摘要：故障模式影響及危害性分析（Failure Mode Effects and Criticality Analysis─FMECA）技術(shù)是從工程實踐中總結(jié)出來的科學(xué)方法，將其應(yīng)用于軟件領(lǐng)域，有助于提高軟件的可靠性、安全性、維修性、保障性水平。本文詳細(xì)介紹了FMECA特征，作用、目的，適用范圍、使用原則等原理。
關(guān)鍵詞：FMECA 軟件質(zhì)量
引言
人們對軟件產(chǎn)品質(zhì)量的認(rèn)識如同對其它客觀事物一樣，隨著社會的發(fā)展和科學(xué)技術(shù)的進步而不斷演變、進化。傳統(tǒng)的質(zhì)量觀強調(diào)產(chǎn)品“符合規(guī)定的要求”，即“符合性”；產(chǎn)品只要符合生產(chǎn)圖紙和工藝規(guī)定的要求，就是好的。當(dāng)代的質(zhì)量觀既重視產(chǎn)品的符合性要求，更強調(diào)產(chǎn)品的“適用性”要求，也就是說，產(chǎn)品只要在適用時能成功地適合用戶的需要才是高質(zhì)量的。用戶的需要是多方面的，因此產(chǎn)品質(zhì)量是產(chǎn)品滿足規(guī)定或潛在需要的特性的總和。這些性能包括性能、可靠性、安全性、維修性、保障性、經(jīng)濟性等等。一個好的產(chǎn)品不僅要具備所需要的性能（固有能力），而且要能長期保持這種性能，使用中無故障或少故障；發(fā)生故障時要好維修，使功能得到迅速恢復(fù)，還要使用安全、易于保障，整個壽命周期費用較低等。
隨著科學(xué)技術(shù)的發(fā)展，軟件結(jié)構(gòu)日益復(fù)雜化，研制時間不斷增長、壽命周期費用不斷增加，如果在使用過程中發(fā)生故障，很可能會造成無法挽回的經(jīng)濟損失甚至人員傷亡,樹立當(dāng)代質(zhì)量觀，不斷提高產(chǎn)品質(zhì)量，已成為國民經(jīng)濟和國防科技發(fā)展中引人注目的關(guān)鍵問題。可靠性、維修性、安全性、保障性是產(chǎn)品質(zhì)量的重要內(nèi)涵，要提高產(chǎn)品質(zhì)量，就要從這些方面入手，從而使其具有較高的效能及較低的壽命周期費用，以達到獲取最佳效費比的目的。

FMECA的特征
故障模式影響及危害性分析（Failure Mode Effects and Criticality Analysis─FMECA）是一種可靠性、安全性、維修性、保障性分析與設(shè)計技術(shù)，用來分析、審查系統(tǒng)及其設(shè)備的潛在故障模式，確定其對系統(tǒng)和設(shè)備工作能力的影響，從而發(fā)現(xiàn)設(shè)計中潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防改進措施，以消除或減少故障發(fā)生的可能性，提高系統(tǒng)和設(shè)備的可靠性、安全性、維修性、保障性水平。我們同樣可以將其應(yīng)用于軟件質(zhì)量管理領(lǐng)域。
FMECA本質(zhì)上是一種定性的邏輯推理方法，通過它，可以識別故障的根本原因，確定可靠性、安全性、維修性關(guān)鍵部件，并提出預(yù)防改進措施，使工程設(shè)計人員對系統(tǒng)和設(shè)備進行優(yōu)化設(shè)計，以提高系統(tǒng)和設(shè)備的可靠性、安全性、維修性水平，從而達到提高產(chǎn)品質(zhì)量、減少系統(tǒng)生命周期費用的目的。
