潜在故障模式影响分析（FMEA）和故障树分析（FTA）

潜在故障模式影响分析（FMEA）和故障树分析（FTA）

   FMEA可以描述为一组系统化的活动，其目的是：

(a)发现和评价产品/过程中的潜在的失效及其失效后果；

(b)找到能够避免或减少这些潜在失效发生的措施；

(c)将上述整个过程文件化。

       FMEA是对设计过程的更完善化，以明确必须做什么样的设计和过程才能满足顾客的需要。所有的FMEA的重点在于设计，无论是用在设计产品或工艺制造过程。

       适时性是成功实施FMEA的重要因素之一，它是一个事发前的行为，而不是“后见之明”的行动。为了达到效果。FMEA必须在设计或过程失效模式被无意纳入产品或过程之前进行。事前花时间适当完成FMEA能够更容易低成本地对产品/过程进行修改，从而减轻事后修改的危机。FMEA小组应有充分的沟通和整合。

       FMEA是世界上公认的有效的可靠性设计分析技术，在工程实际中得到广泛应用。目前典型的FMEA方法有两种：一种是美国军标MIL-STD-1629和我国军标GJB1391/z《故障模式、影响与危害度分析》；另一种是美国QS-9000《潜在失效模式及影响分析》。前一种方法在全国质量专业技术人员职业资格考试用书(中级)已有介绍。下面仅对QS-9000的FMEA作简要说明，在QS-9000中，把FMEA分为设计的FMEA(简称DFMEA)和过程工艺的FMEA(简称PFMEA)。下面仅对设计的FMEA作介绍。

   设计FMEA主要是负责设计的工程师/小组采用的一种分析技术，用于保证在可能范围内已充分考虑到，并指明各种潜在的失效模式及其相关的起因/机理。应评估最终产品以及每个与之相关的系统、子系统和零部件。FMEA以其严密的形式总结了设计一个零部件、子系统或系统时，一个工程师和设计小组的设计思想（包括：根据以往的经验和教训，对可能出现问题的分析）。这种系统化的方法体现工程师在任何设计过程中正常经历的思维过程，并使之规范化、文件化。

    设计FMEA能够通过以下几个方面支持设计过程，以降低失效的风险。

(1)有助于对设计要求和设计方案进行客观评价；

(2)有助于制造、装配、服务和回收要求的设计；

(3)提高设计开发过程中，考虑潜在失效模式及其对产品可靠性影响；

(4)为、有效的设计实验和开发项目的策划，提供更多信息；

(5)根据潜在失效模式对“顾客”的影响程度进行分级，进而建立一套设计改进、开发和验证试验的优先控制程序；

(6)为建议和跟踪降低风险的措施，提供一个公开讨论形式；

(7)为将来分析研究售后市场关切情况，评价设计更改及展开更先进的设计提供参考。

    FMEA应该是一个小组的活动，负责设计的工程师应直接地、主动地联系有关部门的代表，如装配、制造、设计、分析/实验、可靠性、材料、服务等。同时还应联系系统不同层次的设计部门代表。FMEA应成为促进相关部门间充分交换意见的催化剂，从而提高整个产品的工作水平。除非负责设计工程师是有FMEA和小组协调的经验，在活动中拥有一位有经验的FMEA专家以协助FMEA小组工作是有一定帮助的。

      设计FMEA是一份动态文件，且应该在一个设计概念最终形成之时或之前就开始；在产品开发各阶段中，当设计有变更或获得信息增加时要及时不断修改；在最终产品加工图样完成之前全部完成。

    设计FMEA不是靠过程控制来克服设计中潜在的缺陷，但的确要考虑制造/装配过程中技术的/物质的限制。例如表面处理的限制，装配空间，公差等

     设计FMEA应该从系统、子系统或零部件的框图开始分析。

      QS-9000给出了设计FMEA的专用表格如表1所示，表中给出了分析时必须填写的22项内容。表中还以车门内板下部腐蚀的失效模式为例，说明如何分析及填写这22项内容。

(表1续)

下面按照表中的序号对每一项内容分别简要说明：

（1）FMEA编号。填入FMEA文件编号，以便查询。

（2）系统、子系统或零部件名称及编号。系统FMEA重点是确保所有接口和互动都涵盖了整个由不同子系统所组成的系统；子系统的重点是确保所有接口和互动都涵盖了整个由不同零组件所组成的子系统；一个零组件FMEA一般重点是在于一子系统的子组件的FMEA。

