组件架构系统的失效模式和影响分析

鲁守荣

（无锡城市职业技术学院，江苏 无锡 214000）

组件架构系统的失效模式和影响分析

鲁守荣

（无锡城市职业技术学院，江苏 无锡 214000）

文章对安全性分析技术失效模式和影响分析（Failure Mode and Effect Analysis，FMEA）在组件架构系统中的应用和处理进行了研究。基于组件构造系统的特点和FMEA方法，构造了基于消息序列图确定FMEA的失效模式。

危害分析；失效模式与影响分析；故障树；组件；组件模型

1　概述

安全性是指系统不存在由于电子、电气、机械等故障引起的损害而导致无法接受的风险，因为这一性能的重要性，安全可靠性已迅速成为安全相关系统的关键因素。为了实现系统工作安全、可靠稳定，在系统的开发阶段就要进行危害分析，它是确保系统安全可靠的重要措施。常用的也最重要的分析方法有故障树分析（Fault Tree Analysis，FTA）、失效模式与影响分析［1］（Failure Model Effects Analysis，FMEA）、事件树分析（Event Tree Analysis，ETA）和危险与可操作性分析（Hazard and Operability Analysis，HAZOP），等等［2］。其中，失效模式和效应分析（FMEA）广泛应用在工业，特别是汽车工业中。FMEA方法能系统地研究整个系统组成部件的故障，评估对系统的各种功能的组件的每个故障模式的影响，以及识别故障模式采取有效的控制策略，提高系统的可靠性。失效模式、影响及危害性分析（Failure Mode， Effect， and Criticality Analysis，FMECA）是FMEA的扩展，是在FMEA的基础上增加了至少两列的信息，如：严重程度（Severity）和风险等级（Risk Class），可按失效模式严酷度大小排序，以区分采取对策的优先次序。

本文主要研究FMEA在在组件架构系统中的应用，文章结构安排：第2节阐述了FMEA的构成和基本思想，它是后续内容的基础；紧接着在第3节进行了组件架构的FMEA分析，构建了FMEA的失效模型和效应分析；最后第4节总结了FMEA在组件架构系统中的应用及在该领域的贡献。

2　失效模式与影响分析（FMEA）

FMEA采用自底向上的分析路径，目的是通过确定底层模块的失效模式，追踪其对上面各层次的影响，从而发现系统的故障原因、潜在故障以及薄弱环节，达到提高系统的安全性和可靠性的目的。FMEA分析应尽可能在系统开发周期的早期阶段进行，以获得消除或减少失效模式的最佳时机。确定失效影响时，必须考虑其导致的高一层次失效和可能的相同层次失效，指出任何可能的对高一层次有影响的失效模式，直到识别出系统的最终影响。归纳FMEA的组成元素如图1所示。

图1 FMEA 列表项目

组件（Component）：组件用来描述完整的系统、子系统或不可分割系统的元件。任何组件都有一种或多种功能。功能函数（Function）：任何组件都执行至少一个功能。一个功能可以是另一个功能的组成部分。当功能不能完成其任务时将发生故障，所有可能发生的函数的故障通过故障模型相关联。失效模式（Failure_mode）：所有可能出现的故障构成了故障模式。每个故障模式有引发原因和影响效果。控制方法（Control_method）：控制方法履行识别、检测故障模式。检测在很大程度上依赖于所执行的控制方法的效应。它给出控制方法去发现已产生的故障。识别能够预防或减轻失效模式的影响和采取的措施。风险优先编号（Risk_Prority_Nummber）：即严酷度等级，表示了风险对系统的危害程度，通常用整数范围为1～10表示，危害越大，风险优先数（RPN）越高。风险优先编号是对失效模式影响系统或产品使用的严重程度的评价。遏制行为（Containment_action）：采取的必要措施，例如：一个或多个单元失效时，能使系统继续正常运行的冗余产品；备选的运行方式；监控或报警装置；允许有效运行或限制损害的其他手段。

3　组件架构系统的FMEA设计

组件系统的体系架构是由层次结构的组件模型构成的［5］，并且系统运行过程中组件相互交换信息。其中组件可能是基本组件（不能进一步细化），也可以是复合组件。与外界环境或组件间的信息交互使用基于端口的接口进行通讯。交换的信息可以在同一层次，也可在不同层，组件也可直接与外界环境中进行通讯［3-4］。

在这样的基于组件的架构中，一个组件的输入故障可能来自于连接到它的组件输出故障。因此，在故障分析时，定义3种故障传播的方式：

（1）不正确的服务可以由一个外部的组件诱发，通过端口直接传播到输出信息。这包括故障模式变换或转化成另一种形式的故障模式；（2）可能由组件本身产生的不正确的服务；（3）不正确的服务传递到该组件的端口，该组件以某种方式来阻止使得没有故障被传播到其他端口。

