摘要：故障模式影響及危害性分析（Failure Mode Effects and Criticality Analysis─FMECA）技術是從工程實踐中總結出來的科學方法，將其應用于軟件領域，有助于提高軟件的可靠性、安全性、維修性、保障性水平。本文詳細介紹了FMECA特征，作用、目的，適用范圍、使用原則等原理。
關鍵詞：FMECA 軟件質量
引言
人們對軟件產品質量的認識如同對其它客觀事物一樣，隨著社會的發(fā)展和科學技術的進步而不斷演變、進化。傳統(tǒng)的質量觀強調產品“符合規(guī)定的要求”，即“符合性”；產品只要符合生產圖紙和工藝規(guī)定的要求，就是好的。當代的質量觀既重視產品的符合性要求，更強調產品的“適用性”要求，也就是說，產品只要在適用時能成功地適合用戶的需要才是高質量的。用戶的需要是多方面的，因此產品質量是產品滿足規(guī)定或潛在需要的特性的總和。這些性能包括性能、可靠性、安全性、維修性、保障性、經濟性等等。一個好的產品不僅要具備所需要的性能（固有能力），而且要能長期保持這種性能，使用中無故障或少故障；發(fā)生故障時要好維修，使功能得到迅速恢復，還要使用安全、易于保障，整個壽命周期費用較低等。
隨著科學技術的發(fā)展，軟件結構日益復雜化，研制時間不斷增長、壽命周期費用不斷增加，如果在使用過程中發(fā)生故障，很可能會造成無法挽回的經濟損失甚至人員傷亡,樹立當代質量觀，不斷提高產品質量，已成為國民經濟和國防科技發(fā)展中引人注目的關鍵問題?？煽啃?、維修性、安全性、保障性是產品質量的重要內涵，要提高產品質量，就要從這些方面入手，從而使其具有較高的效能及較低的壽命周期費用，以達到獲取最佳效費比的目的。

FMECA的特征
故障模式影響及危害性分析（Failure Mode Effects and Criticality Analysis─FMECA）是一種可靠性、安全性、維修性、保障性分析與設計技術，用來分析、審查系統(tǒng)及其設備的潛在故障模式，確定其對系統(tǒng)和設備工作能力的影響，從而發(fā)現設計中潛在的薄弱環(huán)節(jié)，提出可能采取的預防改進措施，以消除或減少故障發(fā)生的可能性，提高系統(tǒng)和設備的可靠性、安全性、維修性、保障性水平。我們同樣可以將其應用于軟件質量管理領域。
FMECA本質上是一種定性的邏輯推理方法，通過它，可以識別故障的根本原因，確定可靠性、安全性、維修性關鍵部件，并提出預防改進措施，使工程設計人員對系統(tǒng)和設備進行優(yōu)化設計，以提高系統(tǒng)和設備的可靠性、安全性、維修性水平，從而達到提高產品質量、減少系統(tǒng)生命周期費用的目的。
FMECA技術是從工程實踐中總結出來的科學方法，它起源于美國。FMECA是一種有效、經濟而且比較容易掌握的可靠性分析方法，所以深受廣大工程設計人員的喜愛；但同時，FMECA又是一項煩瑣、乏味而且非常耗時間、容易出錯的工作。實際應用中，為了判別故障發(fā)生與否，需要故障判據；為了判別系統(tǒng)是否成功地實現其全部功能以及繪制可靠性框圖，需要系統(tǒng)工作原理圖和功能方塊圖；為了確定各種故障模式及原因，需要各種方案的比較及相應的工作限制；為了確定被分析系統(tǒng)的約定層次劃分，需要從系統(tǒng)開始直至最低一級產品的結構、接口關系等描述。為了進行FMECA的定性和定量分析，需要有大量的可靠性信息，包括系統(tǒng)的可靠性分析資料、使用或實驗數據；為了不斷提高FMECA的分析水平，需要過去FMECA中積累的設計、工藝、生產和使用經驗等等。基于這些數據，還要找出每一種潛在的故障模式以及潛在故障模式的機理，并進一步分析產品故障模式對每一約定層次上的項目功能、使用或狀態(tài)所造成的故障影響；并對每一種故障模式按最壞的潛在后果確定其嚴酷度類別；分析或計算每一種故障模式的發(fā)生概率或危害度等等。最后，還需形成各種報表清單，包括FMEA和CA表格、各種框圖、危害性矩陣等等。上述過程，其工作量和費用都是巨大的，手工作業(yè)不但因為過多的重復性勞動導致效率低下，而且也會由于標準的不同及人為的差錯導致分析結果的差異，另外分析中獲得的結果和數據還不能直接被引用等等。
