ISO26262 中 ASIL 與 DFMEA 有什么區(qū)別?
發(fā)布時間:2025-07-23 點擊:14
ISO26262 中 ASIL 與 DFMEA 有什么區(qū)別?
ASIL中安全完整性等級考慮功能失效的嚴(yán)重性、暴露率和可控性,DFMEA中考慮故障嚴(yán)重度、發(fā)生度和探測度,兩者關(guān)注點和控制方法看起來是一樣的。
ASIL 全稱是Automotive safety integration level 針對的是電子模塊制定的標(biāo)準(zhǔn)
The standard ISO 26262 is an adaptation of the Functional Safety standardIEC 61508forAutomotive Electric/Electronic Systems.ISO 26262 defines functional safety for automotive equipment applicable throughout the lifecycle of all automotive electronic and electrical safety-related systems.
分為Severity / exposure/ controllability
Severity Classifications (S):
S0No Injuries
S1Light to moderate injuries
S2Severe to life-threatening (survival probable) injuries
S3Life-threatening (survival uncertain) to fatal injuries
Exposure Classifications (E):
E0Incredibly unlikely
E1Very low probability (injury could happen only in rare operating conditions)
E2Low probability
E3Medium probability
E4High probability (injury could happen under most operating conditions)
Controllability Classifications (C):
C0Controllable in general
C1Simply controllable
C2Normally controllable (most drivers could act to prevent injury)
C3Difficult to control or uncontrollable
后根據(jù)三個指標(biāo)對某個系統(tǒng)進(jìn)行S/E/C 綜合評價得到總的ASIL等級
D級最高依次C\B\D\QM QM指的在質(zhì)量管理體系內(nèi)開發(fā)的功能即可滿足。
FMEA全稱是Failure mode effect analysis 。分為Severity/Occurrence/Detective。
S/O/D 根據(jù)程度分為1-10.其中Occurance的定義如下
評價指標(biāo)為RPN=SOD 一般原則為RPN超過100以及S>9必須采取措施。
所以區(qū)別在于一個針對電子模塊系統(tǒng)進(jìn)行的一個風(fēng)險管理體系FMEA則應(yīng)用更廣泛。
對于發(fā)生度評價指標(biāo)量化程度不同。Exposure和Occurrence;
對于可探測度和可控性的定義不同,F(xiàn)MEA更多關(guān)注于子系統(tǒng)零件本身失效是否可以被發(fā)現(xiàn),輸入可以是實驗報告,檢車設(shè)備,防錯設(shè)計等。而Contrallability則是整車駕駛員對失效的可控制性。
補(bǔ)充說明:
1. 首先,ISO26262的ASIL與DFMEA的打分對象不同
二者具有相同點,都研究失效(failure)。那么,我們舉一個具體的例子來對比:
“整車控制器(VCU)上的某個器件發(fā)生失效后,導(dǎo)致VCU發(fā)出錯誤的扭矩命令,從而使動力總成輸出過大扭矩,車輛發(fā)生了非預(yù)期加速。而前方恰好有車,非預(yù)期加速導(dǎo)致了追尾碰撞,駕駛員受到不同程度的傷害”。
以下圖表示此事件,發(fā)生在element level的fault向上級系統(tǒng)層層傳遞,導(dǎo)致了vehicle level的failure(也可以叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下會危害到人的安全,發(fā)生危害事件(Hazard event).
DFMEA的打分對象是element或component或system或vehicle,在企業(yè)中,不同系統(tǒng)級別的DFMEA一般是在不同級別部門里進(jìn)行,某一系統(tǒng)級別的failure mode是上級系統(tǒng)的fault。DFMEA打分的3個維度Severity/Occurrence/Detective都是針對器件或系統(tǒng)的:
Severity嚴(yán)重度:某個器件或系統(tǒng)失效后有多嚴(yán)重?
Occurrence頻度:某個器件或系統(tǒng)失效有多頻繁?
Detective探測度:發(fā)現(xiàn)失效的難度程度(可能性)有多高?