FMECA技術(shù)是從工程實踐中總結(jié)出來的科學(xué)方法，它起源于美國。FMECA是一種有效、經(jīng)濟而且比較容易掌握的可靠性分析方法，所以深受廣大工程設(shè)計人員的喜愛；但同時，F(xiàn)MECA又是一項煩瑣、乏味而且非常耗時間、容易出錯的工作。實際應(yīng)用中，為了判別故障發(fā)生與否，需要故障判據(jù)；為了判別系統(tǒng)是否成功地實現(xiàn)其全部功能以及繪制可靠性框圖，需要系統(tǒng)工作原理圖和功能方塊圖；為了確定各種故障模式及原因，需要各種方案的比較及相應(yīng)的工作限制；為了確定被分析系統(tǒng)的約定層次劃分，需要從系統(tǒng)開始直至最低一級產(chǎn)品的結(jié)構(gòu)、接口關(guān)系等描述。為了進行FMECA的定性和定量分析，需要有大量的可靠性信息，包括系統(tǒng)的可靠性分析資料、使用或?qū)嶒灁?shù)據(jù)；為了不斷提高FMECA的分析水平，需要過去FMECA中積累的設(shè)計、工藝、生產(chǎn)和使用經(jīng)驗等等?；谶@些數(shù)據(jù)，還要找出每一種潛在的故障模式以及潛在故障模式的機理，并進一步分析產(chǎn)品故障模式對每一約定層次上的項目功能、使用或狀態(tài)所造成的故障影響；并對每一種故障模式按最壞的潛在后果確定其嚴(yán)酷度類別；分析或計算每一種故障模式的發(fā)生概率或危害度等等。最后，還需形成各種報表清單，包括FMEA和CA表格、各種框圖、危害性矩陣等等。上述過程，其工作量和費用都是巨大的，手工作業(yè)不但因為過多的重復(fù)性勞動導(dǎo)致效率低下，而且也會由于標(biāo)準(zhǔn)的不同及人為的差錯導(dǎo)致分析結(jié)果的差異，另外分析中獲得的結(jié)果和數(shù)據(jù)還不能直接被引用等等。
FMECA是按規(guī)定的規(guī)則記錄產(chǎn)品設(shè)計中所有可能的故障模式，分析每種故障模式對系統(tǒng)的工作及狀態(tài)（包括整體完好、任務(wù)成功、維修保障、系統(tǒng)安全等）的影響并確定單點故障，將每種故障模式按其影響的嚴(yán)酷度及發(fā)生概率排序，從而發(fā)現(xiàn)設(shè)計中潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防改進措施（包括設(shè)計、工藝或管理），以消除或減少故障發(fā)生的可能性，保證產(chǎn)品的可靠性。
FMECA由兩部分工作構(gòu)成，即故障模式影響分析（Failure Mode and Effects Analysis─FMEA）和危害性分析（Criticality Analysis—CA）。
FMECA通常又分析硬件法和功能法兩種。目前，工程上運用最為廣泛的是硬件法。
硬件法
這種分析方法根據(jù)產(chǎn)品的功能對每個故障模式進行評價，用表格列出各個產(chǎn)品，并對可能發(fā)生的故障模式極其影響進行分析。各產(chǎn)品的故障影響與分系統(tǒng)或系統(tǒng)的功能有關(guān)。當(dāng)產(chǎn)品可按設(shè)計圖紙及其它工程設(shè)計資料明確確定時，一般采用硬件法。這種分析方法適用于從零件級開始分析，再擴展到系統(tǒng)級即自下而上進行分析，然而也可以從任一層開始向任一方向進行分析。采用這種分析方法進行FMECA是較為嚴(yán)格的，應(yīng)用也比較廣泛。
功能法
這種分析方法認(rèn)為每個產(chǎn)品可以完成若干功能，而功能可以按輸出進行分類。使用這種分析方法時，將輸出一一列出，并對它們的故障模式進行分析。當(dāng)產(chǎn)品構(gòu)成不能明確確定時（如產(chǎn)品研制初期，各部件設(shè)計未完成，無詳細(xì)部件清單，無產(chǎn)品原理圖及裝配圖），或當(dāng)產(chǎn)品復(fù)雜程度要求從初始約定層次開始向下分析時，一般采用功能法。然而也可以從產(chǎn)品的任一層次開始向任一方向進行。這種分析方法比硬件法簡單，所以可能忽略某些故障模式。

FMECA的作用及目的
實踐表明，F(xiàn)MECA是目前最基本的、應(yīng)用最廣泛的、收效最大的分析設(shè)計方法。
FMECA的作用是：
(1)保證有組織地、系統(tǒng)地、全面地查明一切可能的故障模式及其影響，對它們應(yīng)該或是已采取適當(dāng)?shù)难a救措施，或是確認(rèn)其風(fēng)險已低于可以接受的水平。
