伴随着最高车速的提高，汽车驾驶的风险也相应的变大。在每年这么大的销售基数下，即使很小的事故率，也是一个很大的绝对值，所以汽车行业骨子里就必须谨慎和保守。在汽车工业一百多年的发展历史中，已经发展形成了完善的质量管理体系来管控风险，众多的质量管理工具也随之产生。

失效模式分析（FMEA)就是一种比较代表性的设计方法/质量工具/风险管控思路。作为一种能够最大程度的识别并帮助减少潜在的隐患的一种技术手段，FMEA已经被列为ISO/TS16949的5大工具之一，并被证实能有效防止召回事件的发生。ISO26262也明确要求，所有与功能安全相关的设计均需经过FMEA。

问题来了，一辆车上有成千上万零件，每个零件都有几十甚至上百个失效模式，怎么确保能够关注到应该得到的关注那些失效模式呢？换句话说，要确保我们能有轻重、分主次的找到需要重点关注的失效模式，就需要对FMEA进行量化。工程师需要数据来说话的，仅靠定性分析不够，还需要定量。

如何对FMEA进行量化呢？

这难不倒我们聪明的工程师，他们定义了一个叫风险顺序数--也叫做RPN(Risk Priority Number)的参数。

风险顺序数RPN=SXOXD.

S定义为严重度（Severity），O定义为频度(Occurrence)，D定义为探测度(Detection)。

RPN值越高，表示风险就越大，需要重点关注。

下面分别介绍一下严重度、频度和探测度。

严重度——后果有多严重？

严重度就是该所产品/系统的某性能失效后产生的后果的严重程度。

以电子驻车系统（EPB）举个例子，当EPB失效时，引起驻车功能失效，会导致车辆溜坡，如果此时驾驶员不在车上，会造成非常严重的后果，严重度就很高。

下图为AIAG(即Automotive Industry Action Group，由美国三大汽车巨头福特、通用和克莱斯勒创建)的FMEA手册中的严重度打分标准。

严重度分值越高，表示该失效的失效后果越严重，就越需要引起重视。值得一提的是，如果不能满足安全和法规，严重度是最高的，为9分/10分。再多说一句，同样是不满足法规，严重度9分和10分的差别在哪里？10分为失效时无预警，9分时有预警。

不知道大家还记不记得当年速腾召回事件中后桥上的那块补丁“金属衬板”?失效时可以发出警示音，虽然这个做法很伤害广大车主的感情，但是理论上确实可以降低严重度。

频度-经常发生吗？

频度的定义是，失效原因发生的可能性（基于之前的数据和经验来评估）。失效的可能性越大，频度分值越高。

下图为频度具体的打分表。

可以看出，对于新技术或者新应用，其分值非常高，如果是相同的设计或者类似的设计，则分值要低得多。这就鼓励采用成熟的技术，谨慎采取新技术。ISO26262中也鼓励重用受信任的设计原则，并规定弃用受信任的设计原则的决定需要经过论证。

从功能安全角度分析，希望尽可能的重用以前的经过验证过的设计，不论硬件（传感器/执行器/接口等）还是架构，这就解释了业界为什么都预测自动驾驶的发展会是小范围的不断改进、小幅迭代另起炉灶。一步到位不是不可能，只是实施起来难度比较大。

探测度——方法够好吗？

找到失效原因之后，需要对该失效原因所采取的措施。措施分两种，一种是预防措施，一种是探测措施。预防指的是，在设计阶段通过更改设计，来防止出现该问题或者降低其发生概率。探测指的是，在项目投产前，通过分析方法或者试验手段，探测出失效。探测度的分值表征了其探测手段的有效性。

对于硬件来说，测试分台架测试（DV/PV）和整车测试。

对于软件来说，其开发就是下图所示的V模型，V模型左侧为设计阶段，右侧主要为测试阶段，包括软件测试、ECU测试、HIL测试和整车测试等。

下图为探测度的分值标准。

为了降低探测度分值，通常需要改进探测手段或者将探测的时间提前。

FMEA的量化评估

严重度、频度和探测度的分值均已确定后，就可以得出RPN的分值。如果RPN的分值超过特定值的失效模式，需要额外增加措施，以进一步降低设计风险。

需要注意的是，即使RPN没有超过特定值，对于严重度为9分/10分的失效模式，也需要额外增加措施。下表为FMEA手册中提供的DFMEA的样表。

FMEA与ISO26262的差异

与FMEA中的严重度、频度和探测度相对应，ISO26262也有类似的严重度（S）、暴露率（E）和可控性（C）的定义。不过因为ISO26262关注的是功能安全，所以定义上有很大的差别。

从失效后果造成的伤害的严重程度来说，ISO26262定义了严重度S。严重度S分4个等级，S0到S3，其中S0为无危害，S3为致命危害。

从失效发生的概率来说，ASIL定义了暴露率E。暴露率E分为4个等级，E1到E4，其中E1指很低的概率，E4指高概率（>10%）。

暴露率（E）主要关注该失效能够造成危害的场景的概率。

如上图说的电子驻车系统(EPB)的例子，暴露率指的是，驻车系统的使用时长占整车寿命的比例，因为其超过10%，所以应该选择E4.

从失效发生后能够避免事故或伤害的可能性来说，ASIL定义了可控性C。可控性C分为4个等级，其中C0为完全可控，C3为很难控制（<90%驾驶员）。< p="">

确定好严重度、暴露率和可控性的等级后，就可以确定汽车安全完整性等级(即ASIL)。

ASIL等级确认

ASIL分4个等级，其中A代表最低等级，D为最高等级，QM代表不需要考虑安全设计。确定好ASIL等级后，就可以按照各个安全等级标准的要求去开发。