技術乾貨|從FMEA角度來分析如何在開發過程中降低自動駕駛的風險

註：本文已授權雷鋒網獨家首發。

引言

自動駕駛目前發展的如火如荼，自動駕駛的安全性尤為大眾和媒體所關注，就在前幾天，NHTSA（國家公路交通安全管理局）結束了特斯拉自動駕駛死亡案調查，還了特斯拉一個清白。

自動駕駛如果要贏得人們的信任，就必須要足夠安全，換句話說，要比人類駕駛的事故率要更低。

那自動駕駛在設計過程中是如何降低和控制風險的呢？

在一項新技術或者一款新車型開發過程中時又是如何控制風險的呢？

FMEA的產生

伴隨著最高車速的提高，汽車駕駛的風險也相應的變大。在每年這麼大的銷售基數下，即使很小的事故率，也是一個很大的絕對值，所以汽車行業骨子裡就必須謹慎和保守。

在汽車工業一百多年的發展歷史中，已經發展形成了完善的質量管理體系來管控風險，眾多的質量管理工具也隨之產生。

失效模式分析（FMEA)就是一種比較代表性的設計方法/質量工具/風險管控思路。

作為一種能夠最大程度的識別並幫助減少潛在的隱患的一種技術手段，FMEA已經被列為ISO/TS16949的5大工具之一，並被證實能有效防止召回事件的發生。

ISO26262也明確要求，所有與功能安全相關的設計均需經過FMEA。

FMEA的概念——什麼是FMEA?

何謂FMEA?即Failure Mode and Effects Analysis，就是通過分析產品/系統的失效模式（非預期功能現象），找到可能的失效原因，並在設計前期採取預防措施來避免。

FMEA分設計FMEA（即DFMEA）和生產FMEA（即PFMEA）。DFMEA關注的是產品設計的失效模式分析，PFMEA關注的是過程失效模式分析，前者更關注設計，後者更關注生產。

我們這裡談到的主要是指DFMEA。

DFMEA的具體流程可參考下圖。

別看上面描述的這麼複雜，其實這種思想，在日常生活中每個人都經常會用到。

舉個例子，你早上出門之前，看了下外面天氣，陰沉沉的，就隨手帶了把傘再出門。

這其實就是一個簡單的運用FMEA思想的過程，通過陰天想到可能要下雨淋濕衣服，為了避免該問題，就採取帶傘的措施來預防這種失效模式，具體可分析如下：

通過上面簡單的例子可以基本了解FMEA的思想。

FMEA的核心是找到所有的潛在失效模式，並且每個失效模式都找到所有可能的潛在失效原因。盡量做到不重複，不遺漏。

可以說，這兩步做的好不好，直接決定了FMEA是否成功。

下面這個表情圖就是個很好的例子。

比較完整的概括了被人鄙視(失效後果)的幾種潛在失效模式/失效原因（窮/丑/矮）。

FMEA的評價——如何量化分析？

問題來了，一輛車上有成千上萬零件，每個零件都有幾十甚至上百個失效模式，怎麼確保能夠關注到應該得到的關注那些失效模式呢？

換句話說，要確保我們能有輕重、分主次的找到需要重點關注的失效模式，就需要對FMEA進行量化。

工程是需要數據來說話的，僅靠定性分析不夠，還需要定量。

如何對FMEA進行量化呢？

這難不倒我們聰明的工程師，他們定義了一個叫風險順序數--也叫做RPN(Risk Priority Number)的參數。

風險順序數RPN=SXOXD.

S定義為嚴重度（Severity），O定義為頻度(Occurrence)，D定義為探測度(Detection)。

RPN值越高，表示風險就越大，需要重點關注。

下面分別介紹一下嚴重度、頻度和探測度。

嚴重度——後果有多嚴重？

嚴重度就是該所產品/系統的某性能失效後產生的後果的嚴重程度。

就以電子駐車系統（EPB）舉個例子，當EPB失效時，引起駐車功能失效，會導致車輛溜坡，如果此時駕駛員不在車上，會造成非常嚴重的後果，嚴重度就很高。

下圖為AIAG(即Automotive Industry Action Group，由美國三大汽車巨頭福特、通用和克萊斯勒創建)的FMEA手冊中的嚴重度打分標準。

值得一提的是，如果不能滿足安全和法規，嚴重度是最高的，為9分/10分。

如果把FMEA思想運用到撩妹事業中去，這就告訴我們撩之前千萬要弄清楚妹子的底細，如果對方是軍嫂，嚴重度就是10分了，會被以「破壞軍婚」的罪名抓去坐牢的哦。

再多說一句，同樣是不滿足法規，嚴重度9分和10分的差別在哪裡？

10分為失效時無預警，9分時有預警。

不知道大家還記不記得當年速騰召回事件中後橋上的那塊補丁「金屬襯板」?

