摘要
        本篇文章介紹了失效模式、影響和診斷分析的歷史、發展和未來。指出了它與IEC61508之間的關系。

關鍵字
        失效模式影響和診斷分析，失效模式影響分析，失效模式影響和危險程度分析

ABSTRACT
       This article presents the history, development and future of Failure Modes Effects and Diagnostic Analysis (FMEDA). It also points out the relations between FMEDA and IEC 61508.

KEYWORDS
        FMEDA, FMEA, FMECA

引言

        字母組合FMEDA是一組英文字頭的縮寫，表示“失效模式影響和診斷分析”（Failure Modes Effects and Diagnostic Analysis）。這個名字是由一位作者于1994年開始使用的，用來描述一項從1988年以來不斷發展的系統分析技術， 這項技術可以獲得子系統/產品等級的失效率、失效模式和診斷能力（圖1）。

圖1: FMEDA 輸入和輸出

FMEDA 技術考慮的是：
        ? 一個設計產品的所有部件；
        ? 每個部件的功能；
        ? 每個部件的失效模式；
        ? 每個部件失效模式對產品功能的影響；
        ? 自動診斷和檢測失效的能力；
        ? 設計增強（降低失效，提高安全）和
        ? 運行規范（環境強調因數）。

        如果每個部件的數據庫都比較精確，那么就可以用這種方法得出產品等級的失效率和失效模式數據，這比用現場產品返回分析和典型現場失效分析的方法更加精確。

        FMEDA 是對獲得良好驗證的 FMEA（失效模式影響分析）技術的一種延伸，即可以用于電氣產品，也可以用于機械產品。

FMEA/FMECA

        失效模式和影響分析，FMEA，是對一個系統、子系統、過程、設計或者功能的一種結構化的定性分析，用于確定潛在的失效模式、它們產生的原因和它們對運行（系統）的影響。

        建立 FMEA 的概念和實施 FMEA 的實踐大約是在上世紀的60年代。第一次正式的實施是在70年代，隨著美國軍用標準STD 1629/1629A的制定而實行。

        在早期的實踐中，FMEA 僅限于因失效而造成較大損失的應用和行業。主要的工作是對一個系統的安全質量進行評估，決定不能接受的失效模式，指出可以改進的設計，編制維護工作計劃，并且幫助用戶了解系統在可能失效時的運行情況。

        失效模式、影響和危險程度分析，FMECA，是針對一個明確的 FMEA 結果以及加上危險程度的度量，從而引入對影響進行基本的隔離。這樣的分析使用戶對結果而言，可以聚焦于最嚴重的失效模式和影響，但這里并沒有提出失效模式的可能性或者概率，而這正是非常重要的指標，因為基于花費和收效的比值才是驅動改進的最直接動力。

FMEDA的發展

        失效模式、影響和診斷分析，FMEDA，在80年代后期得到了快速發展，這是基于在1984年召開的一次研討會中的報告。FMEDA 在 FMEA 的基礎上新加入了兩部分內容。加入的第一個內容是：對所有要分析的部件給出定量的失效數據（失效率和失效模式分布）。加入的第二個內容是：系統或者子系統提供自動在線診斷發現內部失效的能力。為了達到和維持可靠性，這是決定性的指標。這也使系統增加了復雜性，甚至在一般環境下不可能對所有功能進行測試，比如一種低要求運行模式的緊急剎車系統，ESD系統。

        對自動診斷能力的測量要有一個清晰的要求，這在80年代后期達成了共識。現在的FMEDA 基本原則和方法，是通過《評估控制系統的可靠性》這本書，第一次介紹給公眾。實際上，術語 FMEDA 在1994年才首次使用，方法也是在90年代后期做了進一步地完善。FMEDA 技術再進一步的演化是在2000年初，在制定 IEC 61508 準備工作的時候。

        主要改進的方面有：
        1. IEC 61508 失效模式定義 – 新定義；
        2. 功能失效模式；
        3. 機械部件的使用。

        有了這些改進，使得 FMEDA技術更加成熟，成為更完整和更有用的方法。

[DividePage:NextPage]

FMEDA – IEC 61508

        IEC 61508 標準正式地認可 FMEDA 技術，大多數 IEC 61508 評估機構使用FMEDA 的結果去核實一個特定的應用是否達到了安全的要求。在功能安全領域，可以通過使用 FMEDA 技術和對產生結果的解釋，來幫助用戶改進系統的安全失效模式。