FMECA是按規(guī)定的規(guī)則記錄產品設計中所有可能的故障模式，分析每種故障模式對系統(tǒng)的工作及狀態(tài)（包括整體完好、任務成功、維修保障、系統(tǒng)安全等）的影響并確定單點故障，將每種故障模式按其影響的嚴酷度及發(fā)生概率排序，從而發(fā)現設計中潛在的薄弱環(huán)節(jié)，提出可能采取的預防改進措施（包括設計、工藝或管理），以消除或減少故障發(fā)生的可能性，保證產品的可靠性。
FMECA由兩部分工作構成，即故障模式影響分析（Failure Mode and Effects Analysis─FMEA）和危害性分析（Criticality Analysis—CA）。
FMECA通常又分析硬件法和功能法兩種。目前，工程上運用最為廣泛的是硬件法。
硬件法
這種分析方法根據產品的功能對每個故障模式進行評價，用表格列出各個產品，并對可能發(fā)生的故障模式極其影響進行分析。各產品的故障影響與分系統(tǒng)或系統(tǒng)的功能有關。當產品可按設計圖紙及其它工程設計資料明確確定時，一般采用硬件法。這種分析方法適用于從零件級開始分析，再擴展到系統(tǒng)級即自下而上進行分析，然而也可以從任一層開始向任一方向進行分析。采用這種分析方法進行FMECA是較為嚴格的，應用也比較廣泛。
功能法
這種分析方法認為每個產品可以完成若干功能，而功能可以按輸出進行分類。使用這種分析方法時，將輸出一一列出，并對它們的故障模式進行分析。當產品構成不能明確確定時（如產品研制初期，各部件設計未完成，無詳細部件清單，無產品原理圖及裝配圖），或當產品復雜程度要求從初始約定層次開始向下分析時，一般采用功能法。然而也可以從產品的任一層次開始向任一方向進行。這種分析方法比硬件法簡單，所以可能忽略某些故障模式。

FMECA的作用及目的
實踐表明，FMECA是目前最基本的、應用最廣泛的、收效最大的分析設計方法。
FMECA的作用是：
(1)保證有組織地、系統(tǒng)地、全面地查明一切可能的故障模式及其影響，對它們應該或是已采取適當的補救措施，或是確認其風險已低于可以接受的水平。
(2)找出被分析對象的“單點故障”。所謂單點故障是指這種故障單獨發(fā)生時，就會導致不可接受的或嚴重的影響后果。一般來說，如果單點故障出現概率不是極低的話，則應在設計、工藝、管理等方面采取切實有效的措施。產品發(fā)生單點故障的方式就是產品的單點故障模式。
(3)為制定關鍵項目清單或關鍵項目可靠性控制計劃提供依據。
(4)為可靠性建模、設計、評定提供信息。
(5)揭示安全性薄弱環(huán)節(jié)，為安全性設計（例如載人飛船的應急系統(tǒng)、火箭地面爆炸等等）提供依據。
(6)為制定試驗大綱提供信息，以便試驗前作好充分檢測、盡可能達到預定目的。
(7)為確定需要及時更換那些有限壽命的零部件、元器件的清單，以提供使用可靠性（包括貯存可靠性）設計的信息。
(8)為確定需要重點控制質量及生產工藝（包括采購、檢驗）的薄弱環(huán)節(jié)清單信息。
(9)為確定維修方案、機內測試（BIT）、測試點設計、編定維修指南、維修保障設計提供信息。
(10)為設計故障診斷、隔離及結構重組等提供信息。
(11)作為使可靠性指標符合要求的一種反復疊代的設計手段。
(12)及早發(fā)現設計、工藝中的各種缺陷，以便提出改進措施。
FMECA的目的：
(1)為確定可靠性關鍵件和重要件提供依據。這些產品是進行設計、工藝改進，進而提高其可靠性的重要目標，也是詳細分析，可靠性增長試驗、鑒定試驗、應力分析和保證安全性的主要對象。
(2)有助于設計人員考慮在薄弱環(huán)節(jié)上是否采用冗余設計、元器件篩選、工藝改進、降額設計和熱設計等可靠性設計技術。
(3)為確定可靠性性試驗和檢驗的程序、方法提供重要信息。
此外，FMECA還為安全性分析與設計、維修性分析與設計、測試性分析與設計、保障性分析、以可靠性為中心的維修分析（RCMA）、試驗計劃的制定，質量檢驗點的設置，可靠性設計和評審等提供信息和技術決策依據。

FMECA的適用范圍及使用原則
FMECA適用于軟件產品的研制、生產和使用等各階段,隨設計的進展不斷地修改，即使跟蹤設計的變動。產品的故障必然和該故障的零部件之間存在著一定的因果關系。FMECA方法就是從這種因果關系出發(fā)，發(fā)現問題，找出原因，明確影響（后果），進而制定有效的改進途徑。