(2)找出被分析對象的“單點故障”。所謂單點故障是指這種故障單獨發(fā)生時，就會導(dǎo)致不可接受的或嚴(yán)重的影響后果。一般來說，如果單點故障出現(xiàn)概率不是極低的話，則應(yīng)在設(shè)計、工藝、管理等方面采取切實有效的措施。產(chǎn)品發(fā)生單點故障的方式就是產(chǎn)品的單點故障模式。
(3)為制定關(guān)鍵項目清單或關(guān)鍵項目可靠性控制計劃提供依據(jù)。
(4)為可靠性建模、設(shè)計、評定提供信息。
(5)揭示安全性薄弱環(huán)節(jié)，為安全性設(shè)計（例如載人飛船的應(yīng)急系統(tǒng)、火箭地面爆炸等等）提供依據(jù)。
(6)為制定試驗大綱提供信息，以便試驗前作好充分檢測、盡可能達到預(yù)定目的。
(7)為確定需要及時更換那些有限壽命的零部件、元器件的清單，以提供使用可靠性（包括貯存可靠性）設(shè)計的信息。
(8)為確定需要重點控制質(zhì)量及生產(chǎn)工藝（包括采購、檢驗）的薄弱環(huán)節(jié)清單信息。
(9)為確定維修方案、機內(nèi)測試（BIT）、測試點設(shè)計、編定維修指南、維修保障設(shè)計提供信息。
(10)為設(shè)計故障診斷、隔離及結(jié)構(gòu)重組等提供信息。
(11)作為使可靠性指標(biāo)符合要求的一種反復(fù)疊代的設(shè)計手段。
(12)及早發(fā)現(xiàn)設(shè)計、工藝中的各種缺陷，以便提出改進措施。
FMECA的目的：
(1)為確定可靠性關(guān)鍵件和重要件提供依據(jù)。這些產(chǎn)品是進行設(shè)計、工藝改進，進而提高其可靠性的重要目標(biāo)，也是詳細(xì)分析，可靠性增長試驗、鑒定試驗、應(yīng)力分析和保證安全性的主要對象。
(2)有助于設(shè)計人員考慮在薄弱環(huán)節(jié)上是否采用冗余設(shè)計、元器件篩選、工藝改進、降額設(shè)計和熱設(shè)計等可靠性設(shè)計技術(shù)。
(3)為確定可靠性性試驗和檢驗的程序、方法提供重要信息。
此外，F(xiàn)MECA還為安全性分析與設(shè)計、維修性分析與設(shè)計、測試性分析與設(shè)計、保障性分析、以可靠性為中心的維修分析（RCMA）、試驗計劃的制定，質(zhì)量檢驗點的設(shè)置，可靠性設(shè)計和評審等提供信息和技術(shù)決策依據(jù)。

FMECA的適用范圍及使用原則
FMECA適用于軟件產(chǎn)品的研制、生產(chǎn)和使用等各階段,隨設(shè)計的進展不斷地修改，即使跟蹤設(shè)計的變動。產(chǎn)品的故障必然和該故障的零部件之間存在著一定的因果關(guān)系。FMECA方法就是從這種因果關(guān)系出發(fā)，發(fā)現(xiàn)問題，找出原因，明確影響（后果），進而制定有效的改進途徑。
為使FMECA卓有成效，在實施時應(yīng)遵循如下原則：
(1)分析工作的及時性
FMECA的首要目的是為產(chǎn)品的設(shè)計改進提供有效的信息和依據(jù)。因此FMECA工作應(yīng)與產(chǎn)品的設(shè)計同步進行，尤其應(yīng)在設(shè)計的早期階段就開始進行FMECA。這樣有助于及時發(fā)現(xiàn)設(shè)計中的薄弱環(huán)節(jié)并為安排改進措施的先后順序提供依據(jù)。同時，應(yīng)按照產(chǎn)品研制階段的不同，進行不同程度、不同層次的分析。也就是說，F(xiàn)MECA應(yīng)及時反映設(shè)計、工藝上的變化，并隨著研制階段的展開而不斷補充、完善和反復(fù)迭代。
(2)分析工作的有效性
