61508最初的方法更有效，F(xiàn)MEDA 驅(qū)使流程的進(jìn)一步進(jìn)化，并且提高了其結(jié)果的價值。IEC 61508標(biāo)準(zhǔn)的未來草稿更新工作正在進(jìn)行，會做進(jìn)一步的改進(jìn)。

IEC 61508 失效模式定義

        IEC61508 部分（1998年）定義一個危險失效是一種失效，“有可能把安全相關(guān)系統(tǒng)推向危險或者不能工作的狀態(tài)”。這個標(biāo)準(zhǔn)還定義一個安全失效也是一種失效，“無可能把安全相關(guān)系統(tǒng)推向危險或者不能工作的狀態(tài)” 。IEC61508 部分2 進(jìn)一步解釋了“安全”失效是一種失效，引起一次安全的停車或者對電氣/電子/可編程電子安全相關(guān)系統(tǒng)的安全完整性沒有影響。

        如果遵循這個看似簡單而模棱兩可的安全失效定義，理論上導(dǎo)致了不需要提供與應(yīng)用非常相關(guān)數(shù)據(jù)，并且導(dǎo)致了多種對標(biāo)準(zhǔn)不可預(yù)期的解釋。一些解釋可能導(dǎo)致無意識的環(huán)套，結(jié)果使產(chǎn)品增加了非相關(guān)功能，提高了SFF指標(biāo)，而沒有提高任何安全完整性。

新失效模式的定義

        在工業(yè)領(lǐng)域的重要廠商，包括羅克韋爾自動化，致力于功能安全產(chǎn)品的不斷改進(jìn)，忠實于 IEC61508 的原內(nèi)容，對失效模式定義提出了很多改良，并開始使用2003年的新定義用于FMEDA分析。更詳細(xì)的失效模式定義會在后續(xù)的IEC 61508 版本中體現(xiàn)出來。為了理解所需的變化，必須首先要明白當(dāng)前官方定義“安全失效”的模棱兩可。

        因為現(xiàn)在定義的安全失效包括所有失效而沒有考慮危險。這包括“失效會導(dǎo)致一次安全剎車或者對電氣/電子/可編程電子安全相關(guān)系統(tǒng)的安全完整性沒有影響”。一種失效對安全完整性功能沒有影響，非常像對使用產(chǎn)品的用戶甚至沒有一點提示，這種失效可以納入到兩種通用類型當(dāng)中。

無影響 – 類型 1, 不受影響

        大多數(shù)部件有多種失效模式，這些失效模式或重要或不重要，重要性取決于在特定的設(shè)計中怎樣地使用它們。比如一個電阻在開路和短路失效時，失效模式包括了它的值從原始量的一半到兩倍的變化。如果這個電阻用于一個模擬電路的一部分，監(jiān)視一個特定電壓或者電流的等級，這個漂移的失效模式會直接導(dǎo)致測量的明顯錯誤，并且看上去是非常的危險。

        如果同樣的電阻串聯(lián)到一個晶體管的基極，最后驅(qū)動一個繼電器的線圈。即使電阻值漂移超過這個相對寬的范圍，產(chǎn)品也能連續(xù)工作，并且產(chǎn)生輸出狀態(tài)。在這個應(yīng)用中，電阻值的漂移沒有影響產(chǎn)品的功能。因此，這種失效模式被稱為“無影響”模式，因為，雖然部件是所需功能的一部分，這種特定失效模式?jīng)]有影響到所需的功能。如果這個電阻失效開路，就會影響到產(chǎn)品的功能。所以，部件的所有失效模式都不能被忽略。

無影響 – 類型 2, 不是一部分

        有些部件的目的是用于人機(jī)界面的顯示和輔助功能，它們不是產(chǎn)品中功能電路的一部分，而是在應(yīng)用中需要的。比如一個電阻可以用于設(shè)置一個電流水平，當(dāng)進(jìn)行通信時，使一個顯示LED燈點亮，因此在通信處于激活狀態(tài)時，我們就能夠看到燈亮。如果這個電阻失效，那么在通信進(jìn)行時，這個LED燈就不會亮起，但它不會影響這個產(chǎn)品的正常工作。事實上，這個電阻的任何失效模式看起來都不會影響這個產(chǎn)品的功能和性能。這類部件被稱為“不是一部分” ，因為它們不執(zhí)行所需功能的一部分。

“安全”失效的新定義

        注意所謂“不影響”是相對于一個部件的特定失效模式，也就是用于所需的功能（或者那部分的其他失效模式將導(dǎo)致功能的丟失）；“不是一部分”是相對于一個整體部件是不必要的，或者是用于執(zhí)行應(yīng)用的其他功能，但兩者在當(dāng)今的IEC61508 定義中都被認(rèn)為是“安全”的。