為使FMECA卓有成效，在實施時應遵循如下原則：
(1)分析工作的及時性
FMECA的首要目的是為產品的設計改進提供有效的信息和依據。因此FMECA工作應與產品的設計同步進行，尤其應在設計的早期階段就開始進行FMECA。這樣有助于及時發(fā)現設計中的薄弱環(huán)節(jié)并為安排改進措施的先后順序提供依據。同時，應按照產品研制階段的不同，進行不同程度、不同層次的分析。也就是說，FMECA應及時反映設計、工藝上的變化，并隨著研制階段的展開而不斷補充、完善和反復迭代。
(2)分析工作的有效性
FMECA的有效程度，取決于可利用的資料和分析人員的技術水平和經驗。，因此為了提高FMECA的有效程度，FMECA工作應由設計人員完成，即貫徹“誰設計、誰分析”的原則，這里因為設計人員對自己設計的產品最了解。在分析過程中還應當充分吸收生產、管理和使用等各部門有經驗的工程技術人員，特別是可靠性工程技術人員參與FMECA工作。在FMECA之前，還應當廣泛收集有助于實施分析的各種信息和資料。此外，FMECA的結果可以為其它分析工作提供必要的信息，因此當其它分析工作需要FMECA的結果時，可以對FMECA的基本步驟和方法進行適地剪裁和修改，以滿足這些分析的特殊要求。這可以提高FMECA的有效程度，并避免在工程研制中出現要求過多或工作重復的現象。
(3)分析工作的一致性
FMECA分析應加強規(guī)范化工作，以保證產品FMECA的分析結果具有可比性。分析開始前，產品的總設計師單位就應遵循國標GB1391的要求，結合產品特點，對FMECA的分析約定層次、故障判據、嚴酷度與危害度定義、分析表格、故障率數據源和分析報告要求等均應作統(tǒng)一規(guī)定及必要說明。若承制單位或轉承制單位為尋找所負責產品（系統(tǒng)或設備）的薄弱環(huán)節(jié)、關鍵部件而需進行FMECA，亦應作好統(tǒng)一要求，尤其對故障影響層次、嚴酷度定義更應作出明確規(guī)定。
(4)分析結果的可跟蹤性
依據FMECA結果，所制定出相應的改進措施是否會引發(fā)系統(tǒng)新的故障？其效果如何？以及所找出的產品故障是否全面而無遺漏等問題，均應從管理角度對FMECA的分析結果進行跟蹤與分析，以驗證其正確性和改進措施的有效性。這種跟蹤分析的過程，也是FMECA反復疊代、逐步積累工程經驗的過程。這個過程也是對系統(tǒng)再認識、再理解的過程，這種認識和理解最終體現在FMECA技術報告中。一套完整的FMECA資料，是各方面經驗的積累和總結，是寶貴的工程財富，應當不斷積累并歸檔，以備查考。
(5)分析方法的綜合性
為了有效地進行故障分析，可以視工程研制中的需要與可能采用FMECA和其他技術的綜合分析方法，以取長補短，更全面地找出系統(tǒng)的薄弱環(huán)節(jié)，并針對每個薄弱環(huán)節(jié)制定相應的設計、工藝和使用補償措施。這對減少產品設計、工藝缺、保證研制進度、降低費用具用重要作用。在復雜軟件項目研制中，應該普遍地開展FMEA或FMECA工作，進而針對其中發(fā)現的系統(tǒng)重大故障后果有重點地進行FTA。此外，值得再次強調的是，FMECA和FTA雖都是有效的可靠性、安全性和維修性分析方法，但并非萬能。它們不能代替其它可靠性分析工作。特別應注意，FMECA和FTA均是靜態(tài)分析方法，在動態(tài)分析方面還不完善，若對系統(tǒng)實施全面的分析還應與時間序列有關的方法（如事件樹分析）相結合。

結束語
軟件系統(tǒng)的可靠性、安全性、維修性問題越來越受到人們的重視，FMECA作為其中的一個核心內容，它是FTA、維修分析、測試分析等的基礎，但它又是一項耗時、容易出錯的工作，所以針對這些問題，國內外開始研究仿真技術、因果推理和專家系統(tǒng)在FMECA中使用。但由于FMECA本質是定性的和系統(tǒng)模型比較難描述、故障數據很難收集，所以目前這方面的工作主要在某些電路中得到使用，很難在工程中應用推廣，在軟件質量領域的應用就更少了。但我們認為，讓FMECA朝著這些方向發(fā)展，是具有很大實際意義的。