FMECA的有效程度，取決于可利用的資料和分析人員的技術(shù)水平和經(jīng)驗。，因此為了提高FMECA的有效程度，F(xiàn)MECA工作應(yīng)由設(shè)計人員完成，即貫徹“誰設(shè)計、誰分析”的原則，這里因為設(shè)計人員對自己設(shè)計的產(chǎn)品最了解。在分析過程中還應(yīng)當(dāng)充分吸收生產(chǎn)、管理和使用等各部門有經(jīng)驗的工程技術(shù)人員，特別是可靠性工程技術(shù)人員參與FMECA工作。在FMECA之前，還應(yīng)當(dāng)廣泛收集有助于實施分析的各種信息和資料。此外，F(xiàn)MECA的結(jié)果可以為其它分析工作提供必要的信息，因此當(dāng)其它分析工作需要FMECA的結(jié)果時，可以對FMECA的基本步驟和方法進行適地剪裁和修改，以滿足這些分析的特殊要求。這可以提高FMECA的有效程度，并避免在工程研制中出現(xiàn)要求過多或工作重復(fù)的現(xiàn)象。
(3)分析工作的一致性
FMECA分析應(yīng)加強規(guī)范化工作，以保證產(chǎn)品FMECA的分析結(jié)果具有可比性。分析開始前，產(chǎn)品的總設(shè)計師單位就應(yīng)遵循國標(biāo)GB1391的要求，結(jié)合產(chǎn)品特點，對FMECA的分析約定層次、故障判據(jù)、嚴(yán)酷度與危害度定義、分析表格、故障率數(shù)據(jù)源和分析報告要求等均應(yīng)作統(tǒng)一規(guī)定及必要說明。若承制單位或轉(zhuǎn)承制單位為尋找所負(fù)責(zé)產(chǎn)品（系統(tǒng)或設(shè)備）的薄弱環(huán)節(jié)、關(guān)鍵部件而需進行FMECA，亦應(yīng)作好統(tǒng)一要求，尤其對故障影響層次、嚴(yán)酷度定義更應(yīng)作出明確規(guī)定。
(4)分析結(jié)果的可跟蹤性
依據(jù)FMECA結(jié)果，所制定出相應(yīng)的改進措施是否會引發(fā)系統(tǒng)新的故障？其效果如何？以及所找出的產(chǎn)品故障是否全面而無遺漏等問題，均應(yīng)從管理角度對FMECA的分析結(jié)果進行跟蹤與分析，以驗證其正確性和改進措施的有效性。這種跟蹤分析的過程，也是FMECA反復(fù)疊代、逐步積累工程經(jīng)驗的過程。這個過程也是對系統(tǒng)再認(rèn)識、再理解的過程，這種認(rèn)識和理解最終體現(xiàn)在FMECA技術(shù)報告中。一套完整的FMECA資料，是各方面經(jīng)驗的積累和總結(jié)，是寶貴的工程財富，應(yīng)當(dāng)不斷積累并歸檔，以備查考。
(5)分析方法的綜合性
為了有效地進行故障分析，可以視工程研制中的需要與可能采用FMECA和其他技術(shù)的綜合分析方法，以取長補短，更全面地找出系統(tǒng)的薄弱環(huán)節(jié)，并針對每個薄弱環(huán)節(jié)制定相應(yīng)的設(shè)計、工藝和使用補償措施。這對減少產(chǎn)品設(shè)計、工藝缺、保證研制進度、降低費用具用重要作用。在復(fù)雜軟件項目研制中，應(yīng)該普遍地開展FMEA或FMECA工作，進而針對其中發(fā)現(xiàn)的系統(tǒng)重大故障后果有重點地進行FTA。此外，值得再次強調(diào)的是，F(xiàn)MECA和FTA雖都是有效的可靠性、安全性和維修性分析方法，但并非萬能。它們不能代替其它可靠性分析工作。特別應(yīng)注意，F(xiàn)MECA和FTA均是靜態(tài)分析方法，在動態(tài)分析方面還不完善，若對系統(tǒng)實施全面的分析還應(yīng)與時間序列有關(guān)的方法（如事件樹分析）相結(jié)合。

結(jié)束語
軟件系統(tǒng)的可靠性、安全性、維修性問題越來越受到人們的重視，F(xiàn)MECA作為其中的一個核心內(nèi)容，它是FTA、維修分析、測試分析等的基礎(chǔ)，但它又是一項耗時、容易出錯的工作，所以針對這些問題，國內(nèi)外開始研究仿真技術(shù)、因果推理和專家系統(tǒng)在FMECA中使用。但由于FMECA本質(zhì)是定性的和系統(tǒng)模型比較難描述、故障數(shù)據(jù)很難收集，所以目前這方面的工作主要在某些電路中得到使用，很難在工程中應(yīng)用推廣，在軟件質(zhì)量領(lǐng)域的應(yīng)用就更少了。但我們認(rèn)為，讓FMECA朝著這些方向發(fā)展，是具有很大實際意義的。