        在正式通過的 IEC 61508部分2－2000年版的文本中，給出了功能安全領域里對 FMEDA 的期望是什么，以及怎樣使用相關數據。這導致了在相關的工業企業中，增加了對FMEDA的使用，加快了方法和工具的更新，以及對部件水平的失效率和失效模式數據的需求。

        在 IEC 61508中，使用 FMEDA 要完成兩個安全完整性等級的測量；即：危險非檢出型失效率和眾所周知的安全失效分數，即SFF。SFF代表不危險和能檢出的失效百分比。然而，這個對于系統級模型非常重要的定量型數據，也可以從同一個 FMEDA 容易地導出，這比 IEC61508最初的方法更有效，FMEDA 驅使流程的進一步進化，并且提高了其結果的價值。IEC 61508標準的未來草稿更新工作正在進行，會做進一步的改進。

IEC 61508 失效模式定義

        IEC61508 部分（1998年）定義一個危險失效是一種失效，“有可能把安全相關系統推向危險或者不能工作的狀態”。這個標準還定義一個安全失效也是一種失效，“無可能把安全相關系統推向危險或者不能工作的狀態” 。IEC61508 部分2 進一步解釋了“安全”失效是一種失效，引起一次安全的停車或者對電氣/電子/可編程電子安全相關系統的安全完整性沒有影響。

        如果遵循這個看似簡單而模棱兩可的安全失效定義，理論上導致了不需要提供與應用非常相關數據，并且導致了多種對標準不可預期的解釋。一些解釋可能導致無意識的環套，結果使產品增加了非相關功能，提高了SFF指標，而沒有提高任何安全完整性。

新失效模式的定義

        在工業領域的重要廠商，包括羅克韋爾自動化，致力于功能安全產品的不斷改進，忠實于 IEC61508 的原內容，對失效模式定義提出了很多改良，并開始使用2003年的新定義用于FMEDA分析。更詳細的失效模式定義會在后續的IEC 61508 版本中體現出來。為了理解所需的變化，必須首先要明白當前官方定義“安全失效”的模棱兩可。

        因為現在定義的安全失效包括所有失效而沒有考慮危險。這包括“失效會導致一次安全剎車或者對電氣/電子/可編程電子安全相關系統的安全完整性沒有影響”。一種失效對安全完整性功能沒有影響，非常像對使用產品的用戶甚至沒有一點提示，這種失效可以納入到兩種通用類型當中。

無影響 – 類型 1, 不受影響

        大多數部件有多種失效模式，這些失效模式或重要或不重要，重要性取決于在特定的設計中怎樣地使用它們。比如一個電阻在開路和短路失效時，失效模式包括了它的值從原始量的一半到兩倍的變化。如果這個電阻用于一個模擬電路的一部分，監視一個特定電壓或者電流的等級，這個漂移的失效模式會直接導致測量的明顯錯誤，并且看上去是非常的危險。

        如果同樣的電阻串聯到一個晶體管的基極，最后驅動一個繼電器的線圈。即使電阻值漂移超過這個相對寬的范圍，產品也能連續工作，并且產生輸出狀態。在這個應用中，電阻值的漂移沒有影響產品的功能。因此，這種失效模式被稱為“無影響”模式，因為，雖然部件是所需功能的一部分，這種特定失效模式沒有影響到所需的功能。如果這個電阻失效開路，就會影響到產品的功能。所以，部件的所有失效模式都不能被忽略。

無影響 – 類型 2, 不是一部分

        有些部件的目的是用于人機界面的顯示和輔助功能，它們不是產品中功能電路的一部分，而是在應用中需要的。比如一個電阻可以用于設置一個電流水平，當進行通信時，使一個顯示LED燈點亮，因此在通信處于激活狀態時，我們就能夠看到燈亮。如果這個電阻失效，那么在通信進行時，這個LED燈就不會亮起，但它不會影響這個產品的正常工作。事實上，這個電阻的任何失效模式看起來都不會影響這個產品的功能和性能。這類部件被稱為“不是一部分” ，因為它們不執行所需功能的一部分。