3.1 基于消息序列图确定FMEA失效模式

在FMEA中最重要的是确定子系统和系统功能可能出现的故障，以及分析可能的故障的后果。要确定一个组件模型可能出现的错误定义为FMEA失效模式。FMEA失效模式可以利用组件和组件连接器的状态获得，在状态图中可以铺获到组件的执行行为［4-5］，组件的行为又是通过信息交互改变其状态来完成实现的。由此， 行为可以由序列图（Sequence Diagram）表示。在信息交互过程中，组件间的相互作用通过信息的交换，每一个交互连接着该组件的请求和另一个组件的接收和彼此的操作。基于组件交互信息的基本属性和特征，可能的失效模式定义如下：

信息计划失效：在信息交互的过程中，一个非计划的消息的发送就是一个错误，通常发生在人机接口。此错误表示为发送消息不属于计划的故障模式； 信息命令失效：一个要发送许多消息的对象可能会因为执行了错误的命令漏掉一个或几个，这就可以表示为信息命令错误模式； 信息对象失效：某个消息是由一个对象发送到另一个应该接受它的对象中，此时接收器必须存在，但可能没有接收对象，这种类型的错误被表示为接收对象失败模式； 信息事件失效：与发送和接收事件相关的某些对象具有时间的限制，对于这些事件，时间是一个基本的要素，时间的提前和延误都会导致错误，这种类型的错误被表示为信息时间故障模式； 信息参数失效：信息或信号参数的发出和接收者必须在数量、类型、和值等方面一一对应，参数失配出现错误表示为信息参数失效模式； 信息应答失效：发送和接收对象之间的应答关系，必须允许和应答消息的发送和接收，缺乏发送和接收对象之间的联系信息应答失效模式（发送者和接收者对象之间的联系缺乏）；信息传送或处理时间失效：信息的处理时间影响着接收和发送，处理的延迟会导致错误，这错误类型表示为信息处理失效模式（一个消息在指定的时间处理限制）。

3.2 失效影响

失效影响是失效模式对系统的运行、功能或状态方面导致的后果，可分为局部影响和系统影响［5］。局部影响是指失效模式对所考虑的系统单元的影响，应描述每个可能的失效对系统输出的影响。确定局部影响的目的是为评价已有的备选措施或建议性纠正措施提供判断依据。在某些的场合中，可能没有失效模式的局部影响。系统影响是指最终影响，确定最终影响时，应通过所有中间层次的分析来评价和定义失效对系统最高层次的影响，所描述的最终影响可以是多重失效的后果。

分析从最低层的组件开始调查，然后找出每一个故障模式，对每个组件和每种故障进行分析，从而确定故障是如何影响上一级子系统，以及对整个系统的影响。除了列出可能的原始故障影响，不正确的输入能导致增添任意数量的影响。在进行失效影响分析时，需要区分故障是原始错误还是由于失效模式的影响或是一些引起不正确的输入。原始故障的分析可作为局部失效模式。由此，构造的失效影响如表1所示，不正确的输入对下一级（NHL）的影响如表2所示，高一层次上的错误可能来自低层不正确的输入或来自任何其他方面的信息接收。

表1 本地失效影响

表2 在NHL中不正确输入的影响

在系统级层次，失效模式可能来自于NHL，也可能来自原始错误模型，该故障的影响被指定为本地故障模式。构造的表3给出了NHL导致系统故障的失效影响。

表3 NHL导致系统故障的失效影响级别

4　结语

FMEA方法能有效地研究整个系统组成部件的故障，评估构成系统各种功能的组件的故障模式的影响，以及识别故障模式采取有效的控制策略和采取的有效措施，是满足客户的需求，提高系统的安全性、可靠性和可维护性的一种重要技术。为了将危害分析技术FMEA应用到组件架构的系统开发过程中，我们对组件架构系统的组成、信息传递和FMEA的失效模式以及失效影响进行了详细的分析，进行了组件架构系统的FMEA设计，它有助于系统地确定可能的失效模式，以及哪些危险、故障是最严重的，哪些组件需要更详细的安全性分析。

［1］中华人民共和国国家标准.系统可靠性分析技术—失效模式和影响分析（FMEA）程序，GB/T7826-200X/IEC60812［S］.中华人民共和国国家标准，2006.

［2］PODOFILLINI L，SUDRET B，STOJADINOVIC B，et al.Safety and Reliability of Complex Engineered Systems［M］. Netherlands：ESREL CRC Press，2015.

［3］CRNKOVIC I. Component-based software engineering for embedded systems［C］.Software Engineering， 27th International Conference，2005（10）：712-713.

［4］SHOURONG L. Engineering of Safety-related and Embedded Real-time Systems［D］.Waabs：GCA-Verlag，2009.

［5］唐艺灵，赵晗滨. 基于组件技术的实时测控软件开发［J］. 电子技术与软件工程，2015（8）：84-85.

Failure mode and effect analysis of component architecture system

Lu Shourong
（Wuxi City College of Vocational Technology， Wuxi 214000， China）

In this paper， the application and processing of FMEA（Failure Mode and Effect Analysis）in the component architecture system are studied. Based on the feature of component construction system and FMEA method， the failure mode of FMEA based on message sequence diagram is constructed.

hazard analysis； Failure Mode and Effect Analysis（FMEA）； component； component model

鲁守荣（1963— ），女，山东莒南，博士，教授；研究方向：安全关键系统，汽车电控系统。