        在一個安全系統(tǒng)的環(huán)境中，一個非常有用和不模糊的安全失效定義會導(dǎo)致一個故障動作（在沒有容錯結(jié)構(gòu)的情況下），這個動作明顯和危險失效動作是相反的（失效執(zhí)行安全功能或者在需要時出現(xiàn)動作失能）。這種 “安全” 的定義也增加了一個對安全產(chǎn)品評估故障動作率的數(shù)據(jù)，這對產(chǎn)品的潛在用戶也是非常重要的參數(shù)，因為它會導(dǎo)致生產(chǎn)率降低，并且可能引發(fā)另一個危險事件產(chǎn)生。

安全失效分?jǐn)?shù)計算

        剩下的問題是在計算SFF中怎樣使用“無影響”和“不是一部分”失效率（或者不使用）。最保守的方法是在計算時排除這兩者，給產(chǎn)品提供一個最低的SFF估計。這種方法僅考慮安全和危險失效對需要安全功能的直接影響。保守的供應(yīng)商使用這種策略，使用的時間周期大概在2000年到2002年之間。

        非常清楚，不好的策略來計算“不是一部分”失效是“安全”的。這是因為一個產(chǎn)品設(shè)計者用一種近似特定的SFF門檻來設(shè)計，可能加入額外部件達(dá)到了那個門檻，但這些部件沒有使安全功能得到提高。

        大約在2003年左右，這個領(lǐng)域里的主要工業(yè)專家們一致同意，決定把初始的“安全失效”加入“無影響”，但排除“不是一部分”做為安全失效的新定義。最后的結(jié)果是：在新定義的安全失效中，“無影響”失效用在計算SFF的安全失效部分，“不是一部分”失效率不包括在相關(guān)的安全計算中。FMEDA 結(jié)果報告開始大量出版，用于附加失效率的類型。

[DividePage:NextPage]

     這個變化的結(jié)果是FMEDA報告總體失效率，代表了所有部件的總的失效率，甚至有些失效率不會導(dǎo)致在產(chǎn)品級可以觀察得到的失效。在產(chǎn)品級可看到的失效率是可預(yù)計的，用整體失效率減去無影響失效率，因為無影響失效在多數(shù)情況下，在獨立部件的完整參數(shù)測試時就能找到。

功能失效模式分析

        也在2000年早期，功能失效模式分析加入到FMEDA過程。在早期的FMEDA工作中，部件失效模式依照IEC 61508應(yīng)直接映射到“安全”或者“危險”類型。 這相對來說比較容易，因為每件事情不是“危險”就是“安全”。現(xiàn)在則有多種失效模式類型，直接指派到某種類型已經(jīng)比較困難。另外，如果產(chǎn)品用于不同的應(yīng)用，那么指派的類型也有所變化。在執(zhí)行FMEDA過程中，具有直接失效模式類型的指派，對于每個新的應(yīng)用或者每種使用變化，都需要一個新的FMEDA。

        在功能失效模式方法中，產(chǎn)品的實際功能失效模式是可識別的。在執(zhí)行詳細(xì)的FMEDA時，每個部件失效模式可以映射到一種功能失效模式。功能失效模式然后按照產(chǎn)品失效模式在特定應(yīng)用中進(jìn)行分類。這就不需要在進(jìn)行一個新應(yīng)用時再做分析工作。

機(jī)械 FMEDA 技術(shù)

        在2000年早期就已經(jīng)清楚，很多用于安全關(guān)鍵性應(yīng)用的產(chǎn)品有機(jī)械部件。執(zhí)行一個FMEDA 過程，而不考慮這些機(jī)械部件，就是不完整的，并且存在誤導(dǎo)。使用FMEDA技術(shù)分析機(jī)械部件的基本問題是缺少一個機(jī)械部件的數(shù)據(jù)庫，它包括部件失效率和失效模式分布。

        利用一系列已經(jīng)出版了的參考資料，有些供應(yīng)商在2003年開始，建立機(jī)械部件的數(shù)據(jù)庫。隨著而后幾年的調(diào)查和改進(jìn)，數(shù)據(jù)庫已經(jīng)出版。這使得FMEDA可以用于具有電氣和機(jī)械結(jié)合的部件，也可用于純機(jī)械的部件。

將來發(fā)展

        本文介紹了自從第一次努力定義的過程后，F(xiàn)MEDA 技術(shù)在過去的幾十年里是怎樣進(jìn)化的。產(chǎn)生的結(jié)果之一是老的 FMEDA 報告（2002年以前）已經(jīng)不再使用，并且不再和新工作進(jìn)行比較。

非常清楚，部件數(shù)據(jù)庫需要進(jìn)一步改進(jìn)，在不同應(yīng)用操作規(guī)程中需要進(jìn)行選擇性的校準(zhǔn)。另外，在現(xiàn)場失效研究與FMEDA結(jié)果的比較，已經(jīng)顯示出人的因素，特別在維護(hù)過程，已經(jīng)影響了產(chǎn)品的失效率和失效模式。隨著可用的數(shù)據(jù)不斷增加，這些因素可能也要加到 FMEDA 的分析中。

（羅克韋爾自動化（中國）有限公司，全球標(biāo)準(zhǔn)及貿(mào)易部中國地區(qū)經(jīng)理    華镕）