ISO26262的打分對象是Hazard event,打分的3個維度Severity / exposure/ controllability都是針對可能危害到人身安全的危害事件的(若只損害汽車而不危害到人身安全,則為S0,不需要打分):
Severity嚴(yán)重度:危害事件會對人造成多大危害?(無大礙、輕傷、致殘、致死)
Exposure暴露度:此危害事件的情景(Scenario)發(fā)生的頻繁程度?(注意,與系統(tǒng)無關(guān),情景的頻繁程度)
Controllability可控度:駕駛員通過觀察系統(tǒng)警示信息或快速反應(yīng),以避免危害事件發(fā)生的難易程度。(注意,不是系統(tǒng)主動避免危害事件)。
綜上,二者的打分對象是完全不同的。DFMEA關(guān)注的是系統(tǒng)或器件,而ISO26262關(guān)注的則是抽象概念的危害事件(所謂抽象,是指ISO26262時在打分的時候是不關(guān)注系統(tǒng)的,可適用于不同車輛。)
2. 然后,二者的思維方法是完全不同的(對應(yīng)于題主所說的“控制方法”)。
DFMEA是典型的歸納式(inductive)方法,從單個fault出發(fā),去思考可能引發(fā)的后果(failure或hazard)。
與DFMEA相對應(yīng)的是故障樹方法(FTA: fault tree analysis),從hazard去分析可能的原因,是一種演繹式(deductive)方法。
ISO26262的功能安全是一整套體系與流程,不能籠統(tǒng)地說是歸納式的還是演繹式的。但從上面的圖可以看出,ISO26262的分析起點是Hazard event,從最終的后果去定ASIL等級,再通過一定的方法將ASIL等級分配給系統(tǒng)、子系統(tǒng)、部件、器件。從宏觀的思路上來看,這與FTA類似而與FMEA相反,是一種演繹的思維方法。
3. 最后,二者的概念級別是不同的。
DFMEA與FTA可以是同一級別的概念,是分析失效的兩種不同思維方法。
而ISO26262是一整套流程,大體上可以分為幾大階段:
概念階段Concept Phase
系統(tǒng)開發(fā)階段System Design (V型開發(fā))
硬件開發(fā)階段Hardware Design
軟件開發(fā)階段Software Design
每一階段,均會使用到FMEA方法與FTA方法(有可能只做部分工作,而不是完整的FMEA或FTA)。ISO26262將FMEA與FTA當(dāng)作是整套流程的一種工具。
CCC工廠檢查的要求理解要點第九節(jié) 認(rèn)證產(chǎn)品的一致性
向外國申請專利保密審查請求受理條件、材料清單、辦理流程
企業(yè)做ISO 20000與ISO 27001認(rèn)證有哪些好處?
以色列SII認(rèn)證費用
銅陵市注冊商標(biāo)材料及申請費用,商標(biāo)代理申請好處
企業(yè)在工作中巧妙實施HSE管理體系的方式有哪些?
ISO9001培訓(xùn)講義
“三只青蛙”時間管理法(超級實用)
ASIL中安全完整性等級考慮功能失效的嚴(yán)重性、暴露率和可控性,DFMEA中考慮故障嚴(yán)重度、發(fā)生度和探測度,兩者關(guān)注點和控制方法看起來是一樣的。
ASIL 全稱是Automotive safety integration level 針對的是電子模塊制定的標(biāo)準(zhǔn)
The standard ISO 26262 is an adaptation of the Functional Safety standardIEC 61508forAutomotive Electric/Electronic Systems.ISO 26262 defines functional safety for automotive equipment applicable throughout the lifecycle of all automotive electronic and electrical safety-related systems.
分為Severity / exposure/ controllability
Severity Classifications (S):
S0No Injuries
S1Light to moderate injuries
S2Severe to life-threatening (survival probable) injuries
S3Life-threatening (survival uncertain) to fatal injuries
Exposure Classifications (E):
E0Incredibly unlikely
E1Very low probability (injury could happen only in rare operating conditions)
E2Low probability
E3Medium probability
E4High probability (injury could happen under most operating conditions)
Controllability Classifications (C):
C0Controllable in general
C1Simply controllable
C2Normally controllable (most drivers could act to prevent injury)
C3Difficult to control or uncontrollable
后根據(jù)三個指標(biāo)對某個系統(tǒng)進(jìn)行S/E/C 綜合評價得到總的ASIL等級
D級最高依次C\B\D\QM QM指的在質(zhì)量管理體系內(nèi)開發(fā)的功能即可滿足。
FMEA全稱是Failure mode effect analysis 。分為Severity/Occurrence/Detective。
S/O/D 根據(jù)程度分為1-10.其中Occurance的定義如下
評價指標(biāo)為RPN=SOD 一般原則為RPN超過100以及S>9必須采取措施。
所以區(qū)別在于一個針對電子模塊系統(tǒng)進(jìn)行的一個風(fēng)險管理體系FMEA則應(yīng)用更廣泛。
對于發(fā)生度評價指標(biāo)量化程度不同。Exposure和Occurrence;
對于可探測度和可控性的定義不同,F(xiàn)MEA更多關(guān)注于子系統(tǒng)零件本身失效是否可以被發(fā)現(xiàn),輸入可以是實驗報告,檢車設(shè)備,防錯設(shè)計等。而Contrallability則是整車駕駛員對失效的可控制性。
補(bǔ)充說明:
1. 首先,ISO26262的ASIL與DFMEA的打分對象不同
二者具有相同點,都研究失效(failure)。那么,我們舉一個具體的例子來對比:
“整車控制器(VCU)上的某個器件發(fā)生失效后,導(dǎo)致VCU發(fā)出錯誤的扭矩命令,從而使動力總成輸出過大扭矩,車輛發(fā)生了非預(yù)期加速。而前方恰好有車,非預(yù)期加速導(dǎo)致了追尾碰撞,駕駛員受到不同程度的傷害”。
以下圖表示此事件,發(fā)生在element level的fault向上級系統(tǒng)層層傳遞,導(dǎo)致了vehicle level的failure(也可以叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下會危害到人的安全,發(fā)生危害事件(Hazard event).