“安全”失效的新定義

        注意所謂“不影響”是相對于一個部件的特定失效模式，也就是用于所需的功能（或者那部分的其他失效模式將導致功能的丟失）；“不是一部分”是相對于一個整體部件是不必要的，或者是用于執行應用的其他功能，但兩者在當今的IEC61508 定義中都被認為是“安全”的。

        在一個安全系統的環境中，一個非常有用和不模糊的安全失效定義會導致一個故障動作（在沒有容錯結構的情況下），這個動作明顯和危險失效動作是相反的（失效執行安全功能或者在需要時出現動作失能）。這種 “安全” 的定義也增加了一個對安全產品評估故障動作率的數據，這對產品的潛在用戶也是非常重要的參數，因為它會導致生產率降低，并且可能引發另一個危險事件產生。

安全失效分數計算

        剩下的問題是在計算SFF中怎樣使用“無影響”和“不是一部分”失效率（或者不使用）。最保守的方法是在計算時排除這兩者，給產品提供一個最低的SFF估計。這種方法僅考慮安全和危險失效對需要安全功能的直接影響。保守的供應商使用這種策略，使用的時間周期大概在2000年到2002年之間。

        非常清楚，不好的策略來計算“不是一部分”失效是“安全”的。這是因為一個產品設計者用一種近似特定的SFF門檻來設計，可能加入額外部件達到了那個門檻，但這些部件沒有使安全功能得到提高。

        大約在2003年左右，這個領域里的主要工業專家們一致同意，決定把初始的“安全失效”加入“無影響”，但排除“不是一部分”做為安全失效的新定義。最后的結果是：在新定義的安全失效中，“無影響”失效用在計算SFF的安全失效部分，“不是一部分”失效率不包括在相關的安全計算中。FMEDA 結果報告開始大量出版，用于附加失效率的類型。

[DividePage:NextPage]

     這個變化的結果是FMEDA報告總體失效率，代表了所有部件的總的失效率，甚至有些失效率不會導致在產品級可以觀察得到的失效。在產品級可看到的失效率是可預計的，用整體失效率減去無影響失效率，因為無影響失效在多數情況下，在獨立部件的完整參數測試時就能找到。

功能失效模式分析

        也在2000年早期，功能失效模式分析加入到FMEDA過程。在早期的FMEDA工作中，部件失效模式依照IEC 61508應直接映射到“安全”或者“危險”類型。 這相對來說比較容易，因為每件事情不是“危險”就是“安全”。現在則有多種失效模式類型，直接指派到某種類型已經比較困難。另外，如果產品用于不同的應用，那么指派的類型也有所變化。在執行FMEDA過程中，具有直接失效模式類型的指派，對于每個新的應用或者每種使用變化，都需要一個新的FMEDA。

        在功能失效模式方法中，產品的實際功能失效模式是可識別的。在執行詳細的FMEDA時，每個部件失效模式可以映射到一種功能失效模式。功能失效模式然后按照產品失效模式在特定應用中進行分類。這就不需要在進行一個新應用時再做分析工作。

機械 FMEDA 技術

        在2000年早期就已經清楚，很多用于安全關鍵性應用的產品有機械部件。執行一個FMEDA 過程，而不考慮這些機械部件，就是不完整的，并且存在誤導。使用FMEDA技術分析機械部件的基本問題是缺少一個機械部件的數據庫，它包括部件失效率和失效模式分布。

        利用一系列已經出版了的參考資料，有些供應商在2003年開始，建立機械部件的數據庫。隨著而后幾年的調查和改進，數據庫已經出版。這使得FMEDA可以用于具有電氣和機械結合的部件，也可用于純機械的部件。

將來發展

        本文介紹了自從第一次努力定義的過程后，FMEDA 技術在過去的幾十年里是怎樣進化的。產生的結果之一是老的 FMEDA 報告（2002年以前）已經不再使用，并且不再和新工作進行比較。

非常清楚，部件數據庫需要進一步改進，在不同應用操作規程中需要進行選擇性的校準。另外，在現場失效研究與FMEDA結果的比較，已經顯示出人的因素，特別在維護過程，已經影響了產品的失效率和失效模式。隨著可用的數據不斷增加，這些因素可能也要加到 FMEDA 的分析中。

（羅克韋爾自動化（中國）有限公司，全球標準及貿易部中國地區經理    華镕）