（3）设计责任。填入整个产品的部门和小组。

（4）编制人。填入负责FMEA工作的工程师。

（5）车型年度/项目。填入将使用和/或被分析的设计影响的预期车型、年度/项目。 

（6）关键日期。填入DFMEA初次预定完成的日期，该日期不应该超过计划的量产设计发布日期。

（7）FMEA时期。填入编制FMEA原始稿的完成日期及修订日期

（8）核心小组。列出被授权以确定和/或执行任务的责任人和部门名称。

（9）项目/功能。应尽可能简洁的文字说明清楚被分析项目要满足设计意图的功能，如该项目有多种功能，且有不同的失效模式，则要把所有功能都单独列出。

（10）潜在失效模式。所谓失效模式是指系统、子系统或零部件有可能未达到（8）中所描述设计意图的种类。潜在失效模式可能是更高一级子系统或系统的潜在失效模式的原因，也可能是比它低一级的零部件潜在失效模式的后果。汽车典型的失效模式如松动、泄漏、短裂、变形、无法传递扭力等。

（11）潜在失效后果。应根据顾客可能发现或经历的情况来描述失效的后果，顾客可能是内部也可能是外部产品最终的顾客。汽车典型的失效后果如噪音、外观不良、发热、不稳定等。

（12）严重度（S）。严重度是一个已假定失效模式的严重影响的评价等级。要降低失效后果等级只能通过设计变更。汽车推荐的FMEA严重度评价准则见下表。

（13）分类。根据特性分类，如关键、重要、一般等

（14）潜在失效的起因/机理。失效起因是指一个设计弱点的迹象，其结果就是失效模式。典型的失效起因，如规定的材料不正确，流程规范错误、规定公差不当，润滑能力不足等。典型的失效机理，如屈服、疲劳、磨损等。

（15）频度（O）。频度指在设计的寿命中某一特定失效起因/机理发生的可能性。描述频度级别数是重在其含义，而不是具体数值。通过设计更改或设计过程更改（如设计查检表、设计评审）来预防或控制该失效模式的起因/机理是降低频度级别数的途径。频度级数是在FME范围中的一个比较等级，其可能无法反映出真实发生的可能性。推荐的评价准则见表3。

（16）现行设计控制。现行设计控制指的是那些已经用于相同或相似设计的那些方法。FMEA小组应一再的把重点放在设计控制的改进上，设计控制有两种基本方法：一是预防，即预防失效起因／机理或失效模式的出现，或减少其出现的频度；二是探测，即在该项目投产之前，以任何解析的或物理的方法，查出失效。应优先应用预防控制措施。因此，在表中现行设计控制对应有两栏，这有助于FMEA小组对这两种控制能有清楚的辩识。在表中的示例里，现行预防控制一栏是空的，说明FMEA小组并未鉴别出任何预防控制，这可能是由于预防控制没有被用在相同或相似的设计上。

（17）探测度（D）。探测度是结合了列在设计控制中的探测控制等级。探测度是在单独的FMEA范围中的一个比较的等级。为了取得较低的探测度数值，计划的过程控制需要不断地改进。推荐的探测度评价准则见表4。

（18）风险顺序数（RPN）。风险顺序数是产品失效影响严重度(S)、频度(O)和探测度(D)的乘积。

               RPN=（S）×（O）×（D）

      在FMEA分析时，RPN值(1至1000之间)可被用来对设计中关注的等级排序。

（19）建议措施。在实施中，不论RPN大小如何，当严重度为9或10的失效模式必须要赋予特别注意。在所有状况下，当一个已被鉴别的潜在失效模式的后果可能对最终使用者产生危害的时候，应该考虑预防/纠正措施，以排除、减轻或控制该起因，以避免失效模式的发生。在对9或10等级严重度特别的关注之后，FMEA小组应针对其他的失效模式，以满足减少严重度、频度、以及探测度的目的。建议的措施行动如，修改设计几何尺寸/或公差、修改材料规范等。

（20）对建议措施的责任。把负责对每一项建议措施执行的组织和个人名称，预计完成日期填入本栏。

（21）采取的措施。当实施某一项措施后，简要记录具体的措施和生效日期。

（22）措施执行后的RPN。当确定了预防/纠正措施后，估算并记录执行结果的严重度、频度和探测度级别。计算并记录纠正后的RPN结果。如没采取措施，将相关的等级栏位空白即可。

        所有更改后的等级都应该被评审，而且如果有必要考虑进一步的措施，则应重复该分析过程。重点应该随时放在持续改进上。

         跟踪行动。负责设计的工程师负责确保所有的建议措施己被实施或已妥善地落实。FMEA是一个动态文件，它不仅应该随时体现的设计版本，还应该体现的有关纠正措施，包括开始批量生产后发生的事件。