DFMEA的打分對象是element或component或system或vehicle,在企業(yè)中,不同系統(tǒng)級別的DFMEA一般是在不同級別部門里進(jìn)行,某一系統(tǒng)級別的failure mode是上級系統(tǒng)的fault。DFMEA打分的3個維度Severity/Occurrence/Detective都是針對器件或系統(tǒng)的:
Severity嚴(yán)重度:某個器件或系統(tǒng)失效后有多嚴(yán)重?
Occurrence頻度:某個器件或系統(tǒng)失效有多頻繁?
Detective探測度:發(fā)現(xiàn)失效的難度程度(可能性)有多高?
ISO26262的打分對象是Hazard event,打分的3個維度Severity / exposure/ controllability都是針對可能危害到人身安全的危害事件的(若只損害汽車而不危害到人身安全,則為S0,不需要打分):
Severity嚴(yán)重度:危害事件會對人造成多大危害?(無大礙、輕傷、致殘、致死)
Exposure暴露度:此危害事件的情景(Scenario)發(fā)生的頻繁程度?(注意,與系統(tǒng)無關(guān),情景的頻繁程度)
Controllability可控度:駕駛員通過觀察系統(tǒng)警示信息或快速反應(yīng),以避免危害事件發(fā)生的難易程度。(注意,不是系統(tǒng)主動避免危害事件)。
綜上,二者的打分對象是完全不同的。DFMEA關(guān)注的是系統(tǒng)或器件,而ISO26262關(guān)注的則是抽象概念的危害事件(所謂抽象,是指ISO26262時在打分的時候是不關(guān)注系統(tǒng)的,可適用于不同車輛。)
2. 然后,二者的思維方法是完全不同的(對應(yīng)于題主所說的“控制方法”)。
DFMEA是典型的歸納式(inductive)方法,從單個fault出發(fā),去思考可能引發(fā)的后果(failure或hazard)。
與DFMEA相對應(yīng)的是故障樹方法(FTA: fault tree analysis),從hazard去分析可能的原因,是一種演繹式(deductive)方法。
ISO26262的功能安全是一整套體系與流程,不能籠統(tǒng)地說是歸納式的還是演繹式的。但從上面的圖可以看出,ISO26262的分析起點是Hazard event,從最終的后果去定ASIL等級,再通過一定的方法將ASIL等級分配給系統(tǒng)、子系統(tǒng)、部件、器件。從宏觀的思路上來看,這與FTA類似而與FMEA相反,是一種演繹的思維方法。
3. 最后,二者的概念級別是不同的。
DFMEA與FTA可以是同一級別的概念,是分析失效的兩種不同思維方法。
而ISO26262是一整套流程,大體上可以分為幾大階段:
概念階段Concept Phase
系統(tǒng)開發(fā)階段System Design (V型開發(fā))
硬件開發(fā)階段Hardware Design
軟件開發(fā)階段Software Design
每一階段,均會使用到FMEA方法與FTA方法(有可能只做部分工作,而不是完整的FMEA或FTA)。ISO26262將FMEA與FTA當(dāng)作是整套流程的一種工具。
CCC工廠檢查的要求理解要點第九節(jié) 認(rèn)證產(chǎn)品的一致性
向外國申請專利保密審查請求受理條件、材料清單、辦理流程
企業(yè)做ISO 20000與ISO 27001認(rèn)證有哪些好處?
以色列SII認(rèn)證費用
銅陵市注冊商標(biāo)材料及申請費用,商標(biāo)代理申請好處
企業(yè)在工作中巧妙實施HSE管理體系的方式有哪些?
ISO9001培訓(xùn)講義
“三只青蛙”時間管理法(超級實用)