【WuFrank的回答(18票)】:

ASIL 全称是Automotive safety integration level 针对的是电子模块制定的标准

The standard ISO 26262 is an adaptation of the Functional Safety standard IEC 61508 for Automotive Electric/Electronic Systems. ISO 26262 defines functional safety for automotive equipment applicable throughout the lifecycle of all automotive electronic and electrical safety-related systems.

分为Severity / exposure/ controllability

Severity Classifications (S):

S0 No Injuries

S1 Light to moderate injuries

S2 Severe to life-threatening (survival probable) injuries

S3 Life-threatening (survival uncertain) to fatal injuries

Exposure Classifications (E):

E0 Incredibly unlikely

E1 Very low probability (injury could happen only in rare operating conditions)

E2 Low probability

E3 Medium probability

E4 High probability (injury could happen under most operating conditions)

Controllability Classifications (C):

C0 Controllable in general

C1 Simply controllable

C2 Normally controllable (most drivers could act to prevent injury)

C3 Difficult to control or uncontrollable

然后根据三个指标对某个系统进行S/E/C 综合评价得到总的ASIL等级

D级最高依次CBDQM QM指的在质量管理体系内开发的功能即可满足。

FMEA全称是Failure mode effect analysis

分为Severity/Occurrence/Detective

S/O/D 根据程度分为1-10.

其中Occurance的定义如下

DetectiveDetective

评价指标为RPN=S*O*D

一般原则为RPN超过100以及S>9必须采取措施。

• 所以区别在于一个针对电子模块系统进行的一个风险管理体系FMEA则应用更广泛。

• 对于发生度评价指标量化程度不同。Exposure和Occurrence；

• 对于可探测度和可控性的定义不同，FMEA更多关注于子系统零件本身失效是否可以被发现，输入可以是实验报告，检车设备，防错设计等。而Contrallability则是整车驾驶员对失效的可控制性。

先答这些。

【张抗抗的回答(13票)】:

1. 首先，ISO26262的ASIL与DFMEA的打分对象不同

二者具有相同点，都研究失效(failure)。那么，我们举一个具体的例子来对比：

“整车控制器（VCU）上的某个器件发生失效后，导致VCU发出错误的扭矩命令，从而使动力总成输出过大扭矩，车辆发生了非预期加速。而前方恰好有车，非预期加速导致了追尾碰撞，驾驶员受到不同程度的伤害”。

以下图表示此事件，发生在element level的fault向上级系统层层传递，导致了vehicle level的failure(也可以叫做malfunction或malfunction hazard)。Vehicle level的failure在一定的情景下会危害到人的安全，发生危害事件(Hazard event).

DFMEA的打分对象是element或component或system或vehicle，在企业中，不同系统级别的DFMEA一般是在不同级别部门里进行，某一系统级别的failure mode是上级系统的fault。DFMEA打分的3个维度Severity/Occurrence/Detective都是针对器件或系统的：

• Severity严重度：某个器件或系统失效后有多严重？

• Occurrence频度：某个器件或系统失效有多频繁？
• Detective探测度：发现失效的难度程度（可能性）有多高？

ISO26262的打分对象是Hazard event，打分的3个维度Severity / exposure/ controllability都是针对可能危害到人身安全的危害事件的(若只损害汽车而不危害到人身安全，则为S0，不需要打分)：

• Severity严重度：危害事件会对人造成多大危害？（无大碍、轻伤、致残、致死）
• Exposure暴露度：此危害事件的情景(Scenario)发生的频繁程度？（注意，与系统无关，情景的频繁程度）

• Controllability可控度：驾驶员通过观察系统警示信息或快速反应，以避免危害事件发生的难易程度。（注意，不是系统主动避免危害事件）。

综上，二者的打分对象是完全不同的。DFMEA关注的是系统或器件，而ISO26262关注的则是抽象概念的危害事件（所谓抽象，是指ISO26262时在打分的时候是不关注系统的，可适用于不同车辆。）。

2. 然后，二者的思维方法是完全不同的(对应于题主所说的“控制方法”)。

DFMEA是典型的归纳式(inductive)方法，从单个fault出发，去思考可能引发的后果(failure或hazard)。

与DFMEA相对应的是故障树方法(FTA: fault tree analysis)，从hazard去分析可能的原因，是一种演绎式(deductive)方法。

ISO26262的功能安全是一整套体系与流程，不能笼统地说是归纳式的还是演绎式的。但从上面的图可以看出，ISO26262的分析起点是Hazard event，从最终的后果去定ASIL等级，再通过一定的方法将ASIL等级分配给系统、子系统、部件、器件。从宏观的思路上来看，这与FTA类似而与FMEA相反，是一种演绎的思维方法。

3. 最后，二者的概念级别是不同的。

DFMEA与FTA可以是同一级别的概念，是分析失效的两种不同思维方法。

而ISO26262是一整套流程，大体上可以分为几大阶段：

• 概念阶段Concept Phase
• 系统开发阶段System Design (V型开发)
• 硬件开发阶段Hardware Design
• 软件开发阶段Software Design

每一阶段，均会使用到FMEA方法与FTA方法(有可能只做部分工作，而不是完整的FMEA或FTA)。ISO26262将FMEA与FTA当作是整套流程的一种工具。

%%%%%%%答主知识水平自评%%%%%%%%

• ISO26262：接触3个半月，即将入门。
• FMEA：6年前上过几节课，学了点皮毛。

因此，答主水平也是相当一般的，因此答的内容不要全信。高人如指出错误，答主在确认之后会第一时间更正。

%%%%题外话%%%%%

二者还有不少相同之处。由于题目问的是不同之处，因此不就赘述了。

【小梅的回答(0票)】:

FEMA是工具，每个零件设计过程都需要，ISO26262是汽车电子标准，顾名思义是适用于汽车电子，ASIL是标准里的评判项和结果。在FEMA里面只占一部分既如果ASIL没有达到要求的失效原因，失效分析，改进策略。但FEMA应该记录所有失效分析。同时ISO26262是对整个公司流程有约束的，按我皮毛的理解对FEMA会有相应要求。

原文地址:知乎