失效時可以發出警示音，雖然這個做法很傷害廣大車主的感情，但是理論上確實可以降低嚴重度。

頻度-經常發生嗎？

頻度的定義是，失效原因發生的可能性（基於之前的數據和經驗來評估）。

失效的可能性越大，頻度分值越高。

下圖為頻度具體的打分表。

可以看出，對於新技術或者新應用，其分值非常高，如果是相同的設計或者類似的設計，則分值要低得多。

這就鼓勵採用成熟的技術，謹慎採取新技術。

ISO26262中也鼓勵重用受信任的設計原則，並規定棄用受信任的設計原則的決定需要經過論證。

從功能安全形度分析，希望儘可能的重用以前的經過驗證過的設計，不論硬體（感測器/執行器/介面等）還是架構，這就解釋了業界為什麼都預測自動駕駛的發展會是小範圍的不斷改進、小幅迭代另起爐灶。

一步到位不是不可能，只是實施起來難度比較大。

探測度——方法夠好嗎？

找到失效原因之後，需要對該失效原因所採取的措施。

措施分兩種，一種是預防措施，一種是探測措施。

預防指的是，在設計階段通過更改設計，來防止出現該問題或者降低其發生概率。

探測指的是，在項目投產前，通過分析方法或者試驗手段，探測出失效。

探測度的分值表徵了其探測手段的有效性。

對於硬體來說，測試分台架測試（DV/PV）和整車測試。

對於軟體來說，其開發就是下圖所示的V模型，V模型左側為設計階段，右側主要為測試階段，包括軟體測試、ECU測試、HIL測試和整車測試等。

下圖為探測度的分值標準。

為了降低探測度分值，通常需要改進探測手段或者將探測的時間提前。

FMEA的量化評估

嚴重度、頻度和探測度的分值均已確定後，就可以得出RPN的分值。

如果RPN的分值超過特定值的失效模式，需要額外增加措施，以進一步降低設計風險。

需要注意的是，即使RPN沒有超過特定值，對於嚴重度為9分/10分的失效模式，也需要額外增加措施。

如下表為FMEA手冊中提供的DFMEA的樣表。

FMEA與ISO26262的差異

與FMEA中的嚴重度、頻度和探測度相對應，ISO26262也有類似的嚴重度（S）、暴露率（E）和可控性（C）的定義。

不過因為ISO26262關注的是功能安全，所以定義上有很大的差別。

從失效後果造成的傷害的嚴重程度來說，ISO26262定義了嚴重度S。嚴重度S分4個等級，S0到S3，其中S0為無危害，S3為致命危害。

從失效發生的概率來說，ASIL定義了暴露率E。暴露率E分為4個等級，E1到E4，其中E1指很低的概率，E4指高概率（>10%）。

暴露率（E）主要關注該失效能夠造成危害的場景的概率。

如上圖說的電子駐車系統(EPB)的例子，暴露率指的是，駐車系統的使用時長占整車壽命的比例，因為其超過10%，所以應該選擇E4.

從失效發生後能夠避免事故或傷害的可能性來說，ASIL定義了可控性C。可控性C分為4個等級，其中C0為完全可控，C3為很難控制（<90%駕駛員）。

確定好嚴重度、暴露率和可控性的等級後，就可以確定汽車安全完整性等級(即ASIL)。

ASIL等級確認

ASIL分4個等級，其中A代表最低等級，D為最高等級，QM代表不需要考慮安全設計。確定好ASIL等級後，就可以按照各個安全等級標準的要求去開發。

總結

本文介紹了FMEA的思想，並結合自動駕駛，介紹了FMEA的量化評價方法，包括了嚴重度、頻度和探測度，最後還對FMEA與ISO26262做了比較。

感謝閱讀，希望大家能有所收穫。

歡迎大家關注我的專欄和公眾號：聊聊汽車那些事兒。