从上述对FMEA的说明中，有几点应特别注意：

(1)FMEA是负责设计工程师应该做的一件重要的分析工作，以便随时寻找或发现潜在失效并采取措施。

(2)FMEA应该由一个有各方面代表参加的小组工作，这样才能有效和地发现薄弱环节。

(3)加强针对潜在失效模式的改进设计才能降低RPN值，才能提高产品可靠性。

(4)一种失效模式很有可能是由多个失效起因/机理引起的，一定要把起因/机理找准、找全。如示例中的腐蚀就有5种起因，应逐一分析透。

(5)开展FMEA时的S、O、D的数值只有相对的意义，只能比较在一个具体的FMEA时不同失效模式的相对等级和关注等级。

       故障树分析是通过对可能造成产品故障的硬件、软件、环境、人为因素进行分析，画出故障树，从而确定产品故障原因的各种可能组合方式和（或）其发生概率的一种分析技术。其目的是帮助设计师判断潜在的故障，以便采取相应的改进设计措施，也可指导故障诊断，制定维修方案，同时FTA 还能计算复杂产品发生故障的概率。

    故障树的建立是FTA 的关键，因为故障树的完善程度将直接影响定性分析和定量计算的结果。现以一种演绎法建树为例，作简要介绍。

    首先写出顶事件（即产品不希望发生的故障事件）表示符号作为行，在其下面并列写出导致顶事件发生的直接原因（如硬件，软件，环境，人为因素影响）作为第二行。把这些原因因素用相应的符号表示出来，并用适合逻辑门与顶事件相连。再将导致第二行的那些故障事件（称为中间事件）发生的直接原因作为第三行，并用适合的逻辑门与相应的中间事件相连。按照这个线索自上而下步步深入。一直追溯到引起产品发生故障的全部最基本的原因（称为底事件）为止。这样就形成一棵以顶事件为“根”，中间事件为“节”，底事件为“叶”的倒立的故障树。故障树常用事件的符号见表5。

     故障树中常用的逻辑门是逻辑“与门”和逻辑“或门”。其它逻辑门在某种程度上都可以简化为“与门”和 “或门”。常用的逻辑门及符号见表6。

     下面以某电机控制电路为例，说明建树过程。

    某电机控制电路如图1所示，交流电源通过线路和开关控制电机的运转。

      故障树分析的顶事件选择为“开关合上后电机不转”，具体的建树过程如下所述，对应的故障树如图2所示。

      （1）将顶事件“开关合上后电机不转”作为输出事件，对其原因进行分析，可能的直接原因包括“电机故障”和“开关合上后无电流”，将其作为输入事件，并确定它们之间的逻辑关系为“或”，利用或门建立的故障树如图2（a）所示。其中“电机故障”作为底事件，不再展开。

2.1 故障树的建立

     （2）将“开关合上后无电流”作为输出事件，对其原因进行分析，可能的直接原因包括“电源故障”和“线路故障”，将其作为输入事件，并确定之间的逻辑关系为“或”，利用或门建立的故障树如图2（b）所示。其中“电源故障”和“线路故障”作为底事件，不再展开。

       （3）对事件建立定义和表达符号，如表7所示。利用符号替换文字，得到故障树的规范表达如图2（c）所示。

      故障树定性分析就是寻找导致顶事件发生的原因和原因组合，即找出全部最小割集。最小割集是指一些底事件的组合。它们都发生时顶事件必然发生，而这些底事件缺一个就不会导致顶事件发生的底事件集合。求最小割集的方法有上行法和下形法两种。

       在最小割集全部求出后，当可靠性数据不足时，可对最小割集和底事件进行定性分析，首先根据每个最小割集所含底事件的数目（称阶数）排列，在各个底事件发生概率较小，且相互差别不大的条件下，可以按下列原则对最小割集和底事件进行比较：

(1) 阶数越小的最小割集越重要；

(2) 在低阶最小割集中出现的底事件比高阶最小割集中的底事件重要。

(3) 在最小割集阶数相同的条件下，在不同最小割集中重复出现的次数越多的底事件越重要。

       故障树定量分析是根据底事件发生概率按故障树的逻辑门关系，计算出顶事件发生的概率，以判断是否满足规定的安全性和可靠性要求。定量分析的另一个重要任务是计算底事件的重要度（即它们对顶事件发生的影响程度），从而确定改进的重点。

      总之，建立故障树，定性分析，定量分析是故障树分析的三步曲。 建树是关键，建树过程中，要化简故障树，就要运用布尔代数的运算规则，对于特殊门进行等效变换以及去除明显复杂事件和明显复杂门。故障树分析，特别是复杂产品的故障树分析，建树和分析的工作是都很复杂，一般都要使用专门的故障树分析软件。